DE202015004120U1 - Safety control system for packaging machine - Google Patents

Safety control system for packaging machine Download PDF

Info

Publication number
DE202015004120U1
DE202015004120U1 DE202015004120.5U DE202015004120U DE202015004120U1 DE 202015004120 U1 DE202015004120 U1 DE 202015004120U1 DE 202015004120 U DE202015004120 U DE 202015004120U DE 202015004120 U1 DE202015004120 U1 DE 202015004120U1
Authority
DE
Germany
Prior art keywords
safety
master
slave
safety controller
fieldbus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE202015004120.5U
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Focke and Co GmbH and Co KG
Original Assignee
Focke and Co GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Focke and Co GmbH and Co KG filed Critical Focke and Co GmbH and Co KG
Priority to DE202015004120.5U priority Critical patent/DE202015004120U1/en
Publication of DE202015004120U1 publication Critical patent/DE202015004120U1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Programmable Controllers (AREA)

Abstract

Sicherheitssteuerungssystem zur Überwachung einer Anlage, insbesondere einer Verpackungsmaschine zum Verpacken von rauchbaren Artikeln, wie etwa Zigaretten, mit einer Sicherungssteuerung (19) als Master, mit einem vorzugsweise mit der Master-Sicherheitssteuerung (19) verbundenen Signalgeber (17, 18, 20) zur Erzeugung von Gefährdungssignalen bei Auftreten von Gefährdungsereignissen, sowie mit mindestens einer weiteren Sicherungsteuerung (24) als Slave die mit einem Antrieb (13b) zum Antreiben eines bewegbaren Organs (12) der Anlage (10) verbunden ist, wobei sowohl die Master- als auch die Slave-Sicherheitsteuerung (19, 24) derart ausgebildet sind, dass sie Sicherheitsfunktionen ausführen können, wie etwa eine sichere Abschaltung eines Antriebs (13a, 13b), und wobei die Master-Sicherheitssteuerung (19) einerseits und die Slave-Sicherheitssteuerung (24) anderseits über ein identisches gemeinsames oder mehrere verschiedene Feldbussysteme (21, 23) miteinander verbunden sind, wobei die Master-Sicherheitssteuerung (19) und die Slave-Sicherheitssteuerung (24) jeweils über einen Kommunikationsbaustein (26, 27) verfügen, und wobei die Kommunikationsbausteine (26, 27) derart ausgebildet sind, dass der Kommunikationsbaustein (26) der Master-Sicherheitssteuerung (19) mit dem Kommunikationsbaustein (27) der Slave-Sicherheitssteuerung (24) über das oder die Feldbussysteme (21, 23) bidirektional Datenpakete austauschen kann, indem die Kommunikationsbausteine (26, 27) von ihnen erzeugten Datenpakte mit dem jeweiligen Feldbusprotokolldatensatz (28a, 28b) verknüpfen, insbesondere jeweils in diesen integrieren.Safety control system for monitoring a system, in particular a packaging machine for packaging smokable articles, such as cigarettes, with a safety controller (19) as a master, with a preferably connected to the master safety controller (19) signal generator (17, 18, 20) for generating of hazard signals in the occurrence of hazardous events, and with at least one further fuse control (24) as a slave which is connected to a drive (13b) for driving a movable member (12) of the system (10), both the master and the slave -Sicherheitsteuerung (19, 24) are designed such that they can perform safety functions, such as a safe shutdown of a drive (13a, 13b), and wherein the master safety controller (19) on the one hand and the slave safety controller (24) on the other an identical common or several different fieldbus systems (21, 23) are interconnected, wherein the Master safety controller (19) and the slave safety controller (24) each have a communication module (26, 27), and wherein the communication modules (26, 27) are designed such that the communication module (26) of the master safety controller (19 ) can bidirectionally exchange data packets with the communication module (27) of the slave safety controller (24) via the fieldbus system or systems (21, 23) by the communication modules (26, 27) generating data packets with the respective fieldbus protocol data set (28a, 28b). linking, especially in each of these integrate.

Description

Die vorliegende Erfindung betrifft ein Sicherheitssteuerungssystem zur Überwachung einer Anlage, insbesondere einer Verpackungsmaschine zum Verpacken von rauchbaren Artikeln, wie etwa Zigaretten, mit mehreren Sicherheitssteuerungen.The present invention relates to a safety control system for monitoring a plant, in particular a packaging machine for packaging smokable articles, such as cigarettes, with multiple safety controls.

Sicherheitssteuerungen dienen im Bereich der Zigarettenindustrie insbesondere dazu, bei Anliegen eines Gefahrensignals fehlerfrei auf eine vorgegebene Art reagieren zu können. Hierzu weisen Sicherheitssteuerungen in der Regel mindestens zwei redundante Prozessoren auf, die es ermöglichen, dass sich die Sicherheitssteuerung quasi selbstständig überwachen kann. Eine typische Anwendung, an der eine Sicherheitssteuerung beteiligt ist, ist die Betätigung eines NOT-Halt-Tasters durch einen Werker in einer Gefährdungssituation, in der beispielsweise gefährliche, sich bewegende Bauteile bzw. Organe einer Verpackungsmaschine schnell und sicher abgeschaltet werden müssen. Das NOT-Aus-Signal des Tasters wird in einem solchen Fall an die Sicherheitssteuerung weitergeleitet, die ausgangsseitig mit einem oder mehreren Antrieben für die sich bewegenden Organe verbunden ist. Bei Empfang des NOT-Halt-Tastersignals bzw. des Gefährdungssignals sorgt die Sicherheitssteuerung in diesem Fall beispielsweise dafür, dass der ihr zugeordnete Antrieb sicher abgeschaltet wird.Safety controls are used in the cigarette industry in particular to be able to respond correctly to a given type when a danger signal concerns. For this purpose, safety controllers generally have at least two redundant processors, which enable the safety controller to virtually monitor itself independently. A typical application in which a safety control is involved is the operation of an emergency stop button by a worker in a hazardous situation, in which, for example, dangerous, moving components or organs of a packaging machine must be switched off quickly and safely. The EMERGENCY STOP signal of the button is forwarded in such a case to the safety controller, which is the output side connected to one or more drives for the moving organs. Upon receipt of the EMERGENCY STOP push-button signal or the hazard signal, the safety control in this case ensures, for example, that the drive assigned to it is switched off safely.

Es ist bekannt, die Daten bzw. die Signale zur sicheren Abschaltung der jeweiligen Antriebe mit Hilfe von Feldbussen, die sogenannte sichere Feldbusprotokolle verwenden, von den Sicherheitssteuerungen an den jeweiligen Antrieb bzw. an die jeweilige Antriebssteuerung zu übertragen. In einer Maschine sind allerdings häufig Antriebe verschiedener Hersteller verbaut. Diese verwenden regelmäßig unterschiedliche Feldbussysteme und insbesondere unterschiedliche sichere Feldbusprotokolle. Dies erschwert deren Einsatz immens, da eine sichere Kommunikation untereinander kaum möglich ist. Denn zwar ist es bekannt, Gateways oder andere Einrichtungen zur Übersetzung eines Feldbusprotokolls in ein anderes zu verwenden, sodass über die Feldbusgrenzen hinweg kommuniziert werden kann. Diese Einrichtungen ermöglichen aber keine insbesondere im Normsinne sichere Kommunikation über die Feldbussystemgrenzen hinweg, an deren Sicherheit erhöhte Anforderungen gestellt werden.It is known to transmit the data or the signals for safe shutdown of the respective drives by means of fieldbuses, which use so-called safe fieldbus protocols, from the safety controllers to the respective drive or to the respective drive control. In a machine, however, often drives of different manufacturers are installed. These regularly use different fieldbus systems and in particular different secure fieldbus protocols. This complicates their use immense, since a secure communication with each other is hardly possible. Because although it is known to use gateways or other facilities for the translation of a fieldbus protocol into another, so that can be communicated across the fieldbus boundaries. However, these devices do not allow communication that is secure, in particular in the sense of the norm, across the fieldbus system boundaries, at the safety of which increased demands are made.

Ausgehend hiervon ist es Aufgabe der vorliegenden Erfindung, ein Sicherheitssteuerungssystem der eingangs genannten Art weiterzuentwickeln.Based on this, it is an object of the present invention to further develop a safety control system of the type mentioned.

Diese Aufgabe wird gelöst durch ein Sicherheitssteuerungssystem mit den Merkmalen des Anspruchs 1.This object is achieved by a safety control system having the features of claim 1.

Ein solches verfügt entsprechend über eine Sicherungssteuerung als Master, über (mindestens) einen, vorzugsweise mit dem Master (mit einem Eingang desselben) verbundenen Signalgeber zur Erzeugung von Gefährdungssignalen bei Auftreten von Gefährdungsereignissen, sowie über mindestens eine weitere Sicherungssteuerung als Slave (mit mindestens einem Ausgang), die mit einem Antrieb zum Antreiben eines bewegbaren Organs der Anlage verbunden ist. Dabei sind sowohl die Master- als auch die Slave-Sicherheitssteuerung derart ausgebildet, dass sie Sicherheitsfunktionen ausführen können, wie etwa eine sichere Abschaltung eines Antriebs. Die Master-Sicherheitssteuerung einerseits und die Slave-Sicherheitssteuerung anderseits sind über ein identisches gemeinsames Feldbussystem oder über mehrere verschiedene Feldbussysteme miteinander verbunden, wobei die Master-Sicherheitssteuerung und die Slave-Sicherheitssteuerung jeweils über einen Kommunikationsbaustein verfügen. Die Kommunikationsbausteine sind derart ausgebildet, dass der Kommunikationsbaustein der Master-Sicherheitssteuerung mit dem Kommunikationsbaustein der Slave-Sicherheitssteuerung über das oder die Feldbussysteme bidirektional Datenpakete austauschen kann, indem die Kommunikationsbausteine von ihnen erzeugten Datenpakte mit dem jeweiligen Feldbusprotokolldatensatz verknüpfen.Such has according to a fuse control as master, on (at least) one, preferably with the master (with an input thereof) connected to the signal generator for generating hazard signals in the occurrence of hazardous events, as well as at least one further backup control as a slave (with at least one output ), which is connected to a drive for driving a movable member of the system. In this case, both the master and the slave safety controller are designed such that they can perform safety functions, such as a safe shutdown of a drive. The master safety controller on the one hand and the slave safety controller on the other hand are connected to each other via an identical common fieldbus system or via several different fieldbus systems, the master safety controller and the slave safety controller each having a communication module. The communication modules are designed in such a way that the communication module of the master safety controller can bidirectionally exchange data packets with the communication module of the slave safety controller via the fieldbus system (s) by linking the communication modules with the respective fieldbus protocol data set.

Insbesondere werden die Datenpakete durch einen der Kommunikationsbausteine in dem jeweiligen Feldbusprotokolldatensatz integriert, dann zusammen mit dem Feldbusprotokolldatensatz dem jeweils anderen Kommunikationsbaustein übermittelt, der den Datensatz dann aus dem jeweiligen Feldbusprotokolldatensatz extrahiert bzw. ausliest. Diese Abläufe können vice versa bzw. bidirektional erfolgen.In particular, the data packets are integrated by one of the communication modules in the respective fieldbus protocol data record, then transmitted together with the fieldbus protocol data record to the respective other communication module which then extracts or reads out the data record from the respective fieldbus protocol data record. These processes can be vice versa or bidirectional.

Vereinfacht gesagt verwenden die Kommunikationsbausteine demnach die zunächst im Normsinne unsicheren Feldbusprotokolle als Basis, um darin die von ihnen erzeugten Daten bzw. Datenpakete zu integrieren. Die Kommunikationsbausteine können dabei so ausgebildet sein, dass sie für die Sicherheit der Übertragung der Datenpakete sorgen können. Zu diesem Zweck verwenden sie an sich bekannte Sicherheitsmechanismen bzw. Sicherheitsmaßnahmen und prüfen, ob die Kommunikation bzw. die Datenübertragung fehlerfrei war. Letztlich ist insofern mit den beiden Kommunikationsbausteinen auf Basis des oder der Feldbussysteme ein Sicherheitskommunikationskanal aufbaubar, bei dem etwaige Kommunikations- oder Übertragungsfehler über eine oder mehrere Sicherungsmaßnahmen erkannt werden können. Die Datenpakete werden auf diese Weise sicher von der Master-Sicherheitssteuerung zu der Slave-Sicherheitssteuerung (und umgekehrt) gesendet.In simple terms, the communication modules therefore use the fieldbus protocols, which are initially insecure in the standard sense, as the basis for integrating therein the data or data packets generated by them. The communication modules can be designed so that they can ensure the security of the transmission of the data packets. For this purpose, they use known security mechanisms or security measures and check whether the communication or data transmission was error-free. In the end, with the two communication modules based on the fieldbus system or systems, a security communication channel can be set up in which any communication or transmission errors can be detected via one or more security measures. The data packets are thus sent securely from the master safety controller to the slave safety controller (and vice versa).

Solche, durch die Kommunikationsbausteine umgesetzte Maßnahmen können eine oder mehrere der im Stand der Technik bekannten, beispielsweise in der DIN EN 61784-3 enthaltene Maßnahmen zum Aufdecken von Kommunikationsfehlern umfassen. Such measures implemented by the communication modules may include one or more known in the art, for example in the DIN EN 61784-3 include measures to detect communication errors.

So kann zum Beispiel an jede von dem jeweiligen Kommunikationsbaustein versendete Nachricht bzw. an jedes versendete Datenpaket eine laufende Nummer angehängt werden, welche sich in definierter Art von Nachricht zu Nachricht ändert. Es kann der Inhalt einer Nachricht nur eine bestimmte Zeit lang gültig sein (Zeitstempel). Der Austausch von Nachrichten kann in festen Zyklen stattfinden. Wird ein bestimmter Zeiterwartungswert überschritten, wird ein Fehlerfall angenommen. Weiter kann die Verbindungsauthentizität geprüft werden, indem eine eindeutige Sender- und Empfängererkennung in die Nachricht eingefügt wird. Daneben gibt es noch diverse weitere Sicherungsmechanismen, wie etwa eine Rückmeldung, die der Empfänger an den Sender zurücksendet, um die ursprüngliche Nachricht zu bestätigen, eine kreuzweise Überprüfung gesendeter Nachrichten auf ihre Richtigkeit (Redundanz im Kreuzvergleich), eine Hinzufügung von redundanten Daten zu den Nachrichten (beispielsweise Checksummen).Thus, for example, a serial number which changes in a defined manner from message to message can be appended to each message sent by the respective communication module or to each data packet sent. The content of a message can only be valid for a certain period of time (timestamp). The exchange of messages can take place in fixed cycles. If a certain time expectancy value is exceeded, an error is assumed. Furthermore, the connection authenticity can be checked by inserting a unique sender and recipient identifier in the message. In addition, there are several other security mechanisms, such as a feedback that the receiver sends back to the sender to confirm the original message, a cross check of sent messages for correctness (redundancy in cross comparison), an addition of redundant data to the messages (for example, checksums).

Die Kommunikationsbausteine können dabei als (separate) Software- bzw. Programmbausteine ausgebildet und in der jeweiligen Sicherheitssteuerung bzw. in einem entsprechenden Speicher der jeweiligen Sicherheitssteuerung hinterlegt sein.The communication modules can be designed as (separate) software or program modules and stored in the respective safety controller or in a corresponding memory of the respective safety controller.

Auf diese Weise kann auf einfache Weise eine sichere Datenverbindung bzw. Kommunikation zwischen der Master-Sicherheitssteuerung und der jeweiligen Slave-Sicherheitssteuerung geschaffen werden, die unabhängig von der Art der verwendeten Feldbussysteme bzw. der Feldbusprotokolle erfolgen kann auch über etwaige Einrichtungen zur Übersetzung der Feldbusprotokolle hinweg, wie etwa ein Gateway, ein Feldbusumsetzer oder eine andere Einrichtung, die eine feldbusübergreifende (unsichere) Kommunikation zwischen den unterschiedlichen Feldbussystemen ermöglicht. Aufbauend hierauf sorgen dann die Kommunikationsbausteine für einen sicheren Kommunikationsweg.In this way, a secure data connection or communication between the master safety controller and the respective slave safety controller can be provided in a simple manner, which can take place regardless of the type of fieldbus systems or fieldbus protocols used and any means for the translation of the fieldbus protocols , such as a gateway, a fieldbus converter, or other device that enables inter-field (unsafe) communication between the different fieldbus systems. Building on this, the communication blocks then ensure a secure communication path.

Die sichere Kommunikation erfolgt in diesem Sinne feldbusübergreifend. Es ist hierdurch problemlos möglich, verschiedene Antriebe unterschiedlicher Hersteller mit jeweils zugeordneten Sicherheitssteuerungen, die jeweils unterschiedliche Feldbussysteme verwenden, in ein und derselben Anlage einzusetzen. Die Master-Sicherheitssteuerung kann beispielsweise ein erstes Feldbussystem A verwenden, die Slave-Sicherheitssteuerung ein zweites, anderes Feldbussystem B.In this sense, secure communication takes place across fieldbuses. As a result, it is possible without difficulty to use different drives from different manufacturers, each with associated safety controls, which each use different fieldbus systems, in one and the same installation. For example, the master safety controller can use a first fieldbus system A, and the slave safety controller can use a second, different fieldbus system B.

Die Kommunikationsbausteine können beispielsweise in den jeweiligen sogenannten sicheren Bibliotheken der jeweiligen Sicherheitssteuerungen abgelegt sein. Insbesondere sind sie auf der sicheren Ebene der entsprechenden Sicherheitssteuerung implementiert. Hierdurch wären die Kommunikationsbausteine in jeder Sicherheitssteuerung redundant vorhanden bzw. es erfolgt automatisch eine Überwachung des jeweiligen Kommunikationsbausteines durch die entsprechenden Überwachungsmechanismen der Sicherheitssteuerung, insbesondere durch die mindestens zwei Prozessoren derselben.The communication modules can be stored, for example, in the respective so-called secure libraries of the respective safety controllers. In particular, they are implemented at the secure level of the corresponding security controller. As a result, the communication modules in each safety controller would be present redundantly or there is automatically a monitoring of the respective communication module by the corresponding monitoring mechanisms of the safety controller, in particular by the at least two processors thereof.

Zweckmäßigerweise ist in weiterer Ausbildung der Erfindung bei einem erkannten Kommunikations- oder Übertragungsfehler ein Signal erzeugbar, durch das der der Slave-Sicherheitssteuerung zugeordnete Antrieb in einen sicheren Zustand überführt wird.Conveniently, in a further embodiment of the invention in the case of a detected communication or transmission error, a signal can be generated by which the slave safety controller associated drive is transferred to a safe state.

In der Praxis dürfte die Anlage nicht nur eine einzelne Slave-Sicherheitssteuerung aufweisen mit jeweils mindestens einem zugeordnetem Antrieb, sondern in der Regel mehrere solcher Slave-Sicherheitssteuerungen mit jeweils mindestens einem zugeordneten Antrieb. Darüber hinaus ist zweckmäßig, auch der Master-Sicherheitssteuerung direkt mindestens einen Antrieb zuzuordnen.In practice, the system should not only have a single slave safety controller with at least one associated drive, but usually several such slave safety controllers, each with at least one associated drive. In addition, it is expedient to assign at least one drive directly to the master safety controller.

Es kann weiter vorgesehen sein, dass bei Anliegen eines durch den Signalgeber erzeugten Gefährdungssignals beispielsweise an dem mit dem Signalgeber verbundenen Eingang der Master-Sicherheitssteuerung sicherheitsbezogene Daten von dem Kommunikationsbaustein der Master-Sicherheitssteuerung an den oder jeden Kommunikationsbaustein der oder jeder Slave-Sicherheitssteuerung sendbar sind. Nach Empfang dieser sicherheitsbezogenen Daten durch die oder jede Slave-Sicherheitssteuerung ist dann der dieser jeweils zugeordneten Antrieb in einen sicheren Zustand überführbar.It may further be provided that when a danger signal generated by the signal generator is applied, for example at the input of the master safety controller connected to the signal generator, safety-related data can be sent from the communication module of the master safety controller to the or each communication module of the or each slave safety controller. After receiving this safety-related data by the or each slave safety controller then the respective associated drive is in a safe state can be transferred.

Sicherheitsbezogene Daten sind allgemein die Sicherheit der Anlage unmittelbar betreffende Daten, bei denen sichergestellt werden muss, dass deren Übertragung bestimmten Sicherheitskriterien entspricht, insbesondere normgerechten Kriterien. Dies können beispielsweise, wie vorstehend angedeutet, Daten sein, die dazu führen, dass ein oder der Antrieb in einer Gefährdungssituation in einen sicheren Zustand überführt wird.Safety-related data is generally data relating directly to the safety of the installation, which must ensure that its transmission meets certain safety criteria, in particular standards that comply with standards. This may, for example, as indicated above, be data that lead to one or the drive is transferred in a hazardous situation in a safe state.

Alternativ könnte theoretisch auch vorgesehen sein, dass der Signalgeber mit einer oder der Slave-Sicherheitssteuerung bzw. einem entsprechenden Eingang derselben verbunden ist und entsprechend bei Anliegen eines durch den Signalgeber erzeugten Gefährdungssignals an dem mit dem Signalgeber verbundenen Eingang der Slave-Sicherheitssteuerung sicherheitsbezogene Daten von dem Kommunikationsbaustein der Slave-Sicherheitssteuerung an den oder jeden Kommunikationsbaustein der Master-Sicherheitssteuerung sendbar sind. Nach Empfang dieser sicherheitsbezogenen Daten durch die Master-Sicherheitssteuerung könnte diese dann beispielsweise dafür sorgen, dass sowohl ein eventueller ihr zugeordneter Antrieb als auch der Antrieb/die Antriebe der Slave-Sicherheitssteuerung(en) in einen sicheren Zustand überführbar ist/sind.Alternatively, theoretically, it could also be provided that the signal transmitter is connected to one or the slave safety control or a corresponding input thereof and, accordingly, upon request of a danger signal generated by the signal generator, at the input of the slave safety control unit connected to the signal generator Communication module of the slave safety controller to the or each communication module of the master safety controller can be sent. After receiving this safety-related data by the master safety controller, this could then ensure, for example, that both a possibly assigned drive and the drive / drives of the slave safety controller (s) can be transferred to a safe state.

Weitere Merkmale der vorliegenden Erfindung ergeben sich aus den beigefügten Schutzansprüchen, der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele der Erfindung sowie aus den beigefügten Zeichnungen.Further features of the present invention will become apparent from the appended claims, the following description of preferred embodiments of the invention and from the accompanying drawings.

Darin zeigt:It shows:

1 eine schematische Darstellung einer Verpackungsmaschine zur Verpackung von Zigaretten mit zwei Signalgebern zur Erzeugung von Gefährdungssignalen, 1 a schematic representation of a packaging machine for packaging cigarettes with two signal generators to generate hazardous signals,

2 eine schematische Darstellung eines erfindungsgemäßen Sicherheitssteuersystems zur Überwachung der Verpackungsmaschine, 2 a schematic representation of a security control system according to the invention for monitoring the packaging machine,

3 eine Darstellung der Kommunikationswege bei Betätigung eines NOT-Halt-Tasters des Sicherheitssteuersystems, 3 a representation of the communication paths upon actuation of an emergency stop button of the safety control system,

4 eine schematische Darstellung des Zusammenwirkens von einer Master- und einer Slave-Sicherheitssteuerung zugeordneten Kommunikationsbausteinen, 4 a schematic representation of the interaction of a master and a slave safety control associated communication modules,

5 eine schematische Darstellung der Kommunikationswege aus 4 bei einer Störung innerhalb eines Feldbusprotokolls. 5 a schematic representation of the communication paths 4 in the event of a fault within a fieldbus protocol.

Das erfindungsgemäße Sicherheitssteuerungssystem zur Überwachung einer Anlage wird anhand einer Verpackungsmaschine 10 zur Verpackung von Zigaretten beschrieben, beispielsweise in Hinge-Lid-Packungen, in Folienumhüllungen, in Stangen oder dergleichen. Derartige Verpackungsmaschinen 10 sind gut bekannt und werden hier daher in ihrem Aufbau nicht im Detail erläutert.The safety control system according to the invention for monitoring a system is based on a packaging machine 10 for packaging cigarettes, for example in Hinge-Lid packages, in film wrappings, in bars or the like. Such packaging machines 10 are well known and are therefore not explained here in detail in their structure.

Eine solche Verpackungsmaschine 10 verfügt über eine Vielzahl von sich bewegenden Bauteilen oder Organen 12, die eine Gefährdung für Bediener 11 oder andere, sich im Umfeld der Verpackungsmaschine 10 aufhaltende Personen darstellen können. Dabei kann es sich beispielsweise um drehende Revolver handeln, um hin- und herbewegende Einschieber (oder andere Förderorgane) oder andere Arten von Organen.Such a packaging machine 10 has a variety of moving parts or organs 12 which is a hazard to operators 11 or others, in the environment of the packaging machine 10 able to represent persons These may, for example, be rotary turrets, reciprocating pushers (or other conveyors) or other types of organs.

Die sich bewegenden Organe 12 werden durch Antriebe 13a, 13b in Bewegung versetzt. Die Antriebe 13a, 13b umfassen zu diesem Zweck in der Regel jeweils eine Antriebssteuerung 14a bzw. 14b sowie mindestens einen Antriebsmotor 15a bzw. 15b.The moving organs 12 be through drives 13a . 13b set in motion. The drives 13a . 13b For this purpose, usually each comprise a drive control 14a respectively. 14b and at least one drive motor 15a respectively. 15b ,

Bei Verpackungsmaschinen 10 wird das Gefährdungspotential der sich bewegenden Organe 12 in der Regel bereits dadurch reduziert, dass offenbare Schutzhauben 16 diese in geschlossenem Zustand nach außen hin abschließen bzw. überdecken. Bei Öffnung einer solchen Schutzhaube 16, etwa zu Wartungszwecken, steigt das Gefährdungspotential natürlich deutlich. Aus diesem Grund ist den Schutzhauben 16 jeweils ein Signalgeber 18 zugeordnet, der eine Öffnung der Schutzhaube 16 registrieren kann. Im vorliegenden Fall ist dies ein Türsicherheitsschalter.For packaging machines 10 becomes the danger potential of the moving organs 12 usually already reduced by that obvious protective hoods 16 close them in the closed state to the outside or cover. When opening such a protective hood 16 For maintenance purposes, of course, the risk potential increases significantly. That's why the protective hoods 16 each a signal generator 18 associated with an opening of the protective hood 16 can register. In the present case, this is a door safety switch.

Sobald der Signalgeber 18 die Öffnung der Schutzhaube 16 detektiert, leitet er ein Gefährdungssignal, nämlich ein die Öffnung repräsentierendes Signal, an eine zentrale Sicherheitssteuerung 19 weiter – Master-Sicherheitssteuerung. Der Signalgeber 18 ist dazu an einen oder den Eingang der Master-Sicherheitssteuerung 19 angeschlossen.As soon as the signal generator 18 the opening of the protective cover 16 detected, it passes a hazard signal, namely a signal representing the opening, to a central safety controller 19 continue - Master safety control. The signal generator 18 is to one or the input of the master safety controller 19 connected.

Die Master-Sicherheitssteuerung 19 sendet daraufhin Daten an die an sie angeschlossene bzw. mit dieser verbundene Antriebssteuerung 14a des Antriebs 13a, die die Antriebssteuerung 14a veranlassen, den ihr zugeordneten Motor 15a in einen sicheren Zustand zu überführen bzw. gesichert abzuschalten.The master safety controller 19 sends data to the connected or connected to this drive control 14a of the drive 13a that drives the drive 14a cause the motor assigned to it 15a in a safe state to transfer or shut down secure.

Neben dem Signalgeber 18 kann es natürlich noch eine Vielzahl von weiteren Signalgebern zur Erzeugung von Gefährdungssignalen bei Auftreten von Gefährdungsereignissen geben, die an die Master-Sicherheitssteuerung 19 angeschlossen sind. Exemplarisch sind in den 1 und 2 beispielsweise noch ein als NOT-Halt-Taster ausgebildeter Signalgeber 20 gezeigt sowie ein als Lichtschranke ausgebildeter Signalgeber 17.Next to the signal generator 18 Of course, there may be a variety of other signalers for the generation of hazardous signals in the occurrence of hazardous events, the master safety control 19 are connected. Exemplary are in the 1 and 2 For example, another trained as emergency stop button signal generator 20 shown and trained as a light barrier signal generator 17 ,

Die Signalgeber 17, 18, 20 sind dabei, beispielsweise über entsprechende Signalleitungen, jeweils an entsprechende Eingänge der Master-Sicherheitssteuerung 19 angeschlossen.The signalers 17 . 18 . 20 are here, for example via corresponding signal lines, respectively to corresponding inputs of the master safety controller 19 connected.

Die Master-Sicherheitssteuerung 19 ist in ein erstes Feldbussystem 21 eingebunden, beispielsweise ein EtherCAT.The master safety controller 19 is in a first fieldbus system 21 integrated, for example, an EtherCAT.

Unter Feldbussystemen bzw. Feldbussen werden im Rahmen dieser Anmeldung nicht nur klassische, sondern insbesondere auch ethernetbasierte Feldbusse inklusive Industrial Ethernet verstanden.In the context of this application, fieldbus systems or field buses are understood to mean not only classic, but in particular also Ethernet-based field buses including Industrial Ethernet.

Der Aufbau eines solchen Feldbussystems 21 kann in bekannter Weise über einen sogenannten Feldbusmaster 22 bewirkt werden, der beispielsweise als Industrie-PC ausgebildet ist. Über das erste Feldbussystem 21 ist die Master-Sicherheitssteuerung 19 mit der Antriebssteuerung 14a des ihr zugeordneten Antriebs 13a daten- bzw. steuerungstechnisch verbunden. The structure of such a fieldbus system 21 can in a known manner via a so-called fieldbus master 22 caused, for example, is designed as an industrial PC. About the first fieldbus system 21 is the master safety controller 19 with the drive control 14a the drive assigned to it 13a connected by data or control technology.

Innerhalb eines zweiten, im vorliegenden Fall anderen Feldbussystems 23, das entsprechend mit einem anderen Feldbusprotokoll betrieben wird, ist eine weitere Sicherheitssteuerung integriert, nämlich eine Slave-Sicherheitssteuerung 24. An die Slave-Sicherheitssteuerung 24 ist dabei mittels des zweiten Feldbussystems 23 die Antriebssteuerung 14b des zweiten Antriebs 13b angeschlossen.Within a second, in this case different fieldbus system 23 , which is operated according to another fieldbus protocol, another safety control is integrated, namely a slave safety controller 24 , To the slave safety controller 24 is here by means of the second fieldbus system 23 the drive control 14b of the second drive 13b connected.

Zwischen dem ersten Feldbussystem 21 und dem zweiten Feldbussystem 23 ist eine Einrichtung 25 angeordnet, die die unterschiedlichen Protokolle der beiden Feldbussysteme 21, 23 jeweils in das jeweils andere Protokoll übersetzt, sodass ein Datenaustausch zwischen den beiden Feldbussystemen möglich ist bzw. feldbusübergreifend eine entsprechende Datenweiterleitung. Bei der Einrichtung 25 kann es sich beispielsweise um einen Feldbusumsetzer handeln, ein Gateway oder einen zweiten Feldbusmaster.Between the first fieldbus system 21 and the second fieldbus system 23 is a facility 25 arranged the different protocols of the two fieldbus systems 21 . 23 each translated into the other protocol, so that a data exchange between the two fieldbus systems is possible or fieldbus across a corresponding data forwarding. At the device 25 it may be, for example, a fieldbus converter, a gateway or a second fieldbus master.

Die Master-Sicherheitssteuerung 19 und die Slave-Sicherheitssteuerung 24 sind so ausgebildet, dass sie innerhalb des jeweiligen Feldbusses 21 bzw. 23, also busintern, über eine sichere Datenkommunikation mit der jeweils angeschlossenen Antriebssteuerung 14a bzw. 14b kommunizieren können. Zu diesem Zweck verfügen die jeweiligen Feldbussysteme 21, 23 über innerhalb des Feldbusses 21 bzw. 23 funktionierende, an sich bekannte Sicherheitskommunikationskanäle, die sichere Feldbusprotokolle verwenden.The master safety controller 19 and the slave safety controller 24 are designed to be within the fieldbus 21 respectively. 23 , ie internal bus, via secure data communication with the respective drive controller 14a respectively. 14b to be able to communicate. For this purpose, the respective fieldbus systems have 21 . 23 over within the fieldbus 21 respectively. 23 functioning, known security communication channels using secure fieldbus protocols.

Diese sichere Datenübertragung innerhalb des jeweiligen Feldbussystems 21, 23 bzw. innerhalb des entsprechenden Sicherheitskommunikationskanals erfolgt dabei durch geeignete Maßnahmen, die in der Regel der Anbieter der jeweiligen Sicherheitssteuerung 19, 24, an die der jeweilige Antrieb 13a, 13b angeschlossen ist, zur Verfügung stellt. Hierbei wird durch geeignete, in der Regel normgerechte Maßnahmen eine sichere Kommunikation gewährleistet bzw. durch diese Maßnahmen können Verbindungs- bzw. Übertragungsfehler bei der Übertragung von Daten innerhalb des Feldbussystems 21 bzw. 23 entdeckt werden.This secure data transfer within the respective fieldbus system 21 . 23 or within the corresponding security communication channel takes place by suitable measures, which are usually the provider of the respective safety control 19 . 24 to which the respective drive 13a . 13b is connected, provides. In this case, secure communication is ensured by means of suitable measures, which are generally compliant with standards, or by means of these measures connection or transmission errors can occur during the transmission of data within the fieldbus system 21 respectively. 23 get discovered.

Für diesen Fall, wenn also beispielsweise entdeckt wird, dass eine Kommunikation zwischen der Master-Sicherheitssteuerung 19 und der dieser zugeordneten Antriebssteuerung 14a oder zwischen der Slave-Sicherheitssteuerung 24 und der dieser zugeordneten Antriebssteuerung 14b fehlerhaft ist, ist vorgesehen, dass der jeweiligen Antriebssteuerung 14a oder 14b über den jeweiligen businternen, sicheren Kommunikationskanal sicherheitsbezogene Daten übermittelt werden. Dies können insbesondere Daten sein, die dazu führen, dass die jeweilige Antriebsteuerung 14a oder 14b den Motor 15a oder 15b unmittelbar in einen sicheren Zustand überführt. Zu diesem Zweck verfügt die Master-Sicherheitssteuerung 19 und/oder die Slave-Sicherheitssteuerung 24 über geeignete Sicherheitsfunktionen, wie etwa die sogenannte sichere Abschaltung bzw. den sicheren Halt.For this case, if, for example, it is discovered that there is communication between the master safety controller 19 and the associated drive control 14a or between the slave safety controller 24 and the associated drive control 14b is defective, it is provided that the respective drive control 14a or 14b safety-related data are transmitted via the respective in-house, secure communication channel. In particular, this can be data that lead to the respective drive control 14a or 14b the engine 15a or 15b immediately transferred to a safe state. For this purpose, the master safety controller has 19 and / or the slave safety controller 24 via suitable safety functions, such as the so-called safe shutdown or safe stop.

Sobald ein Signalgeber 17, 18, 20 ein Gefährdungssignal an die Master-Steuerungseinrichtung 19 sendet, muss die Master-Sicherheitssteuerung 19 allerdings nicht nur, wie oben beschrieben, den innerhalb desselben Feldbussystems 21 an die Master-Sicherheitssteuerung 19 angeschlossenen Antrieb 13a in einen sicheren Zustand überführen, sondern sie muss des Weiteren noch sicherheitsbezogene Daten an die innerhalb des anderen Feldbussystems 23 angerordnete Slave-Sicherheitssteuerung 24 senden, die die Slave-Sicherheitssteuerung 24 dazu bringen, den ihr zugeordneten Antrieb 13b in den sicheren Zustand zu überführen.As soon as a signal generator 17 . 18 . 20 a hazard signal to the master controller 19 sends, must be the master safety controller 19 however, not only, as described above, within the same fieldbus system 21 to the master safety controller 19 connected drive 13a It must also transfer safety-related data to those within the other fieldbus system 23 ordered slave safety control 24 send the slave safety controller 24 to bring the assigned drive 13b to transfer to the safe state.

Die Datenübertragung der sicherheitsbezogenen Daten von der Master-Sicherheitssteuerung 19 zu der Slave-Sicherheitssteuerung 24 muss dabei zudem den (normgerechten) Anforderungen an eine sichere Übertragung genügen. Das heißt, es muss eine den Sicherheitsnormen entsprechende, sichere Kommunikation zwischen der in dem ersten Feldbussystem 21 befindlichen Master-Sicherungseinrichtung 19 und der in dem zweiten Feldmussystem 23 angeordneten Slave-Sicherheitssteuerung 24 gewährleistet sein.The data transfer of the safety-related data from the master safety controller 19 to the slave safety controller 24 In addition, it must meet the (standard) requirements for a secure transmission. In other words, there must be a secure communication between the one in the first fieldbus system that complies with safety standards 21 located master security device 19 and in the second field system 23 arranged slave safety controller 24 to be guaranteed.

Über die Einrichtung 25 ist es ohne Weiteres nicht möglich, die jeweilige businterne sichere Kommunikation auch feldbusübergreifend von einem Feldbussystem 21 auf das andere Feldbussystem 23 zu ermöglichen. Deshalb ist vorgesehen, der Master-Sicherheitssteuerung 19 einerseits und der Slave-Sicherheitssteuerung 24 andererseits jeweils einen eigenen Kommunikationsbaustein 26 (Master) bzw. 27 (Slave) zuzuordnen. Bei diesen Kommunikationsbausteinen 26, 27 handelt es sich vorliegend um Software-Bausteine, die in die Sicherheitssteuerungen 19 bzw. 24 integriert werden, insbesondere auf deren jeweiliger sicherer Ebene.About the device 25 it is not readily possible, the respective internal bus secure communication and fieldbus across a fieldbus system 21 on the other fieldbus system 23 to enable. Therefore, it is provided, the master safety controller 19 one hand, and the slave safety controller 24 on the other hand each have their own communication block 26 (Master) or 27 (Slave). For these communication blocks 26 . 27 In the present case, these are software components that are integrated into the safety controllers 19 respectively. 24 be integrated, especially at their respective safe level.

Diese Bausteine 26, 27 sind so ausgebildet, dass sie eine sichere Kommunikation zwischen der Master-Sicherheitssteuerung 19 einerseits und der Slave-Sicherheitssteuerung 24 andererseits ermöglichen. Sicherheitsrelevante Inhalte bzw. sicherheitsbezogene Daten, die von der Master-Sicherheitssteuerung 19 an die Slave-Sicherheitssteuerung 24 gesandt werden sollen, die dazu führen, den Antrieb 13b im Gefährdungsfalle in einen sicheren Zustand zu überführen, werden daher mithilfe der Kommunikationsbausteine 26, 27 von der einen zur anderen Sicherheitssteuerung 19 bzw. 24 übertragen.These building blocks 26 . 27 are designed to provide secure communication between the master safety controller 19 one hand, and the slave safety controller 24 on the other hand. Security-relevant content or safety related data provided by the master safety controller 19 to the slave safety controller 24 to be sent, which cause the drive 13b In the event of a hazard, they are transferred to a safe state using the communication blocks 26 . 27 from one to the other safety control 19 respectively. 24 transfer.

Zu diesem Zweck integrieren die Kommunikationsbausteine 26, 27 einen entsprechenden Datensatz DM (Datensatz Master) bzw. DS (Datensatz Slave) in ein entsprechendes Feldbusprotokoll des jeweiligen Feldbussystems 21 bzw. 23.The communication blocks integrate for this purpose 26 . 27 a corresponding data record DM (record master) or DS (record slave) in a corresponding fieldbus protocol of the respective fieldbus system 21 respectively. 23 ,

In den 4 und 5 ist dies beispielhaft gezeigt.In the 4 and 5 this is shown by way of example.

Der Kommunikationsbaustein 26 der Master-Sicherheitssteuerung 19 integriert beispielsweise den von ihm erzeugten Datensatz DM zwischen den Header H eines Protokolldatensatzes 28a und das Ende des Protokolldatensatzes 28a (CRC = Checksumme). Gleiches macht der Kommunikationsbaustein 27 der Slave-Sicherheitssteuerung 24 mit dem von ihm erzeugten Datensatz DS, den er in einen entsprechenden Protokolldatensatz 28b des zweiten Feldbusses 23 zwischen Header H und dem Ende des Protokolldatensatzes 28a einfügt.The communication module 26 the master safety controller 19 For example, it integrates the data set DM generated by it between the header H of a protocol data record 28a and the end of the log record 28a (CRC = checksum). The same is the communication module 27 the slave safety controller 24 with the record DS that he generates, which he puts into a corresponding log record 28b of the second fieldbus 23 between header H and the end of the log record 28a fits.

Den jeweiligen Datensatz DM bzw. DS der jeweils anderen Sicherungssteuerung liest dann der jeweilige Kommunikationsbaustein 26 bzw. 27 später aus dem von ihm empfangenen Protokolldatensatz 28a bzw. 28b aus.The respective data record DM or DS of the respective other backup controller then reads the respective communication module 26 respectively. 27 later from the log record received by him 28a respectively. 28b out.

Um eine den Sicherheitsanforderungen genügende Kommunikation zu ermöglichen, sind die Kommunikationsbausteine 26, 27 so ausgebildet, dass sie geeignete Sicherheitsmaßnahmen 29 abarbeiten können. Dies können die eingangs bereits erwähnten, insbesondere normgerechten Maßnahmen sein, die es erlauben, Kommunikationsfehler bzw. Fehler in der Übertragung der sicheren Daten DM bzw. DS zwischen dem Baustein 26 und dem Baustein 27 zu entdecken.In order to enable a communication satisfying the safety requirements, the communication modules are 26 . 27 trained to take appropriate security measures 29 can work off. This can be the measures already mentioned in the beginning, in particular standards-compliant measures, which allow communication errors or errors in the transmission of the secure data DM or DS between the module 26 and the building block 27 to discover.

In 5 ist schließlich beispielhaft gezeigt, dass eine Störung im verwendeten Protokoll bzw. im Feldbus 21 oder 23 (vgl. Bezugsziffer 30) oder auch Fehler bei der businternen sicheren Datenübertragung (vgl. Bezugsziffer 31) zu einem Abschalten des Antriebs 13b (und ggf. auch des Antriebs 13a) führen können.In 5 Finally, it is shown by way of example that a fault in the protocol used or in the fieldbus 21 or 23 (see reference number 30 ) or errors in the bus-internal secure data transmission (see reference numeral 31 ) to a shutdown of the drive 13b (and possibly also the drive 13a ) being able to lead.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

1010
Verpackungsmaschinepackaging machine
1111
Bedieneroperator
1212
bewegende Organemoving organs
13a13a
Antriebdrive
13b13b
Antriebdrive
14a14a
Antriebssteuerungdrive control
14b14b
Antriebssteuerungdrive control
15a15a
Antriebsmotordrive motor
15b15b
Antriebsmotordrive motor
1616
Schutzhaubenprotective hoods
1717
Signalgebersignaler
1818
Signalgebersignaler
1919
Master-SicherheitssteuerungMaster security control
2020
Signalgebersignaler
2121
Feldbussystemfieldbus system
2222
Feldbusmasterfieldbus
2323
Feldbussystemfieldbus system
2424
Slave-SicherheitssteuerungSlave safety control
2525
Einrichtung zur ProtokollübersetzungEstablishment for protocol translation
2626
Kommunikationsbausteincommunication module
2727
Kommunikationsbausteincommunication module
28a28a
ProtokolldatensatzLog record
28b28b
ProtokolldatensatzLog record
2929
SicherheitsmaßnahmenSafety measures
3030
Störungdisorder
3131
Störungdisorder

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • DIN EN 61784-3 [0009] DIN EN 61784-3 [0009]

Claims (11)

Sicherheitssteuerungssystem zur Überwachung einer Anlage, insbesondere einer Verpackungsmaschine zum Verpacken von rauchbaren Artikeln, wie etwa Zigaretten, mit einer Sicherungssteuerung (19) als Master, mit einem vorzugsweise mit der Master-Sicherheitssteuerung (19) verbundenen Signalgeber (17, 18, 20) zur Erzeugung von Gefährdungssignalen bei Auftreten von Gefährdungsereignissen, sowie mit mindestens einer weiteren Sicherungsteuerung (24) als Slave die mit einem Antrieb (13b) zum Antreiben eines bewegbaren Organs (12) der Anlage (10) verbunden ist, wobei sowohl die Master- als auch die Slave-Sicherheitsteuerung (19, 24) derart ausgebildet sind, dass sie Sicherheitsfunktionen ausführen können, wie etwa eine sichere Abschaltung eines Antriebs (13a, 13b), und wobei die Master-Sicherheitssteuerung (19) einerseits und die Slave-Sicherheitssteuerung (24) anderseits über ein identisches gemeinsames oder mehrere verschiedene Feldbussysteme (21, 23) miteinander verbunden sind, wobei die Master-Sicherheitssteuerung (19) und die Slave-Sicherheitssteuerung (24) jeweils über einen Kommunikationsbaustein (26, 27) verfügen, und wobei die Kommunikationsbausteine (26, 27) derart ausgebildet sind, dass der Kommunikationsbaustein (26) der Master-Sicherheitssteuerung (19) mit dem Kommunikationsbaustein (27) der Slave-Sicherheitssteuerung (24) über das oder die Feldbussysteme (21, 23) bidirektional Datenpakete austauschen kann, indem die Kommunikationsbausteine (26, 27) von ihnen erzeugten Datenpakte mit dem jeweiligen Feldbusprotokolldatensatz (28a, 28b) verknüpfen, insbesondere jeweils in diesen integrieren.Safety control system for monitoring a system, in particular a packaging machine for packaging smokable articles, such as cigarettes, with a safety controller ( 19 ) as master, with one preferably with the master safety controller ( 19 ) connected signal transmitter ( 17 . 18 . 20 ) for the generation of hazard signals in the event of hazardous events, as well as with at least one further fuse control ( 24 ) as a slave with a drive ( 13b ) for driving a movable organ ( 12 ) the plant ( 10 ), with both the master and slave safety controllers ( 19 . 24 ) are designed such that they can perform safety functions, such as a safe shutdown of a drive ( 13a . 13b ), and wherein the master safety controller ( 19 ) on the one hand and the slave safety controller ( 24 ) on the other hand via an identical common or several different fieldbus systems ( 21 . 23 ), the master safety controller ( 19 ) and the slave safety controller ( 24 ) each via a communication module ( 26 . 27 ), and wherein the communication modules ( 26 . 27 ) are designed such that the communication module ( 26 ) of the master safety controller ( 19 ) with the communication module ( 27 ) of the slave safety controller ( 24 ) via the field bus or systems ( 21 . 23 ) can exchange bidirectional data packets by the communication modules ( 26 . 27 ) data packets generated by them with the respective fieldbus protocol data record ( 28a . 28b ), especially in each of these integrate. Sicherheitssteuerungssystem gemäß Anspruch 1, dadurch gekennzeichnet, dass die Slave-Sicherheitssteuerung (24) in einem anderen Feldbussystem (23) angeordnet ist als die Master-Sicherheitssteuerung (19).Safety control system according to claim 1, characterized in that the slave safety controller ( 24 ) in another fieldbus system ( 23 ) is arranged as the master safety controller ( 19 ). Sicherheitssteuerungssystem gemäß 2, dadurch gekennzeichnet, dass der Master-Kommunikationsbaustein (26) und der Slave-Kommunikationsbaustein (27) derart ausgebildet sind, dass die von ihnen erzeugten Datenpakte mit dem jeweiligen Feldbusprotokolldatensatz (28a, 28b) verknüpft sind, den das jeweilige Feldbussystem (21, 23) verwendet, in dem sich der Master-Kommunikationsbaustein (26) bzw. der Slave-Kommunikationsbaustein (27) befinden.Safety control system according to 2, characterized in that the master communication module ( 26 ) and the slave communication block ( 27 ) are designed such that the data packets generated by them with the respective fieldbus protocol data record ( 28a . 28b ), which the respective fieldbus system ( 21 . 23 ), in which the master communication block ( 26 ) or the slave communication block ( 27 ) are located. Sicherheitssteuerungssystem gemäß Anspruch 2 oder 3, dadurch gekennzeichnet, dass zwischen den Feldbussystemen (21, 23) eine Einrichtung (25) zur Übersetzung zwischen den beiden verschiedenen Feldbusprotokollen der beiden verschiedenen Feldbussysteme (21, 23) angeordnet ist, insbesondere ein Gateway.Safety control system according to claim 2 or 3, characterized in that between the fieldbus systems ( 21 . 23 ) An institution ( 25 ) for the translation between the two different fieldbus protocols of the two different fieldbus systems ( 21 . 23 ), in particular a gateway. Sicherheitssteuerungssystem gemäß einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikationsbausteine (26, 27) derart ausgebildet sind, dass sie Kommunikations- oder Datenübertragungsfehler bei der Übertragung der Datenpakete durch einen oder mehrere durch die Kommunikationsbausteine (26, 27) umgesetzte, insbesondere normgerechte Sicherungsmaßnahmen erkennen können.Safety control system according to one or more of the preceding claims, characterized in that the communication modules ( 26 . 27 ) are designed in such a way that they prevent communication or data transmission errors during the transmission of the data packets by one or more through the communication modules ( 26 . 27 ), in particular standard-compliant safeguards. Sicherheitssteuerungssystem gemäß Anspruch 5, dadurch gekennzeichnet, dass die Sicherungsmaßnahmen eine oder mehrere, für den Aufbau eines Sicherheitskommunikationskanals normgerechte Maßnahmen umfassen.Safety control system according to claim 5, characterized in that the security measures include one or more, for the establishment of a security communication channel standard-compliant measures. Sicherheitssteuerungssystem gemäß einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Master-Sicherheitssteuerung (19) ebenfalls mit mindestens einem Antrieb (13a) zum Antreiben eines bewegbaren Organs (12) der Anlage (10) unmittelbar verbunden ist, insbesondere ein Ausgang derselben.Safety control system according to one or more of the preceding claims, characterized in that the master safety controller ( 19 ) also with at least one drive ( 13a ) for driving a movable organ ( 12 ) the plant ( 10 ) is directly connected, in particular an output thereof. Sicherheitssteuerungssystem gemäß einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass sowohl die Master-Sicherheitssteuerung (19) als auch die Slave-Sicherheitssteuerung (24) mit dem ihnen jeweils zugeordneten Antrieb (13a, 13b) jeweils über ein bzw. das jeweilige der Master-Sicherheitssteuerung (19) bzw. der Slave-Sicherheitssteuerung (24) zugeordnete Feldbussystem (21, 23) verbunden sind.Safety control system according to one or more of the preceding claims, characterized in that both the master safety controller ( 19 ) as well as the slave safety controller ( 24 ) with the respectively assigned drive ( 13a . 13b ) in each case via one or the respective master safety controller ( 19 ) or the slave safety controller ( 24 ) assigned fieldbus system ( 21 . 23 ) are connected. Sicherheitssteuerungssystem gemäß einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass mehrere Slave-Sicherheitssteuerungen (24) mit jeweils mindestens einem zugeordneten Antrieb (13b) zum Antreiben eines bewegbaren Organs (12) der Anlage (10) jeweils mit der Master-Sicherheitssteuerung (19) über jeweils ein Feldbussystem (25) verbunden sind, ggf. über unterschiedliche Feldbussysteme, wobei jede der Slave-Sicherheitssteuerungen (24) über jeweils einen solchen Kommunikationsbaustein (27) verfügt.Safety control system according to one or more of the preceding claims, characterized in that a plurality of slave safety controllers ( 24 ) each having at least one associated drive ( 13b ) for driving a movable organ ( 12 ) the plant ( 10 ) each with the master safety controller ( 19 ) via a respective fieldbus system ( 25 ), possibly via different fieldbus systems, each of the slave safety controllers ( 24 ) via one such communication module ( 27 ). Sicherheitssteuerungssystem gemäß einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem erkannten Kommunikations- oder Übertragungsfehler durch eine oder die Slave-Sicherungssteuerung (24) ein Datensatz erzeugbar ist, durch den der dieser zugeordnete Antrieb (13b) in einen sicheren Zustand überführbar ist, oder dass bei einem erkannten Kommunikations- oder Übertragungsfehler durch die Master-Sicherungssteuerung (19) ein Datensatz erzeugbar ist, durch den der dieser zugeordnete Antrieb (13a) in einen sicheren Zustand überführbar ist. Safety control system according to one or more of the preceding claims, characterized in that in the event of a detected communication or transmission error by one or the slave safety controller ( 24 ) a data record can be generated by which the drive assigned to it ( 13b ) is in a safe state, or that in the case of a detected communication or transmission error by the master safety controller ( 19 ) a data record can be generated by which the drive assigned to it ( 13a ) can be converted into a safe state. Sicherheitssteuerungssystem gemäß einem oder mehreren der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei Anliegen eines durch den Signalgeber (17, 18, 20) erzeugten Gefährdungssignals an einen mit dem Signalgeber (17, 18, 20) verbundenen Eingang der Master-Sicherungssteuerung (19) sicherheitsbezogene Daten von dem Kommunikationsbaustein (26) der Master-Sicherungssteuerung (19) an den oder jeden Kommunikationsbaustein (27) der oder jeder Slave-Sicherungssteuerung (24) sendbar sind, und dass nach Empfang dieser Daten durch die oder jede Slave-Sicherungssteuerung (24) der mindestens eine dieser jeweils zugeordnete Antrieb (13b) in einen sicheren Zustand überführbar ist.Safety control system according to one or more of the preceding claims, characterized in that when one of the signal generator ( 17 . 18 . 20 ) generated danger signal to a with the signal generator ( 17 . 18 . 20 ) input of the master fuse control ( 19 ) safety-related data from the communication module ( 26 ) of the master backup control ( 19 ) to the or each communication module ( 27 ) of the or each slave backup controller ( 24 ) and that upon receipt of this data by the or each slave backup controller ( 24 ) the at least one of these each associated drive ( 13b ) can be converted into a safe state.
DE202015004120.5U 2015-06-12 2015-06-12 Safety control system for packaging machine Active DE202015004120U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202015004120.5U DE202015004120U1 (en) 2015-06-12 2015-06-12 Safety control system for packaging machine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202015004120.5U DE202015004120U1 (en) 2015-06-12 2015-06-12 Safety control system for packaging machine

Publications (1)

Publication Number Publication Date
DE202015004120U1 true DE202015004120U1 (en) 2015-07-27

Family

ID=53801639

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202015004120.5U Active DE202015004120U1 (en) 2015-06-12 2015-06-12 Safety control system for packaging machine

Country Status (1)

Country Link
DE (1) DE202015004120U1 (en)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DIN EN 61784-3

Similar Documents

Publication Publication Date Title
EP2302472B1 (en) Control system for safety critical processes
DE19928517C2 (en) Control system for controlling safety-critical processes
EP2302841B1 (en) Method and device for secure communication in the communication network of an automation assembly
EP1923759B1 (en) Secure data transfer method and system
EP2720098B1 (en) Safety system for a plant comprising a test signal path with return path
WO2001014940A1 (en) Method for controlling safety-critical processes
EP1054309B1 (en) Method and apparatus for safe transmission of data on a bus system
DE19927635A1 (en) Safety-related automation bus system
EP3177973B1 (en) Method for operating security control and automation network having such security control
EP3098673B1 (en) Method and device for automated validation of security features on a modular security system
DE102014110017A1 (en) Control and data transmission system, gateway module, I / O module and process control process
EP2203821B1 (en) Secure data transmission method and apparatus
EP1631014B1 (en) Method and device for coupling critical processes to a bus
EP3100121A1 (en) Method and apparatus for safely disconnecting an electrical load
EP1224510B1 (en) System and method for preventing unauthorized access to modules, especially in automation systems
EP3470939B1 (en) Method and system for monitoring the security integrity of a security function provided by a security system
DE202015004120U1 (en) Safety control system for packaging machine
EP3470937A1 (en) Method and devices for monitoring the response time of a security function provided by a security system
EP3599525B1 (en) Method for secure data communication on a numerically controlled machine tool
EP3189645A1 (en) Data transmission between at least one safe producer and at least one safe consumer
DE202008003988U1 (en) Bus node of a Profinet bus system
AT520189A4 (en) Elevator safety device
EP3200419A1 (en) Automation network comprising a safety monitoring system and data processing device and monitoring method for an automation network

Legal Events

Date Code Title Description
R021 Search request validly filed
R207 Utility model specification
R163 Identified publications notified
R150 Utility model maintained after payment of first maintenance fee after three years
R151 Utility model maintained after payment of second maintenance fee after six years
R152 Utility model maintained after payment of third maintenance fee after eight years