DE3303791A1 - Elektronische steuerung mit sicherheitseinrichtungen - Google Patents

Elektronische steuerung mit sicherheitseinrichtungen

Info

Publication number
DE3303791A1
DE3303791A1 DE19833303791 DE3303791A DE3303791A1 DE 3303791 A1 DE3303791 A1 DE 3303791A1 DE 19833303791 DE19833303791 DE 19833303791 DE 3303791 A DE3303791 A DE 3303791A DE 3303791 A1 DE3303791 A1 DE 3303791A1
Authority
DE
Germany
Prior art keywords
safety
channels
channel
monitoring
relay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19833303791
Other languages
English (en)
Other versions
DE3303791C2 (de
Inventor
Thomas Dipl.-Ing. 7992 Tettnang Voss
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Herion Systemtechnik GmbH
Original Assignee
ZF Herion Systemtechnik GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Herion Systemtechnik GmbH filed Critical ZF Herion Systemtechnik GmbH
Priority to DE19833303791 priority Critical patent/DE3303791C2/de
Publication of DE3303791A1 publication Critical patent/DE3303791A1/de
Application granted granted Critical
Publication of DE3303791C2 publication Critical patent/DE3303791C2/de
Expired legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • F16P3/18Control arrangements requiring the use of both hands
    • F16P3/20Control arrangements requiring the use of both hands for electric control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Die Erfindung bezieht sich auf eine elektronische Steuerung
  • nach dem Oberbegriff des ersten Anspruches.
  • Es sind besonders hohe sicherheitstechnische Anforderungen an Steuerungen zu stellen, wenn Steuerungsfehler Verletzungen von Personen zur Folge haben können. Zur Erhöhung der Sicherheit elektronisch gesteuerter Arbeitsmaschinen sind zahlreiche Möglichkeiten bekannt (Dipl.-Ing. W. Wienandts "Sicherheitstechnische Anforderungen an elektronische Steuerungen" "Die Bs", märz 1980, Seite 220 - 224). Bild 2 der genannten Literaturstelle zeigt eine Pressensteuerung mit zwei gleich aufgebauten Steuerkanälen, deren Einzelstufen von einem Sicherheitskanal durch Vergleich überwacht werden. Der Sicherheitskanal seinerseits verfügt über eine Selbstüberwachungseinrichtung. Bei einem derartigen System sind systematische Fehler, z. B. Projektierungsfehler, möglich, die nicht erkannt werden. Sie verfügt daher nicht über die notwendige Sicherheit.
  • Bild 6 der genannten Druckschrift zeigt den systematischen richtungen und zyklischer Oberwachung dieser Vorrichtung unerwünscht verlängern und die Verfügbarkeit und Nutzung der Vorrichtung herabsetzen.
  • Der Erfindung liegt die Aufgabe zugrunde, eine elektronische Steuerung mit Sicherheitseinrichtungen für taktmäßig arbeitende Vorrichtungen zu schaffen, die die Taktzeit nicht oder nur unwesentlich beeinflußt und ein hohes Maß an Sicherheit bewirkt.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale des kennzeichnenden Teiles des ersten Anspruches gelöst.
  • Dadurch, daß die Sicherheitskanäle gleichzeitig gleichartige Steuerfunktionen haben und auf jeweils eigene Stellglieder wirken, wird mit einfachen Mitteln und geringem Bauaufwand ein redundantes diversitäres System sowohl auf der Steuerseite als auch auf der Sicherheitsseite realisiert, so daß das gleichzeitige Auftreten von Fehlern in beiden Kanälen weitgehend vermieden ist. Die Selbstüberwachungseinrichtung zum Überwachen des gesamten zweiten Sicherheitskanals mit Hilfe eines Überwachungsprogramms läßt die Modifizierung des tfberwachungsprogramms zu, so daß kürzeste Oberwachungszeiten bei einem hohen Fehlererkennungsgrad gewährleistet sind.
  • Das Überwachungsprogramm kann dabei auf die sicherheitsrelevanten Teile des Sicherheitskanals zugeschnitten werden.
  • Negative Auswirkungen auf die Sicherheit der Vorrichtung sind nur dann zu erwarten, wenn trotz der unterschiedlichen Sicherheitskanäle in beiden Kanälen gleichzeitig ein Fehler entsteht, der nicht erkannt wird. Durch die zusätzliche Selbstüberwachung des ersten Sicherheitskanals wird die Wahrscheinlichkeit des Zusammentreffens zweier unerkannter Fehler in den beiden Sicherheitskanälen weiter vermindert. Zu diesem Zweck wirken das Ausgangssignal des Vergleichers und die Ausgangssignale der SelbstUberwachungseinrichtungen auf eine gemeinsame Sicherheitsstufe.
  • Aufgrund des Zusammenwirkens der Selbstüberwachungseinrichtung im ersten und zweiten Sicherheitskanal kann die Sicherheit des Gesamtsystems ausreichen, wenn das Überwachungsprogramm so ausgelegt ist, daß der Fehleraufdeckungsgrad 70 % bis 90 % beträgt. Dabei wird unter Fehleraufdeckungsgrad die Wahrscheinlichkeit verstanden, mit der ein Fehler erkannt wird.
  • Die Merkmale der Ansprüche 3 und 4 zeigen Möglichkeiten zur Selbstüberwachung des ersten Sicherheitskanals auf.
  • Gemäß einer weiteren Ausgestaltung der Erfindung wird vorgeschlagen, daß zwischen den Sicherheitskanälen und den Stellgliedern Kontakte angeordnet sind, die durch ein einziges, von der Sicherheitsstufe gesteuertes Relais betätigt werden. Die vom Aufwand her wünschenswerte Verwendung eines einzigen Relais ist unter Sicherheitsgesichtspunkten möglich, da das Relais zwangsgeführt und mit einem Testkontakt versehen ist.
  • Der Bauaufwand wird ebenfalls verringert, wenn die Stellglieder zu einem Pressensicherheitsventil vereinigt sind, das zwei Ventilwicklungen aufweist, von denen jeweils eine Wicklung von einem der Sicherheitskanäle angesteuert ist. Gemäß einer weiteren Ausgestaltung der Erfindung wird der Vergleicher durch eine Gleichrichterbrückenschaltung gebildet, in deren gleichgerichtetem Brückenzweig das Relais und in deren anderem Brückenzweig die Stellglieder angeordnet sind. Dies ergibt eine baugünstige Ausführung des Vergleichers, der gleichzeitig die Verbindungsleitungen zu den Stellgliedern und deren elektrischem Teil auf Kurzschluß und Unterbrechung überwacht.
  • Um den Störungsabstand zwischen dem Relais und den Stellgliedern möglichst groß zu halten ist es zweckmäßig, daß der ohmsche Widerstand der Stellglieder erheblich kleiner gewählt wird als der ohmsche Widerstand des Relais.
  • Die elektronische Steuerung kann auch in Mehrfachanordnung verwendet werden. Bei nfacher Anordnung der Steuerung ist dabei zweckmäßigerweise eine Auswahl schaltung m aus n zu bilden, wobei m kleiner n ist.
  • Die Erfindung wird an Ausführungsbeispielen anhand von Zeichnungen erläutert, die den Gegenstand der Erfindung darstellen. Es zeigen Fig. 1 ein Prinzipschaltbild einer erfindungsgemäßen elektronischen Steuerung für eine Vorrichtung mit mechanischen Bewegungsabläufen mit zwei im Aufbau unterschiedlichen Sicherheitskanälen, Fig. 2 eine Ausführung der Steuerung gemäß Fig. 1 in einer Prinzipdarstellung für eine Exzenterpresse mit Handeinlegebetrieb und ein Zweihandpult zur Durchführung einer Einzelhubsteuerung, Fig. 3 das Ausführungsbeispiel gemäß Fig. 2 mit detailliertem Aufbau der Sicherheits- und Steuerkanäle und mit Nockenschaltern zur OT-Abschaltung bzw. zur -Selbsthaltung eines Einschaltkontakts, Fig. 4 einen Stromlauf eines Ausführungsbeispieles eines Vergleichers der Ausgangssignale der Sicherheitskanäle, Fig. 5 einen gegenüber Fig. 2 abgewandelten Stromlauf eines anderen Prinzips einer Selbstüberwachung des ersten Sicherheitskanals, Fig. 6 einen Stromlauf einer Schaltung zur Selbstüberwachung des ersten Sicherheitskanals, nach dem anhand von Fig. 5 erläuterten Prinzip.
  • Die erfindungsgemäße elektronische Steuerung (Fig. 1) ist für eine taktmäßig arbeitende Vorrichtung mit mechanischen Bewegungsabläufen, wie z. B. eine Exzenterpresse, eine Hydraulikpresse, eine Liftsteuerung, Werkzeugmaschinen, Spritzgußmaschinen, Handhabungsgeräte oder ähnliche Vorrichtungen, verwendbar. Dabei soll die Vorrichtung vor jedem Arbeitstakt auf einen sicheren, störungsfreien Betrieb überwacht werden. Die Taktzeiten können sich periodisch in gleichen Abständen und mit gleicher Taktlänge oder aperiodisch in unterschiedlichen Abständen oder mit verschiedener Dauer wiederholen.
  • Einem Geber 1, der z. B. entweder handbedienbare Schalter, Zeitschalter oder Sensoren umfaßt, sind ein erster Sicherheitskanal 2 mit fest verdrahteter Schaltungslogik und ein zweiter Sicherheitskanal 3 in Mikrocomputertechnik nachgeschaltet, die nebeneinander gleichartige Steuerfunktionen haben und damit ein redundantes Steuersystem bilden. Die Ausgänge der Sicherheitskanäle 2 und 3 sind über Leitungen 4 bzw. 5 und Verstärker 7 bzw. 8 an einen Vergleicher 6 angeschlossen, in dem die Ausgangssignale auf Gleichheit und Gleichzeitigkeit überwacht werden. Die Ausgänge der Verstärker 7 und 8 sind ferner über Leitungen 10 bzw. 11 und über zu einem Relais 13 gehörende Kontakte 13A bzw.
  • 13B an Stellglieder 12A bzw. 12B angeschlossen, die beispielsweise im Falle einer Exzenterpresse Pressensicherheitsventile oder im Falle eines Lifts Schütze zum Betrieb des Liftmotors sein können.
  • Das Relais 13 ist Bestandteil einer Sicherheitsstufe 9, auf die die verstärkten Ausgangssignale der Sicherheitskanäle 2 und 3 sowie das Ausgangssignal des Vergleichers 6 wirken.
  • Das Ausführungsbeispiel nach Fig. 2 bezieht sich auf eine elektronische Steuerung für eine Exzenterpresse mit Handeinlegebetrieb, wobei der Pressenhub über ein Zweihandpult 15 ausgelöst wird. Dieses umfaßt Taster 16, 17, deren Kontakte 16A, 17A über Anschlüsse 18, 19, 20 am ersten Sicherheitskanal 2 und deren Kontakte 16B, 17B über Anschlüsse 21, 22, 23 an dem zweiten Sicherheitskanal 3 angeschlossen sind. Die Steuerung ist so ausgelegt, daß beide Taster 16, 17 innerhalb eines vorgegebenen Zeitraumes, z. B. von maximal 0,5 s, gedrückt werden müssen, um am Ausgang der Schaltung eine Betätigung des Pressensicherheitsventils 33 zu bewirken. Wird der vorgenannte Zeitraum überschritten, so reagiert der Ausgang nicht.
  • Das Pressensicherheitsventil 33 besteht aus einem Magnetventil mit zwei Ventilwicklungen 33A und 33B, die über Leitungen 27, 28 bzw. 29, 30 mit dem Verstärker 7 bzw. 8 verbunden sind. Dabei ist die Leitung 28 über einen Kontakt 13A, die Leitung 29 über einen Kontakt 13B geführt. Die Kontakte 13A, 13B sind zunächst geschlossen und werden nur bei auftretender Störung gemeinsam von der Sicherheitsstufe 9 betätigt.
  • Der erste Sicherheitskanal 2 (Fig. 3) umfaßt im wesentlichen eine Steuereinheit 40 und einen ihr zugeordneten Oszillator 24, der zur Weiterschaltung der Steuereinheit 40 dient und ein Prüfsignal am Eingang des ersten Sicherheitskanals erzeugt, ferner ein Netzgerät 41 und einen Wandler 42, der aus dem Prüfsignal am Ausgang des ersten Sicherheitskanals 2 und der Versorgungsspannung aus dem Netzgerät 1 eine sowohl prüffrequenz- als auch versorgungsspannungsproportionale Steuerspannung für eine Oberwachungseinheit 43 liefert. Diese löst bei Unterschreiten eines Schwellwertes die Sicherheitsstufe 9 aus. Ein Mono-Flop 44, also ein monostabiler Multivibrator mit einer Schaltzeit von 0,5 s sorgt dafür, daß eine Betätigung der Taster 16, 17 nur auf den Ausgang wirkt, wenn sie innerhalb der Schaltzeit erfolgt. Zwei Flip-Flops 45, 46 wirken über ein ODER-Gatter 78 auf einen als Verstärker 6 dienenden Transistor 47. Die genannten Bausteine sind durch UND- bzw. ODER-Gatter bzw. Inverter logisch mit den Steuereingängen verknüpft.
  • Neben den Tastern 16 und 17 gehören zu den.-Steuereingängen zwei Nockenschalter 51, 52 (Fig. 3), deren Nackenscheiben drehfest auf einer Welle 80 angebracht sind, deren DreAbewegung;:vom Hub der Presse abgeleitet ist. Sie dienen der Abschaltung im ob-eren-Totpunkt der Exzenterpresse. Der Nockenschalter 52 hält zusätzlich die Presse ab der Stelle E unabhängig von der-Stellung der Taster 16 oder 17 im eingeschalteten Zustand. Ferner gehört zu den Steuereingängen ein Drehmomentschalter 53 für die Bremsüberwachung, der ein Quittierungssignal dann liefert, wenn die Haupt- und die Zusatzbremse der Presse das erforderliche Bremsmoment tatsächlich aufbringt.
  • Die Kontakte der Taster 16, 17, der Nockbenschalter 51, 52 und des Drehmomentschalters 53 sind über Schutzwierstände 102 mit den Eingängen des ersten Sicherheitskanals 2 und des Peripherieadapters 54 des zweiten Sicherheitskanals 3 verbunden. Dabei wirkt der Kontakt 17A Über einen Inverter 73 sowohl auf ein UND-Gatter 75 als auch auf ein ODER-Gatter 74, während der Kontakt 16A auf das ODER-Gatter 74 und auf das UND-Gatter 75 wirkt.-pas ODER-Gatter 74 wirkt ueber das Mono-Flop 44 ebenfalls auf das UND-Gatter 75. Am Ausgang des UND-Gatters 75 ist nur dann ein Signal vorhanden, wenn die Taster 16 und 17 betätigt sind und die Betätigung innerhalb einer Zeitspanne von 0,5 s erfolgte. Das Ausgangssignal des UND-Gatters 75 erzeugt über ein Differenzierglied, bestehen aus einem Kondensator 103 und einem Widerstand 104, einçen fiet-Befehl im Flip-Flop 45. Falls kein Ausgangssignal am ODER-Gatter 75 vorhanden ist, erfolgt über einen Inverter 76 und ein ODER-Gfatter 77 ein Reset-Befehl am Flip-Flop 45.
  • Der Nockenschalter 51 wirkt über einen Inverter 70.und-ein ODER-Gatter 79 auf den Reset-Eingang des Flip-Flop 46, so daß der Flip-Flop 46 bei geöffnetem Nockenschalter 51 in der Reset-Stellung sich befindet. Der Nockenschalter 52 wirkt über das ODER-Gatter 77 auf den Reset-Eingang des Flip-Flop 45, über ein Differenzierglied, bestehend aus einem Kondensator 103 und einem Widerstand 104, auf den Set-Eingang des Flip-Flop 46 und über einen Inverter 71 und das ODER-Gatter 79 auf den Reset-Eingang des Flip-Flop 46. Dadurch erhält der Flip-Flop 46 bei geöffnetem Nockenschalter 51 einen Reset-Befehl, während das Flip-Flop 45 bei geöffnetem Nockenschalter 52 einen Reset-Befehl erhält. Bei geschlossenem Nockenschalter 52 erhält der Flip-Flop 45 einen Reset-Befehl, während der Flip-Flop 46 über das Differenzierglied 103, 104 einen Set-Befehl bekommt. Die Flip-Flops 45 und 46 sind über das ODER-Gatter 78 mit dem Wandler 42 und mit dem Transistor 47 verbunden.
  • Der Nockenschalter 52 wirkt ferner über ein NOR-Glied 68 und ein UND-Gatter 69 auf die Sicherheitsstufe 9. Der zweite Eingang des UND-Gatters 69 ist mit dem Drehmomentschalter 53 verbunden.
  • Dadurch spricht die Sicherheitsstufe 9 an, wenn der Nockenschalter 52 geöffnet ist und gleichzeitig der Drehmomentschalter 53 schließt.
  • Der zweite Sicherheitskanal 3 umfaßt im wesentlichen einen Peripherieadapter 54, Programmspeicher (PROM) 34, 58, eine Kontrollschaltung 59, einen Mikroprozessor 61 und einen Arbeitsspeicher (RAM) 60, die alle untereinander über Steuerleitungen 55, einen Adreßbus 56 und einen Datenbus 57 verbunden sind. Ferner gehören noch eine Startschaltung 62 sowie ein Adressendecoder 14 dazu. Die Eingänge des Peripherieadapters 54 sind mit den Kontakten der Taster 16, 17, der Nockenschalter 51, 52 und des Drehmomentschalters 53 verbunden, während die Ausgänge unmittelbar auf die Sicherheitsstufe 9 bzw. über den Transistor 48, der als Verstärker 8 dient, wirken. Zwischen dem Ausgang des Sicherheitskanals 2 und des Sicherheitskanals 3 ist ein Vergleicher 6 angeordnet, der die Signale auf Gleichheit und Gleichzeitigkeit überprüft und das Ergebnis der Sicherheitsstufe 9 übermittelt.
  • Die Transistoren 47 und 48 schalten den Stromkreis für die Wicklungen 33A und 33B des Pressensicherheitsventils 33, der.über die Kontakte 13A und 13B das Relais 13 geführt ist. Diese Kontakte werden geöffnet, sobald das Relais 13 infolge einer Fehlermeldung der Sicherheitsstufe 9 abfällt. Eine solche Fehlermeldung kann aus dem Signalvergleich des Vergleichers 6 oder aus Signalen der Überwachungseinrichtungen der beiden Sicherheitskanäle resultieren.
  • Die Selbstüberwachung des ersten Sicherheitskanals 2 erfolgt in den Taktpausen zwischen den einzelnen Hubbewegungen. Hierzu werden vom Oszillator über Differenzierglieder 100, 101 kurze Nadelimpulse definierter Frequenz durch eine Steuereinheit 40 nacheinander auf die Signaleingänge des ersten Sicherheitskanals 2 gegeben. Sofern der Sicherheitskanal 2 funktionsfähig ist, wirkt an seinem Ausgang eine definierte Impulsfrequenz auf den Wandler 42. Durch Verwendung von Nadelimpulsen und entsprechende Schaltungsauslegung gewährleistet man, daß die Testfrequenz keine Steuerfunktion auslöst. Bei fehlender oder abweichender Frequenz hingegen reagiert die Sicherheitsstufe und verhindert ein weiteres Arbeiten der Presse.
  • Die Überwachung des zweiten Sicherheitskanals 3 geschieht mittels eines Sicherheitsprogramms, das in einem Programmspeicher 34 oder 58 abgelegt ist. Der Mikroprozessor 61 befindet sich entweder im Sicherheitszyklus oder er bewältigt nicht sicherheitsrelevante Zusatzaufgaben, nach deren Erledigung er unmittelbar wieder in den Sicherheitszyklus zurückkehrt. Dabei ist das über wachungsprogramm aktiv. Die Summe der sich aus den Programmen der Programmspeicher 34 bzw. 58 ergebenden Werte und weiterer charakteristischer Werte wird fortlaufend gebildet und mit einer Sollwertkontrollzahl verglichen, die z. B. durch galvanische Brücken dargestellt ist. Bei fehlerhaftem Ergebnis oder Ausbleiben der Ergebnismeldung wird die Sicherheitsstufe 9 ausgelöst.
  • Bei einer Signalgabe aus der Steuerung an den Peripherieadapter 54 wird der Rechner sofort durch einen Interrupt-Befehl an den Mikroprozessor 61 für die Steuerung zur Verfügung gestellt. Er verarbeitet die Steuerbefehle entsprechend seinem Steuerprogramm, bis von dem Nockenschalter 51 und dem Drehmomentschalter 53 das Hubende signalisiert und das Überwachungsprogramm reaktiviert werden. Kehrt der Rechner nicht in den Sicherheitszyklus zurück, wird ebenfalls die Sicherheitsstufe 9 ausgelöst, die Vorrichtung fällt in den sicheren Zustand zurück.
  • In den Ventilwicklungen 33A, 33B können Fehler auftreten, die nicht leicht bzw. nicht sicher erfaßt werden können. Dies trifft z. B. für Kurzschlüsse in den Ventilwicklungen zu, weil diese ohnehin sehr niederohmig sind. In einem solchen Störungsanfall unterbrechen in den Ansteuerkreisen vorgesehene Sicherungen 49, 50 (Fig. 3) dann, wenn eine Ansteuerung erfolgt. Danach wird die Sicherheitsstufe 9 ausgelöst, die die verschiedenen Störmeldungen verknüpft und bei ihrer Aktivierung ein Abfallen des Relais 13 bewirkt.
  • Der sicherheitsrelevante Teil der Sicherheitsstufe 9 ist in Failsafe-Technik ausgeführt. Das Relais 13 hat zwangsgeführte Kontakte, wodurch es sicher überwacht werden kann. Sicherheitsstufe 9 und Relais 13 werden zyklisch überwacht, indem nach jeder Hubabschaltung ein Funktionstest eingeleitet wird, wobei auch eine Relaisabschaltung erfolgt. Eine automatische Wiedereinschaltung erfolgt bei diesem Test nur dann, wenn die Sicherheitsstufe 9 nicht gestört ist, der Drehmomentschalter 53 ein ausreichendes Bremsmoment registriert, keine Störmeldungen aus einem der beiden Sicherheitskanäle 2, 3 bzw. der Verstärker 7, 8 vorliegt und das Relais 13 durch einen Kontakt 13C, der als Testkontakt wirkt, ein sicheres Abfallen des Relais 13 bestätigt hat. Nach einer störungsbedingten Abschaltung wird eine automatische Wiedereinschaltung selbst dann sicher verhindert, wenn die Störung nicht mehr besteht.
  • Ein Ausführungsbeispiel einer Ausgangsstufenüberwachung, also einer Überwachung der Transistoren 47, 48 (Fig. 4), umfaßt neben dem Pressensicherheitsventil 33 eine Brückenschaltung aus Dioden 64, 65, 66, 67 und die im gleichgerichteten Zweig der Brückenschaltung liegende Wicklung des Relais 13. Die zu letzterem gehörenden Kontakte 13A und 13B sind zwischen dem einen Anschluß der einen Ventilwicklung 33A und dem Kollektor des Transistors 47 einerseits und zwischen dem einen Anschluß der Ventilwicklung 33BM im Pressensicherheitventil 33 und dem Emitter des Transistors 48 andererseits angeordnet.
  • Die Stromversorgung erfolgt über Anschlüsse 105, 106, wobei am Anschluß 106 Null-Potential anliegt. Im Ruhezustand fließt der Strom über den Kontakt 13A, die Wicklung 33A, die Diode 67, das Relais 13, die Diode 64, die Wicklung 33B und den Kontakt 13B. Da das Relais 13 und die Wicklungen 33A, 33B in Reihe liegen, können sie so aufeinander abgestimmt werden, daß nur das Relais 13 anspricht. Werden die Transistoren 47 und 48 über Leitungen 107, 108 angesteuert, sind das Relais 13 und die Wicklungen 33A, 33B parallel geschaltet, so daß nun der Spannungsabfall an den Windungen 33A, 33B ausreicht, daß das Pressensicherheitsventil 33 anspricht. Bei einem Defekt an den Transistoren 47, 48 oder einem Kurzschluß oder Leitungsbruch in den Wicklungen 33A, 33B bzw. den zugehörigen Leitungen fällt das Relais 13 ab und die Kontakte 13A 13B öffnen. Damit sind diese Bauelemente ebenfalls in die Überwachung einbezogen.
  • Eine andere Ausführung zur Überwachung des ersten Sicherheitç kanals 2 (Fig. 5) umfaßt eine Vergleicherschaltung 81, die über Leitungen 85 mit allen Gatterein- und -ausgängen (Fig. 6) verbunden ist, wobei einige Gattereingänge mit anderen Gatterausgängen identisch sein können. Die elektrischen Werte an den Gatterein-und -ausgängen werden über Leitungen 84 (Fig. 5) mit einem Bitmuster in einer Bitmustereinheit 82 verglichen. Das Bitmuster en spricht dem Ruhezustand der Gatterein- und -ausgänge. Hierdurch sind alle Fehler erkennbar, die an einem beliebigen Gatter im Sicherheitskanal 2 meßbar sind. Die Vergleichsschaltung 81 weist einen Ausgang auf, an dem eine Leitung 83 angeschlossen ist. Das am Ausgang erscheinende Potential wechselt zyklisch, z. B. in Anwendung auf eine Presse würde am Ausgang während einer Hubphase eine elektrische Spannung von +5 V erscheinen, während der Durchführung eines Hubs eine solche von 0 V. Die Leitung 83 führt zu der Sicherheitsstufe 9, die zyklische Potentialänderungen am Ausgang des Vergleichers 6 überwacht.
  • Die Leitungen 85 (Fig. 5) sind als Leitungen 87 bis 98 in Fig. 6 einzeln ausgeführt. Aus dieser Schaltung ist auch ersichtlich, an welchen Stellen ein H-Potential (High-Potential) und gleichzeitig ein L-Potential (Low-Potential) erscheint oder umgekehrt. Die aus Fig. 6 ersichtlichen Potentialangaben beziehen sich auf den Schaltungsruhezustand, der z. B. der Hubpause der Presse entspricht.
  • Die Bitmustereinheit 82 (Fig. 5) wird durch galvanische Brücken 99, z. B. Lötbrücken oder Leiterbahnen, gebildet.
  • Bezugszeichen 1 Geber 2 Erster Sicherheitskanal 3 Zweiter Sicherheitskanal 4 Leitung 5 Leitung 6 Vergleicher 7 Verstärker 8 Verstärker 9 Sicherheitsstufe 10 Leitung 11 Leitung 12A Stellglied 12B Stellglied 13 Relais 13A Kontakt 13B Kontakt 13C Kontakt 14 Adressendecoder 15 Zweihandpult 16 Taster 16A Kontakt 16B Kontakt 17 Taster 17A Kontakt 17B Kontakt 18 Anschluß 19 Anschluß 20 Anschluß 21 Anschluß 22 Anschluß 23 Anschluß 24 Oszillator 25 Leitung 26 Leitung 27 Leitung 28 Leitung 29 Leitung 30 Leitung 32 Leitung 33 Pressensicherheitsventil 33A Ventilwicklung 33B Ventilwicklung 34 Programmspeicher (PROM) 38 Leitung 39 Leitung 40 Steuereinheit 41 Netzgerät 42 Wandler 43 Überwachungseinheit 44 Monoflop 45 Flip-Flop 46 Flip-Flop 47 Transistor 48 Transistor 49 Sicherung 50 Sicherung 51 Nockenschalter 52 Nockenschalter 53 Drehmomentschalter 54 Peripherieadapter 55 Steuerleitung 56 Adreßbus 57 Datenbus 58 Programmspeicher (Prom) 59 Kontrollschaltung 60 Arbeitsspeicher (Ram) 61 Mikroprozessor 62 Startschaltung 64 Diode 65 Diode 66 Diode 67 Diode 68 Nor-Gatter 69 Und-Gatter 70 Inverter 71 Inverter 73 Inverter 74 Oder-Gatter 75 Und-Gatter 76 Inverter 77 Oder-Gatter 78 Oder-Gatter 79 Oder-Gatter 80 Welle 81 Vergleichsschaltung 82 Bitmustereinheit 83 Leitung 84 Leitung 85 Leitung 86 Vergleicherschaltung 87 Prüf leitung 88 Prüfleitung 89 Prüf leitung 90 Prüf leitung 91 Prüfleitung 92 Prüfleitung 93 Prüf leitung 94 Prüfleitung 95 Prüfleitung 96 Prüfleitung 97 Prüfleitung 98 Prüf leitung 99 Brücke 100 Kondensator 101 Widerstand 102 Schutzwiderstand 103 Kondensator 104 Widerstand 105 Anschlüsse 106 Anschlüsse 107 Leitungen 108 Leitungen

Claims (9)

  1. Elektronische Steuerung mit Sicherheitseinrichtungen Ansprliche Elektronische Steuerung mit Sicherheitseinrichtungen für eine Vorrichtung mit mechanischen Bewegungsablaufen mit zwei unterschiedlich aufgebauten Sicherheitskanälen, von denen der erste Sicherheitskanal mit fest verdrahteter Schaltungslogik und der zweite Sicherheitskanal in Mikrocomputertechnik ausgeführt ist und mit einer gemeinsamen Sicherheitsstufe, die bei Auftreten unterschiedlicher Ausgangssignale der beiden Sicherheitskanäle die Vorrichtung in einen sicheren Zustand versetzt sowie mit einer Selbstüberwachungseinrichtung für den zweiten Sicherheitskanal, dadurch g e k e n n z e i c h n e t , daß bei taktmäßig arbeitenden Vorrichtungen a) die Sicherheitskanäle (2, 3) gleichzeitig gleichartige Steuerfunktionen haben und auf jeweils eigene Stellglieder (12A, 12B) wirken, b) die Selbstüberwachungseinrichtung die Überwachung des gesamten zweiten Sicherheitskanals (3) mit Hilfe eines Überwachungsprogramms über einen Mikrocomputer (61, 60, 34) und eine Kontrollschaltung (59) bewirkt, c) auch der erste Sicherheitskanal (2) eine eigene Selbstüberwachungseinrichtung (42, 43, 81, 82, 86, 99) aufweist, d) die Selbstüberwachungen zyklisch innerhalb der Taktzeiten erfolgen, e) Verstärker (7, 8) an die Ausgänge der Sicherheitskanäle (2, 3) angeschlossen sind, deren Ausgangssignale durch einen Vergleicher (6) auf Gleichheit und Gleichzeitigkeit überwacht werden, f) das Ausgangssignal des Vergleichers (6) und die Ausgangssignale der Selbstüberwachungseinrichtungen auf eine gemeinsame Sicherheitsstufe (9) wirken..
  2. 2. Elektronische Steuerung nach Anspruch 1, dadurch g e -k e n n z e i c h n e t , daß das Überwachungsprogramm so ausgelegt ist, daX der Fehleraufdeckungsgrad 70 % bis 90 % beträgt.
  3. 3. Elekgronische Steuerung nach einem der Ansprüche 1 bis 2, dadurch g e k e n n z e i c h n e t , daß ein Prüfsignal am Eingang des ersten Sicherheitskanals (2) mit dem Signal am Ausgang verglichen wird.
  4. 4. Elektronische Steuerung nach einem der vorangehenden AnsprAche, dadurch g e k e n n z e i.c h n e t , daß die Selbst-Aberwachung des ersten Sicherheitskanals (2) dadurch erfolgt, daß Ein- bzw, Ausgangspotentiale seiner Bauelemente mit Bezugspotentialen verglichen werden.
  5. 5. Elektronische Steuerung nach einem der vorangehenden Ansprüche, dadurch g e k e n n z e i c h n e t , daß zwischen den Sicherheitskanälen (2, 3) und den Stellgliedern (12A, 12B) Kontakte (13au 13B) angeordnet sind, die durch ein einziges von der Siaherheitsstufe (9) gesteuertes Relais (13) betätigt werden, die Kontakte (13A, 13B) des Relais (13) zur gleichzeitigen Betätigung zvangsgeführt sind und daß ein weiterer Kontakt (13C) des Relais (13) als Testkontakt vorgesehen ist.
  6. 6. Elektronische Steuerung nach einem der vorangehenden Ansprüche, dadurch gek e n n z ei c h ne t , daß die Stellglieder (12A, 12B) zu einem Pressensicherheitsventil (33) vereinigt sind1 das zwei Ventilwicklungen (33A, 33B) aufweist, von denen jeweils eine Wicklung einem der Sicherheitskanäle (2, 3) zugeordnet ist.
  7. 7. Elektronische Steuerung nach einem der vorangehenden Ansprüche, dadurch g e k e n n z e i c h n e t , daß der Vergleicher (6) durch eine Gleichrichterbrückenschaltung (64 - 67) gebildet wird, in deren gleichgerichtetem Brückenzweig das Relais (13) und in deren anderem Brückenzweig die Stellglieder (33A, 33B) angeordnet sind.
  8. 8. Elektronische Steuerung nach Anspruch 7, dadurch g e -k e n n z e i c h n e t , daß der ohmsche Widerstand der Stellglieder (12A, 12B; 33A, 33B) erheblich kleiner ist als der ohmsche Widerstand des Relais (13).
  9. 9. Elektronische Steuerung nach einem der vorangehenden Ansprüche, dadurch g e k e n n z e i c h n e t , daß bei nfacher Anordnung der Steuerung eine Auswahlschaltung m aus n gebildet wird, wobei m kleiner n ist.
DE19833303791 1982-02-11 1983-02-04 Elektronische Steuerung mit Sicherheitseinrichtungen Expired DE3303791C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19833303791 DE3303791C2 (de) 1982-02-11 1983-02-04 Elektronische Steuerung mit Sicherheitseinrichtungen

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE3204709 1982-02-11
DE19833303791 DE3303791C2 (de) 1982-02-11 1983-02-04 Elektronische Steuerung mit Sicherheitseinrichtungen

Publications (2)

Publication Number Publication Date
DE3303791A1 true DE3303791A1 (de) 1983-08-25
DE3303791C2 DE3303791C2 (de) 1992-04-16

Family

ID=25799508

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19833303791 Expired DE3303791C2 (de) 1982-02-11 1983-02-04 Elektronische Steuerung mit Sicherheitseinrichtungen

Country Status (1)

Country Link
DE (1) DE3303791C2 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2708769A1 (fr) * 1993-07-30 1995-02-10 Aerospatiale Système de contrôle d'une installation comportant plusieurs circuits indépendants en parallèle et nécessitant un haut niveau de sécurité.
EP0668552A1 (de) * 1994-02-18 1995-08-23 Lucas Industries Public Limited Company Steuergerät
NL1010618C2 (nl) * 1998-11-20 2000-05-26 Ten Holter Consultancy Systeem voor het parallel voeden en schakelen van elektrische eenheden via verschillende uitgangsschakelingen.
DE4009521B4 (de) * 1989-06-29 2007-03-15 Linde Ag Verfahren zum zwei-kanaligen sicheren Regeln eines Prozesses
WO2011003835A3 (de) * 2009-07-07 2011-06-16 Elan Schaltelemente Gmbh & Co. Kg Verfahren und system zur erfassung, übertragung und auswertung sicherheitsgerichteter signale
US9632860B2 (en) 2013-06-11 2017-04-25 Abb Schweiz Ag Multicore processor fault detection for safety critical software applications

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4134396C2 (de) * 1990-10-30 1996-08-14 Siemens Ag Sicheres Automatisierungssystem
DE102006007264C5 (de) * 2006-02-10 2014-06-18 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1126938B (de) * 1960-10-06 1962-04-05 Standard Elektrik Lorenz Ag Schaltungsanordnung zum zentralen Steuern von Vermittlungseinrichtungen mittels zweier gleichartiger, parallelwirkender Steuereinrichtungen in im Zeitvielfach zentralgesteuerten Fernmeldevermittlungsanlagen, insbesondere Fernsprechvermittlungsanlagen
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1126938B (de) * 1960-10-06 1962-04-05 Standard Elektrik Lorenz Ag Schaltungsanordnung zum zentralen Steuern von Vermittlungseinrichtungen mittels zweier gleichartiger, parallelwirkender Steuereinrichtungen in im Zeitvielfach zentralgesteuerten Fernmeldevermittlungsanlagen, insbesondere Fernsprechvermittlungsanlagen
DE3003291C2 (de) * 1980-01-30 1983-02-24 Siemens AG, 1000 Berlin und 8000 München Zweikanalige Datenverarbeitungsanordnung für Eisenbahnsicherungszwecke

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
DE-Z.: Die BG, März 1980, S.220-224 *
Elektronische Rechenanlagen 22.Jg. 1980, H.5, S.229-236 *
Siemens-Z. 41 (1967), H.9, S.742-744 *
Siemens-Z. 49 (1975), H.7, S.473-477 *
Signal + Draht 66 (1974) 3, S.41-47 *
VDI Nachrichten Nr.19, 8. Mai 1981, S.27 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4009521B4 (de) * 1989-06-29 2007-03-15 Linde Ag Verfahren zum zwei-kanaligen sicheren Regeln eines Prozesses
FR2708769A1 (fr) * 1993-07-30 1995-02-10 Aerospatiale Système de contrôle d'une installation comportant plusieurs circuits indépendants en parallèle et nécessitant un haut niveau de sécurité.
EP0668552A1 (de) * 1994-02-18 1995-08-23 Lucas Industries Public Limited Company Steuergerät
NL1010618C2 (nl) * 1998-11-20 2000-05-26 Ten Holter Consultancy Systeem voor het parallel voeden en schakelen van elektrische eenheden via verschillende uitgangsschakelingen.
WO2011003835A3 (de) * 2009-07-07 2011-06-16 Elan Schaltelemente Gmbh & Co. Kg Verfahren und system zur erfassung, übertragung und auswertung sicherheitsgerichteter signale
EP2639988A1 (de) * 2009-07-07 2013-09-18 Elan Schaltelemente GmbH & Co. KG Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
US8948034B2 (en) 2009-07-07 2015-02-03 Elan Schaltelemente Gmbh & Co. Kg Method and system for the detection, transmission and analysis of safety-related signals
US9632860B2 (en) 2013-06-11 2017-04-25 Abb Schweiz Ag Multicore processor fault detection for safety critical software applications

Also Published As

Publication number Publication date
DE3303791C2 (de) 1992-04-16

Similar Documents

Publication Publication Date Title
EP1262021B1 (de) Sicherheitsschaltgerät und sicherheitsschaltgeräte-system
EP1493064B1 (de) Vorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers, insbesondere in industriellen produktionsanlagen
DE3135888C2 (de)
DE3614979A1 (de) Sicherheitssystem fuer eine druckmaschine
DE3341472C2 (de) Schaltungsanordnung mit einem Mikrorechner
WO2001075532A1 (de) Sicherheitsschaltgerät und verfahren zur einstellung eines betriebsmodus eines sicherheitsschaltgeräts
EP1982105A1 (de) Sicherheitsschaltvorrichtung und verfahren zum sicheren ein- und ausschalten eines elektrischen verbrauchers mit einem mikrokontroller
EP1254400B1 (de) Schaltungsanordnung zum sicheren abschalten einer anlage, insbesondere einer maschinenanlage
WO1983002816A1 (en) Electronic control with safety mechanisms
DE10053818A1 (de) Elektrisches Lenksystem
EP3043220B1 (de) Vorrichtung und verfahren zur funktionsüberwachung eines sicherheitsschaltmittels
DE3303791C2 (de) Elektronische Steuerung mit Sicherheitseinrichtungen
EP1680848B1 (de) Vorrichtung und verfahren zum fehlersicheren abschalten eines induktiven verbrauchers
DE3853253T2 (de) Verfahren und System zur Sequenzsteuerung.
DE2804130A1 (de) Elektrische steuerschaltung fuer maschinen mit druckknopfsteuerung
DE3732079C2 (de)
DE3919558C2 (de)
EP0530235B1 (de) Einrichtung zum verstellen der drosselklappe einer brennkraftmaschine
DE2915589A1 (de) Sicherheitsschalteinrichtung
DE2002353B2 (de) Einrichtung zum erkennen und unterscheiden von fehlersignalen
DE1463398C (de) Anordnung zur Signalumsetzung und Fehlerüberwachung fur zweikanalige Steue rungen
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE2047878C (de) Schaltungsanordnung fur Fernmelde Vermittlungsanlagen, insbesondere Fern sprech Vermittlungsanlagen, mit Prüf und Belegungsstromkreisen
DE2260177A1 (de) Einrichtung zur ueberwachung der steuerung einer zyklisch arbeitenden maschine, insbesondere einer spritzgiessmaschine
EP0767478A1 (de) Sicherheitsschaltung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8363 Opposition against the patent
8366 Restricted maintained after opposition proceedings
8305 Restricted maintenance of patent after opposition
D4 Patent maintained restricted
8339 Ceased/non-payment of the annual fee