EP1031420B1 - Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen - Google Patents

Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen Download PDF

Info

Publication number
EP1031420B1
EP1031420B1 EP99103804A EP99103804A EP1031420B1 EP 1031420 B1 EP1031420 B1 EP 1031420B1 EP 99103804 A EP99103804 A EP 99103804A EP 99103804 A EP99103804 A EP 99103804A EP 1031420 B1 EP1031420 B1 EP 1031420B1
Authority
EP
European Patent Office
Prior art keywords
safety
input
output device
control
relevant
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
EP99103804A
Other languages
English (en)
French (fr)
Other versions
EP1031420A1 (de
Inventor
Kai Albrecht
Ulrich Grimm
Reinhard Janzer
Michael Pritschow
Georg Rössler
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Heidelberger Druckmaschinen AG
Original Assignee
Heidelberger Druckmaschinen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Heidelberger Druckmaschinen AG filed Critical Heidelberger Druckmaschinen AG
Priority to EP04102212.0A priority Critical patent/EP1454747B1/de
Publication of EP1031420A1 publication Critical patent/EP1031420A1/de
Application granted granted Critical
Publication of EP1031420B1 publication Critical patent/EP1031420B1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B41PRINTING; LINING MACHINES; TYPEWRITERS; STAMPS
    • B41FPRINTING MACHINES OR PRESSES
    • B41F33/00Indicating, counting, warning, control or safety devices
    • B41F33/0009Central control units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B41PRINTING; LINING MACHINES; TYPEWRITERS; STAMPS
    • B41FPRINTING MACHINES OR PRESSES
    • B41F33/00Indicating, counting, warning, control or safety devices
    • B41F33/0018Protection means against injury to the operator

Definitions

  • the main drive of the machine is also made up of two redundant systems monitored and in the event of a mismatch between safety-relevant states the drive is switched off.
  • the redundant structure includes two computers, one of which controls the main drive and the other the actual machine control. If the main main drive computer fails the computer for the machine control takes over the control function of the Drive computer and leads the main drive to a standstill in a controlled manner. additionally Various protective contacts, emergency stop buttons ect. read, the one hand indirectly via an input card to the drive computer and redundant via direct pin inputs on the drive computer as well Drive computer supplied. Furthermore, the actual values of the main drive element read in via two separate incremental encoders, one of which is directly on the motor and the other on a rotating part of the printing press, for example on Plate cylinder is attached. The signals from the first incremental encoder on the motor are fed to the drive computer via separate signal lines and the signals of the Incremental encoder on the plate cylinder also via separate signal lines Drive computer, as well as the computer for the machine control.
  • a disadvantage of the prior art according to DE 195 29 430 A1 is that in addition to the Monitoring of the drives no further monitoring for other security-relevant processes are taken into account. That means, none can Safety-relevant inputs read in and no redundant safety outputs be set.
  • the object of the invention is to be seen in to create a more cost effective solution that extends safety-relevant functions is possible without additional cable expenditure.
  • the object of the invention is that, by simplifying at the same time the BG prescribed conditions are met.
  • the advantage of the invention is that the import of those relevant for security States does not take place centrally at a point that can be reached via the line, but instead decentralized directly at the point at which the state is created or changed.
  • the means a bus system installed for the transmission of these status signals laid along the press and connecting several security devices installed on site Input / output devices with one or more, for a safety-critical Area of responsible security monitoring controls.
  • the connection to that Bus system takes place in the shortest possible way from the location to which the safety-relevant State is read.
  • a simple extension to additional monitoring further safety-relevant states is possible in that each as modular safety monitoring controls and Security reading device can be connected to the bus system anywhere.
  • the safety input / output devices are installed, for example, on site where there are emergency stop buttons or so-called limit switches of a protective device. Furthermore, the security reading device also queries analog signals such as For example, the temperature of a dryer, which when a Maximum value can cause a shutdown.
  • the safety input / output device reads the status of the emergency stop button, limit switch or Temperature sensor and transmits this to a via a bus system Safety monitoring control.
  • the security monitoring controller is for example attached to a drive element on site which is a continuous or discontinuous safety-critical movement. That is why the movement is safety-critical because an operator can get into the danger area.
  • Safety input / output device switched, which the safety-relevant signals of the drive element and notifies the safety monitoring control.
  • the safety input / output device and the safety monitoring control can in this case be integrated into one unit.
  • the safety input / output device places its read-in state on the bus system, which means that all safety monitoring controls on the bus system have access to the reported message. This process is known as broadcast. It decides for itself whether a safety monitoring controller is interested in the reported message. This means that the message is ignored if the reported safety-critical state is not relevant for the drive monitored by the safety monitoring controller. However, appropriate measures are taken if the reported safety-critical drive is relevant for the drive monitored by the safety monitoring control. Thus, depending on their responsibility, each safety monitoring controller only takes over the essential. The targeted evaluation or utilization of only the important messages relieves Ballast's security system because only the necessary messages are processed.
  • the security monitoring control on the Message of the security input / output direction has access, determines the permitted operating states and only becomes active if there is a faulty state.
  • a faulty condition exists, for example, when a drive is outside the command of the operational control.
  • the redundancy is double Execution of the contacts of the respective switches and buttons and the double Execution of the input / output devices ("normal" input / output device and Safety input / output device).
  • On the drive itself in addition to the encoder Motor, either an additional encoder is attached or the encoder on the motor is considered secure, which is then provided with a redundant evaluation. In any case
  • Safety monitoring control is the operational control as a monitoring body allocated. If the operational control fails or there is a malfunction, all safety-related functions through the safety monitoring control led into a safe state. This is possible because both Operation control, as well as the safety monitoring control via the safety-relevant operating states have the same information.
  • the term "same Information" applies as long as the redundant monitoring of the safety-relevant Operating conditions provides identical results. If this is not the case, the Security monitoring control in place. Whether there is a match of the information in the operational control and the safety monitoring control, is by means of a consistency check checked. This check can be done in the operational control, or in the Security monitoring control take place. If the various controls on separate bus systems connected by bus couplers, the Consistency check is also made in the bus coupler. The consistency check brings the advantage that a restart of the machine after a faulty Condition is only possible when the error has been rectified.
  • Normal operation is always carried out by the actual operating control. Normal operation is when the safety monitoring controller does not detect a faulty status of the operating controller. If there is a faulty state, the safety monitoring control intervenes and guides the actuator / drive element into the safe state in accordance with the specifications.
  • the bus system does not have to be constructed redundantly, rather it is necessary that a failure of the bus system is reliably recognized. Since the safety monitoring control is directly assigned to the drive and if the bus system fails, a routine stored in the safety monitoring control leads the drive to the safe state. The same applies to the safety input / output device. If this detects a failure of the bus system, measures are also carried out which bring about a safe state of the actuating elements to be controlled. These measures are also stored on the safety input / output device.
  • a bus system in the transmission speed is impaired if a large number of participants are connected or if the distance that a bus system covers is very long, for example for the Safety route and the operating route separate bus systems are provided.
  • one bus system is coupled to the other by means of a Bus coupling carried out.
  • several bus systems to be provided by one Bus coupling can be connected. That a bus system regarding the Transmission speed is not affected, is avoided in the design. But there is also an impairment of the transmission speed of the bus system recognized and the machine brought into the safe state.
  • Another variant of the invention provides for the different operating states Machine to define different monitoring criteria. Will a machine at open protective grille in a creep speed that differs from the actual operating case operated, other safety requirements are imposed by the operator be defined by appropriate entries. For example, pressing a separate switch or button can initiate this creep speed. Because of this Creep speed is safety-relevant and the open protective grille from the safety Input / output device is recognized, there is a corresponding message Security monitoring control available. The In contrast to normal operation, safety monitoring control can now in which an open protective grille would lead to the machine coming to a standstill, even with open protective grille allow a maximum speed of the drive element. The means to release the drive for operation.
  • different Monitoring criteria can continue to relate to monitoring the angular position, the acceleration, the torque or something else. Thus, the Different safety regulations assigned to different operating modes become.
  • this safety input / output device has a universal structure with several possibly freely definable inputs and outputs, this device can also do so used to manage non-safety related inputs or outputs.
  • this device In order to the safety input / output device has a double function. Not least Because of the above: double function, the system can be used as a redundancy to save effort be designated.
  • the freely configurable inputs / outputs of the safety input / output device offer the advantage that they can be manufactured as modules in large numbers and are therefore inexpensive.
  • a safety input / output device is also conceivable a component that is used less or for different operating modes remove and replace with a defective one.
  • the configuration of the module could through a software import performed by the machine's operating computer respectively. To meet the regulations of the professional association, would be with this process requires a final safety acceptance, for example may look like that if the safety input / output devices are not configured correctly machine start-up is prevented.
  • a machine not only from one Component consists, but as usual in the printing industry from a printing press which carries out the imaging of paper and one following this machine located further processing machine, for example from a folder.
  • both components can have separate control units form, which are to be regarded as uniform in the security concept.
  • the separate bus systems are interconnected by a bus coupler to connect so that the security-relevant messages from the security input / output devices all connected to the two bus systems Security monitoring controls are accessible. The procedure regarding the handling of the message is identical to the type described at the beginning. Of course, a coupling of several bus systems is also conceivable.
  • the operating control 1 for a number of drive and actuating processes a machine, not shown, preferably printing machine.
  • This Operating control 1 is by means of bus system 2 with a number of input / output devices 3, with safety input / output devices 4, with a Drive control 5 and a safety monitoring control 6 connected.
  • the task of operational control 1 is to coordinate the various Drives 7, which are the main drive of the machine, auxiliary drives for various Tasks such as Raising and lowering the stack of paper, driving the ink fountain pen or Similar and also relates to actuators for example for adjusting registers.
  • the interaction of Adjusting elements 8 coordinates the reading of switches 9, 10 or the displays 11.
  • As Input / output devices serve the input / output devices 3 and Drive control 5.
  • the safety-relevant adjustment processes is a safety Assigned input / output device 4, which controls these processes redundantly, or reads.
  • the drive 7 which, as already mentioned, a main drive, an auxiliary drive or can be an actuator, which in turn can be powered by motors of various technologies ( DC motor, three-phase motor, brushless motor etc.) can be implemented, is put into operation by the drive control 5 by means of the power unit 12.
  • the Connection between drive control 5 and power section 12 is bidirectional.
  • On the Power section 12 also has the security input / output device 4 bidirectional Access.
  • the drive control 5 also exists in each case and the safety input / output device a control option for a brake 15, which is mechanically connected to the drive 7 and this in an emergency can stop. If the drive controller 5 is arrested incorrectly, as a result of which the Drive 7 is operated outside the predetermined speed, engages Safety monitoring device 6 directly towards the power unit 12, interrupts the Power supply for the drive 7 and the brake 15 are applied. The drive 7 is thus led to the safe state.
  • the control element 8 which for example a pneumatic cylinder for turning on and off of ink rollers can be activated by an input / output control 3. Redundant for this purpose, access is also provided via a security input / output device. If the safety input / output device brings faulty behavior here the control element 8 in the safe state.
  • the switches 9, 10 are safety-relevant because they e.g. trigger an emergency stop, or the Represent the open state of a protective grille. Both status queries are considered Designates safety-relevant inputs, which is why redundant switch contacts 9a, 9b and 10a, 10b are required. These are sent separately through the input / output device 3 and the safety input / output device 4 are read.
  • the Safety input / output device 4 can be a common one for all applications Facility or be available separately for each application. This is dependent on the number of available inputs / outputs or on the spatial Assignment. If the switches 9, 10 function correctly, the switch contacts 9a, 9b and 10a, 10b each have the same states.
  • the operation control 1 can also be used to access inputs or outputs can be operated by the safety input / output device 4.
  • This one or Outputs are then defined as ordinary inputs or outputs, that is, they become not considered security relevant.
  • the advantage is that free, not used Inputs or outputs on the safety input / output device can be used. These can be used, for example, for the display 16 or similar functions.
  • FIG. 2 shows essentially the same arrangement of the safety devices as FIG. 1 but with separate bus systems.
  • the bus system 2 for the Connection of the security input / output device 4 and the Safety monitoring device 6 used, while an additional bus system 17th the connection of the actual operating equipment input / output device 3 and Drive control 5 takes over.
  • This constellation is advantageous when a high Number of bus participants (3,4,5,6) depends on the bus system or if the Line length of the bus system exceeds a certain length.
  • the Bus systems 2, 17 coupled by a bus coupler 18. It can be seen that through the Bus coupler 18 can also be connected to other bus systems 19.
  • the Operation control 1 is by a further bus system 20, which for example is a VME bus system can be connected to the bus coupler 18

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Inking, Control Or Cleaning Of Printing Machines (AREA)
  • Operation Control Of Excavators (AREA)

Description

Im Bereich des Maschinenbaus, insbesondere im Druckmaschinenbau ist es seitens der Berufsgenossenschaften erforderlich, daß sicherheitsrelevante Vorgänge an den Maschinen einfehlersicher laufen müssen. Das heißt, eine Steuerung oder ein Teil von ihr ist einfehlersicher, wenn ein einzelner Fehler in der Steuerung zu keiner Gefahr führt. Schaltungstechnisch bedeutet dies, daß bestimmte Funktionen doppelt, das heißt redundant vorhanden sein müssen.
Bei der Steuerung der Fa. Heidelberger Druckmaschinen AG (CP-Tronic) erfolgt dieses dadurch, daß in der Steuerung ein zentrales Sicherheitsmodul vorgesehen ist, in welches Zustände von sicherheitsrelevanten Vorgängen parallel zu den Steuerungsmodulen eingelesen werden. Dabei wird zur Betätigung eines sicherheitsrelevanten Vorgangs ein Schalter mit jeweils einem Öffner und einem Schließer in zwei getrennte Systemen eingelesen bzw. überwacht. Das heißt eine Leitung führt zu dem Steuerungsmodul und eine zweite redundante Leitung führt zu einem zentralen Sicherheitsmodul. Der sicherheitsrelevante Vorgang wird nur ausgelöst, wenn sowohl im Steuerungsmodul, als auch im Sicherheitsmodul eine gleichzeitige Auslösung beider Kontakte erkannt wird.
Der Hauptantrieb der Maschine wird ebenso von zwei redundant aufgebauten Systemen überwacht und im Falle einer Nichtübereinstimmung sicherheitsrelevanter Zustände erfolgt eine Abschaltung des Antriebs. Zum redudanten Aufbau gehören zwei Rechner, von denen einer die Steuerung des Hauptantriebs übernimmt und der andere die eigentliche Maschinensteuerung. Bei Ausfall des eigentlichen Hauptantriebsrechners übernimmt der Rechner für die Maschinensteuerung dieSteuerungsfunktion des Antriebsrechners und führt den Hauptantrieb kontrolliert zum Stillstand. Zusätzlich werden über ein Sicherheitsmodul verschiedene Schutzkontakte, Notaustaster ect. eingelesen, die einerseits über eine Eingabkarte mittelbar dem Antriebsrechner und redundant dazu über direkte Pin-Eingänge am Antriebsrechner ebenso dem Antriebsrechner zugeleitet. Weiterhin werden die Ist-Werte des HauptAntriebselements über zwei getrennte Inkrementalgeber eingelesen, von denen der eine am Motor direkt und der andere an einem drehenden Teil der Druckmaschine, beispielsweise am Plattenzylinder angebracht ist. Die Signale des ersten Inkrementalgebers am Motor werden über separate Signalleitungen dem Antriebsrechner zugeführt und die Signale des Inkrementalgebers am Plattenzylinder ebenfalls über separate Signalleitungen sowohl dem Antriebsrechner, als auch dem Rechner für die Maschinensteuerung.
Nachteilig an dieser Technologie ist, daß von allen sicherheitsrelevanten Einrichtungen jeweils eine Leitung an die eigentlichen Steuermodule und eine zusätzliche Leitung zum zentralen Sicherheitsmodul geführt werden muß, um das Einlesen des Zustandes redundant zu halten. Diese Lösung ist einerseits aufwendig und teuer und bietet andererseits nur beschränkte Erweiterungsmöglichkeiten. Die Erweiterungsmöglichkeiten sind mit ebenfalls hohen Aufwand an Leitungen verbunden und eine Erweiterung ist nur soweit möglich, wie das zentrale Sicherheitsmodul freie Eingänge zum Einlesen des sicherheitrelevanten Zustandes bietet.
Aus dem Stand der Technik ist weiterhin die DE 195 29 430 A1 bekannt, die zur Überwachung von elektrischen Antriebssystemen insbesondere an Druckmaschinen mit Mehrfachantrieben sogenannte Sicherheitsmodule vorschlägt. Diese Sicherheitsmodule bestehen daraus, daß sie vorwiegend als Software realisiert sind und insgesamt drei Komponenten aufweisen. Diese drei Komponenten sind, die Fehlererkennung und - diagnose, die Entscheidungsfindung aufgrund Fehlerart und -größe und die Reaktions- bzw. Maßnahmeneinleitung. Diese Sicherheitsmodule haben einen Zugriff auf Signale im Bereich der Funktionsteile, wie z.B. drehende Zylinder der Druckmaschine, im Bereich der Elektromotoren, der Leistungselektronik, der Signalverarbeitungseinheit und der Netzteile und sind zu deren Vergleich oder Auswertung auf Plausibilität ausgebildet.
Nachteilig an dem Stand der Technik gemäß der DE 195 29 430 A1 ist, daß neben den Überwachungen der Antriebe keine weiteren Überwachungen für sonstige sicherheitsrelevante Vorgänge berücksichtigt werden. Das heißt, es können keine sicherheitsrelevanten Eingänge eingelesen und keine redundanten Sicherheitsausgänge gesetzt werden.
Ausgehend von diesem Stand der Technik ist die Aufgabe der Erfindung darin zu sehen, eine kostengünstigere Lösung zu schaffen, mit der eine Erweiterung von sicherheitsrelevanten Funktionen möglich ist, ohne zusätzlichen Kabelaufwand. Weiterhin besteht die Aufgabe der Erfindung darin, daß bei der Vereinfachung gleichzeitig die durch die BG vorgeschriebenen Bedingungen eingehalten werden.
Die Aufgabe wird erfindungsgemäß durch die Merkmale der Vorrichtungsbzw.Verfahrensansprüche 1 bzw. 8 gelöst. Vorteilhafte Ausgestaltungen ergeben sich durch die abhängigen Ansprüche 2-7 und 9-11
Der Vorteil der Erfindung besteht darin, daß das Einlesen der für die Sicherheit relevanten Zustände nicht zentral an einer mittels Leitung erreichbaren Stelle stattfindet, sondern dezentral unmittelbar an der Stelle, an der der Zustand erzeugt, bzw. verändert wird. Das heißt, ein für die Übermittlung dieser Zustandssignale installiertes Bussystem, wird entlang der Druckmaschine verlegt und verbindet mehrere vor Ort angebrachte Sicherheits Ein-/Ausgabeeinrichtungen mit einer oder mehreren, für einen sicherheitskritischen Bereich verantwortlichen Sicherheitsüberwachungssteuerungen. Die Verbindung zu dem Bussystem erfolgt auf kürzestem Wege von dem Ort, an den der sicherheitsrelevante Zustand eingelesen wird. Eine einfache Erweiterung auf die zusätzlichen Überwachung weiterer sicherheitsrelevanter Zustände ist dadurch möglich, daß jeweils als modulbauweise konzipierte Sicherheitsüberwachungssteuerungen und Sicherheitseinleseinrichtung überall an das Bussystem angeschlossen werden können.
Die Sicherheits Ein-/Ausgabeeinrichtungen sind beispielsweise vor Ort da angebracht, wo sich Notaustaster oder sogenannte Endschalter einer Schutzeinrichtung befinden. Weiterhin fragt die Sicherheitseinlesevorrichtung auch analoge Signale ab wie beispielsweise die Temperatur eines Trockners, welche bei Überschreiten eines Maximalwertes eine Abschaltung bewirken kann. Die Sicherheits Ein-/Ausgabeeinrichtung liest die Zustandsände der Notaustaster, Endschalter oder Temperaturfühler ein und übermittelt diese mittels Bussystem an eine Sicherheitsüberwachungssteuerung. Die Sicherheitsüberwachungssteuerung ist beispielsweise an einem Antriebselement vor Ort angebracht der eine kontinuierliche oder diskontinuierliche sicherheitskritische Bewegung ausführt. Die Bewegung ist deshalb sicherheitskritisch, weil eine Bedienperson in dessen Gefahrenbereich gelangen kann. Zwischen Antriebselement und Sicherheitsüberwachungssteuerung ist ebenfalls eine Sicherheits Ein-/Ausgabeeinrichtung geschaltet, welche die sicherheitsrelevanten Signale des Antriebselements einliest und diese der Sicherheitsüberwachungssteuerung mitteilt. Die Sicherheits Ein-/Ausgabeeinrichtung und die Sicherheitsüberwachungssteuerung kann in diesem Fall in eine Einheit integriert sein.
Die Sicherheits Ein-/Ausgabeeinrichtung legt ihren eingelesenen Zustand auf das Bussystem wodurch alle am Bussystem befindlichen Sicherheitsüberwachungssteuerungen auf die gemeldete Nachricht Zugriff haben. Diesen Vorgang bezeichnet man als broadcast. Ob eine Sicherheitsüberwachungssteuerung an der gemeldeten Nachricht interessiert ist, entscheidet diese für sich selbst. Das heißt, die Nachricht wird ignoriert, wenn der gemeldete sicherheitskritische Zustand für den von der Sicherheitsüberwachungssteuerung überwachten Antrieb nicht relevant ist. Es werden aber entsprechende Maßnahmen durchgeführt, wenn der gemeldete sicherheitskritische für den von der Sicherheitsüberwachungssteuerung überwachten Antrieb relevant ist. Somit übernimmt jede Sicherheitsüberwachungssteuerung abhängig von deren Verantwortung nur das wesentliche. Durch das gezielte Auswerten, bzw. Verwerten von nur den wichtigen Nachrichten wird das Sicherheitssystem von Ballast entlastet, weil nur die notwendigen Nachrichten bearbeitet werden.
Die o.g. Notaustaster und Endschalter werden der Redundanz wegen mit doppelten Kontakten ausgestattet von denen der eine durch die Sicherheits Ein-/Ausgabeeinrichtung und der andere über eine separate betriebsmäßige Ein-/Ausgabeeinrichtung eingelesen wird. Es ist aber auch möglich, beide Kontakte mit derselben Sicherheits Ein-/Ausgabeeinrichtung einzulesen, jedoch über getrennte Eingänge. Die betriebsmäßig vorgesehene Ein-/Ausgabeeinrichtung meldet ihre Nachricht der eigentlichen Betriebssteuerung, welche die entsprechenden Funktionen ausführt. Im Falle, daß die Sicherheits Ein-/Ausgabeeinrichtung beide Kontakte einliest, wird der betriebsmäßig vorgesehene Vorgang auch von der Betriebssteuerung vorgenommen. Das Sicherheitskonzept wird dadurch nicht verlassen, es wird lediglich das Einlesen durch das gleiche Hardwaremittel vorgenommen. Die Sicherheitsüberwachungssteuerung die auf die Nachricht der Sicherheits Ein-/Ausgabeerichtung Zugriff hat, ermittelt daraus die erlaubten Betriebszustände und wird erst aktiv, wenn ein fehlerhafter Zustand vorliegt. Ein fehlerhafter Zustand liegt beispielsweise dann vor, wenn sich ein Antrieb außerhalb der Befehlsvorgabe der Betriebssteuerung befindet. Die Redundanz liegt in der doppelten Ausführung der Kontakte der jeweiligen Schalter und Taster und der doppelten Ausführung der Ein-/Ausgabeeinrichtungen ("normale" Ein-/Ausgabeeinrichtung und Sicherheits Ein-/Ausgabeeinrichtung). Am Antrieb selbst, sind neben dem Encoder am Motor, entweder ein zusätzlicher Encoder angebracht oder der Geber am Motor gilt als sicher, der dann mit einer redundanten Auswertung versehen wird. Die in jedem Fall doppelten Signale werden der Antriebssteuerung und der Sicherheitsüberwachungssteuerung zugeführt.
Neben der oben angeführten sogenannten Hardwareredundanz gibt es weiterhin eine Redundanz in der Überwachung der Funktion. Das heißt die Sicherheitsüberwachungssteuerung ist der Betriebsteuerung als Überwachungsorgan zugeteilt. Fällt die Betriebssteuerung aus, bzw, liegt ein Fehlverhalten vor, werden sämtliche sicherheitsrelevanten Funktionen durch die Sicherheitsüberwachungssteuerung in einen sicheren Zustand geführt. Dieses ist deshalb möglich, weil sowohl die Betriebssteuerung, als auch die Sicherheitsüberwachungssteuerung über die sicherheitsrelevanten Betriebszustände gleiche Informationen haben. Der Begriff "gleiche Information" gilt solange, wie die redundante Überwachung der sicherheitsrelevanten Betriebszustände identische Ergebnisse liefert. Ist dieses nicht der Fall, tritt die Sicherheitsüberwachungssteuerung in Kraft. Ob eine Übereinstimmung der Informationen in der Betriebssteuerung und der Sicherheitsüberwachungssteuerung besteht, wird mittels eines Konsistenzchecks geprüft. Dieser Check kann in der Betriebssteuerung, oder in der Sicherheitsüberwachungssteuerung stattfinden. Falls die verschiedenen Steuerungen an separaten, mittels Buskoppler verbundenen Bussystemen hängen, kann der Kosistenzcheck auch in dem Buskoppler vorgenommen werde. Der Konsistenzcheck bringt den Vorteil, daß ein Wiederanlaufen der Maschine nach einem fehlerhaften Zustand erst dann möglich ist, wenn der Fehler behoben ist.
Welche Steuerung (die eigentliche Betriebssteuerung, oder die redundante Sicherheitsüberwachungssteuerung) letztendlich die Maßnahme bestimmt, wird folgendermaßen festgelegt:
Der Normalbetrieb wird immer durch die eigentlichen Betriebssteuerung vollzogen. Der Normalbetrieb liegt dann vor, wenn die Sicherheitsüberwachungssteuerung keinen fehlerhaften Zustand der Betriebssteuerung feststellt. Liegt ein fehlerhafter Zustand vor, greift die Sicherheitsüberwachungssteuerung ein und führt das Stell-/Antriebselement entsprechend der Vorgaben in den sicheren Zustand.
Das Bussystem muß nicht redundant aufgebaut sein, es ist vielmehr erforderlich daß ein Ausfall des Bussystems sicher erkannt wird. Da die Sicherheitsüberwachungssteuerung direkt dem Antrieb zugeordnet ist und bei Ausfall des Bussystems eine in der Sicherheitsüberwachungssteuerung abgelegte Routine den Antrieb in den sicheren Zustand führt.
Das gleiche gilt für die Sicherheits Ein-/Ausgabeeinrichtung. Falls diese einen Ausfall des Bussystems erkennt, werden ebenfalls Maßnahmen ausgeführt, die einen sicheren Zustand der anzusteuernden Stellelemente bewirken. Diese Maßnahmen sind ebenso auf der Sicherheits Ein-/Ausgabeeinrichtung hinterlegt.
Es ist jedoch denkbar, da ein Bussystem in der Übertragungsgeschwindigkeit beeinträchtigt wird, wenn eine große Anzahl von Teilnehmern angeschlossen sind, bzw. wenn die Strecke die ein Bussystem abdeckt sehr lang ist, daß beispielsweise für den Sicherheitsweg und den Betriebsweg getrennte Bussysteme vorgesehen sind. In diesem Fall wird eine Kopplung des einen Bussystems mit dem anderen mittels einer Buskopplung durchgeführt. Denkbar ist auch, daß mehrere Bussysteme durch eine solche Buskopplung verbunden werden. Daß ein Bussystem bezüglich der Übertragungsgeschwindigkeit nicht beeinträchtigt ist, wird bei der Konzeption vermieden. Aber auch eine Beeinträchtigung der Übertragungsgeschwindigkeit des Bussystems wird erkannt und die Maschine in den sicheren Zustand beführt.
Um zu erkennen, ob ein Bussystem ausgefallen ist gibt es die Möglichkeit, daß die verschiedenen Teilnehmer sich in einem definierten Zeittakt Informationen zusenden. Bleibt eine Information aus wird dieses als Ausfall des Bussystems gewertet und die Sicherheitsüberwachungssteuerungen, für die der Ausfall des Bussystems relevant ist aktivieren die Routinen, die zum sicheren Zustand führen. Diesen Überwachungsvorgang bezeichnet man als Watch Dog. Anhand des zyklischen Sendens und Empfangens von Informationen kann beim Ausfall eines lokalen Bussystems erkannt werden welches der lokalen Bussysteme einen Defekt hat. Es ist dann auch denkbar, daß die Buskopplung eine Information auf die noch intakten Bussysteme legt, wodurch der Defekt des gestörten Bussystems gemeldet wird. Ob nun eine Sicherheitsüberwachungseinrichtung an einem noch intakten Bussystem auf diese Meldung reagiert oder nicht obliegt der Sicherheitsüberwachungseinrichtung selbst, da sie erkennt ob aus der Situation ein sicherheitskritischer Zustand entsteht oder nicht.
Eine weitere Variante der Erfindung sieht vor, für verschiedene Betriebszustände der Maschine unterschiedliche Überwachungskriterien zu definieren. Wird eine Maschine bei offenem Schutzgitter in einem vom eigentlichen Betriebsfall abweichenden Schleichgang betrieben, werden hierzu andere Sicherheitsanforderungen gestellt, die vom Bediener durch entsprechende Eingaben definiert werden. Beispielsweise das Drücken eines separaten Schalters oder Tasters kann diesen Schleichgang einleiten. Da dieser Schleichgang sicherheitsrelevant ist und das geöffnete Schutzgitter von der Sicherheits Ein-/Ausgabeeinrichtung erkannt wird, steht eine entsprechende Nachricht der Sicherheitsüberwachungssteuerung zur Verfügung. Die Sicherheitsüberwachungssteuerung kann nun im Gegensatz zum normalen Betriebsfall, bei dem ein geöffnetes Schutzgitter zum Stillstand der Maschine führen würde, auch bei offenem Schutzgitter eine maximale Geschwindigkeit des Antriebselements zulassen. Das heißt eine Freigabe zum Betrieb des Antriebs erteilen. Unterschiedliche Überwachungskriterien können sich weiterhin auf die Überwachung der Winkelposition, die Beschleunigung, das Drehmoment oder sonstiges beziehen. Somit können den verschiedenen Betriebsarten unterschiedliche Sicherheitsbestimmungen zugeordnet werden.
Bezüglich der räumlichen Anordnung der Sicherheitsüberwachungssteuerung ist folgende Variante möglich:
Das Stell-/ Antriebselement verfügt über eine direkt ihm zugeordnete Regelung, Stromrichter und Leistungsteil. Diese Regelung empfängt seitens der Betriebssteuerung Befehle, welche beispielsweise heißen:
  • fahre mit einer konstanten Drehzahl 3000 Druck/h,
  • bringe das Antriebselement bei der Winkelstellung 270 Grad zum Stillstand,
  • usw.
Das heißt, die Aufgabe der Betriebssteuerung besteht darin, Befehle zu verwalten und auszugeben. Die nun die Betriebssteuerung und die Antriebe überwachende Sicherheitsüberwachungssteuerung wird deshalb auch dem Stell-/Antriebselement zugeordnet, weil im Falle eines Fehlers ein Herunterführen in den sicheren Zustand direkt am Stell-/Antriebselement durchgeführt werden kann, auch ohne daß Befehle über das Bussystem geschickt werden müssen. In diesem Fall bringt die Sicherheitsüberwachungssteuerung über redundante Signale das Stell-/Antriebselement in den sicheren Zustand. Die räumliche Zuordnung der Sicherheits Ein-/Ausgabeeinrichtung ist ähnlich vorgesehen. Diese wird auch unmittelbar vor Ort dort angebracht wo eine Einlesen bzw. eine Ausgabe erfolgt.
Da diese Sicherheits Ein-/Ausgabe Einrichtung einen universellen Aufbau mit mehreren möglicherweise frei definierbaren Ein-Ausgängen hat, kann diese Einrichtung auch dazu benutzt werden, nichtsicherheitserlevante Ein- oder Ausgänge zu verwalten. Damit kommt der Sicherheits Ein-/Ausgabe Einrichtung eine Doppelfunktion zu. Nicht zuletzt wegen der o.g: Doppelfunktion kann das System als aufwandssparende Redundanz bezeichnet werden.
Die frei konfigurierbaren Ein-/Ausgängen der Sicherheits Ein-/Ausgabe Einrichtung bieten den Vorteil, daß diese als Module in hoher Stückzahl gefertigt werden können und deshalb kostengünstig sind.
Ein zusätzlicher Vorteil der Standardisierung ist darin zu sehen, daß der Servicetechniker vor Ort nur eine geringe Anzahl von Varianten beachten muß, daß dadurch ein schneller Austausch vorgenommen werden kann und die Verfügbarkeit der Maschine schnell wieder hergestellt ist. Es ist auch denkbar eine Sicherheits Ein-/Ausgabeeinrichtung an einer weniger oder für verschiedene Betriebsarten nicht benutzten Komponente zu entnehmen und gegen eine defekte auszutauschen. Die Konfiguration des Moduls könnte durch eine vom Betriebsrechner der Maschine vorgenommene Softwareeinspielung erfolgen. Um den Vorschriften der Berufsgenossenschaft gerecht zu werden, wäre bei diesem Vorgang eine abschließende Sicherheitsabnahme erforderlich, die beispielsweise so aussehen kann, daß bei nicht sachgemäßer Konfiguration der Sicherheits Ein-/Ausgabeeinrichtungen ein Anlaufen der Maschine verhindert wird.
In einer weiteren Variante ist vorgesehen, daß eine Maschine nicht nur aus einer Komponente besteht, sondern wie in der Druckindustrie üblich aus einer Druckmaschine die das Bebildern von Papier vornimmt und einer im Anschluß an diese Maschine befindlichen Weiterverarbeitungsmaschine, beispielsweise aus einem Falzapparat. Für sich genommen können beide Komponenten steuerungstechnisch separate Einheiten bilden, die jedoch im Sicherheitskonzept als einheitlich zu betrachten sind. Für diesen Fall ist es vorgesehen, die jeweils getrennten Bussysteme miteinander durch einen Buskoppler zu verbinden, so daß die sicherheitsrelevanten Nachrichten von den Sicherheits Ein-/Ausgabeeinrichtungen allen an den beiden Bussystemen angekoppelten Sicherheitsüberwachungssteuerungen zugänglich sind. Die Vorgehensweise bezüglich dem Umgang mit der Nachricht ist identisch mit der eingangs beschriebenen Art. Selbstverständlich ist auch eine Kopplung mehrerer Bussysteme denkbar.
Die Erfindung soll nachträglich anhand von eines Ausführungsbeispiels näher erläutert werden.
Es zeigt:
  • Fig. 1 ein Blockschaltbild des Sicherheitskonzepts,
  • Fig. 2 ein Blockschaltbild des Sicherheitskonzepts mit getrennten Bussystemen.
    • Fig. 1 zeigt eine Betriebssteuerung 1 für eine Anzahl von Antriebs und Stellvorgängen an einer nicht dargestellten Maschine, vorzugsweise Druckmaschine. Diese Betriebssteuerung 1 ist mittels Bussystem 2 mit einer Anzahl von Ein-/Ausgabeeinrichtungen 3, mit Sicherheits Ein-/Ausgabeeinrichtungen 4, mit einer Antriebssteuerung 5 und einer Sicherheitsüberwachungssteuerung 6 verbunden. Die Aufgabe der Betriebssteuerung 1 besteht darin die Koordination der verschiedenen Antriebe 7, welche den Hauptantrieb der Maschine, Hilfsantriebe für verschiedene Aufgaben wie z.B. Heben und Senken des Papierstapels, Antreiben des Farbduktors oder ähnliches und auch Stellantriebe beispielsweise zum Verstellen von Registern betrifft. Zusätzlich werden durch die Betriebssteuerung 1 auch das Zusammenspiel von Stellelementen 8 das Einlesen von Schaltern 9,10 oder die Anzeigen 11 koordiniert. Als Ein-/Ausgabeorgane dienen dazu die Ein-/Ausgabeeinrichtungen 3 und die Antriebssteuerung 5. Den sicherheitsrelevanten Verstellvorgängen ist eine Sicherheits Ein-/Ausgabeeinrichtung 4 zugeordnet, welche redundant diese Vorgänge steuert, bzw. einliest.
    Der Antrieb 7, welcher wie bereits erwähnt ein Hauptantrieb, ein Hilfsantrieb oder auch ein Stellantrieb sein kann, die wiederum durch Motoren verschiedenster Technologien ( Gleichstrommotor, Drehstrommotor, bürstenloser Motor etc.) ausgeführt sein können, wird durch die Antriebssteuerung 5 mittels Leistungsteil 12 in Betrieb gesetzt. Die Verbindung zwischen Antriebssteuerung 5 und Leistungsteil 12 ist bidirektional. Auf das Leistungsteil 12 hat auch die Sicherheits Ein-/Ausgabeeinrichtung 4 bidirektionalen Zugriff. An dem Antrieb 7 befinden sich je ein Encoder 13, 14 welcher aus einem Geber und einer Auswerteschaltung besteht, wodurch die Position, möglicherweise auch die Drehzahl des Antriebs 7 erfaßt wird. Diese Information wird von beiden Encodern 13,14 einerseits der Antriebssteuerung 5 und andererseits der Sicherheits Ein-/Augabeeinrichtung 4 zugeleitet. Weiterhin besteht jeweils von der Antriebssteuerung 5 und der Sicherheits Ein-/Ausgabeeinrichtung eine Ansteuermöglichkeit zu einer Bremse 15, die in mechanischer Wikverbindung zu dem Antrieb 7 steht und diesen im Notfall stillsetzen kann. Tritt ein fehlerhaftes Verhaften der Antriebssteuerung 5 ein, wodurch der Antrieb 7 außerhalb der vorgegebenen Drehzahl betrieben wird, greift die Sicherheitsüberwachungseinrichtung 6 direkt auf das Leistungsteil 12 zu, unterbricht die Stromzufuhr für den Antrieb 7 und läßt die Bremse 15 einfallen. Der Antrieb 7 ist somit in den sicheren Zustand geführt.
    Das Stellelement 8, welcher beispielsweise ein Pneumatikzylinder zum An- und Abstellen von Farbwalzen sein kann, wird durch eine Ein-/Ausgabesteuerung 3 aktiviert. Redundant dazu ist der Zugriff auch über eine Sicherheits Ein-/Ausgabeeinrichtung vorgesehen. Falls hier ein fehlerhaftes Verhalten vorliegt, bringt die Sicherheits Ein-/Ausgabeeinrichtung den Stellelement 8 in den sicheren Zustand.
    Die Schalter 9, 10 sind sicherheitsrelevant, weil sie z.B. einen Notstop auslösen, oder den geöffneten Zustand eines Schutzgitters darstellen. Beide Zustandsabfragen werden als sicherheitsrelevante Eingaben bezeichnet, weshalb redundante Schalterkontakte 9a, 9b und 10a, 10b erforderlich sind. Diese werden auf getrenntem Weg durch die Ein-/Ausgabeeinrichtung 3 und die Sicherheits Ein-/Ausgabeeinrichtung 4 eingelesen. Die Sicherheits Ein-/Ausgabeeinrichtung 4 kann für alle Anwendungsfälle eine gemeinsame Einrichtung oder für jeden Anwendungsfall getrennt vorhanden sein. Dieses ist abhängig von der Anzahl der zur Verfügung stehenden Ein-/Ausgänge bzw. von der räumlichen Zuordnung. Bei fehlerloser Funktion der Schalter 9,10 haben die Schalterkontakte 9a,9b und 10a, 10b jeweils gleiche Zustände. Ist ein Schalterkontakt 9a,9b oder 10a,10b fehlerhaft oder ist die Kabelverbindung zwischen Schalterkontakt 9a,9b oder 10a, 10b fehlerhaft, werden in der Ein-/Ausgabeeinrichtung 3 und der Sicherheits Ein-/Ausgabeeinrichtung 4 unterschiedliche Zustände erkannt. Die Sicherheitsüberwachungseinrichtung 6 bringt daraufhin den Antrieb 7 und den Stellelement 8 in den sicheren Zustand.
    Durch die Betriebssteuerung 1 kann auch ein Zugriff auf Ein- oder Ausgänge erfolgen die durch die Sicherheits Ein- /Ausgabeeinrichtung 4 bedient werden. Diese Ein- oder Ausgänge sind dann als gewöhnliche Ein- oder Ausgänge definiert, das heißt sie werden nicht als sicherheitsrelevant betrachtet. Der Vorteil besteht darin, daß freie, nicht benutzte Ein- oder Ausgänge auf der Sicherheits Ein-/Ausgabeeinrichtung genutzt werden können. Diese sind zum Beispiel für die Anzeige 16 oder ähnliche Funktionen verwendbar.
    Fig. 2 zeigt im wesentlichen die gleiche Anordnung der Sicherheitseinrichtungen wie Fig. 1 jedoch mit getrennt aufgebauten Bussystemen. Hierbei wird das Bussystem 2 für die Anbindung der Sicherheits Ein-/Ausgabeeinrichtung 4 und der Sicherheitsüberwachungseinrichtung 6 benutzt, während ein zusätzliches Bussystem 17 die Anbindung der eigentlichen Betriebseinrichtungen Ein-/Ausgabeeinrichtung 3 und Antriebssteuerung 5 übernimmt. Diese Konstellation ist dann vorteilhaft, wenn eine hohe Anzahl von Busteilnehmern (3,4,5,6) an dem Bussystem hängt oder wenn die Leitungslänge des Bussystems eine bestimmte Länge überschreitet. In Fig. 2 werden die Bussysteme 2, 17 durch einen Buskoppler 18 gekoppelt. Es ist erkennbar, daß durch den Buskoppler 18 noch weitere Bussysteme 19 angebunden werden können. Die Betriebssteuerung 1 ist durch ein weiteres Bussystem 20, welches beispielsweise ein VME- Bussystem sein kann, mit dem Buskoppler 18 verbunden
    Bezugszeichenliste
    1
    Betriebssteuerung
    2
    Bussystem
    3
    Ein-/Ausgabeeinrichtung (Busteilnehmer)
    4
    Sicherheits Ein-/Ausgabeeinrichtung (Busteilnehmer)
    5
    Antriebssteuerug (Busteilnehmer)
    6
    Sicherheitsüberwachungseinrichtung (Busteilnehmer)
    7
    Antrieb
    8
    Stellelement
    9
    Schalter
    9a,9b
    Schalterkontakt
    10
    Schalter
    10a,10b
    Schalterkontakt
    11
    Anzeige
    12
    Leistungsteil
    13
    Encoder
    14
    Encoder
    15
    Bremse
    16
    Anzeige
    17
    Bussystem
    18
    Buskoppler
    19
    Bussystem
    20
    Bussystem

    Claims (11)

    1. Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Stell-/Antriebselementen an Maschinen mit
      mindestens einer Betriebssteuerung für sicherheitsrelevante und nichtsicherheitsrelevante Vorgänge, mindestens einer Sicherheitsüberwachungssteuerung mindestens einer Sicherheits Ein/-Ausgabeeinrichtung und
      einem redundant aufgebauten Ein-/Ausgabesystem für sicherheitsrelevante Vorgänge
      dadurch gekennzeichnet, daß mindestens ein Feldbussystem (2) die Betriebssteuerung (1), die mindestens eine Sicherheits Ein/Ausgabeeinrichtung (4) und die mindestens eine Sicherheitsüberwachungssteuerung (6) miteinander verbindet und daß die Sicherheits Ein-/Ausgabeeinrichtung (4) oder die Sicherheitsüberwachungssteuerung (6) unter Zwischenschaltung der Sicherheits Ein-/Ausgabeeinrichtung (4) an dem den sicherheitsrelevanten Vorgang ausführenden bzw, eingebbaren Stell-/Antriebselement (7,8;9,10) verteilt angeordnet ist
    2. Vorrichtung nach Anspruch 1,
      dadurch gekennzeichnet, daß die mindestens eine Sicherheits Ein-/Ausgabeeinrichtung (4) dezentral an dem jeweiligen Stell-/Antriebselement (7,8) angeordnet ist und daß diese mit mindestens einer Sicherheitsüberwachungssteuerung (6) mittels Feldbussystem (2) verbunden ist.
    3. Vorrichtung nach Anspruch 1,
      dadurch gekennzeichnet, daß die Sicherheits Ein-/Ausgabeeinrichtung (4) als Ein-/Ausgabeeinrichtung (3) für nichtsicherheitsrelevante Vorgänge verwendbar ist.
    4. Vorrichtung nach Anspruch 1,
      dadurch gekennzeichnet, daß die Sicherheits Ein-/Ausgabeeinrichtung (4) und die Ein-/Ausgabeeinrichtung (3) gegenseitig austauschbar sind.
    5. Vorrichtung nach Anspruch 1,
      dadurch gekennzeichnet, daß die Sicherheitsüberwachungssteuerung (6) und/oder die Sicherheits Ein-/Ausgabeeinrichtung (4) entsprechend ihrem Einsatz konfigurierbar ist
    6. Vorrichtung nach Anspruch 1,
      dadurch gekennzeichnet, daß mehrere Feldbussysteme (2,17,19) verschiedener Maschinenkomponenten sicherheitstechnisch mittels Buskoppler (18) aneinanderkoppelbar sind.
    7. Vorrichtung nach einem der vorhergehenden Ansprüche ,
      dadurch gekennzeichnet, daß das Feldbussystem (2,17,19) ein CAN-Bus ist.
    8. Verfahren zur Überwachung von sicherheitsrelevanten Vorgängen an Stell-/Antriebselementen an Maschinen mit mindestens einem Betriebsrechner, mindestens einer Steuerung für sicherheitsrelevante Vorgänge, mindestens einer Sicherheitsüberwachungssteuerung
      mindestens einer Sicherheits Ein-/Ausgabeeinrichtung und einem redundant aufgebauten
      Ein-/Ausgabesystem für sicherheitsrelevante Vorgänge
      dadurch gekennzeichnet, daß eine von der mindestens einen Sicherheits Ein-/Ausgabeeinrichtung (4) eingelesene Nachricht auf das Bussystem (2,17,19) gelegt wird, und daß die auf dem Bussystem (2,17,19) befindliche Nachricht erst von der mindestens einen Sicherheitsüberwachungssteuerung (6) übernommen wird, wenn diese Nachricht für die Sicherheitsüberwachungssteuerung (6) relevant ist.
    9. Verfahren nach Anspruch 8,
      dadurch gekennzeichnet, daß in der Betriebssteuerung (1), oder in der Sicherheitsüberwachungssteuerung (6) oder in einem Buskoppler (18) ein Konsistenzcheck durchgeführt wird.
    10. Verfahren nach Anspruch 8,
      dadurch gekennzeichnet, daß anhand der von der mindestens einen Sicherheits Ein-/Ausgabeeinrichtung (4) eingelesenen Nachricht unterschiedliche Überwachungskriterien definiert werden.
    11. Verfahren nach Anspruch 9,
      dadurch gekennzeichnet, daß die unterschiedlichen Überwachungskriterien durch die unterschiedlichen Betriebsarten der Maschine vorgegeben werden.
    EP99103804A 1999-02-25 1999-02-26 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen Expired - Lifetime EP1031420B1 (de)

    Priority Applications (1)

    Application Number Priority Date Filing Date Title
    EP04102212.0A EP1454747B1 (de) 1999-02-25 1999-02-26 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen

    Applications Claiming Priority (2)

    Application Number Priority Date Filing Date Title
    DE19908230A DE19908230A1 (de) 1999-02-25 1999-02-25 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen
    DE19908230 1999-02-25

    Related Child Applications (1)

    Application Number Title Priority Date Filing Date
    EP04102212.0A Division EP1454747B1 (de) 1999-02-25 1999-02-26 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen

    Publications (2)

    Publication Number Publication Date
    EP1031420A1 EP1031420A1 (de) 2000-08-30
    EP1031420B1 true EP1031420B1 (de) 2004-08-11

    Family

    ID=7898878

    Family Applications (2)

    Application Number Title Priority Date Filing Date
    EP04102212.0A Expired - Lifetime EP1454747B1 (de) 1999-02-25 1999-02-26 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen
    EP99103804A Expired - Lifetime EP1031420B1 (de) 1999-02-25 1999-02-26 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen

    Family Applications Before (1)

    Application Number Title Priority Date Filing Date
    EP04102212.0A Expired - Lifetime EP1454747B1 (de) 1999-02-25 1999-02-26 Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen

    Country Status (4)

    Country Link
    US (1) US6832121B1 (de)
    EP (2) EP1454747B1 (de)
    JP (1) JP5052710B2 (de)
    DE (2) DE19908230A1 (de)

    Families Citing this family (25)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    JP2000038909A (ja) 1998-07-22 2000-02-08 Mitsubishi Electric Corp バルブタイミング可変装置
    DE19927635B4 (de) * 1999-06-17 2009-10-15 Phoenix Contact Gmbh & Co. Kg Sicherheitsbezogenes Automatisierungsbussystem
    DE20000919U1 (de) * 2000-01-20 2000-03-09 Roland Man Druckmasch Überwachungseinrichtung für eine Druckmaschine
    DE10227241A1 (de) * 2002-06-19 2004-01-15 Koenig & Bauer Ag Steuerung für Rotationsdruckmaschinen
    CN100559308C (zh) * 2003-02-10 2009-11-11 伦兹驱动系统有限责任公司 (具有传感器的)电气传动装置的无冗余安全监控
    DE102004019284A1 (de) * 2004-04-21 2005-11-10 Aradex Ag Vorrichtung zum Betrieb eines Synchronmotors
    DE102005046373B4 (de) * 2005-09-28 2007-12-13 Siemens Ag Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
    DE102006011201B4 (de) * 2006-03-10 2011-12-01 Koenig & Bauer Aktiengesellschaft Druckmaschine mit mehreren Antriebseinheiten
    DE102006037975A1 (de) * 2006-08-14 2008-02-28 Siemens Ag Signalumsetzeinrichtung, Betriebsverfahren für eine Signalumsetzeinrichtung und Erstellverfahren für eine Programmierung für eine Signalumsetzeinrichtung
    DE102006053027A1 (de) * 2006-11-10 2008-05-15 Man Roland Druckmaschinen Ag Verfahren zum Betreiben einer Druckmaschine
    CN101204871B (zh) * 2006-12-23 2011-06-29 海德堡印刷机械股份公司 用于外围设备的基于浏览器的操作界面
    DE102007038722A1 (de) * 2007-08-16 2009-02-26 Siemens Ag Verfahren zum Auslösen von Aktionen einer Maschine durch sichere Eingabeelemente
    DE102008001214B4 (de) 2008-04-16 2011-07-14 KOENIG & BAUER Aktiengesellschaft, 97080 Maschineneinheit einer Druckanlage mit mindestens einem von einer Steuereinheit gesteuerten Aktor
    US8285402B2 (en) * 2008-07-14 2012-10-09 Ge Intelligent Platforms, Inc. Method and system for safety monitored terminal block
    DE102009041632A1 (de) * 2009-09-17 2011-03-24 Aeg Power Solutions B.V. Schaltungsanordnung mit einem Umrichterteil umfassend eine zentrale Steuereinheit
    AT509310B1 (de) * 2009-12-16 2015-10-15 Bachmann Gmbh Verfahren zum betrieb einer speicherprogrammierbaren steuerung (sps) mit dezentraler, autonomer ablaufsteuerung
    US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
    DE102013000889B4 (de) * 2012-02-10 2021-04-15 Heidelberger Druckmaschinen Ag Druckmaschinensteuerung mit eigenfehlersicherer Bremsenansteuerung
    US9798302B2 (en) * 2013-02-27 2017-10-24 Rockwell Automation Technologies, Inc. Recognition-based industrial automation control with redundant system input support
    JP5642828B2 (ja) 2013-03-28 2014-12-17 ファナック株式会社 二つの軸を互いに同期させる同期制御装置
    EP2899708B1 (de) * 2014-01-28 2017-05-17 Siemens Schweiz AG Kombination von Bussen für Gefahrenverwaltungssystem
    DE102018219331A1 (de) * 2018-11-13 2020-05-14 Conti Temic Microelectronic Gmbh Betreiben eines bürstenlosen Gleichstrommotors
    DE102019213752A1 (de) 2019-09-10 2021-03-11 Vitesco Technologies Germany Gmbh Verfahren zur Steuerung einer Motoreinheit und Motoreinheit zur Durchführung eines solchen Verfahrens
    DE102020118991A1 (de) 2020-07-17 2022-01-20 Viessmann Werke Gmbh & Co Kg System zum Steuern eines Elektromotors
    US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes

    Family Cites Families (14)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE4000295C2 (de) * 1990-01-08 1994-05-19 Heidelberger Druckmasch Ag Vorrichtung zur Diagnose eines Steuersystems einer Druckmaschine
    US5086401A (en) * 1990-05-11 1992-02-04 International Business Machines Corporation Image-directed robotic system for precise robotic surgery including redundant consistency checking
    ATE102322T1 (de) * 1990-07-12 1994-03-15 Elektronik Geraetewerk Gmbh Vorrichtung zur sicherheitsueberwachung bei schutzeinrichtungen mit normaler und ueberhoehter sicherheit von mehrachsigen drehbewegungen durchfuehrenden maschinen.
    DE4225834A1 (de) * 1992-08-05 1994-02-10 Inter Control Koehler Hermann Speicherprogrammierbare digitale Steuerungseinrichtung
    DE4312305C5 (de) * 1993-04-15 2004-07-15 Abb Patent Gmbh Sicherheitsgerichtete speichergrogrammierbare Steuerung
    DE4433013A1 (de) * 1994-09-15 1996-03-28 Jochen Bihl Verfahren und Vorrichtung zur Steuerung und Aktivierung von miteinander mittels eines Bussystems vernetzten Sensoren und/oder Aktuatoren
    DE19502499A1 (de) * 1995-01-27 1996-08-01 Pepperl & Fuchs Bussystem zur Steuerung und Aktivierung von miteinander vernetzten ASI-Slaves, vorzugsweise binäre Sensoren oder Eingangsmodule und/oder Ausgangsmodule oder Aktuatoren eines Aktuator-Sensor-Interface
    DE19529430C2 (de) * 1995-07-06 2000-07-13 Baumueller Nuernberg Gmbh Elektrisches Antriebssystem zur Verstellung von mehreren dreh- und/oder verschwenkbaren Funktionsteilen
    DE19540069A1 (de) * 1995-10-27 1997-04-30 Elan Schaltelemente Gmbh Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
    US5880954A (en) * 1995-12-04 1999-03-09 Thomson; Robert Continous real time safety-related control system
    DE19606673C1 (de) * 1996-02-22 1997-04-10 Siemens Ag Aktuator-Sensor-Interface-System
    US6047222A (en) * 1996-10-04 2000-04-04 Fisher Controls International, Inc. Process control network with redundant field devices and buses
    DE19716457C2 (de) * 1997-04-21 1999-07-01 Baumueller Nuernberg Gmbh Steuerungsverfahren für ein elektrisches Antriebssystem zum synchronen Verstellen mehrerer bewegbarer Funktionsteile
    JPH11299291A (ja) * 1998-04-16 1999-10-29 Sanyo Denki Co Ltd 多軸モータ制御装置

    Also Published As

    Publication number Publication date
    EP1454747A3 (de) 2007-10-10
    US6832121B1 (en) 2004-12-14
    EP1454747A2 (de) 2004-09-08
    DE19908230A1 (de) 2000-08-31
    DE59910196D1 (de) 2004-09-16
    EP1454747B1 (de) 2014-04-02
    EP1031420A1 (de) 2000-08-30
    JP5052710B2 (ja) 2012-10-17
    JP2000246878A (ja) 2000-09-12

    Similar Documents

    Publication Publication Date Title
    EP1031420B1 (de) Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen
    EP0243728B2 (de) Sicherheitssystem für eine Druckmaschine
    DE3208573C2 (de) 2 aus 3-Auswahleinrichtung für ein 3-Rechnersystem
    EP0747214B1 (de) Verfahren zum Steuern eines Mehrmotorenantriebs einer Druckmaschine sowie entsprechende Steuerung
    DE19834870A1 (de) Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller
    EP2132440B1 (de) Antriebseinrichtung zum antreiben von mehreren achsen
    DE19529430C2 (de) Elektrisches Antriebssystem zur Verstellung von mehreren dreh- und/oder verschwenkbaren Funktionsteilen
    DE102005014804A1 (de) Bordnetzsystem für ein Kraftfahrzeug sowie Steuergerät und intelligentes Energieversorgungsgerät für ein Bordnetzsystem eines Kraftfahrzeugs
    EP1375140B1 (de) Steuerung der Rotationsdruckmaschinen
    EP2859226B1 (de) Sicherheitssystem für eine windenergieanlage
    WO1999029612A1 (de) Sicherheitseinrichtung für rolltreppen und rollsteige
    EP2433184B1 (de) Steuerungssystem zum steuern eines prozesses
    EP1128241B1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
    EP1252020B1 (de) Überwachungseinrichtung für eine druckmaschine
    DE29824256U1 (de) Einheit zur Sicherheitsüberwachung von Steuerungseinrichtungen
    DE19732764B4 (de) Übertragungseinrichtung für Steuersignale, insbesondere in Fahrzeugen
    DE10052046B4 (de) Steuerung für Rotationsdruckmaschinen
    EP3733482B1 (de) Lenkanordnung, fahrzeug und verfahren
    DE10344070B4 (de) Antriebsmodul für eine Druckmaschine
    EP2048555A1 (de) Analoge Ausgabeeinheit mit Fehlererkennung
    DE10018774B4 (de) Verfahren und Schaltungsanordnung zum lagegeregelten Stillsetzen von rotierenden Bauteilen bei wellenlosen Antrieben bei Spannungsausfall
    DE102008001214B4 (de) Maschineneinheit einer Druckanlage mit mindestens einem von einer Steuereinheit gesteuerten Aktor
    EP1106351A2 (de) Vorrichtung zur Steuerung einer Druckmaschine, insbesondere einer Bogenoffsetdruckmaschine
    EP1213199B1 (de) Spannungsversorgung für Logik-und Leistungselektronik eines Radstellers
    DE29923430U1 (de) Überwachungseinheit zur Sicherheitsüberwachung von Steuerungseinrichtungen

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AK Designated contracting states

    Kind code of ref document: A1

    Designated state(s): BE CH DE FR GB IT LI NL

    AX Request for extension of the european patent

    Free format text: AL;LT;LV;MK;RO;SI

    17P Request for examination filed

    Effective date: 20000715

    AKX Designation fees paid

    Free format text: BE CH DE FR GB IT LI NL

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    GRAP Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOSNIGR1

    GRAS Grant fee paid

    Free format text: ORIGINAL CODE: EPIDOSNIGR3

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): BE CH DE FR GB IT LI NL

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: NL

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

    Effective date: 20040811

    Ref country code: IT

    Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT;WARNING: LAPSES OF ITALIAN PATENTS WITH EFFECTIVE DATE BEFORE 2007 MAY HAVE OCCURRED AT ANY TIME BEFORE 2007. THE CORRECT EFFECTIVE DATE MAY BE DIFFERENT FROM THE ONE RECORDED.

    Effective date: 20040811

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REF Corresponds to:

    Ref document number: 59910196

    Country of ref document: DE

    Date of ref document: 20040916

    Kind code of ref document: P

    GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

    Effective date: 20040922

    NLV1 Nl: lapsed or annulled due to failure to fulfill the requirements of art. 29p and 29m of the patents act
    ET Fr: translation filed
    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    26N No opposition filed

    Effective date: 20050512

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: PLFP

    Year of fee payment: 17

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: CH

    Payment date: 20150220

    Year of fee payment: 17

    Ref country code: DE

    Payment date: 20150228

    Year of fee payment: 17

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: GB

    Payment date: 20150220

    Year of fee payment: 17

    Ref country code: FR

    Payment date: 20150223

    Year of fee payment: 17

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: BE

    Payment date: 20150220

    Year of fee payment: 17

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: BE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160229

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R119

    Ref document number: 59910196

    Country of ref document: DE

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    GBPC Gb: european patent ceased through non-payment of renewal fee

    Effective date: 20160226

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: CH

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160229

    Ref country code: LI

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160229

    REG Reference to a national code

    Ref country code: FR

    Ref legal event code: ST

    Effective date: 20161028

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: DE

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160901

    Ref country code: FR

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160229

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

    Effective date: 20160226