EP2077007A2 - Bussystem und verfahren zum betreiben eines solchen - Google Patents

Bussystem und verfahren zum betreiben eines solchen

Info

Publication number
EP2077007A2
EP2077007A2 EP07818554A EP07818554A EP2077007A2 EP 2077007 A2 EP2077007 A2 EP 2077007A2 EP 07818554 A EP07818554 A EP 07818554A EP 07818554 A EP07818554 A EP 07818554A EP 2077007 A2 EP2077007 A2 EP 2077007A2
Authority
EP
European Patent Office
Prior art keywords
switching state
output
switch
output switch
bus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
EP07818554A
Other languages
English (en)
French (fr)
Inventor
Matthias Hofmayer
Michael Kindermann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pepperl and Fuchs SE
Original Assignee
Pepperl and Fuchs SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pepperl and Fuchs SE filed Critical Pepperl and Fuchs SE
Publication of EP2077007A2 publication Critical patent/EP2077007A2/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/403Bus networks with centralised control, e.g. polling
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40039Details regarding the setting of the power status of a node according to activity on the bus
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24024Safety, surveillance
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24043Test memory comparing with known stored valid memory states
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24081Detect valid sequence of commands
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25017ASI actuator sensor interface, bus, network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40254Actuator Sensor Interface ASI

Definitions

  • the invention relates to a bus system, in particular AS-Interface bus system, and a method for operating such.
  • the switching state of the door switch or the door switch (operated or unconfirmed, or open or closed) is here in many cases, especially in large industrial manufacturing plants with numerous security cells and robots therein, advantageously monitored via a common AS-Interface bus system, which at the same time can also fulfill various other tasks.
  • the door switch is usually connected to a so-called input slave, which polls the switching state of the door switch in cyclical sequence and gives up the result of the query in the form of a bit sequence on the AS-Interface bus.
  • the switching state "door is closed" corresponds to a specific bit sequence.
  • the bit sequence sent from the input slave to the AS-Interface bus changes; this then no longer outputs the original but a new bit sequence to the AS-Interface bus.
  • the power supply of the robot is usually via a power contactor or other controllable switch. Its control input is connected to the output of a so-called output slave. The data traffic on the AS-Interface bus is read from the output slave.
  • the output slave opens and closes the contactor or controllable switch by means of a control signal as a function of the data traffic on the AS-Interface bus:
  • the original bit sequence is interpreted by the output slave as "door closed” and causes the output slave to close the contactor or continue to close it to keep.
  • the new bit sequence is interpreted by the output slave as "door open” and causes the output slave to open the contactor and thereby disable the robot.
  • a bus system with slaves with secure outputs via which consumers can be switched on and off to a power supply.
  • a safety monitor installed in the bus system compares the setpoint switching states of the outputs with their actual switching states, which are fed back to the bus. All consumers are preceded by a common controllable switch, via which all consumers are connected to an electrical power supply. The safety monitor is able to compare the actual and the desired switching state and, upon detection of a deviation between actual and nominal state, the switch is controlled so that it opens, whereby all consumers are disconnected from the power supply and thus switched off.
  • a safety monitor is connected to the bus, which the Read data traffic on the AS-Interface bus.
  • the slave is programmed so that it reports back the actual switching state of its output to the AS-Interface bus.
  • the safety monitor also reads this feedback in the data traffic of the AS-Interface bus.
  • the safety switch stores the setpoint switching state of the output.
  • the safety monitor reads the feedback of the actual switching status of the slave, compares it with the setpoint switching status and in turn triggers an interruption of the power supply of all consumers if a discrepancy between the setpoint switching status and the actual switching status of the slave is detected during the comparison.
  • the disadvantage here is that in the event of a malfunction, the slave can already unintentionally switch its output, while the safety monitor has not yet finished the comparison and thus could not respond to the malfunction. In the meantime, the consumer can thus receive electricity for a short time, which can directly endanger people and is therefore highly problematic.
  • the invention is therefore based on the object to provide a bus system and a method for operating such, with which said disadvantage is overcome and which is inexpensive, with little effort on hardware, uncomplicated software and low processor performance feasible and efficient and effective eg can be used to improve occupational safety, and which should also be suitable for switching off a plurality of consumers independently with little additional effort.
  • A1 The object is achieved by a bus system with a bus, in particular AS-interface bus, to which at least one master, an output slave and a safety monitor are connected, wherein a) an output switch is connected to the output slave, which is the
  • a main switch is connected to the safety monitor which the safety monitor can open and close and which is connected in series with the output switch; c) a load is connected to a power supply via the main switch and the output switch; d) a program cycle in the master expires and the master cycles cyclically, preferably once per cycle, via the bus either a first desired switching state specifies the output slave, according to which the output switch should be in the open state, or a second desired switching state, according to which the output switch should be in the closed state, e) the output slave reads the control command, the specified switching state contained therein in a feedback code reports back to the bus, and has a timer which delays the execution of the control command for a predetermined waiting time, f) the safety monitor on the Bus reads in the feedback code and removes the specified switching state specified therein, and either makes a positive evaluation, after which the setpoint switching state reported in the feedback code is permitted, or makes a negative evaluation, according to which
  • Cycle means the program cycle running in the master. If a negative judgment is made and the skin switch is already open (for example, because it has already been opened in the previous cycle), the safety monitor leaves the main switch in the open state.
  • AJJg The object is further achieved by a method for operating a bus system, with a bus, in particular AS-Interface bus, to which at least a master, an output slave and a safety monitor are connected, wherein
  • A) is connected to the output slave an output switch, which can set the output slave in the open and in the closed switching state,
  • a main switch is connected to the safety monitor, which the safety monitor can open and close and which is connected in series with the output switch,
  • control command is read from the output slave, the target switching state contained in the control command is reported back to the bus in a feedback code, and the execution of the control command is delayed for a predetermined waiting time
  • the feedback code may be for one of the two possible desired switching states (namely, "output switch should be open” or “output switch should be closed”), in particular a zero signal or a continuous low signal or a sequence of logic zeros; that is, the feedback code may be for one of the two possible target switching states that the output slave for a certain duration no signal or a persistent for a certain time low signal or a sequence of low-to-zero or logical zeros is sent back to the bus , For example, therefore, the desired switching state "output switch should be closed” thereby be reported back from the output slave to the bus, that the corresponding feedback code is a zero signal, so no signal or a persistent for a certain time Lowsignal is sent back from the output slave to the bus , and this is interpreted by the safety monitor as feedback "Output switch should be closed”.
  • the feedback code for one of the two possible setpoint switching states can be a continuous wave; i.e.
  • the acknowledgment code for this commanded switching state may be that a continuous wave signal (e.g., high duration signal or sequence of high bits or logic ones) is sent back from the output slave to the bus for a certain duration.
  • a continuous wave signal e.g., high duration signal or sequence of high bits or logic ones
  • the target switching state "output switch should be open” thereby be reported back from the output slave to the bus, that the corresponding feedback code is a persistent for a certain time cw or a persistent for a certain time high signal, and this from the safety monitor as Feedback "Output switch should be open” is interpreted.
  • the target switching state is included in the feedback code in such a way that the safety monitor in the feedback code in the back of any reported therein desired switching state Can remove manner.
  • the desired switching states therefore need not be coded in the feedback codes, in particular not with the same bit sequences as in the control commands.
  • step F If, when performing step F), the skin switch is already open (for example, because it has already been opened in the previous cycle), the main switch is left open in step F).
  • the output switch may be part of the output slave and e.g. be integrated into these structures.
  • the timer delays the execution of the control command only when the control command is one for closing the output switch, whereas the timer does not delay the execution of the control command when the control command is one for opening the output switch.
  • AI 7 Preferably, the execution of the control command is delayed only when the control command is one for closing the output switch, and does not delay the execution of the control command when the control command is one for opening the output switch.
  • the safety monitor monitors the feedback code and uses it for the evaluation, but does not influence the output switch and its setpoint switching state.
  • the feedback code contains a statement about the SoII switching state of the output switch.
  • the safety monitor independently assesses or decides on the basis of this statement whether this setpoint switching state is permissible or not, ie the evaluation relates to the admissibility of the setpoint switching state.
  • the target switching state reported in the feedback code is evaluated. If the safety monitor considers the desired switching state to be inadmissible, ie makes a negative evaluation, it opens the main switch, so that the load is de-energized and the actual switching state of the output switch no longer arrives.
  • the execution of the control command is delayed by the output slave until the safety monitor has read in the feedback code, carried out its evaluation and if necessary has opened the main switch, so that said danger no longer exists.
  • the consumer may e.g. a robot that works in a security cell, accessible only through a single door and out
  • Safety reasons may only be entered by people when the robot is out of service, i. is switched off.
  • the consumer is disconnected from its power supply, i. switched off when either the output switch or the
  • Main switch is open because output switch and main switch are connected in series.
  • the output switch is through the output slave means
  • Safety monitor controllable by means of control signals is set up so that it does not open the main switch in a negative evaluation, but closes, the waiting time is so long that in negative evaluation of the main switch is already closed before the output switch to the Execution of the control command by the Ranlave responds. If a negative evaluation is made in this variant and the skin switch is already closed (eg because it was already closed in the previous cycle), the safety monitor leaves the main switch in the closed state. In this variant, the safety monitor preferably closes the main switch only when the additional desired switching state is the closed switching state of the output switch.
  • the main switch is not opened by the safety monitor in step F), but closed instead, and the waiting time chosen so long that in negative evaluation of the main switch is already closed before the output switch on the execution of the control command by the bosslave responds.
  • the main switch is left in the closed state in step F).
  • the main switch is preferably closed by the safety monitor only when the additional set switching state is the closed switching state of the output switch.
  • the main switch is preferably closed by the safety monitor only when the additional set switching state is the closed switching state of the output switch.
  • the main switch with the output switch is not in series, but connected in parallel to it, so that the consumer is connected via the main switch as well as the output switch to the power supply, the safety monitor at negative rating does not open the main switch, but closes, and the waiting time is so long that, if the negative Main switch is already closed before the output switch responds to the execution of the control command by the output slave.
  • the safety monitor leaves the main switch in the closed state.
  • the timer delays the execution of the control command only when the control command is one for opening the output switch, and does not delay the execution of the control command when the control command is one for closing the output switch.
  • the main switch with the output switch is not connected in series, but in parallel with it, so that the load is connected both via the
  • Main switch as well as via the output switch is connected to the power supply, with the main switch from the safety monitor at negative
  • step F if the switch is already closed when performing step F) (for example, because it has already been opened in the previous cycle), the main switch is left in the closed state in step F).
  • the consumer V can thus be connected to the power supply Q in this alternative variant of the invention with the output switch AS open by closing the main switch HS.
  • This alternative variant of the invention is particularly suitable for those applications in which an unwanted shutdown of the consumer V necessarily should be avoided.
  • the consumer can be a robot V, which applies an application of paint on a car body, which process should not be interrupted under any circumstances, to ensure the proper homogeneity of the paint job.
  • a program error or a malfunction of the master or of the output slaves, which lead to an unwanted opening of the output switch, thus do not interrupt the inking process, since the interruption is detected by the safety monitor as unwanted and prevented by timely closing of the main switch. If the paint job is interrupted before it is finished, it may cause the car bodies to become unusable. With the help of this alternative variant of the invention can thus be avoided in such cases in a very simple manner considerable damage.
  • the execution of the control command is delayed only when the control command is one for opening the output switch, and does not delay the execution of the control command when the control command is one for closing the output switch.
  • the master gives the output slave the desired switching state in which the output switch is to be located. That is, the master specifies whether the output switch should be open or closed. For this purpose, the master (preferably once per cycle) sends a control command to the output slave via the bus, the control command containing the information for the output slave as to whether the output switch should be open or closed.
  • the specification as to whether the output switch should be open or closed is given by the master to the bus.
  • predetermined data may be stored in the master or a memory connected thereto, based on which the master determines the desired switching state internally.
  • the specification as to whether the output switch should be open or closed may depend, for example, on the time.
  • the specification is influenced from the outside.
  • the master can be connected to an input element, for example pushbuttons, via which inputs into the master are possible from the outside, wherein the master determines in dependence on these inputs which desired switching state he specifies for the output slave.
  • the master can have an interface to a computer or to a programmable logic controller (PLC), via which it is integrated in a higher-level process flow, and receive data via the interface, wherein the master determines depending on these data, which target switching state he pretends to the original slave.
  • PLC programmable logic controller
  • an input slave connected to the bus can also be used, to which an input switch is connected, the input slave polling cyclically, preferably in each cycle, to inquire whether the input switch is in the open or in the closed state, the query result being from the input slave cyclically, preferably in each cycle, in the form of an input code is placed on the bus.
  • an input slave connected to the bus can be used, to which an input sensor is connected, which outputs a measured value, whereby the measured value is interrogated or polled by the input slave in each cycle instead of whether the measured value is greater or less than a predetermined limit, wherein the query result from the input slave cyclically, preferably in each cycle, is placed in the form of an input code on the bus.
  • An input slave can be connected to the bus, to which an input sensor is connected, which outputs a measured value, whereby the input slave polls the measured value cyclically, preferably in each cycle, or inquires instead whether the measured value is greater or less than a predetermined one Limit value, and the input slave outputs the query result cyclically, preferably in each cycle, in the form of an input code on the bus.
  • the input sensor may be, for example, a temperature sensor, which detects the temperature of the consumer, the master for the output switch the set switching state "closed” sets as long as the input slave reports as a query result that the temperature of the consumer is below a threshold, and the target -Switching state "open" when the input slave indicates that the temperature of the load is above the limit. In this way, the consumer can be prevented from overheating.
  • the consumer may in particular be a robot.
  • the input sensor may e.g. a motion detector, which responds when a person is in the working area of the robot, the master for the output switch the set switching state "closed” determines as long as the input slave reports as a query result that the motion is not responsive, and otherwise the setpoint Switching state "open". In this way, the robot can be switched off automatically as soon as a person comes near him.
  • an input slave to which an input switch is connected may be connected to the bus, the input slave polling cyclically, preferably in each cycle, whether the input switch is in open or closed switching state, and the input slave polling result in each cycle in the form of an input code on the bus gives up.
  • the input switch may e.g. a door switch, which is located on the access door of the safety cell of a robot is closed when the door is closed and opens when the door is opened, the master for the output switch the set switching state "closed” determines as long as the input slave reports as a query result in that the access door is closed, and otherwise determines the target switching state "open". In this way, the robot can be switched off automatically as soon as someone opens the access door.
  • a door switch which is located on the access door of the safety cell of a robot is closed when the door is closed and opens when the door is opened
  • the master cyclically reads, preferably in each cycle, the input code via the bus, and determines the target switching state of the output switch depending on the content of the input code and outputs the Output this slave switching state via the bus.
  • the input code is read in via the bus and determined depending on the contents of the input code of the set switching state of the output switch and the output slave via the bus cyclically.
  • the master is connected to a computer or a programmable controller and communicates with it.
  • the master cyclically reads, preferably in each cycle, the input code via the bus and passes the contents of the input code to the computer or the programmable logic controller, wherein the computer or the programmable logic controller the desired switching state of the output switch depending on the contents of the input code and transmitted to the master, and the master sets the target switching state of the output switch to the output slave via the bus.
  • the input code is cyclically read in by the master, preferably in each cycle, via the bus, the content of the
  • Control determined in dependence on the content of the input code and transmitted to the master, and the target switching state of the output switch from the master to the output slave via the bus specified.
  • the master receives the specification as to whether the output switch should be in the open or in the closed state, from the computer system or from the programmable logic controller, ie the decision as to whether the output switch should be in the open or in the closed state, becomes not from the master itself, but from the computer or from the programmable logic controller met and output to the master, which passes this specification on the bus.
  • the master can thus e.g. forward the input code supplied by the input slave to the computer or the programmable logic controller; There, then, the definition of the desired switching state depending on the content of the input code can be done.
  • the output slave Even in the case of such influences of the master from the outside by the computer or the programmable logic controller, the output slave always receives the default on the desired switching state of the output switch via the bus directly from the master; it is always this, which sets the output slave the desired switching state. This applies in particular even if the determination of the desired switching state is not performed by the master itself, but e.g. through the computer or through the PLC. In such cases, the master gives the output slave a set switching state set outside the mast.
  • the decision as to whether the main switch should be open or closed is made independently by the safety monitor. This decision is the result of the evaluation.
  • data may be stored in the security monitor which the security monitor compares to or otherwise relates to the feedback code so that the security monitor makes the decision using the stored data and the read-in feedback code.
  • the safety monitor for the evaluation in addition to the feedback code pulls the input code supplied by the input slave and checks independently of the latter in which switching state the output switch is to be located.
  • the safety monitor reads cyclically, preferably in each cycle, independently the input code and puts in Depending on its content, either a first additional target switching state, according to which the output switch should be in the open state, or a second additional target switching state fixed, according to which the output switch should be in the closed state, the safety monitor the The reference switching state taken from the feedback code compares with the additional target switching state, and performs the negative evaluation, if this comparison does not match.
  • the safety monitor preferably reads the input code cyclically, preferably in each cycle, and determines either a first additional desired switching state depending on its content, according to which the output switch should be in the open state, or a second addition -Soll switching state is determined, according to which the
  • Output switch is to be in the closed state, the setpoint switching state taken from the feedback code is compared with the additional target switching state, and the negative evaluation is made if this comparison no
  • the safety monitor thus independently of the master also independently defines a switching state for the output switch designated here as an additional desired switching state, but additional nominal switching state only serves to control only a role within the safety monitor, not to the bus passes and the output switch or its switching state is not affected.
  • the additional target switching state merely serves as a basis for comparison with the target switching state indicated by the feedback code; Based on the result of the comparison, the evaluation is made as to whether the desired switching state specified by the feedback code is deemed permissible or inadmissible.
  • the safety monitor only carries out the negative evaluation under the condition that the additional setpoint switching state is the open switching state of the output switch.
  • A25 Preference is given to the negative valuation of Safety monitor only made under the condition that the additional set switching state is the open switching state of the output switch.
  • the safety monitor performs the negative evaluation only under the condition that the additional target switching state is the closed switching state of the output switch.
  • the negative evaluation of the safety monitor is made only on the condition that the additional target switching state is the closed switching state of the output switch.
  • the access door of a security cell with a robot operating therein is monitored by means of a door switch.
  • the switching state of the door switch is contained in the input code.
  • the safety monitor is always informed independently whether the access door is open or closed. Based on this information, the safety monitor makes the evaluation:
  • An input code with the information "access door closed” in this example means that the robot may be switched on and a closed one
  • the output slave by control command the closed switching state as a target switching state before; the output slave will then, upon proper function, receive this desired switching state
  • an input code with the information "access door open” in this example means that the robot must be switched off and a closed one Output switch is therefore inadmissible. If there is no malfunction, the master must now specify to the output slave by means of a control command the open switching state as the desired switching state; The output slave must then report the receipt of this set switching state "Output switch should be open” in the feedback code back to the bus.
  • a feedback code with the opposite information "output switch should be closed” would therefore be an indicator of a malfunction in this situation and would therefore trigger according to the invention a negative rating by the safety monitor; The main switch would be opened for safety's sake so that the robot is switched off.
  • the safety monitor also carries out the negative evaluation if it determines that it can not or can not unambiguously extract the setpoint switching state from the acknowledgment code, or if it determines that it does not have the additional setpoint switching state or can not clearly set.
  • the negative evaluation is also carried out by the safety monitor if it determines that it can not clearly or unequivocally take the target switching state from the feedback code, or if it does not make the additional desired switching state unclear can set.
  • the malfunction can e.g. be caused by a defect of the master or the output slave; According to the invention, the malfunction can not lead to the consumer being switched on unintentionally or remaining switched on.
  • the safety monitor only carries out the negative evaluation under the condition that the additional set switching state is the open switching state of the output switch.
  • the negative rating of the safety monitor is preferred only under the condition that the additional target switching state is the open switching state of the output switch.
  • the timer delays the execution of the control command only when the control command is one for closing the output switch, whereas the timer does not delay the execution of the control command when the control command is one for opening the output switch.
  • the execution of the control command is delayed only when the control command is one for closing the output switch, whereas the execution of the control command is not delayed when the control command is one for opening the output switch.
  • the check as to whether the control command is such as to close or to open the output switch can be carried out in particular in the output slave itself.
  • the master only transmits a control command containing the information about the setpoint switching state to the output slave when the switching state of the output switch is to change.
  • A28 According to a deviating from the previously discussed variants of the method variant is transmitted from the master only the information about the desired switching state containing control command to the output slave when the switching state of the output switch is to change. If the desired switching state should remain unchanged with respect to the previous cycle, the same information about the desired switching state is therefore not sent to the output slave in these variants again.
  • the safety monitor does not need to be connected directly to the bus, but can be connected to the bus via the master.
  • Safety monitor does not necessarily have to be a separate component; rather, it can be part of the master, or safety monitor and master can be combined into a single component. ⁇ 29 In terms of procedure, as
  • the output slave is able to detect the actual switching state of the output switch and to return the open switching state of the output switch to the bus both in the feedback code and when the target switching state of the output switch is the opened switching state when the actual switching state of the output switch is the opened switching state, and / or to report the closed switching state of the output switch both in the acknowledgment code on the bus, when the target switching state of the output switch is the closed switching state, as well as when Actual switching state of the output switch is the closed switching state.
  • the actual switching state of the output switch is detected by the output slave and the open switching state of the output switch is reported back to the bus both in the feedback code when the SoII switching state of the output switch is the opened switching state, and then when the actual Switching state of the output switch is the open switching state, and / or the closed switching state of the output switch both reported back in the feedback code on the bus when the target switching state of the output switch is the closed switching state, as well as when the actual switching state of Output switch is the closed switching state.
  • the invention is suitable for cost-effective implementation of so-called "safe" outputs of an AS-Interface bus, ie switching outputs, which are backed by an additional, independently operating control against malfunction, and therefore can be particularly advantageous for improving safety at work and to reduce the risk of accidents eg when operating robots, drives or valves are used.
  • the additional control is performed by the safety monitor.
  • the output slave therefore need not be able to monitor its own function by means of expensive internal control procedures or additional hardware. Therefore, the output slave does not require elaborate parameterization for implementing the teaching according to the invention. This can be the hardware cost, the Software effort, the labor cost and thus the cost of realizing "safe" outputs are significantly reduced.
  • the output or the individual outputs are not actively enabled by the safety monitor, but only monitored.
  • the outputs of the output module are preferably operationally switched by the controller via the output data bits of the AS-Interface 1 Cs (this is the interface of the slave for communication with the bus). If all outputs are switched off, the output slave preferably sends back a secure code sequence, which is monitored by the safety monitor. If the outputs are switched on or defective, the secure code sequence is preferably switched off or falsified by a secure monitoring circuit. If the safety monitor receives a constant 0x0 from the output slave, it preferably assumes that one or more outputs are switched on.
  • the monitor switches off according to a preferred variant, i. it switches off the auxiliary power from which the output slave supplies the outputs.
  • the output slave still delays switching on the outputs after disabling the code sequence according to a preferred variant of the invention until the safety monitor can switch off the auxiliary voltage in the event of a fault.
  • the outputs are de-energized before they can switch.
  • a further output slave to the bus, which is connected to a further output switch, via which a further consumer is connected to a power supply.
  • the other output slave also receives control commands from the master, with an information contained therein about the desired switching state of the other output switch.
  • the further output slave also reports this information back in a feedback code to the bus.
  • the feedback codes may include identifiers that respectively identify the output slave from which the feedback code originates.
  • the safety monitor also reads the feedback code of the other output slaves on the bus and this takes the specified therein switching state, and either makes a positive assessment, after which in This feedback code reported set switching state is allowed, or makes a negative assessment, according to which the reported in this feedback code set switching state is inadmissible, and in negative evaluation, the main switch opens (or closes) and thus the consumer together with the disconnects further loads from the power supply (or to the power supply), wherein the other output slave has a timer which delays the execution of the sent from the master to the other Ausgsngsslave control command for a predetermined waiting time, which is chosen so long that at negative rating of the main switch is already open or closed before the further output switch responds to the execution of this control command by the other output slave.
  • This principle can be fully applied to more than two output slaves.
  • the safety monitor can in particular be set up in such a way that it is not only able to control the main switch but, independently of this, also a further main switch, which is connected in series instead of the main switch with the further output switch.
  • the feedback code of the further output slaves can also be monitored in the manner according to the invention by means of the safety monitor in this case: the feedback code originating from the further output slave is likewise read by the safety monitor.
  • the safety monitor rates these Information and opens (or closes) the other main switch at negative rating, and thus switches off the further consumer (or on) with a negative rating, wherein the other output slave has a timer, which the execution of the master from the master to the other output slave delayed control command for a predetermined waiting time, which is selected so long that in negative evaluation of the other main switch is already open or closed, before the other output switch responds to the execution of this control command by the other output slave.
  • Another safety monitor can be used to control the other main switch.
  • the return code originating from the further output slave is in this case of the other
  • Both safety monitors can work completely independently of each other, whereby the further output slave has a timer, which the
  • Delayed control command for a predetermined waiting time which is selected so long that in negative evaluation of the other main switch is already open or closed, before the other output switch responds to the execution of this control command by the other output slave.
  • FIG. 1 is a block diagram of a preferred embodiment of a bus system according to the invention, comprising a master, a safety monitor, at least one input slave and at least one output slave which controls an output switch via which a load is connected to a power supply
  • Figure 2 is a block diagram of an embodiment of a bus system according to the invention, which differs from that of Figure 1 in that the safety monitor is part of the master
  • Figure 3 is a block diagram of another preferred embodiment of a bus system according to the invention, which from that of Figure 1 by another Distinguishes output, which controls an output switch, via which another consumer is connected to the power supply
  • Figure 4 is a block diagram of another preferred embodiment of erfindungsge 5, a block diagram of an output slave and an output switch connected thereto according to an embodiment of the invention
  • FIG. 1 is a block diagram of a preferred embodiment of a bus system according to the invention, comprising a master, a safety monitor, at least one input slave and at least one output slave which controls an output switch via which
  • Figure 6 is a block diagram of an output slave and an output switch connected thereto according to another embodiment of the invention
  • Figure 7 is a block diagram of an output slave and an output switch connected thereto according to another embodiment of the invention.
  • Figure 1 shows schematically as a block diagram of an AS-Interface bus system according to the invention, with an AS-Interface bus B to which a master M, an output slave A and a safety monitor SiM are connected.
  • an output switch AS is connected, which can set the output slave A via a control line SL1 in the open and in the closed switching state.
  • a main switch HS Connected to the safety monitor SiM is a main switch HS, which the safety monitor SiM can open and close via a control line SL2 and which is connected in series with the output switch AS.
  • a consumer V about the main switch HS and thus connected in series output switch AS is a consumer V, which is a robot in the present example, connected by lines L1, L2 to a power supply Q. The consumer or robot V can therefore be disconnected both by opening the output switch AS as well as by opening the main switch HS of the power supply Q and thus turned off.
  • An input slave E to which an input switch ES is connected via lines L3.L4, is also connected to the bus B, the input slave E querying in each cycle whether the input switch ES is in the open or in the closed switching state.
  • the input switch ES is in this example a door switch ES, which opens as soon as the access door ZT is opened to a safety cell SiZ. When the access door ZT is closed, the input switch ES is closed.
  • the e.g. Security cell SiZ formed in a cage-like manner with lattice walls encloses on all sides a space in which the robot V is located and which is accessible only through the access door ZT.
  • the safety cell SiZ is used to prevent people from accidentally getting into the working area of the robot V and thereby endanger themselves.
  • a program cycle is running.
  • the master M is connected via a bidirectional communication link K to a programmable logic controller PLC.
  • the master M reads in the input code E sent via the bus B input code and passes its contents via the communication link K to the programmable logic controller PLC. This evaluates the contents of the input code and defines a desired switching state of the output switch AS as a function of this content:
  • the programmable logic controller SPS decides that the robot V may be in operation, ie the output switch AS is to be closed for the purpose of supplying power to the robot V.
  • the programmable logic controller PLC sets in this case, therefore, as the target switching state for the output switch the closed switching state.
  • the programmable logic controller PLC decides that the robot V must not be in operation, ie the output switch AS is to be opened for the purpose of interrupting the power supply for the robot V.
  • the programmable logic controller PLC sets in this case, therefore, as the target switching state for the output switch AS the open switching state.
  • the programmable logic controller PLC After the programmable logic controller PLC has set the desired switching state of the output switch AS, it transmits this via the communication link K to the master M.
  • This is the target switching state in a directed to the output slave A control command on the bus B, whereby the master M prescribes the desired switching state of the output switch AS to the output slave A.
  • the master M is the output slave A thus per cycle by control command via the bus B either a first target switching state before, according to which the output switch AS is to be in the open state, or a second SoII switching state ago, according to which the output switch AS should be in the closed state.
  • the output slave A reads in the control command and reports the setpoint switching state contained therein in a feedback code on the bus B in order to enable the safety monitor SiM to control the setpoint state contained in the feedback code.
  • the output slave A has a timer Z, which delays the execution of the control command (open the output switch AS or close the output switch AS) for a predetermined waiting time T.
  • the safety monitor SiM automatically reads in the feedback code via bus B and removes the setpoint switching status specified therein.
  • the safety monitor SiM also reads the input code and determines depending on its content either as an additional set switching state for the output switch AS that this should be in the open state, or as an additional set switching state for the Output switch AS that this should be in the closed state.
  • the safety monitor SiM decides that the robot V may be in operation, ie the output switch AS should be closed, and in this case, therefore, sets the closed as an additional nominal switching state for the output switch AS Switching state fixed.
  • the safety monitor SiM decides that the robot V must not be in operation, ie the output switch AS should be open, and puts in it Case therefore as an additional target switching state for the output switch AS the open switching state.
  • the determination of the additional set switching state depends only on the content of the input code and is therefore completely independent of the setpoint switching state.
  • the safety monitor SiM after having set the additional target switching state, compares it with the reference switching state taken from the acknowledgment code, and, if this comparison results in a correspondence between the setpoint switching state and supplementary setpoint switching state positive rating, according to which the target switching state reported in the feedback code is allowed, or otherwise a negative rating, according to which the target switching state reported in the feedback code is inadmissible.
  • a negative rating is e.g. if the output switch AS is to be open according to the setpoint switching state and at the same time according to the additional setpoint switching state, or vice versa.
  • the safety monitor SiM preferably also carries out the negative evaluation if it can not or can not unambiguously extract the desired switching state from the feedback code, or if it can not or can not unambiguously set the additional desired switching state. According to a sub-variant, the safety monitor SiM only carries out the negative evaluation under the condition that the additional desired switching state is the open switching state of the output switch AS.
  • the safety monitor SiM closes the main switch HS, or leaves it, if it is already closed, in the closed state.
  • the safety monitor opens the main switch and thus disconnects the load from the power supply Q, or leaves it in the open state, if already open.
  • the waiting time T is according to the invention so long dimensioned that in negative evaluation of the main switch HS is already open before the output switch AS responds to the execution of the control command through the output slave A, so before the output switch AS can close unintentionally.
  • the switching state of the input switch (closed or open) for further improving the safety depends not only on whether the access door is open or closed, but also by the output signal of a sensor, which, for example, an infrared sensor or motion detector and is responsive to the presence of a person in the security cell.
  • the input switch opens both when the access door is opened and when the sensor responds; in both cases the robot is switched off.
  • the switching state of the input switch does not depend on whether the access door is open or closed, but only on the output signal of such a sensor.
  • the input switch only opens when the sensor responds; in a case of the robot is switched off.
  • the senor is connected via its own slave to the bus B and reports the presence of a person via the bus B to the programmable logic controller PLC.
  • This always sets the open state as the target switching state of the output switch AS, when the sensor reports the presence of a person in the security cell on the bus B, regardless of whether the input switch ES is open or closed.
  • the programmable logic controller likewise always sets the open state as the setpoint switching state of the output switch AS, regardless of whether the sensor reports the presence of a person in the safety cell or not.
  • the safety monitor SiM reads the messages from the sensor and always sets the open state as additional target switching state of the output switch AS, either when the sensor reports the presence of a person in the security cell on the bus B or the input switch ES is open.
  • the target switching state and the additional target switching state of Output switch AS are each set by means of a complex logic, which links the information on the bus B messages or switching states of multiple sensors and / or switches together.
  • Figure 2 shows a block diagram of an embodiment of a bus system according to the invention, which differs from that of Figure 1 only in that the safety monitor SiM is part of the master M.
  • Figure 3 shows a block diagram of another preferred embodiment of a bus system according to the invention, which differs from that of Figure 1 by another connected to the bus B output slave A1, which controls an output switch AS1, via the lines L5, L6 another consumer V1 on the power supply Q is connected.
  • L6 branches off line L2.
  • the line L5 branches off between the main switch HS and the output switch AS from the line L1.
  • the output slave A1 can set the output switch AS1 via a control line SL3 in the open and in the closed switching state.
  • the output switch AS1 is interposed in the line L5 and thus as well as the output switch AS connected in series with the main switch HS.
  • the consumer V1 is in this example also a robot V1 in a safety cell SiZL The consumer or robot V1 can be disconnected both by opening the output switch AS1 and by opening the main switch HS of the power supply Q and thus turned off.
  • the functional sequence within the bus system of FIG. 3 includes the functional sequence of the bus system of FIG. 1, but goes beyond that:
  • an input slave E1 is connected to the bus B, to which an input switch ES1 is connected via lines L7.L8, wherein the input slave E1 polls in each cycle whether the input switch ES1 is in the opened or in the closed switching state ,
  • the input switch ES1 is in the present example, a door switch ES1, which opens as soon as the access door ZT 1 to the safety cell SiZ1 is opened. When the access door ZT 1 is closed, the input switch ES1 is closed.
  • the query result as to whether the door switch ES1 is open or closed outputs the input slave E1 to the bus B every cycle in the form of an input code.
  • the master M also reads in the input code E1 sent over the bus B input code and also passes its content via the communication link K to the programmable logic controller PLC. It also evaluates the content of the input code E1 from the input slave E1 and determines a desired switching state of the output switch AS1 as a function of this content:
  • the programmable logic controller SPS decides that the robot V1 must be in operation, ie the output switch AS1 is to be closed for the purpose of supplying power to the robot V.
  • the programmable logic controller PLC sets in this case, therefore, as the target switching state for the output switch the closed switching state.
  • the programmable logic controller SPS decides that the robot V must not be in operation, ie the output switch AS1 is to be opened for the purpose of interrupting the power supply for the robot V1.
  • the programmable logic controller PLC sets in this case, therefore, as the target switching state for the output switch AS1 the open switching state.
  • the programmable logic controller PLC After the programmable logic controller PLC has set the desired switching state of the output switch AS1, it transmits this via the communication link K to the master M.
  • This is the target switching state in a directed to the output slave A1 control command on the bus B, whereby the master M prescribes the desired switching state of the output switch AS1 to the output slave A1.
  • the master M thus gives the output slave A1 per cycle via the bus B either a first desired switching state, according to which the output switch AS1 should be in the open state, or a second desired switching state, according to which the output switch AS1 should be in the closed state.
  • the output slave A1 reads in the control command and reports the setpoint switching state contained therein to the bus B in a feedback code in order to enable the safety monitor SiM to control the SoII switching state contained in the feedback code.
  • the output slave A1 has a timer Z1 which delays the execution of the control command (open the output switch AS1 or close the output switch AS1) for a predetermined second waiting time.
  • the safety monitor SiM automatically reads in the feedback code via bus B and removes the setpoint switching status specified therein.
  • the safety monitor SiM also reads the input code E1 from the input code and, depending on its content, determines either as an additional set switching state for the output switch AS1 that it should be in the open state or as an additional setpoint Switching state for the output switch AS1, which should be in the closed state.
  • the safety monitor SiM decides that the robot V1 must be in operation, ie the output switch AS1 is to be closed, and in this case, then sets the closed position as additional set switching state for the output switch AS1 Switching state fixed.
  • the safety monitor SiM decides that the robot V1 must not be in operation, ie the output switch AS1 should be open, and puts in In this case, therefore, as the additional target switching state for the output switch AS1 the open switching state fixed.
  • the safety monitor SiM compares this additional target switching state with the target switching state reported back by the output slave AS1, and if this comparison gives a match, makes a positive evaluation or otherwise a negative evaluation.
  • the second waiting time is according to the invention so long dimensioned that in negative evaluation of the main switch HS is already open before the output switch AS1 responds to the execution of the control command through the output slave A1, so before the output switch AS1 can close unintentionally.
  • the safety monitor SiM performs two evaluations per cycle, one of which concerns the permissibility of the setpoint switching state for the output switch AS and the other the permissibility of the setpoint switching state for the output switch AS1.
  • the main switch HS is closed by the safety monitor SiM only or left in the closed state, if both ratings have turned out positive, ie both the comparison between the returned from the output slave AS set switching state for the output switch AS and the additional target switching state for the output switch AS to a positive rating - as well as the comparison between the fed back from the AS1 AS1 output switching state for the output switch AS1 and the additional target switching state for the output switch AS1 have led to a positive rating. If only one of the ratings fails, the safety monitor SiM opens the main switch HS, or leaves it in the open state, if it is already open. This procedure can be extended completely to even more output slaves with additional output switches.
  • Figure 4 shows a block diagram of another preferred embodiment of a bus system according to the invention, which differs from that of Figure 1 by an emergency stop switch N, which is connected via two lines L9.L10 to another input slave E2.
  • the input slave E2 is also connected to the bus B and polls every cycle whether the emergency stop switch N is pressed or not.
  • the inquiry result as to whether the emergency stop switch N is operated or not is given to the input slave E2 on the bus B every cycle in the form of another input code.
  • the master M reads in each cycle and this input code via the bus B and thus informed about the switching state of the emergency stop switch N, and passes the contents of this input code via the communication link K to the programmable logic controller PLC. This evaluates the content of this input code and determines depending on this content a desired switching state of the output switch AS:
  • the desired switching state of the output switch AS is not affected, i. its desired switching state continues to depend solely on the input code which the input slave E supplies.
  • the programmable logic controller PLC decides that the robot V may not be in operation, that is to say the robot
  • Output switch AS for the purpose of interrupting the power supply for the
  • Robot's V should be open.
  • the programmable logic controller PLC sets in this case, therefore, as the target switching state for the output switch AS, the open switching state, regardless of the input code, which supplies the input slave E.
  • the safety monitor SiM also reads the input code from the input slave E2. If the emergency stop switch N is not actuated, the additional setpoint switch N Switching state of the output switch AS is not affected, ie its desired switching state still depends solely on the input code, which supplies the input slave E. When pressed emergency stop switch N, however, sets the safety monitor as an additional set switching state for the output switch AS that this should be in the open state, regardless of whether the door switch ES is open or closed.
  • the remaining functional sequence of the bus system of FIG. 4 is similar to that of the bus system of FIG. 1.
  • the difference between the functional sequences of the bus systems of FIG. 1 and FIG. 4 is that in the bus system of FIG. 4 the setpoint switching state and the additional setpoint switching state of the output switch AS are determined by the switching state of the input switch E only when the emergency stop switch N is not actuated. Otherwise, only determines the switching state of the emergency stop switch N the desired switching state and the additional target switching state of the output switch AS, in this case, the target switching state and the additional target switching state of the output switch AS always the open switching state.
  • FIG. 5 shows a block diagram of an embodiment of an output slave A2 with an output switch AS2 connected thereto.
  • the output slaves A of FIGS. 1 to 4 can each be formed by an output slave A2, as shown in FIG.
  • the output switches AS of Figures 1 to 4 may each be formed by an output switch AS2, as shown in Figure 5.
  • the output switch AS2 is preferably a functionally safe switch.
  • the output slave A2 has an interface 1 (also referred to as “bus protocol module” or “AS-Interface-IC”), a control unit 2 (also referred to as “monitoring”), a code generator 3 and the timer Z already explained above (also referred to as “delay”), which is connected via the control line SL1 to the output switch AS2.
  • a line L11 leads to the timer Z; from the line L1 1 branches off a line L12, which leads to an input of the control unit 2. From the output of the control unit 2, a line L13 leads to the control input of a controllable switch STS. From the output of the code generator 3 leads a line L14 via the controllable switch STS to an input of the interface 1; Thus, the line L14 is continuous with the switch STS closed and interrupted when the switch STS is open.
  • the code generator 3 generates a specific, consecutively repeating bit code and outputs this constantly recurring on the line L14.
  • the bit code preferably contains an identifier which identifies the output slave A2.
  • the bit code reaches the interface 1 only when the switch STS is closed; when the switch STS is open, the bit code is generated by the code generator 3, but not transmitted to the interface 1.
  • the master M sends a control command to the output slave A2 via the bus B, after which the output switch AS2 is to be closed.
  • the control command is read from the interface 1.
  • the interface 1 detects the command contained in the control command 1 to close the output switch AS2, and as a result sets the line L11 to "high".
  • the timer Z is caused to send a signal to the base of the transistor T1 only after the waiting time via the control line SL1, which switches through the emitter-collector path of the transistor T1 and thus closes the output switch AS2 after the waiting time has elapsed, whereby the consumer V (eg Figure 1) is turned on.
  • SiM safety monitor SiM
  • the master M e.g., Fig. 1
  • the interface 1 detects the command contained in this control command 1 to open the output switch AS2, and as a result sets the line L11 to "low".
  • the timer Z is caused to de-energize the control line SL1, preferably without a time delay, whereby the emitter-collector path of the transistor T1 is disabled, thus opening the output switch AS2 and shutting off the load V (for example FIG.
  • FIG. 6 a block diagram is shown which differs from that of FIG. 5 in that the output slave A2 of FIG. 5 is replaced by an output slave A2 1 , the output switch AS 2 of FIG. 5 is replaced by an output switch AS 2 1 is replaced and an additional line L15 is present, which leads from the output switch AS2 1 to the output slave A2 1 .
  • the output switch AS2 1 of Figure 6 differs from the output switch AS2 of Figure 5 in that the output switch AS2 1 additionally has a feedback output RA, via which the actual switching state of the output switch AS2 '("output switch As2' is open” or "output Switch AS2 1 is closed ").
  • the output switches AS of Figures 1 to 4 may each be formed by an output switch AS2 1 , as shown in Figure 6.
  • the output switch AS2 1 is preferably a functionally safe switch.
  • the output slave A2 1 of FIG. 6 differs from the output slave A2 of FIG. 5 in that the output slave A2 'has, instead of the control unit 2, a control unit 2' which, in comparison to the control unit 2, has an additional input EZ which is connected via the line L15 to the control unit 2 ' Feedback output RA is connected and via which the control unit 2 'is able to read in the actual switching state of the output switch AS2 1 is capable.
  • the output slaves A of FIGS. 1 to 4 can each be formed by an output slave A2 ', as shown in FIG.
  • the control unit 2 is set up so that it opens the controllable switch STS, regardless of the desired switching state of the output switch AS2 1 , also via the line L13, when the output switch AS2 1 via the feedback output RA, the line L15 and the auxiliary input EZ reports that the output switch AS2 1 is closed.
  • the switch STS is opened both when the control command the desired switching state "output switch AS2 1 should be closed” is reported via the line L12, as well as when the actual state "output switch AS2 1 is closed” via the line L15 is reported.
  • the bit sequence on line 14 is blocked by the switch STS, so that the interface 1 returns a low signal to the bus B, which is interpreted and evaluated by the safety monitor ( Figure 1) in the manner explained above.
  • the actual switching state of the output limit switch is therefore taken into account in accordance with this embodiment of the invention. In this way, the load is switched off even if the set and actual switching state of the output switch contradict each other.
  • the transistor T1 is not interposed in the line L1, but controls a contactor, which is interposed in the line L1, wherein the contactor is then opened when the emitter-collector path of the Transistor T1 is disabled, and otherwise it is closed.
  • This embodiment is particularly then makes sense if the consumer V (eg Figure 1) requires a high electrical power.
  • the contactor can in turn also have a feedback output, via which it reports its actual switching state.
  • the control device may have a further additional input, which is connected via a further line to the feedback output of the contactor, wherein the control device opens the switch STS even if the feedback output of the contactor reports as its actual switching state: " Contactor is closed ".
  • control unit is additionally capable of comparing the actual switching state of the output switch AS2 1 with its desired switching state. If the output switch AS2 1 is turned on unsolicited, the control unit modifies the bit sequence of the code generator instead of instead blocking it by opening the switch STS.
  • the modified bit sequence may serve as an information to the safety monitor SiM to open the main switch HS even if the closing of the output switch were currently permitted, ie no direct safety problem would arise.
  • the comparison between the setpoint switching state and the actual switching state of the output switch is made directly by the safety monitor SiM. He must listen to the signal on line L11 on bus B. If this line reports the desired switching state "output switch should be switched off" while the switch STS is open, the safety monitor can react as described in the previous variant by opening the main switch HS.
  • the invention is industrially applicable inter alia for the purpose of occupational safety in the field of electronically controlled working and manufacturing processes and their control technology and automation, e.g. for safety-related control of robots, drives and valves, in particular for the improvement of occupational safety.
  • A, A ', A1, A2, A2' output slaves
  • T1 transistor V, V1 consumer e.g. robot

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Bus Control (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Bussystem, mit einem Bus, an welchen wenigstens ein Master, ein Ausgangsslave und ein Sicherheitsmonitor angeschlossen sind. Der Ausgangsslave steuert einen Ausgangsschalter. Der Sicherheitsmonitor steuert einen Hauptschalter, welcher mit dem Ausgangsschalter in Reihe geschaltet ist. Über diese Schalter ist ein Verbraucher an eine Stromversorgung angeschlossen. Der Master gibt dem Ausgangsslave per Steuerbefehl den Soll-Schaltzustand des Ausgangsschalters vor. Der Ausgangsslave liest den Steuerbefehl ein und meldet den darin enthaltenen Soll-Schaltzustand auf den Bus zurück. Durch ein Zeitglied wird die Ausführung des Steuerbefehls für eine vorgegebene Wartezeit verzögert. Der Sicherheitsmonitor nimmt entweder eine positive Bewertung vor, wonach der zurückgemeldete Soll-Schaltzustand zulässig ist, oder nimmt eine negative Bewertung vor, wonach der zurückgemeldete Soll-Schaltzustand unzulässig ist. Bei negativer Bewertung wird der Hauptschalter geöffnet und somit der Verbraucher von der Stromversorgung getrennt. Die Wartezeit ist so lang bemessen, dass bei negativer Bewertung der Hauptschalter bereits geöffnet ist, bevor der Ausgangsschalter auf Steuerbefehl anspricht.

Description

Bussvstem und Verfahren zum Betreiben eines solchen
Technisches Gebiet:
Die Erfindung betrifft ein Bussystem, insbesondere AS-Interface-Bussystem, und ein Verfahren zum Betreiben eines solchen.
Stand der Technik:
In vielen Bereichen der Industrie ist es aus Sicherheitsgründen erforderlich, dass ein
Verbraucher sicher abgeschaltet werden kann, d.h. es muss weitestgehend ausgeschlossen werden, dass der Verbraucher trotz Betätigung eines Schalters, mittels welchem der Verbraucher abgeschaltet werden soll, auf Grund einer Fehlfunktion ungewollt weiterhin in Betrieb bleibt. Ein Beispiel für Verbraucher, bei denen dieser Sicherheitsaspekt oft höchst relevant ist, sind Roboter, welche in so genannten Sicherheitszellen betrieben werden und dort z.B. Montage- oder Schweißarbeiten vornehmen. Der Aufenthalt im Arbeitsbereich von in Betrieb befindlichen Robotern kann für Menschen lebensgefährlich sein. Derartige Sicherheitszellen dürfen daher von Menschen nicht betreten werden, solange der Roboter in Betrieb ist. Aus diesem Grund sind die Zugänge derartiger Sicherheitszellen meist mit Türschaltern ausgestattet, welche durch Öffnen der Zugangstür betätigt werden, was zum Abschalten des Roboters führt.
Der Schaltzustand des Türschalters oder der Türschalter (betätigt oder unbetätigt, bzw. geöffnet oder geschlossen) wird hierbei in vielen Fällen, insbesondere in großen Industrie-Fertigungsanlagen mit zahlreichen Sicherheitszellen und Robotern darin, vorteilhaft über ein gemeinsames AS-Interface-Bussystem überwacht, welches zugleich auch noch verschiedene andere Aufgaben erfüllen kann. Der Türschalter ist hierbei in der Regel an einen so genannten Eingangsslave angeschlossen, welcher in zyklischer Abfolge den Schaltzustand des Türschalters abfragt und das Ergebnis der Abfrage in Form einer Bitfolge auf den AS-Interface-Bus aufgibt. Dem Schaltzustand "Tür ist geschlossen" entspricht dabei eine bestimmte Bitfolge. Bei Änderung des Schaltzustandes des Türschalters ändert sich die vom Eingangsslave auf den AS-Interface-Bus gesendete Bitfolge; dieser gibt dann also nicht mehr die ursprüngliche, sondern eine neue Bitfolge auf den AS-Interface-Bus ab. Die Stromversorgung des Roboters erfolgt in der Regel über ein Starkstrom-Schütz oder sonstigen steuerbaren Schalter. Dessen Steuereingang ist mit dem Ausgang eines so genannten Ausgangsslaves verbunden. Der Datenverkehr auf dem AS- Interface-Bus wird vom Ausgangsslave mitgelesen.
Der Ausgangsslave öffnet und schließt den Schütz oder steuerbaren Schalter mittels eines Steuersignals in Abhängigkeit vom Datenverkehr auf dem AS-Interface-Bus: Die ursprüngliche Bitfolge wird vom Ausgangsslave als "Tür geschlossen" interpretiert und veranlasst den Ausgangsslave, den Schütz zu schließen bzw. weiterhin geschlossen zu halten. Die neue Bitfolge wird vom Ausgangsslave als "Tür geöffnet" interpretiert und veranlasst den Ausgangsslave, den Schütz zu öffnen und hierdurch den Roboter abzuschalten.
Jedoch sind z.B. durch Programmfehler, Alterung, Verschleiß, Verschmutzung oder Beschädigung von Bauteilen und Kontakten, elektromagnetische Störfelder oder andere Störeinflüsse Fehlfunktionen möglich, welche dazu führen können, dass bei Öffnung der Sicherheitszellen-Tür fälschlich keine Abschaltung des Roboters erfolgt.
Aus der DE 199 28 984 A1 ist ein Bussystem mit Slaves mit abgesicherten Ausgängen bekannt, über welche Verbraucher an eine Energieversorgung zu- und abschaltbar sind. Hierbei vergleicht ein im Bussystem installierter Sicherheitsmonitor die Soll-Schaltzustände der Ausgänge mit deren Ist-Schaltzuständen, welche auf den Bus zurückgemeldet werden. Allen Verbrauchern ist ein gemeinsamer steuerbarer Schalter vorgeschaltet, über welchen alle Verbraucher an eine elektrische Energieversorgung angeschlossen sind. Der Sicherheitsmonitor ist in der Lage, den Ist- und den Soll-Schaltzustand zu vergleichen und bei Feststellung einer Abweichung zwischen Ist- und Sollzustand den Schalter so zu steuern, dass dieser öffnet, wodurch alle Verbraucher gemeinsam von der Energieversorgung getrennt und somit abgeschaltet werden.
Zur Erhöhung der Sicherheit ist also gemäß der Lehre der DE 199 28 984 A1 zusätzlich ein Sicherheitsmonitor an den Bus angeschlossen, welcher den Datenverkehr auf dem AS-Interface-Bus mitliest. Der Slave ist hierbei so programmiert, dass er den Ist-Schaltzustand seines Ausgangs auf den AS-Interface- Bus zurückmeldet. Der Sicherheitsmonitor liest im Datenverkehr des AS-Interface- Busses auch diese Rückmeldung mit.
Im Sicherheitsmonitor ist der Soll-Schaltzustand des Ausgangs gespeichert. Der Sicherheitsmonitor liest die Rückmeldung des Ist-Schaltzustands des Slaves mit, vergleicht ihn mit dem Soll-Schaltzustand und löst seinerseits eine Unterbrechung der Stromversorgung aller Verbraucher aus, falls bei dem Vergleich eine Diskrepanz zwischen Soll-Schaltzustand und Ist-Schaltzustand des Slaves festgestellt wird.
Nachteilig ist hierbei, dass im Fall einer Fehlfunktion der Slave seinen Ausgang bereits ungewollt durchschalten kann, während der Sicherheitsmonitor den Vergleich noch nicht beendet hat und auf die Fehlfunktion somit noch nicht reagieren konnte. In der Zwischenzeit kann somit der Verbraucher kurzzeitig Strom erhalten, was unmittelbar zu einer Gefährdung von Menschen führen kann und daher höchst problematisch ist.
Der Erfindung liegt daher die Aufgabe zu Grunde, ein Bussystem und ein Verfahren zum Betreiben eines solchen zu schaffen, mit welchen der genannte Nachteil überwunden wird und welches kostengünstig, mit geringem Aufwand an Hardware, unkomplizierter Software und geringer Prozessorleistung realisierbar ist sowie und rationell und effektiv z.B. zur Verbesserung des Arbeitsschutzes eingesetzt werden kann, und welches mit allenfalls geringem Zusatzaufwand auch dazu geeignet sein soll, mehrere Verbraucher unabhängig voneinander abzuschalten.
A1; Die Aufgabe wird gelöst durch ein Bussystem, mit einem Bus, insbesondere AS- Interface-Bus, an welchen wenigstens ein Master, ein Ausgangsslave und ein Sicherheitsmonitor angeschlossen sind, wobei a) an den Ausgangsslave ein Ausgangsschalter angeschlossen ist, welchen der
Ausgangsslave in den geöffneten und in den geschlossenen Schaltzustand versetzen kann, b) an den Sicherheitsmonitor ein Hauptschalter angeschlossen ist, welchen der Sicherheitsmonitor öffnen und schließen kann und welcher mit dem Ausgangsschalter in Reihe geschaltet ist, c) über den Hauptschalter und den Ausgangsschalter ein Verbraucher an eine Stromversorgung angeschlossen ist, d) in dem Master ein Programmzyklus abläuft und der Master dem Ausgangsslave zyklisch, vorzugsweise einmal pro Zyklus, per Steuerbefehl über den Bus entweder einen ersten Soll-Schaltzustand vorgibt, gemäß welchem sich der Ausgangsschalter im geöffneten Zustand befinden soll, oder einen zweiten Soll-Schaltzustand vorgibt, gemäß welchem sich der Ausgangsschalter im geschlossenen Zustand befinden soll, e) der Ausgangsslave den Steuerbefehl einliest, den darin enthaltenen Soll- Schaltzustand in einem Rückmelde-Code auf den Bus zurückmeldet, und ein Zeitglied aufweist, welches die Ausführung des Steuerbefehls für eine vorgegebene Wartezeit verzögert, f) der Sicherheitsmonitor über den Bus den Rückmelde-Code einliest und diesem den darin angegebenen Soll-Schaltzustand entnimmt, und entweder eine positive Bewertung vornimmt, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand zulässig ist, oder eine negative Bewertung vornimmt, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand unzulässig ist, und bei negativer Bewertung den Hauptschalter öffnet und somit den Verbraucher von der Stromversorgung trennt, g) wobei die Wartezeit so lang bemessen ist, dass bei negativer Bewertung der Hauptschalter bereits geöffnet ist, bevor der Ausgangsschalter auf die Ausführung des Steuerbefehls durch den Ausgangsslave anspricht.
Mit Zyklus ist der im Master ablaufende Programmzyklus gemeint. Sofern eine negative Bewertung erfolgt und der Hautschalter bereits geöffnet ist (z.B. weil er bereits im vorhergehenden Zyklus geöffnet wurde), belässt der Sicherheitsmonitor den Hauptschalter im geöffneten Zustand.
AJJg Die Aufgabe wird des weiteren gelöst durch ein Verfahren zum Betreiben eines Bussystems, mit einem Bus, insbesondere AS-Interface-Bus, an welchen wenigstens ein Master, ein Ausgangsslave und ein Sicherheitsmonitor angeschlossen sind, wobei
A) an den Ausgangsslave ein Ausgangsschalter angeschlossen ist, welchen der Ausgangsslave in den geöffneten und in den geschlossenen Schaltzustand versetzen kann,
B) an den Sicherheitsmonitor ein Hauptschalter angeschlossen ist, welchen der Sicherheitsmonitor öffnen und schließen kann und welcher mit dem Ausgangsschalter in Reihe geschaltet ist,
C) über den Hauptschalter und den Ausgangsschalter ein Verbraucher an eine Stromversorgung angeschlossen ist,
D) in dem Master ein Programmzyklus abläuft und dem Ausgangsslave durch den Master zyklisch, vorzusweise einmal pro Zyklus, per Steuerbefehl über den Bus entweder ein erster Soll-Schaltzustand vorgegeben wird, gemäß welchem sich der Ausgangsschalter im geöffneten Zustand befinden soll, oder ein zweiter Soll-Schaltzustand vorgegeben wird, gemäß welchem sich der
Ausgangsschalter im geschlossenen Zustand befinden soll,
E) vom Ausgangsslave der Steuerbefehl eingelesen wird, der in dem Steuerbefehl enthaltene Soll-Schaltzustand in einem Rückmelde-Code auf den Bus zurückgemeldet wird, und die Ausführung des Steuerbefehls für eine vorgegebene Wartezeit verzögert wird,
F) vom Sicherheitsmonitor über den Bus der Rückmelde-Code eingelesen und diesem der darin angegebene Soll-Schaltzustand entnommen wird, vom Sicherheitsmonitor entweder eine positive Bewertung vorgenommen wird, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand zulässig ist, oder eine negative Bewertung vorgenommen wird, wonach der im Rückmelde-
Code gemeldete Soll-Schaltzustand unzulässig ist, und vom Sicherheitsmonitor bei negativer Bewertung der Hauptschalter geöffnet und somit den Verbraucher von der Stromversorgung getrennt wird,
G) wobei die Wartezeit so lang gewählt wird, dass bei negativer Bewertung der Hauptschalter bereits geöffnet ist, bevor der Ausgangsschalter auf die
Ausführung des Steuerbefehls durch den Ausgangsslave anspricht. Der Rückmelde-Code kann für einen der beiden möglichen Soll-Schaltzustände (nämlich "Ausgangsschalter soll geöffnet sein" oder "Ausgangsschalter soll geschlossen sein") insbesondere ein Nullsignal oder ein Dauer-Lowsignal bzw. eine Folge von logischen Nullen sein; d.h. der Rückmelde-Code kann für einen der beiden möglichen Soll-Schaltzustände darin bestehen, dass vom Ausgangsslave für eine bestimmte Dauer kein Signal oder ein für eine bestimmte Zeit andauerndes Lowsignal bzw. eine Folge von Low-Bis oder logischen Nullen auf den Bus zurückgesendet wird. Beispielsweise kann also der Soll-Schaltzustand "Ausgangsschalter soll geschlossen sein" dadurch vom Ausgangsslave auf den Bus zurückgemeldet werden, dass der entsprechende Rückmelde-Code ein Nullsignal ist, also kein Signal oder ein für eine bestimmte Zeit andauerndes Lowsignal vom Ausgangslave auf den Bus zurückgesendet wird, und dies vom Sicherheitsmonitor als Rückmeldung "Ausgangsschalter soll geschlossen sein" interpretiert wird.
Ebeno kann der Rückmelde-Code für einen der beiden möglichen Soll- Schaltzustände ein Dauerstrich sein; d.h. der Rückmelde-Code kann für diesen Soll- Schaltzustand darin bestehen, dass vom Ausgangsslave für eine bestimmte Dauer ein Dauerstrich-Signal (z.B. Dauer-Highsignal bzw. Folge von High-Bits oder logischen Einsen) auf den Bus zurückgesendet wird. Beispielsweise kann also der Soll-Schaltzustand "Ausgangsschalter soll geöffnet sein" dadurch vom Ausgangsslave auf den Bus zurückgemeldet werden, dass der entsprechende Rückmelde-Code ein für eine bestimmte Zeit andauernder Dauerstrich oder ein für eine bestimmte Zeit andauerndes Highsignal ist, und dies vom Sicherheitsmonitor als Rückmeldung "Ausgangsschalter soll geöffnet sein" interpretiert wird.
Auch durch derartige Signale können somit Rückmelde-Codes sein und somit zur Rückmeldung des im Steuerbefehl enthaltenen Soll-Schaltzustands vom Ausgangsslave auf den Bus dienen.
Generell genügt es für den Betrieb eines erfindungsgemäßen Bussystems und zur Durchführung des erfindungsgemäßen Verfahrens, wenn der Soll-Schaltzustand in solcher Weise im Rückmelde-Code enthalten ist, dass der Sicherheitsmonitor dem Rückmelde-Code den darin zurückgemeldeten Soll-Schaltzustand in irgend einer Weise entnehmen kann. Die Soll-Schaltzustände brauchen daher in den Rückmelde- Codes insbesondere nicht mit den gleichen Bitfolgen codiert zu sein wie in den Steuerbefehlen.
Sofern bei Durchführung des Schrittes F) der Hautschalter bereits geöffnet ist (z.B. weil er bereits im vorhergehenden Zyklus geöffnet wurde), wird der Hauptschalter im Schritt F) im geöffneten Zustand belassen.
Der Ausgangsschalter kann Teil des Ausgangsslaves sein und z.B. in diesen baulich integriert sein.
Ä2 Gemäß einer Variante verzögert das Zeitglied die Ausführung des Steuerbefehls nur dann, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters ist, wogegen das Zeitglied die Ausführung des Steuerbefehls nicht verzögert, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters ist.
AI 7 Bevorzugt wird die Ausführung des Steuerbefehls nur dann verzögert, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters ist, und die Ausführung des Steuerbefehls nicht verzögert, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters ist.
Der Sicherheitsmonitor überwacht erfindungsgemäß den Rückmelde-Code und zieht diesen für die Bewertung heran, beeinflusst aber den Ausgangsschalter und dessen Soll-Schaltzustand nicht. Der Rückmelde-Code enthält eine Aussgage über den SoII- Schaltzustand des Ausgangsschalters. Der Sicherheitsmonitor bewertet bzw. entscheidet anhand dieser Aussgage selbständig, ob dieser Soll-Schaltzustand zulässig ist oder nicht, d.h. die Bewertung betrifft die Zulässigkeit des Soll- Schaltzustandes. Bewertet wird also der im Rückmelde-Code gemeldete Soll- Schaltzustand. Falls der Sicherheitsmonitor den Soll-Schaltzustand für unzulässig erachtet, d.h. eine negative Bewertung vornimmt, öffnet er den Hauptschalter, so dass der Verbraucher stromlos geschaltet wird und es auf den tatsächlichen Schaltzustand des Ausgangsschalters nicht mehr ankommt. Erfindungsgemäß geschieht dies, noch bevor sich der Schaltzustand des Ausgangsschalters ändern kann; zu diesem Zweck ist das Zeitglied vorgesehen, welches die Ausführung des Steuerbefehls entsprechend verzögert. Diese Maßnahme hat ihren Grund darin, dass der Zeitpunkt, zu dem der Ausgangsslave den Steuerbefehl erhält, früher liegt als der Zeitpunkt, zu dem der Sicherheitsmonitor den Rückmelde-Code erhält, und vom Sicherheitsmonitor dann noch Zeit benötigt wird, um zu bewerten, ob er den im Rückmelde-Code angekündigten Soll- Schaltzustand für zulässig erachtet oder nicht. In der Zwischenzeit könnte ohne entsprechende Gegenmaßnahme der Ausgangsslave den Steuerbefehl bereits ausgeführt und den Ausgangsschalter geschlossen haben. Der Verbraucher würde also sogar dann, wenn der Sicherheitsmonitor den geschlossenen Schaltzustand des Ausgangsschalters für unzulässig erachtet, kurzzeitig an seine Stromversorgung angeschlossen werden, nämlich so lange, bis der Sicherheitsmonitor den Hauptschalter öffnet. In der Praxis liegen diese Zeiträume typischerweise in der Größenordnung von einigen zehn bis zu einigen hundert Millisekunden, was ausreichen kann, um Menschen in der Nähe des Verbrauchers bzw. Roboters zu gefährden.
Erfindungsgemäß wird durch das Zeitglied die Ausführung des Steuerbefehls durch den Ausgangsslave so lange verzögert, bis der Sicherheitsmonitor den Rückmelde- Code eingelesen, seine Bewertung vorgenommen und den Hauptschalter ggf. geöffnet hat, so dass die genannte Gefahr nicht mehr besteht.
Der Verbraucher kann z.B. ein Roboter sein, welcher in einer Sicherheitszelle arbeitet, wobei diese nur durch eine einzige Tür zugänglich ist und welche aus
Sicherheitsgründen nur dann von Menschen betreten werden darf, wenn der Roboter außer Betrieb, d.h. abgeschaltet ist. Der Verbraucher ist von seiner Stromversorgung getrennt, d.h. abgeschaltet, wenn entweder der Ausgangsschalter oder der
Hauptschalter geöffnet ist, da Ausgangsschalter und Hauptschalter in Serie geschaltet sind. Der Ausgangsschalter ist durch den Ausgangsslave mittels
Steuersignalen steuerbar. Ebenso ist der Hauptschalter durch den
Sicherheitsmonitor mittels Steuersignalen steuerbar. Gemäß einer abweichenden, alternativen Variante des Bussystems ist der Sicherheitsmonitor so eingerichtet, das er bei negativer Bewertung den Hauptschalter nicht öffnet, sondern schließt, wobei die Wartezeit so lang bemessen ist, dass bei negativer Bewertung der Hauptschalter bereits geschlossen ist, bevor der Ausgangsschalter auf die Ausführung des Steuerbefehls durch den Ausgangsslave anspricht. Sofern bei dieser Variante eine negative Bewertung erfolgt und der Hautschalter bereits geschlossen ist (z.B. weil er bereits im vorhergehenden Zyklus geschlossen wurde), belässt der Sicherheitsmonitor den Hauptschalter im geschlossenen Zustand. Bevorzugt schließt bei dieser Variante der Sicherheitsmonitor den Hauptschalter nur dann, wenn der Zusatz-Soll-Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters ist.
Gemäß einer abweichenden, alternativen Variante des erfindungsgemäßen Verfahrens wird bei negativer Bewertung der Hauptschalter vom Sicherheitsmonitor im Schritt F) nicht geöffnet, sondern statt dessen geschlossen, und die Wartezeit so lang gewählt, dass bei negativer Bewertung der Hauptschalter bereits geschlossen ist, bevor der Ausgangsschalter auf die Ausführung des Steuerbefehls durch den Ausgangsslave anspricht. Sofern bei dieser Variante bei Durchführung des Schrittes F) der Hautschalter bereits geschlossen ist (z.B. weil er bereits im vorhergehenden Zyklus geöffnet wurde), wird der Hauptschalter im Schritt F) im geschlossenen Zustand belassen. Bevorzugt wird bei dieser Variante der Hauptschalter vom Sicherheitsmonitor nur dann geschlossen, wenn der Zusatz-Soll-Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters ist. Bevorzugt wird bei dieser Variante der Hauptschalter vom Sicherheitsmonitor nur dann geschlossen, wenn der Zusatz-Soll-Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters ist.
A2> Gemäß einer weiteren abweichenden, alternativen Variante des Bussystems ist der Hauptschalter mit dem Ausgangsschalter nicht in Reihe, sondern zu diesem parallel geschaltet, so dass der Verbraucher sowohl über den Hauptschalter als auch über den Ausgangsschalter mit der Stromversorgung verbunden ist, wobei der Sicherheitsmonitor bei negativer Bewertung den Hauptschalter nicht öffnet, sondern schließt, und die Wartezeit so lang bemessen ist, dass bei negativer Bewertung der Hauptschalter bereits geschlossen ist, bevor der Ausgangsschalter auf die Ausführung des Steuerbefehls durch den Ausgangsslave anspricht.
Sofern bei dieser Variante eine negative Bewertung erfolgt und der Hautschalter bereits geschlossen ist (z.B. weil er bereits im vorhergehenden Zyklus geschlossen wurde), belässt der Sicherheitsmonitor den Hauptschalter im geschlossenen Zustand.
A4 Bevorzugt verzögert das Zeitglied die Ausführung des Steuerbefehls nur dann, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters ist, und verzögert die Ausführung des Steuerbefehls nicht, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters ist.
Ä18 Gemäß einer abweichenden, alternativen Variante des erfindungsgemäßen Verfahrens ist der Hauptschalter mit dem Ausgangsschalter nicht in Reihe, sondern zu diesem parallel geschaltet, so dass der Verbraucher sowohl über den
Hauptschalter als auch über den Ausgangsschalter mit der Stromversorgung verbunden ist, wobei der Hauptschalter vom Sicherheitsmonitor bei negativer
Bewertung nicht geöffnet, sondern geschlossen wird, und wobei die Wartezeit so lang gewählt wird, dass bei negativer Bewertung der Hauptschalter bereits geschlossen ist, bevor der Ausgangsschalter auf die Ausführung des Steuerbefehls durch den Ausgangsslave anspricht.
Sofern bei dieser Variante bei Durchführung des Schrittes F) der Hautschalter bereits geschlossen ist (z.B. weil er bereits im vorhergehenden Zyklus geöffnet wurde), wird der Hauptschalter im Schritt F) im geschlossenen Zustand belassen.
Der Verbraucher V kann bei dieser alternativen Variante der Erfindung also bei geöffnetem Ausgangsschalter AS durch Schließen des Hauptschalters HS mit der Stromversorgung Q verbunden werden.
Diese alternative Variante der Erfindung eignet sich insbesondere für solche Anwendungen, bei denen ein ungewolltes Abschalten des Verbrauchers V unbedingt vermieden werden soll. Beispielsweise kann der Verbraucher V ein Roboter sein, welcher einen Farbauftrag auf eine Autokarosse aufbringt, wobei dieser Vorgang keinesfalls unterbrochen werden soll, um die einwandfreie Homogenität des Farbauftrages zu gewährleisten. Ein Programmfehler oder eine Fehlfunktion des Masters oder des Ausgangsslaves, welche zu einen ungewollten Öffnen des Ausgangsschalters führen, ziehen somit keine Unterbrechung des Farbauftrag- Vorgangs nach sich, da die Unterbrechung vom Sicherheitsmonitor als ungewollt erkannt und durch rechtzeitiges Schließen des Hauptschalters verhindert wird. Wenn der Vorgang des Farbauftrags vor seiner Fertigstellung unterbrochen wird, kann dies unter Umständen dazu führen, dass die Autokarosse nicht mehr verwendet werden kann. Mit Hilfe dieser alternativen Variante der Erfindung kann also in derartigen Fällen auf sehr einfache Weise erheblicher Schaden vermieden werden.
A19 Gemäß einer Variante wird die Ausführung des Steuerbefehls nur dann verzögert, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters ist, und die Ausführung des Steuerbefehls nicht verzögert, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters ist.
Der Master gibt dem Ausgangsslave den Soll-Schaltzustand, in welchem sich der Ausgangsschalter befinden soll, vor. D.h., der Master gibt vor, ob der Ausgangsschalter geöffnet oder geschlossen sein soll. Zu diesem Zweck sendet der Master (vorzugsweise einmal pro Zyklus) über den Bus einen Steuerbefehl an den Ausgangsslave, wobei der Steuerbefehl die Information für den Ausgangsslave enthält, ob der Ausgangsschalter geöffnet oder geschlossen sein soll.
Die Vorgabe, ob der Ausgangsschalter geöffnet oder geschlossen sein soll, wird vom Master auf den Bus aufgegeben. Beispielsweise können in dem Master oder einem damit verbundenen Speicher vorgegebene Daten gespeichert sein, anhand welcher der Master den Soll-Schaltzustand intern festgelegt. Die Vorgabe, ob der Ausgangsschalter geöffnet oder geschlossen sein soll, kann z.B. von der Zeit abhängen. Eine andere Möglichkeit besteht darin, dass die Vorgabe von außen beeinflusst wird. Z.B. kann der Master mit einem Eingabeelement, z.B. Taster, verbunden sein, über welches Eingaben in den Master von außen möglich sind, wobei der Master in Abhängigkeit von diesen Eingaben festlegt, welchen Soll-Schaltzustand er dem Ausgangsslave vorgibt. Ebenso kann der Master eine Schnittstelle zu einem Rechner oder zu einer speicherprogrammierbaren Steuerung (SPS) aufweisen, über welche er in einen übergeordneten Prozessablauf eingebunden ist, und über die Schnittstelle Daten erhalten, wobei der Master in Abhängigkeit von diesen Daten festlegt, welchen Soll-Schaltzustand er dem Ausgangsslave vorgibt.
A20 Erfindungsgemäß kann ferner ein an den Bus angeschlossener Eingangsslave verwendet werden, an welchen ein Eingangsschalter angeschlossen ist, wobei vom Eingangsslave zyklisch, vorzugsweise in jedem Zyklus, abgefragt wird, ob sich der Eingangsschalter in geöffnetem oder in geschlossenem Schaltzustand befindet, wobei das Abfrageergebnis vom Eingangsslave zyklisch, vorzugsweise in jedem Zyklus, in Form eines Eingangs-Codes auf den Bus aufgegeben wird.
A20 Alternativ oder zusätzlich kann ein an den Bus angeschlossener Eingangsslave verwendet werden, an welchen ein Eingangssensor angeschlossen ist, welcher einen Messwert abgibt, wobei vom Eingangsslave in jedem Zyklus der Messwert abgefragt wird statt dessen oder abgefragt wird, ob der Messwert größer oder kleiner ist als ein vorgegebener Grenzwert, wobei das Abfrageergebnis vom Eingangsslave zyklisch, vorzugsweise in jedem Zyklus, in Form eines Eingangs-Codes auf den Bus aufgegeben wird.
Ä5 An den Bus kann ein Eingangsslave angeschlossen sein, an welchen ein Eingangssensor angeschlossen ist, welcher einen Messwert abgibt, wobei der Eingangsslave zyklisch, vorzugsweise in jedem Zyklus, den Messwert abfragt oder statt dessen abfragt, ob der Messwert größer oder kleiner ist als ein vorgegebener Grenzwertes, und der Eingangsslave das Abfrageergebnis zyklisch, vorzugsweise in jedem Zyklus, in Form eines Eingangs-Codes auf den Bus aufgibt. Der Eingangssensor kann z.B. ein Temperatursensor sein, welcher die Temperatur des Verbrauchers erfasst, wobei der Master für den Ausgangsschalter den Soll- Schaltzustand "geschlossen" festlegt, solange der Eingangsslave als Abfrageergebnis meldet, dass die Temperatur des Verbrauchers unter einem Grenzwert liegt, und den Soll-Schaltzustand "geöffnet" festlegt, wenn der Eingangsslave meldet, dass die Temperatur des Verbrauchers über dem Grenzwert liegt. Auf diese Weise kann der Verbraucher vor Übertemperatur bewahrt werden.
Der Verbraucher kann insbesondere ein Roboter sein. Der Eingangssensor kann z.B. ein Bewegungsmelder sein, welcher anspricht, wenn sich ein Mensch im Arbeitsbereich des Roboters aufhält, wobei der Master für den Ausgangsschalter den Soll-Schaltzustand "geschlossen" festlegt, solange der Eingangsslave als Abfrageergebnis meldet, dass der Bewegungsmelder nicht anspricht, und andernfalls den Soll-Schaltzustand "geöffnet" festlegt. Auf diese Weise kann der Roboter automatisch abgeschaltet werden, sobald ein Mensch in seine Nähe kommt.
A5 Insbesondere kann an den Bus ein Eingangsslave angeschlossen sein, an welchen ein Eingangsschalter angeschlossen ist, wobei der Eingangsslave zyklisch, vorzugsweise in jedem Zyklus, abfragt, ob sich der Eingangsschalter in geöffnetem oder in geschlossenem Schaltzustand befindet, und der Eingangsslave das Abfrageergebnis in jedem Zyklus in Form eines Eingangs-Codes auf den Bus aufgibt.
Der Eingangsschalter kann z.B. ein Türschalter sein, welcher an der Zugangstür der Sicherheitszelle eines Roboters angeordnet ist, bei geschlossener Tür geschlossen ist und öffnet, sobald die Tür geöffnet wird, wobei der Master für den Ausgangsschalter den Soll-Schaltzustand "geschlossen" festlegt, solange der Eingangsslave als Abfrageergebnis meldet, dass die Zugangstür geschlossen ist, und andernfalls den Soll-Schaltzustand "geöffnet" festlegt. Auf diese Weise kann der Roboter automatisch abgeschaltet werden, sobald jemand die Zugangstür öffnet.
A6 Gemäß einer Variante liest der Master zyklisch, vorzugsweise in jedem Zyklus, den Eingangs-Code über den Bus ein, und legt in Abhängigkeit vom Inhalt des Eingangs-Codes den Soll-Schaltzustand des Ausgangsschalters fest und gibt dem Ausgangsslave diesen Soll-Schaltzustand über den Bus vor. A21 Verfahrensmäßig wird gemäß einer Variante vom Master zyklisch, vorzugsweise in jedem Zyklus, der Eingangs-Code über den Bus eingelesen und in Abhängigkeit vom Inhalt des Eingangs-Codes der Soll-Schaltzustand des Ausgangsschalters festgelegt und dem Ausgangsslave über den Bus vorgegeben.
A7, A22 Gemäß einer Variante der Erfindung ist der Master mit einer Rechenanlage oder mit einer speicherprogrammierbaren Steuerung verbunden und kommuniziert mit dieser.
A8 Gemäß einer Variante liest der Master zyklisch, vorzugsweise in jedem Zyklus, den Eingangs-Code über den Bus ein und gibt den Inhalt des Eingangs-Codes an die Rechenanlage oder die speicherprogrammierbare Steuerung weiter, wobei die Rechenanlage oder die speicherprogrammierbare Steuerung den Soll-Schaltzustand des Ausgangsschalters in Abhängigkeit vom Inhalt des Eingangs-Codes festlegt und an den Master übermittelt, und der Master den Soll-Schaltzustand des Ausgangsschalters dem Ausgangsslave über den Bus vorgibt.
A23 Verfahrensmäßig wird gemäß einer Variante der Eingangs-Code vom Master zyklisch, vorzugsweise in jedem Zyklus, über den Bus eingelesen, der Inhalt des
Eingangs-Codes vom Master an die Rechenanlage oder die speicherprogrammierbare Steuerung weitergegeben, der Soll-Schaltzustand des
Ausgangsschalters von der Rechenanlage oder von der speicherprogrammierbaren
Steuerung in Abhängigkeit vom Inhalt des Eingangs-Codes festgelegt und an den Master übermittelt, und der Soll-Schaltzustand des Ausgangsschalters vom Master dem Ausgangsslave über den Bus vorgegeben.
Die Festlegung des Soll-Schaltzustandes braucht also nicht zwingend durch den Master selbst zu erfolgen. Gemäß der beiden letztgenannten Varianten erhält der Master die Vorgabe, ob sich der Ausgangsschalter im geöffneten oder im geschlossenen Zustand befinden soll, von der Rechenanlage oder von der speicherprogrammierbaren Steuerung, d.h. die Entscheidung, ob sich der Ausgangsschalter im geöffneten oder im geschlossenen Zustand befinden soll, wird nicht vom Master selbst, sondern von der Rechenanlage oder von der speicherprogrammiebaren Steuerung getroffen und an den Master ausgegeben, welcher diese Vorgabe auf den Bus weitergibt.
Der Master kann somit z.B. den vom Eingangsslave gelieferten Eingangs-Code an die Rechenanlage oder die speicherprogrammierbare Steuerung weiterleiten; dort kann dann die Festlegung des Soll-Schaltzutands in Abhängigkeit vom Inhalt des Eingangs-Codes erfolgen. Auch im Fall von derartigen Beeinflussungen des Masters von außen durch die Rechenanlage oder die speicherprogrammierbare Steuerung erhält der Ausgangsslave die Vorgabe über den Soll-Schaltzustand des Ausgangsschalters immer über den Bus direkt vom Master; stets ist es dieser, der dem Ausgangsslave den Soll-Schaltzustand vorgibt. Dies gilt insbesondere auch dann, wenn die Festlegung des Soll-Schaltzustands nicht durch den Master selbst, sondern z.B. durch die Rechenanlage oder durch die SPS erfolgt. In derartigen Fällen gibt der Master dem Ausgangsslave einen außerhalb des Mastes festgelegten Soll-Schaltzustand vor.
Die Entscheidung darüber, ob der Hauptschalter geöffnet oder geschlossen sein soll, wird vom Sicherheitsmonitor selbständig getroffen. Diese Entscheidung ist das Ergebnis der Bewertung. Beispielsweise können im Sicherheitsmonitor Daten gespeichert sein, welche der Sicherheitsmonitor mit dem Rückmelde-Code vergleicht oder auf sonstige Weise in Beziehung setzt, so dass der Sicherheitsmonitor unter Heranziehung der gespeicherten Daten und des eingelesenen Rückmelde-Codes die Entscheidung trifft.
Gemäß einer sehr vorteilhaften und daher bevorzugten Variante zieht der Sicherheitsmonitor für die Bewertung neben dem Rückmelde-Code den vom Eingangsslave gelieferten Eingangs-Code heran und prüft in Abhängigkeit vom letzteren selbständig, in welchem Schaltzustand sich der Ausgangsschalter befinden soll.
A9 Gemäß einer bevorzugten Variante liest daher der Sicherheitsmonitor zyklisch, vorzugsweise in jedem Zyklus, selbständig den Eingangs-Code mit und legt in Abhängigkeit von dessen Inhalt entweder einen ersten Zusatz-Soll-Schaltzustand fest, gemäß welchem sich der Ausgangsschalter im geöffneten Zustand befinden soll, oder einen zweiten Zusatz-Soll-Schaltzustand fest, gemäß welchem sich der Ausgangsschalter im geschlossenen Zustand befinden soll, wobei der Sicherheitsmonitor den dem Rückmelde-Code entnommenen Soll-Schaltzustand mit dem Zusatz-Soll-Schaltzustand vergleicht, und die negative Bewertung vornimmt, wenn dieser Vergleich keine Übereinstimmung ergibt.
A24 Verfahrensmäßig wird bevorzugt vom Sicherheitsmonitor zyklisch, vorzugsweise in jedem Zyklus, selbständig der Eingangs-Code mitgelesen und in Abhängigkeit von dessen Inhalt entweder ein erster Zusatz-Soll-Schaltzustand festgelegt, gemäß welchem sich der Ausgangsschalter im geöffneten Zustand befinden soll, oder ein zweiter Zusatz-Soll-Schaltzustand festgelegt wird, gemäß welchem sich der
Ausgangsschalter im geschlossenen Zustand befinden soll, der dem Rückmelde- Code entnommene Soll-Schaltzustand mit dem Zusatz-Soll-Schaltzustand verglichen wird, und die negative Bewertung vorgenommen wird, wenn dieser Vergleich keine
Übereinstimmung ergibt.
Auf diese Weise definiert der Sicherheitsmonitor also unabhängig vom Master selbstständig ebenfalls einen hier als Zusatz-Soll-Schaltzustand bezeichneten Schaltzustand für den Ausgangsschalter, wobei Zusatz-Soll-Schaltzustand aber nur der Kontrolle dient, nur innerhalb des Sicherheitsmonitors eine Rolle spielt, nicht auf den Bus gelangt und den Ausgangsschalter bzw. dessen Schaltzustand nicht beeinflusst. Der Zusatz-Soll-Schaltzustand dient nämlich lediglich als Vergleichsgrundlage gegenüber dem vom Rückmelde-Code angegebenen Soll- Schaltzustand; anhand des Vergleichsergebnisses wird die Bewertung vorgenommen, ob vom Rückmelde-Code angegebene Soll-Schaltzustand als zulässig oder als unzulässig erachtet wird.
A10 Bevorzugt nimmt der Sicherheitsmonitor die negative Bewertung nur unter der Bedingung vor, dass der Zusatz-Soll-Schaltzustand der offene Schaltzustand des Ausgangsschalters ist. A25 Bevorzugt wird die negative Bewertung vom Sicherheitsmonitor nur unter der Bedingung vorgenommen, dass der Zusatz-Soll- Schaltzustand der offene Schaltzustand des Ausgangsschalters ist.
A11 Gemäß einer anderen bevorzugen Ausführungsform nimmt der Sicherheits- monitor die negative Bewertung nur unter der Bedingung vor, dass der Zusatz-Soll- Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters ist. A26 Gemäß einer Variante wird die negative Bewertung vom Sicherheitsmonitor nur unter der Bedingung vorgenommen, dass der Zusatz-Soll-Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters ist.
Zur weiteren Erläuterung wird nochmals auf obiges Beispiel Bezug genommen, gemäß welchem die Zugangstür einer Sicherheitszelle mit einem darin arbeitenden Roboter mittels eines Türschalters überwacht wird. Der Schaltzustand des Türschalters ist im Eingangs-Code enthalten. Durch Mitlesen des Eingangs-Codes ist der Sicherheitsmonitor also jederzeit selbständig darüber unterrichtet, ob die Zugangstür geöffnet oder geschlossen ist. Ausgehend von dieser Information nimmt der Sicherheitsmonitor die Bewertung vor:
Ein Eingangs-Code mit der Information "Zugangstür geschlossen" bedeutet in diesem Beispiel, dass der Roboter eingeschaltet sein darf und ein geschlossener
Ausgangsschalter daher zulässig ist. Diese Information wird sowohl vom Master als auch unabhängig davon vom Sicherheitsmonitor eingelesen. In diesem Fall gibt der
Master bei ordnungsgemäßer Funktion dem Ausgangsslave per Steuerbefehl den geschlossenen Schaltzustand als Soll-Schaltzustand vor; der Ausgangsslave wird daraufhin bei ordnungsgemäßer Funktion den Empfang dieses Soll-Schaltzustands
"Ausgangsschalter soll geschlossen sein" im Rückmelde-Code auf den Bus zurückmelden. Der Rückmelde-Code mit der Information "Ausgangsschalter soll geschlossen sein" löst daher in dieser Situation eine positive Bewertung durch den
Sicherheitsmonitor aus; der Hauptschalter wird nicht geöffnet, so dass der Roboter weiter in Betrieb bleibt.
Ein Eingangs-Code mit der Information "Zugangstür offen" bedeutet in diesem Beispiel hingegen, dass der Roboter abgeschaltet sein muss und ein geschlossener Ausgangsschalter daher unzulässig ist. Falls keine Fehlfunktion vorliegt, muss der Master nunmehr dem Ausgangsslave per Steuerbefehl den geöffneten Schaltzustand als Soll-Schaltzustand vorgeben; der Ausgangsslave muss daraufhin den Empfang dieses Soll-Schaltzustands "Ausgangsschalter soll geöffnet sein" im Rückmelde- Code auf den Bus zurückmelden. Ein Rückmelde-Code mit der gegenteiligen Information "Ausgangsschalter soll geschlossen sein" wäre daher in dieser Situation ein Indikator für eine Fehlfunktion und würde daher erfindungsgemäß eine negative Bewertung durch den Sicherheitsmonitor auslösen; der Hauptschalter würde sicherheitshalber geöffnet, so dass der Roboter abgeschaltet wird.
A12 Gemäß einer vorteilhaften Variante nimmt der Sicherheitsmonitor die negative Bewertung auch dann vor, falls er feststellt, dass er dem Rückmelde-Code den Soll- Schaltzustand nicht oder nicht eindeutig entnehmen kann, oder falls er feststellt, dass er den Zusatz-Soll-Schaltzustand nicht oder nicht eindeutig festlegen kann.
A27 Verfahrensmäßig wird gemäß einer vorteilhaften Variante die negative Bewertung vom Sicherheitsmonitor auch dann vorgenommen, falls er feststellt, dass er dem Rückmelde-Code den Soll-Schaltzustand nicht oder nicht eindeutig entnehmen kann, oder dass er den Zusatz-Soll-Schaltzustand nicht oder nicht eindeutig festlegen kann.
Hierdurch werden auch solche Fehlfunktion abgedeckt, welche nicht zu einem falschen Soll-Schaltzustand führen, sondern zu einem solchen Rückmelde-Code, welcher keinen Schaltzustand eindeutig bezeichnet (z.B. beide Schaltzustände zugleich enthält), oder überhaupt keinen Schaltzustand bezeichnet. Die Fehlfunktion kann z.B. durch einen Defekt des Masters oder des Ausgangsslaves verursacht sein; erfindungsgemäß kann die Fehlfunktion nicht dazu führen, dass der Verbraucher ungewollt eingeschaltet wird oder eingeschaltet bleibt.
A10 Gemäß einer abgewandelten Variante nimmt der Sicherheitsmonitor die negative Bewertung nur unter der Bedingung vor, dass der Zusatz-Soll- Schaltzustand der offene Schaltzustand des Ausgangsschalters ist. A25 Verfahrensmäßig wird bevorzugt die negative Bewertung vom Sicherheitsmonitor nur unter der Bedingung vorgenommen, dass der Zusatz-Soll-Schaltzustand der offene Schaltzustand des Ausgangsschalters ist.
Diese Varianten können insbesondere dann vorteilhaft sein, wenn mit einer Fehlfunktion, durch welche der Ausgangsschalter ungewollt geöffnet wird, keine Gefahr verbunden ist, oder bei nicht sicherheitsrelevanten Masterfunktionen, durch welche der Ausgangsschalter geöffnet wird, die aber dem Sicherheitsmonitor nicht bekannt sind.
Zur Erläuterung dieser Varianten wird erneut auf obiges Beispiel Bezug genommen, gemäß welchem die Zugangstür einer Sicherheitszelle mit einem darin arbeitenden Roboter mittels eines Türschalters überwacht wird. Sofern der Master dem Ausgangsslave den Soll-Schaltzustand "Ausgangsschalter soll geschlossen sein" vorgibt, wegen einer Fehlfunktion der Rückmelde-Code aber die falsche Information "Ausgangsschalter soll geöffnet werden" auf den Bus zurückmeldet, so besteht unter Umständen keine zwingende Notwendigkeit für den Sicherheitsmonitor, den Hauptschalter zu öffnen, da der Ausgangsschalter geöffnet und der Roboter damit ohnehin abgeschaltet wird.
Auf Grund des Zeitgliedes erfolgt die Öffnung des Ausgangsschalters aber verzögert. Wenn diese Verzögerung aus Sicherheitsgründen problematisch sein sollte, ist es zweckmäßig, obige Bedingung (wonach die negative Bewertung vom Sicherheitsmonitor nur vorgenommen wird, wenn der Zusatz-Soll-Schaltzustand der offene Schaltzustand des Ausgangsschalters ist), nicht einzuführen.
Eine andere Möglichkeit besteht zur Vermeidung dieses Sicherheitsproblems, welches mit der Zeitverzögerung verbunden sein kann, darin, bei der Öffnung des Ausgangsschalters auf die Zeitverzögerung zu verzichten, also als Wartezeit T=O zu wählen. A2 Gemäß einer Variante verzögert daher das Zeitglied die Ausführung des Steuerbefehls nur dann, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters ist, wogegen das Zeitglied die Ausführung des Steuerbefehls nicht verzögert, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters ist. A17 Gemäß einer Verfahrensvariante wird die Ausführung des Steuerbefehls nur dann verzögert, wenn der Steuerefehl ein solcher zum Schließen des Ausgangsschalters ist, wogegen die Ausführung des Steuerbefehls nicht verzögert wird, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters ist.
Die Prüfung, ob der Steuerbefehl ein solcher zum Schließen oder ein solcher zum Öffnen des Ausgangsschalters ist, kann insbesondere im Ausgangsslave selbst vorgenommen werden.
Selbstverständlich kann der vom Master vorgegebene Soll-Schaltzustand in jedem Zyklus wechseln. In vielen Fällen wird sich aber in der Praxis der Soll-Schaltzustand über eine Mehrzahl von Zyklen nicht ändern. A13 Gemäß einer von den bisher erläuterten Varianten des erfindungsgemäßen Bussystems abweichenden Variante sendet der Master nur dann einen die Information über den Soll-Schaltzustand enthaltenden Steuerbefehl an den Ausgangsslave, wenn sich der Schaltzustand des Ausgangsschalters ändern soll. A28 Gemäß einer von den bisher erläuterten Varianten abweichenden Verfahrensvariante wird vom Master nur dann ein die Information über den Soll-Schaltzustand enthaltender Steuerbefehl an den Ausgangsslave gesendet, wenn sich der Schaltzustand des Ausgangsschalters ändern soll. Wenn der Soll-Schaltzustand gegenüber den vorigen Zyklus unverändert bleiben soll, wird also bei diesen Varianten nicht erneut die gleiche Information über den Soll-Schaltzustand an den Ausgangsslave gesendet.
Der Sicherheitsmonitor braucht nicht direkt an den Bus angeschlossen zu sein, sondern kann über den Master an den Bus angeschlossen sein. A14 Der
Sicherheitsmonitor braucht nicht notwendigerweise ein separates Bauteil zu sein; vielmehr kann er Bestandteil des Masters sein, bzw. Sicherheitsmonitor und Master können zu einem einzigen Bauteil vereinigt sein. Ä29 Verfahrensmäßig kann als
Sicherheitsmonitor ein solcher verwendet werden, welcher Bestandteil des Masters ist. Der Master kann somit so eingerichtet sein, dass er zugleich auch die Funktion des Sicherheitsmonitors erfüllt. A15 Gemäß einer Ausführungsform ist der Ausgangsslave imstande, den Ist- Schaltzustand des Ausgangsschalters zu detektieren, und den geöffneten Schaltzustand des Ausgangsschalters sowohl dann im Rückmelde-Code auf den Bus zurückzumelden, wenn der Soll-Schaltzustand des Ausgangsschalters der geöffnete Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters der geöffnete Schaltzustand ist, und/oder den geschlossenen Schaltzustand des Ausgangsschalters sowohl dann im Rückmelde-Code auf den Bus zurückzumelden, wenn der Soll-Schaltzustand des Ausgangsschalters der geschlossene Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters der geschlossene Schaltzustand ist.
A30 Gemäß einer Variante wird der Ist-Schaltzustand des Ausgangsschalters vom Ausgangsslave detektiert und der geöffnete Schaltzustand des Ausgangsschalters sowohl dann im Rückmelde-Code auf den Bus zurückgemeldet, wenn der SoII- Schaltzustand des Ausgangsschalters der geöffnete Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters der geöffnete Schaltzustand ist, und/oder der geschlossene Schaltzustand des Ausgangsschalters sowohl dann im Rückmelde-Code auf den Bus zurückgemeldet, wenn der Soll-Schaltzustand des Ausgangsschalters der geschlossene Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters der geschlossene Schaltzustand ist.
Die Erfindung eignet sich zur kostengünstigen Realisierung von so genannten "sicheren" Ausgängen eines AS-Interface-Busses, d.h. von Schaltausgängen, welche durch eine zusätzliche, unabhängig arbeitende Kontrolle gegen Fehlfunktion gesichert sind, und kann daher insbesondere vorteilhaft zur Verbesserung der Arbeitssicherheit und zur Verringerung der Unfallgefahr z.B. beim Betrieb von Robotern, Antrieben oder Ventilen eingesetzt werden. Erfindungsgemäß wird die zusätzliche Kontrolle durch den Sicherheitsmonitor vorgenommen. Der Ausgangsslave braucht daher nicht imstande zu sein, seine eigene Funktion mittels aufwändiger interner Kontrollverfahren oder zusätzlicher Hardware zu überwachen. Der Ausgangsslave benötigt daher zur Realisierung der erfindungsgemäßen Lehre keine aufwändige Parametrierung. Hierdurch können der Hardware-Aufwand, der Software-Aufwand, der Arbeitsauufwand und damit auch die Kosten zur Realisierung "sicherer" Ausgänge erheblich vemindert werden.
Weitere Vorteile eines erfindungsgemäßen Bussystems bestehen darin, dass dieses mit geringer Prozessorleistung auskommt und gänzlich ohne Sicherheitssoftware realisiert werden kann, und dass der Sicherheitsmonitor keine Slave-Adresse belegt, also die Zahl der an den Bus anschließbaren Slaves nicht vermindert. Als Sicherheitsmonitor sind alle handelsüblichen Sicherheitsmonitore geeignet.
Gemäß einer bevorzugten Variante der Erfindung werden der Ausgang bzw. die einzelnen Ausgänge nicht aktiv vom Sicherheitsmonitor freigeschaltet, sondern nur überwacht. Die Ausgänge des Ausgangsmoduls werden bevorzugt betriebsmäßig von der Steuerung über die Ausgangsdatenbits des AS- Interface- 1 Cs (das ist die Schnittstelle des Slaves zur Kommunikation mit dem Bus) geschaltet. Sind alle Ausgänge abgeschaltet, sendet der Ausgangsslave bevorzugt eine sichere Codefolge zurück, die vom Sicherheitsmonitor überwacht wird. Sind die Ausgänge eingeschaltet oder defekt, wird die sichere Codefolge bevorzugt von einer sicheren Überwachungsschaltung abgeschaltet bzw. verfälscht. Empfängt der Sicherheitsmonitor vom Ausgangsslave eine konstante 0x0, geht er bevorzugt davon aus, dass ein oder mehrere Ausgänge eingeschaltet sind. Er entscheidet dann gemäß einer bevorzugten Variante anhand seines Prozessabbilds, ob das Einschalten zum gegenwärtigen Zeitpunkt erlaubt ist. Ist das nicht der Fall schaltet der Monitor gemäß einer bevorzugten Variante ab, d.h. er schaltet die Hilfsenergie ab, aus der der Ausgangsslave die Ausgänge versorgt. Damit ein kurzzeitiges Einschalten der Ausgänge unterbleibt, verzögert der Ausgangsslave das Einschalten der Ausgänge nach dem Sperren der Codefolge gemäß einer bevorzugten Variante der Erfindung noch so lange, bis der Sicherheitsmonitor im Fehlerfall die Hilfsspannung abschalten kann. Damit sind die Ausgänge energielos, bevor sie schalten können.
Ferner ist es ohne weiteres möglich, einen weiteren Ausgangsslave an den Bus anzuschließen, welcher an einen weiteren Ausgangsschalter angeschlossen ist, über welchen ein weiterer Verbraucher an eine Stromversorgung angeschlossen ist. Der weitere Ausgangsslave erhält ebenfalls Steuerbefehle vom Master, und zwar mit einer darin enthaltenen Information über den Soll-Schaltzustand des weiteren Ausgangsschalters. Der weitere Ausgangsslave meldet diese Information ebenfalls in einem Rückmelde-Code auf den Bus zurück. Die Rückmelde-Codes können Kennungen enthalten, welche den Ausgangsslave, von welchem der Rückmelde- Code stammt, jeweils identifizieren.
Hierbei kann insbesondere auch der weitere Ausgangsschalter mit dem Hauptschalter in Serie geschaltet sein, wobei der Sicherheitsmonitor über den Bus auch den Rückmelde-Code des weiteren Ausgangsslaves einliest und diesem den darin angegebenen Soll-Schaltzustand entnimmt, und entweder eine positive Bewertung vornimmt, wonach der in diesem Rückmelde-Code gemeldete Soll-Schaltzustand zulässig ist, oder eine negative Bewertung vornimmt, wonach der in diesem Rückmelde-Code gemeldete Soll-Schaltzustand unzulässig ist, und bei negativer Bewertung den Hauptschalter öffnet (bzw. schließt) und somit den Verbraucher zusammen mit dem weiteren Verbraucher von der Stromversorgung trennt (bzw. an die Stromversorgung anschließt), wobei auch der weitere Ausgangsslave ein Zeitglied aufweist, welches die Ausführung des vom Master an den weiteren Ausgsngsslave gesandten Steuerbefehls für eine vorgegebene Wartezeit verzögert, welche so lang gewählt ist, dass bei negativer Bewertung der Hauptschalter bereits geöffnet bzw. geschlossen ist, bevor der weitere Ausgangsschalter auf die Ausführung dieses Steuerbefehls durch den weiteren Ausgangsslave anspricht.
Dieses Prinzip kann völlig entsprechend auch auf mehr als zwei Ausgangsslaves angewandt werden.
Der Sicherheitsmonitor kann gemäß einer weiteren Variante insbesondere so eingerichtet sein, dass er nicht nur den Hauptschalter zu steuern imstande ist, sondern unabhängig hiervon auch einen weiteren Hauptschalter, welcher anstelle des Hauptschalters mit dem weiteren Ausgangsschalter in Serie geschaltet ist. Der Rückmelde-Code des weiteren Ausgangsslaves kann in diesem Fall ebenfalls in erfindungsgemäßer Weise mittels des Sicherheitsmonitors überwacht werden: der von dem weiteren Ausgangsslave stammende Rückmelde-Code wird vom Sicherheitsmonitor ebenfalls mitgelesen. Der Sicherheitsmonitor bewertet diese Information und öffnet (bzw. schließt) den weiteren Hauptschalter bei negativer Bewertung, und schaltet somit bei negativer Bewertung den weiteren Verbraucher ab (bzw. ein), wobei auch der weitere Ausgangsslave ein Zeitglied aufweist, welches die Ausführung des vom Master an den weiteren Ausgangsslave gesandten Steuerbefehls für eine vorgegebene Wartezeit verzögert, welche so lang gewählt ist, dass bei negativer Bewertung der weitere Hauptschalter bereits geöffnet bzw. geschlossen ist, bevor der weitere Ausgangsschalter auf die Ausführung dieses Steuerbefehls durch den weiteren Ausgangsslave anspricht.
Auf diese Weise wird vorteilhaft erreicht, dass im Fall einer Fehlfunktion nur eines der beiden Ausgangsslaves nur ein Verbraucher abgeschaltet wird. Der andere Verbraucher kann ungestört in Betrieb bleiben. Eine Abschaltung des Gesamtsystems bzw. aller Verbraucher ist erfindungsgemäß nicht notwendig. Sofern der Sicherheitsmonitor imstande ist, noch weitere Hauptschalter einzeln zu steuern, können nach diesem Prinzip in gleicher Weise noch weitere Ausgangsslaves überwacht und weitere Verbraucher in Abhängigkeit vom Ergebnis der Überwachung ab- bzw. eingeschaltet werden.
Alternativ kann zur Steuerung des weiteren Hauptschalters ein weiterer Sicherheitsmonitor verwendet werden. Der von dem weiteren Ausgangsslave stammende Rückmelde-Code wird in diesem Fall von dem weiteren
Sicherheitsmonitor mitgelesen. Der weitere Sicherheitsmonitor bewertet diese
Information und öffnet (bzw. schließt) den weiteren Hauptschalter bei negativer
Bewertung. Beide Sicherheitsmonitore können völlig unabhängig voneinander arbeiten, wobei auch der weitere Ausgangsslave ein Zeitglied aufweist, welches die
Ausführung des vom Master an den weiteren Ausgangsslave gesandten
Steuerbefehls für eine vorgegebene Wartezeit verzögert, welche so lang gewählt ist, dass bei negativer Bewertung der weitere Hauptschalter bereits geöffnet bzw. geschlossen ist, bevor der weitere Ausgangsschalter auf die Ausführung dieses Steuerbefehls durch den weiteren Ausgangsslave anspricht.
Auch auf diese Weise wird vorteilhaft erreicht, dass im Fall einer Fehlfunktion nur eines der beiden Ausgangsslaves nur ein Verbraucher abgeschaltet wird und der andere Verbraucher ungestört in Betrieb bleiben kann. Selbstverständlich können auch nach diesem Prinzip in gleicher Weise noch weitere Ausgangsslaves und Sicherheitsmonitore an den Bus angeschlossen und weitere Verbraucher über weitere Hauptschalter betrieben werden.
Kurzbeschreibung der Zeichnung, in welcher schematisch zeigen: Figur 1 ein Blockschaltbild einer bevorzugten Ausführungsform eines erfindungsgemäßen Bussystems, mit einem Master, einem Sicherheitsmonitor, wenigstens einem Eingangsslave und wenigstens einem Ausgangsslave, welcher einen Ausgangsschalter steuert, über den ein Verbraucher an eine Stromversorgung angeschlossen ist, Figur 2 ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Bussystems, welches sich von demjenigen von Figur 1 dadurch unterscheidet, dass der Sicherheitsmonitor Bestandteil des Masters ist, Figur 3 ein Blockschaltbild einer weiteren bevorzugten Ausführungsform eines erfindungsgemäßen Bussystems, welches sich von demjenigen von Figur 1 durch einen weiteren Ausgangsslave unterscheidet, welcher einen Ausgangsschalter steuert, über den ein weiterer Verbraucher an die Stromversorgung angeschlossen ist, Figur 4 ein Blockschaltbild einer weiteren bevorzugten Ausführungsform eines erfindungsgemäßen Bussystems, welches sich von demjenigen von Figur 1 durch einen über einen weiteren Eingangsslave angeschlossenen Notausschalter unterscheidet, und Figur 5 ein Blockschaltbild eines Ausgangslaves und eines daran angeschlossenen Ausgangsschalters gemäß einer Ausführungsform der Erfindung,
Figur 6 ein Blockschaltbild eines Ausgangslaves und eines daran angeschlossenen Ausgangsschalters gemäß einer anderen Ausführungsform der Erfindung, und Figur 7 ein Blockschaltbild eines Ausgangslaves und eines daran angeschlossenem Ausgangsschalters gemäß einer weiteren Ausführungsform der Erfindung. Figur 1 zeigt schematisch als Blockschaltbild eines erfindungsgemäßen AS- Interface-Bussystems, mit einerm AS-Interface-Bus B, an welchen ein Master M, ein Ausgangsslave A und ein Sicherheitsmonitor SiM angeschlossen sind.
An den Ausgangsslave A ist ein Ausgangsschalter AS angeschlossen, welchen der Ausgangsslave A über eine Steuerleitung SL1 in den geöffneten und in den geschlossenen Schaltzustand versetzen kann. An den Sicherheitsmonitor SiM ist ein Hauptschalter HS angeschlossen, welchen der Sicherheitsmonitor SiM über eine Steuerleitung SL2 öffnen und schließen kann und welcher mit dem Ausgangsschalter AS in Reihe geschaltet ist. Über den Hauptschalter HS und den damit in Reihe geschalteten Ausgangsschalter AS ist ein Verbraucher V, welcher im vorliegenden Beispiel ein Roboter ist, mittels Leitungen L1 , L2 an eine Stromversorgung Q angeschlossen. Der Verbraucher bzw. Roboter V kann daher sowohl durch Öffnen des Ausgangsschalters AS wie auch durch Öffnen des Hauptschalters HS von der Stromversorgung Q getrennt und somit abgeschaltet werden.
An den Bus B ist ferner ein Eingangsslave E angeschlossen, an welchen über Leitungen L3.L4 ein Eingangsschalter ES angeschlossen ist, wobei der Eingangsslave E in jedem Zyklus abfragt, ob sich der Eingangsschalter ES in geöffnetem oder in geschlossenem Schaltzustand befindet. Der Eingangsschalter ES ist im vorliegenden Beispiel ein Türschalter ES, welcher öffnet, sobald die Zugangstür ZT zu einer Sicherheitszelle SiZ geöffnet wird. Bei geschlossener Zugangstür ZT ist der Eingabeschalter ES geschlossen. Die z.B. käfigartig mit Gitterwänden ausgebildete Sicherheitszelle SiZ umschließt allseitig einen Raum, in welchem sich der Roboter V befindet, und welcher nur durch die Zugangstür ZT zugänglich ist. Die Sicherheitszelle SiZ dient dazu, Menschen davor zu bewahren, unbeabsichtigt in den Arbeitsbereich des Roboters V zu geraten und sich hierdurch in Gefahr zu begeben.
An den Bus B können für weitere Funktionen weitere Ausgangsslaves A1 und weitere Eingangsslaves E1 angeschlossen sein; diese sind für das vorliegende Ausführungsbeispiel ohne Belang und daher gestrichelt dargestelt. Das Abfrageergebnis, ob der Eingangsschalter ES geöffnet oder geschlossen ist, gibt der Eingangsslave E in jedem Zyklus in Form eines Eingangs-Codes auf den Bus B auf. Der Master M liest in jedem Zyklus den Eingangs-Code über den Bus B ein und informiert sich somit über den Schaltzustand des Eingangsschalters ES.
In dem Master M läuft ein Programmzyklus ab. Der Master M ist über eine bidirektionale Kommunikationsverbindung K mit einer speicherprogrammierbaren Steuerung SPS verbunden. In jedem Zyklus liest der Master M den vom Eingangsslave E über den Bus B gesendeten Eingangs-Code ein und gibt dessen Inhalt über die Kommunikationsverbindung K an die speicherprogrammierbare Steuerung SPS weiter. Diese wertet den Inhalt des Eingangs-Codes aus und legt in Abhängigkeit von diesem Inhalt ein Soll-Schaltzustand des Ausgangsschalters AS fest:
Bei geschlossenem Eingangsschalter ES (entspricht geschlossener Zugangstür ZT) entscheidet die speicherprogrammierbare Steuerung SPS, dass der Roboter V in Betrieb sein darf, also der Ausgangsschalter AS zum Zweck der Stromversorgung des Roboters V geschlossen sein soll. Die speicherprogrammierbare Steuerung SPS legt in diesem Fall daher als Soll-Schaltzustand für den Ausgangsschalter den geschlossenen Schaltzustand fest.
Bei geöffnetem Eingangsschalter ES (entspricht geöffneter Zugangstür ZT) entscheidet die speicherprogrammierbare Steuerung SPS hingegen, dass der Roboter V nicht in Betrieb sein darf, also der Ausgangsschalter AS zum Zweck der Unterbrechung der Stromversorgung für den Roboters V geöffnet sein soll. Die speicherprogrammierbare Steuerung SPS legt in diesem Fall daher als Soll- Schaltzustand für den Ausgangsschalter AS den geöffneten Schaltzustand fest.
Nachdem die speicherprogrammierbare Steuerung SPS den Soll-Schaltzustand des Ausgangsschalters AS festgelegt hat, übermittelt sie diesen über die Kommunikationsverbindung K an den Master M. Dieser gibt den Soll-Schaltzustand in einem an den Ausgangsslave A gerichteten Steuerbefehl auf den Bus B auf, wodurch der Master M den Soll-Schaltzustand des Ausgängsschalters AS dem Ausgangsslave A vorschreibt. Der Master M gibt dem Ausgangsslave A somit pro Zyklus per Steuerbefehl über den Bus B entweder einen ersten Soll-Schaltzustand vor, gemäß welchem sich der Ausgangsschalter AS im geöffneten Zustand befinden soll, oder einen zweiten SoII- Schaltzustand vor, gemäß welchem sich der Ausgangsschalter AS im geschlossenen Zustand befinden soll.
Der Ausgangsslave A liest den Steuerbefehl ein und meldet den darin enthaltenen Soll-Schaltzustand in einem Rückmelde-Code auf den Bus B zurück, um dem Sicherheitsmonitor SiM die Kontrolle des im Rückmelde-Code enthaltemem Soll- Schaltzustandes zu ermöglichen. Der Ausgangsslave A weist ein Zeitglied Z auf, welches die Ausführung des Steuerbefehls (Ausgangsschalter AS öffnen oder Ausgangsschalter AS schließen) für eine vorgegebene Wartezeit T verzögert.
Der Sicherheitsmonitor SiM liest über den Bus B den Rückmelde-Code selbständig ein und entnimmt diesem den darin angegebenen Soll-Schaltzustand.
Der Sicherheitsmonitor SiM liest des weiteren auch den Eingangs-Code mit und legt in Abhängigkeit von dessen Inhalt entweder als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS fest, dass sich dieser im geöffneten Zustand befinden soll, oder als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS fest, dass sich dieser im geschlossenen Zustand befinden soll.
Bei geschlossenem Eingangsschalter ES (entspricht geschlossener Zugangstür ZT) entscheidet der Sicherheitsmonitor SiM, dass der Roboter V in Betrieb sein darf, also der Ausgangsschalter AS geschlossen sein soll, und legt in diesem Fall daher als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS den geschlossenen Schaltzustand fest.
Bei geöffnetem Eingangsschalter ES (entspricht geöffnetener Zugangstür ZT) entscheidet der Sicherheitsmonitor SiM hingegen, dass der Roboter V nicht in Betrieb sein darf, also der Ausgangsschalter AS geöffnet sein soll, und legt in diesem Fall daher als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS den geöffneten Schaltzustand fest.
Die Festlegung des Zusatz-Soll-Schaltzustandes hängt nur vom Inhalt des Eingangs- Codes ab und ist somit vom Soll-Schaltzustand völlig unabhängig.
Der Sicherheitsmonitor SiM vergleicht, nachdem er den Zusatz-Soll-Schaltzustand festgelegt hat, diesen mit dem aus dem Rückmelde-Code entnommenen Soll- Schaltzustand, und nimmt, falls dieser Vergleich eine Übereinstimmung zwischen Soll-Schaltzustand und Zusatz-Soll-Schaltzustand ergibt, eine positive Bewertung vor, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand zulässig ist, oder andernfalls eine negative Bewertung, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand unzulässig ist. Eine negative Bewertung erfolgt z.B. dann, wenn der Ausgangsschalter AS gemäß Soll-Schaltzustand offen und zugleich gemäß Zusatz-Soll-Schaltzustand geschlossen sein soll, oder umgekehrt.
Der Sicherheitsmonitor SiM nimmt die negative Bewertung vorzugsweise auch dann vor, falls er dem Rückmelde-Code den Soll-Schaltzustand nicht oder nicht eindeutig entnehmen kann, oder falls er den Zusatz-Soll-Schaltzustand nicht oder nicht eindeutig festlegen kann. Gemäß einer Untervariante nimmt der Sicherheitsmonitor SiM die negative Bewertung nur unter der Bedingung vor, dass der Zusatz-Soll- Schaltzustand der offene Schaltzustand des Ausgangsschalters AS ist.
Im Fall einer positiven Bewertung schließt der Sicherheitsmonitor SiM den Haupt- Schalter HS, oder belässt ihn, falls dieser bereits geschlossen ist, im geschlossenen Zustand. Im Fall einer negativen Bewertung öffnet der Sicherheitsmonitor den Hauptschalter und trennt somit den Verbraucher von der Stromversorgung Q, oder belässt ihn, falls dieser bereits geöffnet ist, im geöffneten Zustand.
Die Wartezeit T ist erfindungsgemäß so lang bemessen, dass bei negativer Bewertung der Hauptschalter HS bereits geöffnet ist, bevor der Ausgangsschalter AS auf die Ausführung des Steuerbefehls durch den Ausgangsslave A anspricht, also bevor der Ausgangsschalter AS ungewollt schließen kann. Gemäß einer nicht gezeigten Abwandlung des Bussystems von Figur 1 hängt der Schaltzustand des Eingangsschalters (geschlossen oder geöffnet) zur weiteren Verbesserung der Sicherheit nicht allein davon ab, ob die Zugangstür geöffnet oder geschlossen ist, sondern zusätzlich auch vom Ausgangssignal eines Sensors, welcher z.B. ein Infrarotsensor oder Bewegungsmelder sein kann und auf die Anwesenheit eines Menschen in der Sicherheitszelle anspricht. Der Eingangsschalter öffnet hierbei sowohl dann, wenn die Zugangstür geöffnet wird, als auch dann, wenn der Sensor anspricht; in beiden Fällen wird der Roboter abgeschaltet.
Gemäß einer weiteren nicht gezeigten Abwandlung des Bussystems von Figur 1 hängt der Schaltzustand des Eingangsschalters (geschlossen oder geöffnet) nicht davon ab, ob die Zugangstür geöffnet oder geschlossen ist, sondern ausschließlich vom Ausgangssignal eines derartigen Sensors. Der Eingangsschalter öffnet hierbei nur dann, wenn der Sensor anspricht; in diresem Fall wird der Roboter abgeschaltet.
Gemäß einer weiteren nicht gezeigten Abwandlung des Bussystems von Figur 1 ist der Sensor über einen eigenen Slave an den Bus B angeschlossen und meldet die Anwesenheit eines Menschen über den Bus B an die speicherprogrammierbare Steuerung SPS. Diese legt stets den geöffneten Zustand als Soll-Schaltzustand des Ausgangsschalters AS fest, wenn der Sensor die Anwesenheit eines Menschen in der Sicherheitszelle auf den Bus B meldet, gleichgültig, ob der Eingangsschalter ES geöffnet oder geschlossen ist. Bei geöffnetem Eingangsschalter ES (entspricht geöffneter Zugangstür ZT) legt die speicherprogrammierbare Steuerung ebenfalls stets den geöffneten Zustand als Soll-Schaltzustand des Ausgangsschalters AS fest, gleichgültig, ob der Sensor die Anwesenheit eines Menschen in der Sicherheitszelle meldet oder nicht. Ebenso liest der Sicherheitsmonitor SiM die Meldungen des Sensors mit und legt stets den geöffneten Zustand als Zusatz-Soll-Schaltzustand des Ausgangsschalters AS fest, wenn entweder der Sensor die Anwesenheit eines Menschen in der Sicherheitszelle auf den Bus B meldet oder der Eingangsschalter ES geöffnet ist.
Gemäß einer weiteren Abwandlung nicht gezeigten Abwandlung des Bussystems von Figur 1 wird der Soll-Schaltzustand und der Zusatz-Soll-Schaltzustand des Ausgangsschalters AS jeweils mit Hilfe einer komplexen Logik festgelegt, welche die auf den Bus B aufgebebenen Meldungen oder Schaltzustände mehrerer Sensoren und/oder Schalter miteinander verknüpft.
Figur 2 zeigt ein Blockschaltbild einer Ausführungsform eines erfindungsgemäßen Bussystems, welches sich von demjenigen von Figur 1 nur dadurch unterscheidet, dass der Sicherheitsmonitor SiM Bestandteil des Masters M ist.
Figur 3 zeigt ein Blockschaltbild einer weiteren bevorzugten Ausführungsform eines erfindungsgemäßen Bussystems, welches sich von demjenigen von Figur 1 durch einen weiteren an den Bus B angeschlossenen Ausgangsslave A1 unterscheidet, welcher einen Ausgangsschalter AS1 steuert, über den mittels Leitungen L5, L6 ein weiterer Verbraucher V1 an die Stromversorgung Q angeschlossen ist. Die Leitung
L6 zweigt von der Leitung L2 ab. Die Leitung L5 zweigt zwischen dem Hauptschalter HS und dem Ausgangsschalter AS von der Leitung L1 ab.
Der Ausgangsslave A1 kann den Ausgangsschalter AS1 über eine Steuerleitung SL3 in den geöffneten und in den geschlossenen Schaltzustand versetzen. Der Ausgangsschalter AS1 ist in der Leitung L5 zwischengeschaltet und somit ebenso wie der Ausgangsschalter AS mit dem Hauptschalter HS in Reihe geschaltet. Der Verbraucher V1 ist im vorliegenden Beispiel ebenfalls ein Roboter V1 in einer Sicherheitszelle SiZL Der Verbraucher bzw. Roboter V1 kann sowohl durch Öffnen des Ausgangsschalters AS1 als auch durch Öffnen des Hauptschalters HS von der Stromversorgung Q getrennt und somit abgeschaltet werden.
Der Funktionsablauf innerhalb des Bussystems von Figur 3 schließt den Funktionsablauf des Bussytems von Figur 1 ein, geht aber darüber hinaus:
An den Bus B ist im Beispiel von Figur 3 ferner ein Eingangsslave E1 angeschlossen, an welchen über Leitungen L7.L8 ein Eingangsschalter ES1 angeschlossen ist, wobei der Eingangsslave E1 in jedem Zyklus abfragt, ob sich der Eingangsschalter ES1 in geöffnetem oder in geschlossenem Schaltzustand befindet. Der Eingangsschalter ES1 ist im vorliegenden Beispiel ein Türschalter ES1 , welcher öffnet, sobald die Zugangstür ZT 1 zu der Sicherheitszelle SiZ1 geöffnet wird. Bei geschlossener Zugangstür ZT 1 ist der Eingangsschalter ES1 geschlossen.
Das Abfrageergebnis, ob der Türschalter ES1 geöffnet oder geschlossen ist, gibt der Eingangsslave E1 in jedem Zyklus in Form eines Eingangs-Codes auf den Bus B auf. In jedem Zyklus liest der Master M auch den vom Eingangsslave E1 über den Bus B gesendeten Eingangs-Code ein und gibt auch dessen Inhalt über die Kommunikationsverbindung K an die speicherprogrammierbare Steuerung SPS weiter. Diese wertet auch den Inhalt des vom Eingangsslave E1 stammenden Eingangs-Codes aus und legt in Abhängigkeit von diesem Inhalt einen Soll- Schaltzustand des Ausgangsschalters AS1 fest:
Bei geschlossenem Türschalter ES1 (entspricht geschlossener Zugangstür ZT1) entscheidet die speicherprogrammierbare Steuerung SPS, dass der Roboter V1 in Betrieb sein darf, also der Ausgangsschalter AS1 zum Zweck der Stromversorgung des Roboters V geschlossen sein soll. Die speicherprogrammierbare Steuerung SPS legt in diesem Fall daher als Soll-Schaltzustand für den Ausgangsschalter den geschlossenen Schaltzustand fest.
Bei geöffnetem Türschalter ES1 (entspricht geöffneter Zugangstür ZT1) entscheidet die speicherprogrammierbare Steuerung SPS hingegen, dass der Roboter V nicht in Betrieb sein darf, also der Ausgangsschalter AS1 zum Zweck der Unterbrechung der Stromversorgung für den Roboters V1 geöffnet sein soll. Die speicherprogrammierbare Steuerung SPS legt in diesem Fall daher als Soll-Schaltzustand für den Ausgangsschalter AS1 den geöffneten Schaltzustand fest.
Nachdem die speicherprogrammierbare Steuerung SPS den Soll-Schaltzustand des Ausgangsschalters AS1 festgelegt hat, übermittelt sie diesen über die Kommunikationsverbindung K an den Master M. Dieser gibt den Soll-Schaltzustand in einem an den Ausgangsslave A1 gerichteten Steuerbefehl auf den Bus B auf, wodurch der Master M den Soll-Schaltzustand des Ausgangsschalters AS1 dem Ausgangsslave A1 vorschreibt. Der Master M gibt dem Ausgangsslave A1 somit pro Zyklus per Steuerbefehl über den Bus B entweder einen ersten Soll-Schaltzustand vor, gemäß welchem sich der Ausgangsschalter AS1 im geöffneten Zustand befinden soll, oder einen zweiten Soll- Schaltzustand vor, gemäß welchem sich der Ausgangsschalter AS1 im geschlossenen Zustand befinden soll.
Der Ausgangsslave A1 liest den Steuerbefehl ein und meldet den darin enthaltenen Soll-Schaltzustand in einem Rückmelde-Code auf den Bus B zurück, um dem Sicherheitsmonitor SiM die Kontrolle des im Rückmelde-Code enthaltemem SoII- Schaltzustandes zu ermöglichen. Der Ausgangsslave A1 weist ein Zeitglied Z1 auf, welches die Ausführung des Steuerbefehls (Ausgangsschalter AS1 öffnen oder Ausgangsschalter AS 1 schließen) für eine vorgegebene zweite Wartezeit verzögert.
Der Sicherheitsmonitor SiM liest über den Bus B den Rückmelde-Code selbständig ein und entnimmt diesem den darin angegebenen Soll-Schaltzustand.
Der Sicherheitsmonitor SiM liest des weiteren auch den vom Eingangsslave E1 stammenden Eingangs-Code mit und legt in Abhängigkeit von dessen Inhalt entweder als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS1 fest, dass sich dieser im geöffneten Zustand befinden soll, oder als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS1 fest, das sich dieser im geschlossenen Zustand befinden soll.
Bei gschlossenem Türschalter ES1 (entspricht geschlossener Zugangstür ZT1) entscheidet der Sicherheitsmonitor SiM, dass der Roboter V1 in Betrieb sein darf, also der Ausgangsschalter AS1 geschlossen sein soll, und legt in diesem Fall daher als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS1 den geschlossenen Schaltzustand fest.
Bei geöffnetem Türschalter ES1 (entspricht geöffnetener Zugangstür ZT1 ) entscheidet der Sicherheitsmonitor SiM hingegen, dass der Roboter V1 nicht in Betrieb sein darf, also der Ausgangsschalter AS1 geöffnet sein soll, und legt in diesem Fall daher als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS1 den geöffneten Schaltzustand fest.
Der Sicherheitsmonitor SiM vergleicht diesen Zusatz-Soll-Schaltzustand mit dem vom Ausgangsslave AS1 zurückgemeldeten Soll-Schaltzustand, und nimmt, falls dieser Vergleich eine Übereinstimmung ergibt, eine positive Bewertung vor, oder andernfalls eine negative Bewertung.
Die zweite Wartezeit ist erfindungsgemäß so lang bemessen, dass bei negativer Bewertung der Hauptschalter HS bereits geöffnet ist, bevor der Ausgangsschalter AS1 auf die Ausführung des Steuerbefehls durch den Ausgangsslave A1 anspricht, also bevor der Ausgangsschalter AS1 ungewollt schließen kann.
Der Sicherheitsmonitor SiM nimmt somit im vorliegenden Beispiel pro Zyklus zwei Bewertungen vor, wovon die eine die Zulässigkeit des Soll-Schaltzustandes für den Ausgangsschalter AS und die andere die Zulässigkeit des Soll-Schaltzustandes für den Ausgangsschalter AS1 betrifft.
Der Hauptschalter HS wird vom Sicherheitsmonitor SiM nur dann geschlossen, bzw. im geschlossenen Zustand belassen, wenn beide Bewertungen positiv ausgefallen sind, d.h. sowohl der Vergleich zwischen dem vom Ausgangsslave AS zurückgemeldete Soll-Schaltzustand für den Ausgangsschalter AS und dem Zusatz-Soll- Schaltzustand für den Ausgangsschalter AS zu einer positiven Bewertung - als auch der Vergleich zwischen dem vom Ausgangsslave AS1 zurückgemeldete Soll-Schaltzustand für den Ausgangsschalter AS1 und dem Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS1 zu einer positiven Bewertung geführt haben. Sofern auch nur eine der Bewertungen negativ ausfällt, öffnet der Sicherheitsmonitor SiM den Hauptschalter HS, bzw. belässt ihn im geöffneten Zustand, sofern er bereits geöffnet ist. Diese Vorgehensweise kann völlig entsprechend auf noch weitere Ausgangsslaves mit weiteren Ausgangsschaltern erweitert werden.
Figur 4 zeigt ein Blockschaltbild einer weiteren bevorzugten Ausführungsform eines erfindungsgemäßen Bussystems, welches sich von demjenigen von Figur 1 durch einen Notausschalter N unterscheidet, welcher über zwei Leitungen L9.L10 an einen weiteren Eingangsslave E2 angeschlossen ist. Der Eingangsslave E2 ist ebenfalls an den Bus B angeschlossen und fragt in jedem Zyklus ab, ob sich der Notausschalter N betätigt ist oder nicht.
Das Abfrageergebnis, ob der Notausschalter N betätigt ist oder nicht, gibt der Eingangsslave E2 in jedem Zyklus in Form eines weiteren Eingangs-Codes auf den Bus B auf. Der Master M liest in jedem Zyklus auch diesen Eingangs-Code über den Bus B ein und informiert sich somit über den Schaltzustand des Notausschalters N, und gibt den Inhalt dieses Eingangs-Codes über die Kommunikationsverbindung K an die speicherprogrammierbare Steuerung SPS weiter. Diese wertet den Inhalt dieses Eingangs-Codes aus und legt in Abhängigkeit von diesem Inhalt ein Soll- Schaltzustand des Ausgangsschalters AS fest:
Bei unbetätigtem Notausschalter N wird der Soll-Schaltzustand des Ausgangsschalters AS nicht beeinflusst, d.h. dessen Soll-Schaltzustand hängt weiterhin allein von dem Eingangs-Code ab, welchen der Eingangsslave E liefert.
Bei betätigtem Notausschalter N hingegen entscheidet die speicherprogrammierbare Steuerung SPS, dass der Roboter V nicht in Betrieb sein darf, also der
Ausgangsschalter AS zum Zweck der Unterbrechung der Stromversorgung für den
Roboters V geöffnet sein soll. Die speicherprogrammierbare Steuerung SPS legt in diesem Fall daher als Soll-Schaltzustand für den Ausgangsschalter AS den geöffneten Schaltzustand fest, und zwar unabhängig von dem Eingangs-Code, welchen der Eingangsslave E liefert.
Der Sicherheitsmonitor SiM liest auch den vom Eingangsslave E2 stammenden Eingangs-Code mit. Bei unbetätigtem Notausschalter N wird der Zusatz-Soll- Schaltzustand des Ausgangsschalter AS nicht beeinflusst, d.h. dessen Soll- Schaltzustand hängt weiterhin allein von dem Eingangs-Code ab, welchen der Eingangsslave E liefert. Bei betätigtem Notausschalter N hingegen legt der Sicherheitsmonitor als Zusatz-Soll-Schaltzustand für den Ausgangsschalter AS fest, dass sich dieser im geöffneten Zustand befinden soll, gleichgültig ob der Türschalter ES geöffnet oder geschlossen ist.
Der übrige Funktionsablauf des Bussystems von Figur 4 gleicht demjenigen des Bussystems von Figur 1. Der Unterschied der Funktionsabläufe der Bussysteme von Figur 1 und Figur 4 besteht also darin, dass in dem Bussystem von Figur 4 der Soll- Schaltzustand und der Zusatz-Soll-Schaltzustand des Ausgangsschalters AS nur dann vom Schaltzustand des Eingabeschalters E bestimmt werden, wenn der Notausschalter N unbetätigt ist. Andernfalls bestimmt allein der Schaltzustand des Notausschalters N den Soll-Schaltzustand und den Zusatz-Soll-Schaltzustand des Ausgangsschalters AS, und zwar sind in diesem Fall der Soll-Schaltzustand und der Zusatz-Soll-Schaltzustand des Ausgangsschalters AS immer der geöffnete Schaltzustand.
Im Ergebnis bedeutet dies, dass der Roboter V durch Betätigen des Notausschalters immer abgeschaltet werden kann, gleichgültig, ob die Zugangstür ZT geöffnet oder geschlossen ist, und dass auch hierbei eine erfindungsgemäße Absicherung gegen Fehlfunktion gegeben ist.
Figur 5 zeigt ein Blockschaltbild einer Ausführungsform eines Ausgangslaves A2 mit daran angeschlossenem Ausgangsschalter AS2. Die Ausgangsslaves A der Figuren 1 bis 4 können jeweils durch einen Ausgangsslave A2, wie er in Figur 5 gezeigt ist, gebildet sein. Ebenso können die Ausgangsschalter AS der Figuren 1 bis 4 jeweils durch einen Ausgangsschalter AS2, wie er in Figur 5 gezeigt ist, gebildet sein. Der Ausgangsschalter AS2 ist vorzugsweise ein funktional sicherer Schalter.
Der Ausgangsslave A2 weist eine Schnittstelle 1 (auch als "Bus-Protokollbaustein" oder "AS-Interface-IC" bezeichnet), eine Kontrolleinheit 2 (auch als "Überwachung" bezeichnet), einen Codegenerator 3 sowie das bereits oben erläuterte Zeitglied Z (auch als "Verzögerung" bezeichnet) auf, welches über die Steuerleitung SL1 an den Ausgangsschalter AS2 angeschlossen ist. Dieser enthält einen Transistor T1, dessen Emitter-Kollektor-Strecke in der ebenfalls bereits oben erläuterten, vom Hauptschalter HS zum Verbraucher V führenden Leitung L1 zwischengeschaltet ist (anstelle des Transistors T1 kann prinzipiell jede andere Art von elektrisch bzw. elektronisch steuerbarem Schalter verwendet werden).
Von einem Ausgang der Schnittstelle 1 führt eine Leitung L11 zum Zeitglied Z; von der Leitung L1 1 zweigt eine Leitung L12 ab, welche zu einem Eingang der Kontrolleinheit 2 führt. Vom Ausgang der Kontrolleinheit 2 führt eine Leitung L13 zum Steuereingang eines steuerbaren Schalters STS. Vom Ausgang des Codegenerators 3 führt eine Leitung L14 über den steuerbaren Schalter STS zu einem Eingang der Schnittstelle 1 ; somit ist die Leitung L14 bei geschlossenem Schalter STS durchgängig und bei geöffnetem Schalter STS unterbrochen.
Der Codegenerator 3 erzeugt einen bestimmten, sich fortlaufend wiederholenden Bitcode und gibt diesen ständig wiederkehrend auf die Leitung L14 auf. Der Bitcode enthält vorzugsweise eine Kennung, welche den Ausgangsslave A2 identifiziert. Der Bitcode erreicht die Schnittstelle 1 nur dann, wenn der Schalter STS geschlossen ist; bei geöffnetem Schalter STS wird der Bitcode vom Codegenerator 3 zwar erzeugt, aber nicht an die Schnittstelle 1 übertragen.
Zur weiteren Erläuterung der erfindungsgemäßen Funktionsweise des Ausgangs- slaves A2 wird nun der Fall betrachtet, dass der Master M (z.B. Figur 1) über den Bus B einen Steuerbefehl an den Ausgangsslave A2 sendet, wonach der Ausangsschalter AS2 geschlossen sein soll. Der Steuerbefehl wird von der Schnittstelle 1 eingelesen. Die Schnittstelle 1 erkennt das im Steuerbefehl 1 enthaltene Kommando, den Ausgangsschalter AS2 zu schließen, und setzt als Folge davon die Leitung L11 auf "high". Hierdurch wird erfindungegemäß das Zeitglied Z veranlasst, erst nach Ablauf der Wartezeit über die Steuerleitung SL1 ein Signal an die Basis des Transistors T1 zu senden, welches die Emitter-Kollektor-Strecke des Transitors T1 durchschaltet und somit den Ausgangsschalter AS2 nach Ablauf der Wartezeit schließt, wodurch der Verbraucher V (z.B. Figur 1) eingeschaltet wird. Gleichzeitig mit der Leitung L11 wird auch die mit dieser verbundene Leitung L12 auf "high" gesetzt. Hierdurch wird die Kontrolleinrichtung 2 veranlasst, ein Steuersignal auf die Leitung L13 aufzugeben, welches den steuerbaren Schalter STS öffnet, so dass die Leitung 14 unterbrochen wird und der Bitcode des Codegenerators 3 nicht mehr an die Schnittstelle 1 gelangt.
Die Schnittstelle 1 ist so eingerichtet, dass sie einen Bitcode, welchen sie über die Leitung L14 empfängt, als Rückmelde-Code auf den Bus B sendet. Wenn die Schnittstelle 1 ein Nullsignal (=kein Signal) über die Leitung 14 erhält, sendet sie als Rückmelde-Code für eine bestimmte Zeitdauer ein Low-Signal auf den Bus B. Dieses Low-Signal wird vom Sicherheitsmonitor SiM (z.B. Figur 1) als Rückmelde-Code "Ausgangsschalter AS2 soll geschlossen sein" interpretiert und in der oben bereits erläuterten Weise bewertet. Die Rückmeldung des im vorliegenden Steuerbefehl enthaltenden Soll-Schaltzustandes "Schalter AS2 soll geschlossen sein" auf den Bus B erfolgt also dadurch, dass die Schnittstelle 1 das Low-Signal an den Bus B sendet.
Nun wird der Fall betrachtet, dass der Master M (z.B. Figur 1) über den Bus B einen Steuerbefehl an den Ausgangsslave A2 sendet, wonach der Ausangsschalter AS2 geöffnet sein soll. Die Schnittstelle 1 erkennt das in diesem Steuerbefehl 1 enthaltene Kommando, den Ausgangsschalter AS2 zu öffnen, und setzt als Folge davon die Leitung L11 auf "low". Hierdurch wird erfindungegemäß das Zeitglied Z veranlasst, die Steuerleitung SL1 , vorzugsweise ohne Zeitverzögerung, spannungslos werden zu lassen, wodurch die Emitter-Kollektor-Strecke des Transitors T1 gesperrt, somit der Ausgangsschalter AS2 geöffnet und der Verbraucher V (z.B. Figur 1) abgeschaltet wird.
Gleichzeitig mit der Leitung L11 wird auch die mit dieser verbundene Leitung L12 auf "low" gesetzt. Hierdurch wird die Kontrolleinrichtung 2 veranlasst, ein solches Steuersignal auf die Leitung L13 aufzugeben, welches den steuerbaren Schalter STS schließt, so dass der Bitcode des Codegenerators 3 wieder an die Schnittstelle 1 gelangt. Wenn die Schnittstelle 1 den Bicode über die Leitung 14 erhält, gibt sie diesen als Rückmelde-Code auf den Bus B weiter. Dies wird vom Sicherheitsmonitor SiM (z.B. Figur 1) als Rückmelde-Code "Ausgangsschalter AS2 soll geöffnet sein" interpretiert und ebenfalls in der oben bereits erläuterten Weise bewertet. Die Rückmeldung des im nun vorliegenden Steuerbefehl enthaltenen Soll-Schaltzustandes "Schalter AS2 soll geöffnet sein" auf den Bus B erfolgt also dadurch, dass die Schnittstelle 1 die Bitfolge an den Bus B sendet.
In Figur 6 ist gemäß einer weiteren Ausführungsform der Erfindung ein Blockschaltbild gezeigt, welches sich von demjenigen von Figur 5 dadurch unterscheidetr, dass der Ausgangsslave A2 von Figur 5 durch einen Ausgangsslave A21 ersetzt ist, der Ausgangsschalter AS2 von Figur 5 durch einen Ausgangsschalter AS21 ersetzt ist und eine zusätzliche Leitung L15 vorhanden ist, welche vom Ausgangsschalter AS21 zum Ausgangsslave A21 führt.
Der Ausgangsschalter AS21 von Figur 6 unterscheidet sich vom Ausgangsschalter AS2 von Figur 5 dadurch, dass der Ausgangsschalter AS21 zusätzlich einen Rückmeldeausgang RA aufweist, über welchen der Ist-Schaltzustand des Ausgangsschalters AS2' ("Ausgangsschalter As2' ist geöffnet" oder "Ausgangs- Schalter AS21 ist geschlossen") zurückgemeldet wird. Die Ausgangsschalter AS der Figuren 1 bis 4 können jeweils durch einen Ausgangsschalter AS21, wie er in Figur 6 gezeigt ist, gebildet sein. Der Ausgangsschalter AS21 ist vorzugsweise ein funktional sicherer Schalter.
Der Ausgangsslave A21 von Figur 6 unterscheidet sich vom Ausgangsslave A2 von Figur 5 dadurch, dass der Ausgangsslave A2' anstelle der Kontrolleinheit 2 eine Kontrolleinheit 2' aufweist, welche im Vergleich zur Kontrolleinheit 2 einen Zusatzeingang EZ aufweist, welcher über die Leitung L15 mit dem Rückmeldeausgang RA verbunden ist und über welchen die Kontrolleinheit 2' den Ist-Schaltzustand des Ausgangsschalters AS21 einzulesen imstande ist. Die Ausgangsslaves A der Figuren 1 bis 4 können jeweils durch einen Ausgangsslave A2', wie er in Figur 6 gezeigt ist, gebildet sein. Die Kontrolleinheit 2' ist so eingerichtet, dass sie den steuerbaren Schalter STS, unabhängig vom Soll-Schaltzustand des Ausgangsschalters AS21, auch dann über die Leitung L13 öffnet, wenn der Ausgangsschalter AS21 über den Rückmeldeausgang RA, die Leitung L15 und den Zusatzeingang EZ meldet, dass der Ausgangsschalter AS21 geschlossen ist. Somit wird der Schalter STS sowohl dann geöffnet, wenn der Steuerbefehl den Soll-Schaltzustand "Ausgangsschalter AS21 soll geschlossen sein" über die Leitung L12 gemeldet wird, als auch dann, wenn der Ist-Zustand "Ausgangsschalter AS21 ist geschlossen" über die Leitung L15 gemeldet wird. In beiden Fällen wird die Bitfolge auf Leitung 14 durch den Schalter STS blockiert, so dass die Schnittstelle 1 ein Low-Signal auf den Bus B zurückmeldet, was vom Sicherheitsmonitor (Figur 1) in der oben erläuterten Weise interpretiert und bewertet wird.
Nun dann, wenn sowohl über die Leitung L12 der Soll-Schaltzustand "Ausgangsschalter AS2' soll geöffnet sein" als auch über die Leitung 15 der Ist- Zustand "Ausgangsschalter AS21 ist geöffnet" an die Kontrolleinheit 21 gemeldet wird, schließt diese den Schalter STS, so dass die Bitfolge auf Leitung 14 an die die Schnittstelle 1 gelangt und von dort auf den Bus B zurückmeldet wird.
Zusätzlich zum Soll-Schaltzustand wird gemäß dieser Ausführungsform der Erfindung also auch der Ist-Schaltzustand des Ausganggschalters berücksichtigt. Auf diese Weise wird der Verbraucher auch dann abgeschaltet, wenn sich Soll- und Ist- Schaltzustand des Ausgangsschalters widersprechen.
Die Interpretation der von der Schnittstelle 1 auf den Bus B gesandten Rückmelde- Codes durch den Sicherheitsmonitor SiM und dessen Reaktionen hierauf wurden bereits oben erläutert.
Gemäß einer nicht gezeigten Abwandlung des Ausgangsschalters von Figur 6 ist der Transistor T1 nicht selbst in der Leitung L1 zwischengeschaltet, sondern steuert einen Schütz, welcher in der Leitung L1 zwischengeschaltet ist, wobei der Schütz dann geöffnet ist, wenn die Emitter-Kollektor-Strecke des Transistors T1 gesperrt ist, und andernfalls geschlossen ist. Diese Ausführungsform ist insbesondere dann sinnvoll, wenn der Verbraucher V (z.B. Figur 1) eine hohe elektrische Leistung benötigt. Der Schütz kann seinerseits ebenfalls einen Rückmeldeausgang aufweisen, über welchen er seinen Ist-Schaltzustand meldet. Die Kontrolleinrichtung kann einen weiteren Zusatz-Eingang aufweisen, welcher über eine weitere Leitung mit dem Rückmelde-Ausgang des Schützes verbunden ist, wobei die Kontrolleinrichtung den Schalter STS auch dann öffnet, wenn der Rückmelde-Ausgang des Schützes als seinnen Ist-Schaltzustand meldet: "Schütz ist geschlossen". Nun dann, wenn sowohl der Soll-Schaltzustand "Ausgangsschalter soll geöffnet sein" als auch der Ist-Zustand "Emitter-Kollektor-Strecke von Transistor T1 sperrt" als auch der Ist-Zustand "Schütz ist geöffnet" an die Kontrolleinheit gemeldet werden, schließt diese den Schalter STS, so dass die Bitfolge über die Leitung 14 an die die Schnittstelle 1 gelangt und von dort auf den Bus B zurückmeldet wird. Zusätzlich wird gemäß dieser Ausführungsform der Erfindung also auch der Ist-Schaltzustand des Schützes berücksichtigt.
Gemäß einer weiteren nicht gezeigten Abwandlung der Ausführungsform von Figur 6 ist die Kontrolleinheit zusätzlich imstande, den Ist-Schaltzustand des Ausgangsschalters AS21 mit dessen Soll-Schaltzustand zu vergleichen. Ist der Ausgangsschalter AS21 unaufgefordert eingeschaltet, modifiziert die Kontrolleinheit die Bitfolge des Codegenerators, anstatt anstatt sie durch Öffnen des Schalters STS zu blockierten. Die modifizierte Bitfolge kann dem Sicherheitsmonitor SiM als Information dienen, den Hauptschalter HS auch dann zu öffnen, wenn das Schließen des Ausgangsschalters gegenwärtig erlaubt wäre, also kein direktes Sicherheitsproblem entstehen würde.
Gemäß einer ebenfalls nicht gezeigten Untervariante hiervon wird der Vergleich zwischen dem Soll-Schaltzustand und dem Ist-Schaltzustand des Ausgangsschalters vom Sicherheitsmonitor SiM direkt vorgenommen. Er muss dazu das Signal auf Leitung L11 auf dem Bus B mithören. Meldet diese Leitung den Soll-Schaltzustand "Ausgangsschalter soll ausgeschaltet sein", während der Schalter STS geöffnet ist, kann der Sicherheitsmonitor wie in der vorigen Variante beschrieben durch Öffnen des Hauptschalters HS reagieren. Gewerbliche Anwendbarkeit:
Die Erfindung ist gewerblich anwendbar unter anderem zum Zweck des Arbeitsschutzes im Bereich der elektronisch gesteuerten Arbeits- und Fertigungsprozesse und deren Steuerungstechnik und Automatisierung, z.B. zur sicherheitsgerichteten Ansteuerung von Robotern, Antrieben und Ventilen, insbesondere zur Verbesserung des Arbeitsschutzes.
Liste der Bezugszeichen:
1 Schnittstelle 2,2" Kontrolleinheiten
3 Codegenerator
A,A',A1 ,A2,A2' Ausgangsslaves
AS,AS1 ,AS2,AS2' Ausgangsschalter
B Bus E,E1 ,E2,E' Eingangsslaves
ES.ES1 Eingabeschalter
EZ Zusatzeingang von 2'
HS Hauptschalter
K Kommunikationsverbindung L1-L8, L11-L15 Leitungen
M Master
Q Stromquelle
RA Rückmeldeausgang von AS21
SiM Sicherheitsmonitor SiZ1SiZI Sicherheitszellen
SL1 ,SL2,SL3 Steuerleitungen
SPS speicherprogrammierbare Steuerung
STS steuerbarer Schalter in A
T1 Transistor V,V1 Verbraucher, z.B. Roboter
Z,Z1 Zeitglieder
ZT.ZT1 Zugangstüren

Claims

Patentansprüche:
1. Bussystem, mit einem Bus (B), insbesondere AS-Interface-Bus, an welchen wenigstens ein Master (M), ein Ausgangsslave (A,A1 ,A2,A2') und ein Sicherheitsmonitor (SiM) angeschlossen sind, wobei a) an den Ausgangsslave (A, A1 ,A2,A2') ein Ausgangsschalter (AS,AS1 ,AS2,AS2') angeschlossen ist, welchen der Ausgangsslave (A,A1 ,A2,A2') in den geöffneten und in den geschlossenen Schaltzustand versetzen kann, b) an den Sicherheitsmonitor (SiM) ein Hauptschalter (HS) angeschlossen ist, welchen der Sicherheitsmonitor (SiM) öffnen und schließen kann und welcher mit dem Ausgangsschalter (AS.AS1 ,AS2,AS2') in Reihe geschaltet ist, c) über den Hauptschalter (HS) und den Ausgangsschalter (AS,AS1 ,AS2,AS2') ein Verbraucher (V,V1) an eine Stromversorgung (Q) angeschlossen ist, d) in dem Master (M) ein Programmzyklus abläuft und der Master (M) dem Ausgangsslave (A,A1 ,A2,A2') zyklisch per Steuerbefehl über den Bus (B) entweder einen ersten Soll-Schaltzustand vorgibt, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geöffneten Zustand befinden soll, oder einen zweiten Soll-Schaltzustand vorgibt, gemäß welchem sich der Ausgangsschalter (AS1ASI , AS2.AS2') im geschlossenen Zustand befinden soll, e) der Ausgangsslave (A,A1 ,A2,A2') den Steuerbefehl einliest, den darin enthaltenen Soll-Schaltzustand in einem Rückmelde-Code auf den Bus (B) zurückmeldet, und ein Zeitglied (Z, Z1 ) aufweist, welches die Ausführung des Steuerbefehls für eine vorgegebene Wartezeit (T) verzögert, f) der Sicherheitsmonitor (SiM) über den Bus (B) den Rückmelde-Code einliest und diesem den darin angegebenen Soll-Schaltzustand entnimmt, und entweder eine positive Bewertung vornimmt, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand zulässig ist, oder eine negative Bewertung vornimmt, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand unzulässig ist, und bei negativer Bewertung den Hauptschalter (HS) öffnet und somit den Verbraucher (V,V1) von der Stromversorgung (Q) trennt, g) wobei die Wartezeit (T) so lang bemessen ist, dass bei negativer Bewertung der Hauptschalter (HS) bereits geöffnet ist, bevor der Ausgangsschalter (AS,AS1 ,AS2,AS2') auf die Ausführung des Steuerbefehls durch den Ausgangsslave (A,A1 ,A2,A2') anspricht.
2. Bussystem nach Anspruch 1 , dadurch gekennzeichnet, dass das Zeitglied (Z, Z1) die Ausführung des Steuerbefehls nur dann verzögert, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters
(AS,AS1 ,AS2,AS2l) ist, und das Zeitglied (Z,Z1) die Ausführung des Steuerbefehls nicht verzögert, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters
(AS,AS1 ,AS2,AS2') ist.
3. Bussystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in Abweichung von Anspruch 1 - der Hauptschalter (HS) mit dem Ausgangsschalter (AS) nicht in Reihe, sondern zu diesem parallel geschaltet ist, so dass der Verbraucher (V) sowohl über den Hauptschalter (HS) als auch über den Ausgangsschalter (AS.A1 ,AS2,AS2') mit der Stromversorgung (Q) verbunden ist, und der Sicherheitsmonitor (SiM) bei negativer Bewertung den Hauptschalter (HS) nicht öffnet, sondern schließt, wobei die Wartezeit (T) so lang bemessen ist, dass bei negativer Bewertung der Hauptschalter (HS) bereits geschlossen ist, bevor der Ausgangsschalter (AS.AS1 ,AS2,AS2') auf die Ausführung des Steuerbefehls durch den Ausgangsslave (A,A1 ,A2,A2') anspricht.
4. Bussystem nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass das Zeitglied (Z,Z1) die Ausführung des Steuerbefehls nur dann verzögert, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters (AS1ASI .AS2.AS21) ist, und das Zeitglied (Z1ZI) die Ausführung des Steuerbefehls nicht verzögert, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters (AS,AS1 ,AS2,AS2l) ist.
5. Bussystem nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass an den Bus (B) ferner ein Eingangsslave (E, E1) angeschlossen ist, an welchen ein Eingangsschalter (ES.ES1) angeschlossen ist, und der Eingangsslave (E, E1) zyklisch abfragt, ob sich der Eingangsschalter (ES.ES1) in geöffnetem oder in geschlossenem Schaltzustand befindet, - oder ein Eingangssensor angeschlossen ist, welcher einen Messwert abgibt, und der Eingangsslave (E, E1) zyklisch den Messwert abfragt oder abfragt, ob der Messwert größer oder kleiner ist als ein vorgegebener Grenzwertes, wobei der Eingangsslave (E, E1) das Abfrageergebnis zyklisch in Form eines Eingangs-Codes auf den Bus (B) aufgibt.
6. Bussystem nach Anspruch 5, dadurch gekennzeichnet, dass der Master (M) zyklisch den Eingangs-Code über den Bus (B) einliest, und in Abhängigkeit vom Inhalt des Eingangs-Codes den Soll-Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') festlegt und dem Ausgangsslave (A,A1 ,A2,A2') über den Bus (B) vorgibt.
7. Bussystem nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Master (M) mit einer Rechenanlage oder mit einer speicherprogrammierbaren Steuerung (SPS) verbunden ist und mit dieser kommuniziert.
8. Bussystem nach Anspruch 5 und 7, dadurch gekennzeichnet, dass der Master (M) zyklisch den Eingangs-Code über den Bus (B) einliest, den Inhalt des Eingangs-Codes an die Rechenanlage oder die speicherprogrammierbare Steuerung weitergibt, - die Rechenanlage oder die speicherprogrammierbare Steuerung den Soll- Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') in Abhängigkeit vom Inhalt des Eingangs-Codes festlegt und an den Master (M) übermittelt, und der Master den Soll-Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS21) dem Ausgangsslave (A,A1 ,A2,A2') über den Bus (B) vorgibt.
9. Bussystem nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass der Sicherheitsmonitor (SiM) zyklisch selbständig den Eingangs-Code mitliest und in Abhängigkeit von dessen Inhalt entweder einen ersten Zusatz-Soll-Schaltzustand festlegt, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geöffneten Zustand befinden soll, oder einen zweiten Zusatz-Soll-Schaltzustand festlegt, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geschlossenen Zustand befinden soll, den dem Rückmelde-Code entnommenen Soll-Schaltzustand mit dem Zusatz- Soll-Schaltzustand vergleicht, und die negative Bewertung vornimmt, wenn dieser Vergleich keine Übereinstimmung ergibt.
10. Bussystem nach Anspruch 9, dadurch gekennzeichnet, dass der Sicherheitsmonitor (SiM) die negative Bewertung nur unter der Bedingung vornimmt, dass der Zusatz-Soll-Schaltzustand der offene Schaltzustand des Ausgangsschalters (AS1AS 1 ,AS2,AS2') ist.
11. Bussystem nach den Ansprüchen 3 und 9, dadurch gekennzeichnet, dass der Sicherheitsmonitor (SiM) die negative Bewertung nur unter der Bedingung vornimmt, dass der Zusatz-Soll-Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') ist.
12. Bussystem nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Sicherheitsmonitor (SiM) die negative Bewertung auch dann vornimmt, falls er feststellt, dass er dem Rückmelde-Code den Soll-Schaltzustand nicht oder nicht eindeutig entnehmen kann, oder den Zusatz-Soll-Schaltzustand nicht oder nicht eindeutig festlegen kann.
13. Bussystem nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Master (M) in Abweichung von Anspruch 1 nur dann einen die Information über den Soll-Schaltzustand enthaltenden Steuerbefehl an den Ausgangsslave (A,A1 ,A2,A2') sendet, wenn sich der Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') ändern soll.
14. Bussystem nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Sicherheitsmonitor (SiM) Bestandteil des Masters (M) ist.
15. Bussystem nach einem vorigen der Ansprüche, dadurch gekennzeichnet, dass der Ausgangsslave (A21) imstande ist, den Ist-Schaltzustand des Ausgangsschalters (AS21) zu detektieren, und - den geöffneten Schaltzustand des Ausgangsschalters (AS21) sowohl dann im Rückmelde-Code auf den Bus (B) zurückzumelden, wenn der Soll- Schaltzustand des Ausgangsschalters (AS21) der geöffnete Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters (AS21) der geöffnete Schaltzustand ist, und/oder - den geschlossenen Schaltzustand des Ausgangsschalters (AS21) sowohl dann im Rückmelde-Code auf den Bus (B) zurückzumelden, wenn der Soll- Schaltzustand des Ausgangsschalters (AS21) der geschlossene Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters (AS21) der geschlossene Schaltzustand ist.
16. Verfahren zum Betreiben eines Bussystems, mit einem Bus (B), insbesondere AS-Interface-Bus, an welchen wenigstens ein Master (M), ein Ausgangsslave (A,A1) und ein Sicherheitsmonitor (SiM) angeschlossen sind, wobei
A) an den Ausgangsslave (A, A1 ,A2,A2') ein Ausgangsschalter (AS,AS1 ,AS2,AS2') angeschlossen ist, welchen der Ausgangsslave
(A,A1 ,A2,A2') in den geöffneten und in den geschlossenen Schaltzustand versetzen kann, B) an den Sicherheitsmonitor (SiM) ein Hauptschalter (HS) angeschlossen ist, welchen der Sicherheitsmonitor (SiM) öffnen und schließen kann und welcher mit dem Ausgangsschalter (AS.AS1 ,AS2,AS2') in Reihe geschaltet ist,
C) über den Hauptschalter (HS) und den Ausgangsschalter (AS,AS1 ,AS2)AS21) ein Verbraucher (V, V1) an eine Stromversorgung (Q) angeschlossen ist,
D) in dem Master (M) ein Programmzyklus abläuft und dem Ausgangsslave (A,A1 ,A2,A2') durch den Master (M) zyklisch per Steuerbefehl über den Bus (B) entweder ein erster Soll-Schaltzustand vorgegeben wird, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geöffneten Zustand befinden soll, oder ein zweiter Soll-Schaltzustand vorgegeben wird, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geschlossenen Zustand befinden soll,
E) vom Ausgangsslave (A,A1 ,A2,A2') der Steuerbefehl eingelesen wird, - der in dem Steuerbefehl enthaltene Soll-Schaltzustand in einem
Rückmelde-Code auf den Bus (B) zurückgemeldet wird, und die Ausführung des Steuerbefehls für eine vorgegebene Wartezeit (T) verzögert wird,
F) vom Sicherheitsmonitor (SiM) - über den Bus (B) der Rückmelde-Code eingelesen und diesem der darin angegebene Soll-Schaltzustand entnommen wird, entweder eine positive Bewertung vorgenommen wird, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand zulässig ist, oder eine negative Bewertung vorgenommen wird, wonach der im Rückmelde-Code gemeldete Soll-Schaltzustand unzulässig ist, und bei negativer Bewertung der Hauptschalter (S) geöffnet und somit den Verbraucher (V,V1) von der Stromversorgung (Q) getrennt wird,
G) wobei die Wartezeit (T) so lang gewählt wird, dass bei negativer Bewertung der Hauptschalter (HS) bereits geöffnet ist, bevor der Ausgangsschalter
(AS,AS1 ,AS2,AS2') auf die Ausführung des Steuerbefehls durch den Ausgangsslave (A,A1 ,A2,A2') anspricht.
17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass die Ausführung des Steuerbefehls nur dann verzögert wird, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters (AS,AS1 ,AS2,AS2') ist, - und die Ausführung des Steuerbefehls nicht verzögert wird, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters (AS.AS1 ,AS2,AS2') ist.
18. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, dass in Abweichung von Anspruch 16 der Hauptschalter (HS) mit dem Ausgangsschalter (AS1ASI ,AS2,AS2') nicht in Reihe, sondern zu diesem parallel geschaltet ist, so dass der Verbraucher (V) sowohl über den Hauptschalter (HS) als auch über den Ausgangsschalter (AS) an die Stromversorgung (Q) angeschlossen ist, - und der Hauptschalter (HS) vom Sicherheitsmonitor (SiM) bei negativer Bewertung nicht geöffnet, sondern geschlossen wird, wobei die Wartezeit (T) so lang gewählt wird, dass bei negativer Bewertung der Hauptschalter (HS) bereits geschlossen ist, bevor der Ausgangsschalter (AS,AS1 ,AS2,AS2') auf die Ausführung des Steuerbefehls durch den Ausgangsslave (A,A1 ,A2,A2') anspricht.
19. Verfahren nach einem der Ansprüche 16 bis 18, dadurch gekennzeichnet, dass die Ausführung des Steuerbefehls nur dann verzögert wird, wenn der Steuerbefehl ein solcher zum Öffnen des Ausgangsschalters (AS,AS1 ,AS2,AS2') ist, und die Ausführung des Steuerbefehls nicht verzögert wird, wenn der Steuerbefehl ein solcher zum Schließen des Ausgangsschalters (AS,AS1 ,AS2,AS2') ist.
20. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass ferner ein an den Bus (B) angeschlossener Eingangsslave (E) verwendet wird, an welchen ein Eingangsschalter (ES1ESI) angeschlossen ist, wobei vom Eingangsslave (E, E1) zyklisch abgefragt wird, ob sich der Eingangsschalter (ES.ES1) in geöffnetem oder in geschlossenem Schaltzustand befindet, oder ein Eingangssensor angeschlossen ist, welcher einen Messwert abgibt, wobei vom Eingangsslave (E, E1) zyklisch der Messwert abgefragt oder abgefragt wird, ob der Messwert größer oder kleiner ist als ein vorgegebener Grenzwert, wobei das Abfrageergebnis vom Eingangsslave (E, E1) zyklisch in Form eines
Eingangs-Codes auf den Bus (B) aufgegeben wird.
21. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass vom Master (M) zyklisch der Eingangs-Code über den Bus (B) eingelesen wird, und in Abhängigkeit vom Inhalt des Eingangs-Codes der Soll-Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') festgelegt und dem
Ausgangsslave (A,A1 ,A2,A2') über den Bus (B) vorgegeben wird.
22. Verfahren nach einem der Ansprüche 16 bis 21 , dadurch gekennzeichnet, dass der Master (M) mit einer Rechenanlage oder mit einer speicher- programmierbaren Steuerung (SPS) verbunden ist und mit dieser kommuniziert.
23. Verfahren nach Anspruch 20 und 22, dadurch gekennzeichnet, dass der Eingangs-Code vom Master (M) zyklisch über den Bus (B) eingelesen wird, - der Inhalt des Eingangs-Codes vom Master (M) an die Rechenanlage oder die speicherprogrammierbare Steuerung (SPS) weitergegeben wird, der Soll-Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') von der Rechenanlage oder von der speicherprogrammierbaren Steuerung in Abhängigkeit vom Inhalt des Eingangs-Codes festgelegt und an den Master (M) übermittelt wird, und der Soll-Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') vom Master dem Ausgangsslave (A,A1 ,A2,A2') über den Bus (B) vorgegeben wird.
24. Verfahren nach Anspruch 20, dadurch gekennzeichnet, dass vom Sicherheitsmonitor (SiM) zyklisch selbständig der Eingangs-Code mitgelesen und in Abhängigkeit von dessen Inhalt - entweder ein erster Zusatz-Soll-Schaltzustand festgelegt wird, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geöffneten
Zustand befinden soll, oder ein zweiter Zusatz-Soll-Schaltzustand festgelegt wird, gemäß welchem sich der Ausgangsschalter (AS,AS1 ,AS2,AS2') im geschlossenen Zustand befinden soll, der dem Rückmelde-Code entnommene Soll-Schaltzustand mit dem Zusatz- Soll-Schaltzustand verglichen wird, und die negative Bewertung vorgenommen wird, wenn dieser Vergleich keine Übereinstimmung ergibt.
25. Verfahren nach Anspruch 24, dadurch gekennzeichnet, dass die negative Bewertung vom Sicherheitsmonitor (SiM) nur unter der Bedingung vorgenommen wird, dass der Zusatz-Soll-Schaltzustand der offene Schaltzustand des Ausgangsschalters (AS.AS1) ist.
26. Verfahren nach den Ansprüchen 18 und 24, dadurch gekennzeichnet, dass die negative Bewertung vom Sicherheitsmonitor (SiM) nur unter der Bedingung vorgenommen wird, dass der Zusatz-Soll-Schaltzustand der geschlossene Schaltzustand des Ausgangsschalters (AS,AS1 ,AS2,AS2') ist.
27. Verfahren nach einem der Ansprüche 16 bis 26, dadurch gekennzeichnet, dass die negative Bewertung vom Sicherheitsmonitor (SiM) auch dann vorgenommen wird, falls er feststellt, dass er dem Rückmelde-Code den Soll-Schaltzustand nicht oder nicht eindeutig entnehmen kann, oder den Zusatz-Soll-Schaltzustand nicht oder nicht eindeutig festlegen kann.
28. Verfahren nach einem der Ansprüche 16 bis 27, dadurch gekennzeichnet, dass vom Master (M) in Abweichung von Anspruch 16 nur dann ein die Information über den Soll-Schaltzustand enthaltender Steuerbefehl an den Ausgangsslave (A,A1 ,A2,A2') gesendet wird, wenn sich der Schaltzustand des Ausgangsschalters (AS1ASI .AS2.AS21) ändern soll.
29. Verfahren nach einem der Ansprüche 16 bis 28, dadurch gekennzeichnet, dass als Sicherheitsmonitor (SiM) ein solcher verwendet wird, welcher Bestandteil des Masters (M) ist.
30. Verfahren nach einem der Ansprüche 16 bis 29, dadurch gekennzeichnet, dass der Ist-Schaltzustand des Ausgangsschalters (AS21) vom Ausgangsslave (A21) detektiert wird und der geöffnete Schaltzustand des Ausgangsschalters (AS21) sowohl dann im Rückmelde-Code auf den Bus (B) zurückgemeldet wird, wenn der Soll-
Schaltzustand des Ausgangsschalters (AS21) der geöffnete Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters (AS21) der geöffnete Schaltzustand ist, und/oder der geschlossene Schaltzustand des Ausgangsschalters (AS21) sowohl dann im Rückmelde-Code auf den Bus (B) zurückgemeldet wird, wenn der Soll-
Schaltzustand des Ausgangsschalters (AS21) der geschlossene Schaltzustand ist, als auch dann, wenn der Ist-Schaltzustand des Ausgangsschalters (AS21) der geschlossene Schaltzustand ist.
EP07818554A 2006-09-28 2007-09-28 Bussystem und verfahren zum betreiben eines solchen Ceased EP2077007A2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006046272 2006-09-28
PCT/EP2007/008474 WO2008037495A2 (de) 2006-09-28 2007-09-28 Bussystem und verfahren zum betreiben eines solchen

Publications (1)

Publication Number Publication Date
EP2077007A2 true EP2077007A2 (de) 2009-07-08

Family

ID=39230562

Family Applications (1)

Application Number Title Priority Date Filing Date
EP07818554A Ceased EP2077007A2 (de) 2006-09-28 2007-09-28 Bussystem und verfahren zum betreiben eines solchen

Country Status (2)

Country Link
EP (1) EP2077007A2 (de)
WO (1) WO2008037495A2 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102008029948B4 (de) 2008-06-26 2018-08-30 Phoenix Contact Gmbh & Co. Kg Überwachungssystem
DE102016106531A1 (de) * 2016-04-08 2017-10-12 Eaton Electrical Ip Gmbh & Co. Kg Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19754769A1 (de) * 1997-11-28 1999-06-02 Siemens Ag Feldbus-System für sicherheitsgerichtete Anwendungen
DE19928984A1 (de) * 1999-06-24 2000-12-28 Leuze Electronic Gmbh & Co Bussystem mit abgesicherten Ausgängen

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2008037495A3 *

Also Published As

Publication number Publication date
WO2008037495A8 (de) 2009-11-26
WO2008037495A3 (de) 2008-06-26
WO2008037495A2 (de) 2008-04-03

Similar Documents

Publication Publication Date Title
EP2017869B1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE102012103015B4 (de) Sicherheitsschaltvorrichtung mit Schaltelement im Hilfskontaktstrompfad
EP3069202B1 (de) Sicherheitssteuerung mit konfigurierbaren eingängen
EP2202592B1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP1887444B1 (de) Prozesssteuerung
EP2422244B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
DE10330916A1 (de) Vorrichtung und Verfahren zum automatisierten Steuern eines Betriebsablaufs bei einer technischen Anlage
EP1038354B1 (de) Schaltungsanordnung zur überwachung des fehlerfreien und/oder zur erkennung eines fehlerbehafteten zustands einer anlage
EP2099164B1 (de) Sicherheitsvorrichtung zur sicheren Ansteuerung angeschlossener Aktoren
EP1748299B1 (de) Elektronische Schaltung, System mit einer elektronischen Schaltung und Verfahren zum Testen einer elektronischen Schaltung
EP1672446B1 (de) Sichere Eingabe-/Ausgabe-Baugruppen für eine Steuerung
EP3465898B1 (de) Sanftstarter, betriebsverfahren und schaltsystem
EP1619565A2 (de) Verfahren und Vorrichtung zum sicheren Schalten eines Automatisierungsbussystems
EP3557598A1 (de) Sicherheitsschalter
EP2077007A2 (de) Bussystem und verfahren zum betreiben eines solchen
EP3475966B1 (de) Sicherheitsgerichtetes schaltgerät
WO2017194546A1 (de) Überwachungsanordnung zur überwachung eines sicherheitsgebers und verfahren zur überwachung eines sicherheitsgeberbs
DE3919558C2 (de)
EP3660597B1 (de) Schaltgerät zum fehlersicheren ein- oder ausschalten einer gefährlichen maschinenanlage
DE4213171A1 (de) Sicherheitsschaltung
EP2769273B1 (de) Erweiterungsmodul für ein sicherheitssystem
EP3557338B1 (de) Verfahren zum programmieren einer sicherheitssteuerung
DE19520538C2 (de) Verfahren zur Ablaufsteuerung industrieller Prozesse
EP1119802A1 (de) Vorrichtung zur steuerung und/oder überwachung externer technischer prozesse
EP3832453A1 (de) Verfahren zur durchführung einer gleitkommaarithmetik

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20090424

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC MT NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20090721

RIN1 Information on inventor provided before grant (corrected)

Inventor name: KINDERMANN, MICHAEL

Inventor name: HOFMAYER, MATTHIAS

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN REFUSED

18R Application refused

Effective date: 20091106