ES2433991T3 - Dispositivo de control de seguridad y procedimiento para controlar una instalación automatizada - Google Patents

Dispositivo de control de seguridad y procedimiento para controlar una instalación automatizada Download PDF

Info

Publication number
ES2433991T3
ES2433991T3 ES09806078T ES09806078T ES2433991T3 ES 2433991 T3 ES2433991 T3 ES 2433991T3 ES 09806078 T ES09806078 T ES 09806078T ES 09806078 T ES09806078 T ES 09806078T ES 2433991 T3 ES2433991 T3 ES 2433991T3
Authority
ES
Spain
Prior art keywords
diagnostic
unit
type
access authorization
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES09806078T
Other languages
English (en)
Inventor
Martin Zondler
Helmut Ehrhart
Stefan Woehrle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Application granted granted Critical
Publication of ES2433991T3 publication Critical patent/ES2433991T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Alarm Systems (AREA)
  • Escalators And Moving Walkways (AREA)

Abstract

Dispositivo de control de seguridad para controlar una instalación automatizada (14) que comprende unapluralidad (18) de sensores y una pluralidad (16) de accionadores, con una unidad de control (22) a la que estásuministrada una pluralidad (32) de señales de entrada de control de los sensores, estando la unidad de control (22)configurada para generar en un funcionamiento automático una pluralidad (34) de señales de salida de control enfunción de las señales de entrada de control según un programa de usuario (38) que se ejecuta en la misma,activándose con la pluralidad (34) de señales de salida de control la pluralidad (16) de accionadores,con una unidad de evaluación de diagnóstico (64) a la que está suministrado un número (66) de señales de entradade diagnóstico, estando la unidad de evaluación de diagnóstico (64) configurada para determinar, en función delnúmero (66) de señales de entrada de diagnóstico, determinar cuál de varios estados de funcionamiento (122) existeen un momento definido, conteniendo los varios estados de funcionamiento (122) al menos un estado de proceso dela instalación (14) que se va a controlar y al menos un estado de sistema del dispositivo de control de seguridad(12), generando la unidad de evaluación de diagnóstico (64) una señal de estado de funcionamiento (68) querepresenta un estado de funcionamiento determinado, con una unidad de visualización (74) que está configurada para visualizar notificaciones de diagnóstico,con una unidad de selección de tipo de funcionamiento (76) que está configurada para seleccionar uno de variostipos de funcionamiento especial diferentes entre sí, diferenciándose los tipos de funcionamiento especial en cadacaso del funcionamiento automático, proporcionando la unidad de selección de tipo de funcionamiento (76) unaseñal de tipo de funcionamiento especial (78) que representa el tipo de funcionamiento especial seleccionado,suministrándose esta señal de tipo de funcionamiento especial (78) a la unidad de control (22) para operar lainstalación (14) en el tipo de funcionamiento especial seleccionado, con una unidad de detección (82) que está configurada para detectar una autorización de acceso que está asignadaa una persona que interacciona con el dispositivo de control de seguridad (12), en particular a una persona que leela unidad de visualización (72), proporcionando la unidad de detección (82) una señal de autorización de acceso (84)que representa la autorización de acceso detectada, y con una unidad de selección de diagnóstico (86) a la que se suministran la señal de estado de funcionamiento (68)así como la señal de tipo de funcionamiento especial (78) y la señal de autorización de acceso (84), determinando launidad de selección de diagnóstico (86) en función del estado de funcionamiento determinado y en función del tipode funcionamiento especial seleccionado y de la autorización de acceso detectada una notificación de diagnósticoque representa el estado de funcionamiento determinado, generando la unidad de selección de diagnóstico (86) unaseñal de diagnóstico (88) que representa la notificación de diagnóstico que se suministra a la unidad de visualización(72) para visualizar la notificación de diagnóstico, caracterizado por que en la unidad de selección de diagnóstico (86) está registrada una pluralidad (124) denotificaciones de diagnóstico diferentes entre sí, representando cada una de estas notificaciones de diagnóstico elestado de funcionamiento determinado, seleccionando la unidad de selección de diagnóstico (86) una de estasnotificaciones de diagnóstico en función del tipo de funcionamiento especial seleccionado y de la autorización deacceso detectada, siendo la autorización de acceso detectada una a partir de una pluralidad de autorizaciones deacceso definidas, diferentes entre sí, conteniendo la pluralidad (124) de notificaciones de diagnóstico diferentesentre sí para cada uno de los estados de funcionamiento especial diferentes entre sí y para cada una de lasautorizaciones de acceso diferentes entre sí una notificación de diagnóstico asignada en cada caso.

Description

Dispositivo de control de seguridad y procedimiento para controlar una instalación automatizada
5 La presente invención se refiere a un dispositivo de control de seguridad y a un procedimiento para controlar una instalación automatizada que comprende una pluralidad de sensores y una pluralidad de dores.
Un dispositivo de control de seguridad en el sentido de la presente invención es un aparato o un dispositivo que recibe señales de entrada suministradas por sensores y que a partir de las mismas genera señales de salida mediante conexiones lógicas y dado el caso etapas de procesamiento de señal o datos adicionales. Las señales de salida se pueden suministrar entonces a accionadores que entonces en función de las señales de entrada efectúan acciones o reacciones controladas en el entorno.
Un campo de aplicación preferido para dispositivos de control de seguridad de este tipo se sitúa en el ámbito de la
15 seguridad de máquinas para supervisar interruptores de emergencia, mandos bimanuales, puertas de protección o rejillas de difracción óptica. Los sensores de este tipo se utilizan por ejemplo para asegurar una máquina que durante el funcionamiento implica un riesgo para personas o bienes materiales. Al abrir la puerta de protección o al accionar el interruptor de emergencia se genera en cada caso una señal que se suministra al dispositivo de control de seguridad como señal de entrada. Como reacción frente a la misma el dispositivo de control de seguridad apaga entonces la parte de la máquina que implica un riesgo por ejemplo con ayuda de un accionador.
Es característico con respecto a un dispositivo de control de seguridad a diferencia de un control "normal" que el dispositivo de control de seguridad siempre garantiza un estado seguro de la instalación o máquina que implica un riesgo, incluso cuando en el mismo o en un aparato conectado con el mismo se produzca una función errónea. Por
25 tanto, en dispositivos de control de seguridad existen unos requisitos extremadamente elevados con respecto a la propia seguridad frente a errores, lo que tiene como consecuencia un trabajo considerable en el desarrollo y la fabricación.
Por regla general los dispositivos de control de seguridad requieren antes de su uso una autorización especial por parte de autoridades de supervisión competentes, tal como por ejemplo en Alemania por parte de las mutuas de seguro y de previsión contra accidentes de trabajo o la ITV. El dispositivo de control de seguridad debe cumplir a este respecto con estándares de seguridad previamente establecidos que por ejemplo vienen establecidos en la norma europea EN 954-1 o una norma comparable, por ejemplo la norma IEC 6158 o la norma EN ISO 13849-1. A continuación se entiende por tanto por un dispositivo de control de seguridad un aparato o un dispositivo que al
35 menos cumple con la categoría de seguridad 3 de la norma europea EN 954-1 mencionada.
Un dispositivo de control de seguridad programable ofrece al usuario la posibilidad de establecer individualmente según sus necesidades las conexiones lógicas y dado el caso etapas de procesamiento de señal y datos adicionales con ayuda de un software, el denominado programa de usuario. De ello resulta una gran flexibilidad en comparación con soluciones anteriores en las que las conexiones lógicas se generaban mediante un cableado definido entre diferentes módulos de seguridad. Un programa de usuario se puede crear por ejemplo con ayuda de un ordenador personal (OP) convencional en el mercado y utilizando programas de software instalados de manera correspondiente.
45 La detección de funciones erróneas tiene una importancia vital en el campo del dispositivo de control de seguridad. El caso es que se debe garantizar que una máquina o instalación controlada se traspasa a un estado seguro al aparecer una función errónea.
Sin embargo, además de la propia detección de una función errónea y el hecho de tomar medidas correspondientes con las que la máquina o instalación controlada se traspasa a un estado seguro es también importante por ejemplo hacer llegar al usuario de la máquina o instalación controlada o a otra persona información acerca de una función errónea existente. Para ello, en dispositivos de control de seguridad y procedimientos conocidos por la práctica al aparecer una función errónea se visualiza mediante una unidad de visualización una notificación de diagnóstico que representa a la misma. A este respecto la notificación de diagnóstico visualizada depende sólo de la función errónea
55 que se determinó mediante una unidad de diagnóstico correspondiente.
La detección de una función errónea que aparece corresponde a la determinación de cuál de varios estados de sistema de un dispositivo de control de seguridad existe en un momento definido.
Los planteamientos anteriores no sólo se aplican para la detección de funciones erróneas y por tanto para la determinación de estados de sistema de un dispositivo de control de seguridad, sino que son válidos igualmente para la determinación de estados de proceso de una instalación o máquina que se va a controlar.
Por el documento US 2007/0297557 A1 se conoce un sistema de procesamiento de información para instalaciones
65 de producción en el que la visualización de notificaciones de diagnóstico depende de la autorización de un operario y de un estado de mantenimiento de la instalación. En un ejemplo de realización se representa una unidad de control que está conectada a través de una red de comunicación con un número de aparatos de campo. Un terminal contiene una unidad de visualización, una unidad de detección para detectar una autorización de acceso y una unidad de evaluación de diagnóstico que en función de señales de entrada de diagnóstico determina qué estado de funcionamiento existe en un momento definido. En función de la autorización de acceso del operario y en función de
5 si para una notificación de alarma ya existe una instrucción de operación conocida en una memoria se le visualizan o no al usuario notificaciones de alarma y dado el caso se conceden instrucciones de operación o un acceso a instrucciones de mando.
Por el documento US 2008/0079596 A1 se conoce un aparato de campo industrial con un generador de alarma. La alarma generada por el generador de alarma se puede generar en función de un contexto actual y/o preferencias por parte del operario. También el formato y el contenido de la alarma se pueden adaptar a las necesidades del usuario. Relaciones contextuales se deben deducir de un sistema ERP (Enterprise Ressource Planning, Planificación de Recursos Empresariales).
15 El documento DE 10 2004 003 569 A1 da a conocer un sistema de seguridad integrado en una instalación de proceso con un sistema de control de proceso y un sistema de seguridad que utiliza un hardware y un software comunes para la protección, la comunicación y la visualización. Las alarmas se pueden filtrar en función de una identificación de operario, de modo que los operarios pueden estar limitados a alarmas de una categoría determinada o de un tipo determinado.
El documento EP 1 708 056 A1 propone un sistema para generar y representar notificaciones y/o alarmas en un sistema de automatización, visualizándose las notificaciones y/o alarmas de diferente manera en función del estado de una instalación de producción o de un proceso. Con este fin el dispositivo de desencadenamiento de notificaciones debe adjuntar a la notificación atributos según el estado de instalación para modificar de manera
25 dinámica la importancia de una notificación.
El documento EP 1 855 172 A1 describe un procedimiento para suprimir alarmas en una instalación de proceso en el que en función de un estado de proceso determinado no se visualiza información de alarma determinada. De este modo se deben ocultar alarmas de proceso irrelevantes.
Si bien los procedimientos y dispositivos de control de seguridad conocidos garantizan una determinación fiable de estados de sistema de un dispositivo de control de seguridad y de estados de proceso de una instalación que se va a controlar, sin embargo aún no son óptimos con respecto a la transmisión de información, es decir, con respecto a la transmisión de la información que representa los estados de sistema y estados de proceso determinados.
35 Es por tanto un objetivo de la presente invención perfeccionar un dispositivo de control de seguridad y un procedimiento del tipo mencionado al inicio para configurar de manera más flexible la transmisión de la información que representa un estado de proceso determinado de una instalación que se va a controlar o de un estado de sistema de un dispositivo de control de seguridad y por tanto poder adaptar aún mejor la información que se va a visualizar a circunstancias exteriores.
Este objetivo se soluciona mediante un dispositivo de control de seguridad del tipo mencionado al inicio que presenta los siguientes medios: una unidad de control a la que se suministra una pluralidad de señales de entrada de control de los sensores, estando la unidad de control configurada para en un funcionamiento automático generar 45 una pluralidad de señales de salida de control en función de las señales de entrada de control según un programa de usuario que se ejecuta en la misma, activándose con la pluralidad de señales de salida de control la pluralidad de accionadores, una unidad de evaluación de diagnóstico a la que está suministrado un número de señales de entrada de diagnóstico, estando la unidad de evaluación de diagnóstico configurada para en función del número de señales de entrada de diagnóstico determinar cuál de varios estados de funcionamiento existe en un momento definido, conteniendo los varios estados de funcionamiento al menos un estado de proceso de la instalación que se va a controlar y al menos un estado de sistema del dispositivo de control de seguridad, generando la unidad de evaluación de diagnóstico una señal de estado de funcionamiento que representa un estado de funcionamiento determinado, una unidad de visualización que está configurada para visualizar notificaciones de diagnóstico, una unidad de selección de tipo de funcionamiento que está configurada para seleccionar uno de varios tipos de 55 funcionamiento especial diferentes entre sí, diferenciándose los tipos de funcionamiento especial en cada caso del funcionamiento automático, proporcionando la unidad de selección de funcionamiento una señal de tipo de funcionamiento especial que representa el tipo de funcionamiento especial seleccionado, suministrándose esta señal de tipo de funcionamiento especial a la unidad de control para operar la instalación en el tipo de funcionamiento especial seleccionado, una unidad de detección que está configurada para detectar una autorización de acceso que está asignada a una persona que interacciona con el dispositivo de control de seguridad, en particular a una persona que lee la unidad de visualización, proporcionando la unidad de detección una señal de autorización de acceso que representa la autorización de acceso detectada, y una unidad de selección de diagnóstico a la que se suministra la señal de estado de funcionamiento así como la señal de tipo de funcionamiento especial y la señal de autorización de acceso, determinando la unidad de selección de diagnóstico en función del estado de funcionamiento 65 determinado y en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada una notificación de diagnóstico que va a representar el estado de funcionamiento determinado, generando la unidad
de selección de diagnóstico una señal de diagnóstico que representa la notificación de diagnóstico que se suministra a la unidad de visualización para visualizar la notificación de diagnóstico, estando registrada en la unidad de selección de diagnóstico una pluralidad de notificaciones de diagnóstico diferentes entre sí, representando cada una de estas notificaciones de diagnóstico el estado de funcionamiento determinado, seleccionando la unidad de 5 selección de diagnóstico una de estas notificaciones de diagnóstico en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada, siendo la autorización de acceso detectada una a partir de una pluralidad de autorizaciones de acceso definidas, diferentes entre sí, conteniendo la pluralidad de notificaciones de diagnóstico diferentes entre sí para cada uno de los estados de funcionamiento especial diferentes entre sí y para cada una de las autorizaciones de acceso diferentes entre sí una notificación de diagnóstico asignada en cada caso.
El objetivo se soluciona además mediante un procedimiento del tipo mencionado al inicio en el que se realizan las siguientes etapas:
-
suministrar una pluralidad de señales de entrada de control de los sensores a una unidad de control, estando la
15 unidad de control configurada para generar en un funcionamiento automático una pluralidad de señales de salida de control en función de las señales de entrada de control según un programa de usuario que se ejecuta en la misma, activándose con la pluralidad de señales de salida de control la pluralidad de accionadores,
-
determinar en función de un número de señales de entrada de diagnóstico cuál de varios estados de funcionamiento existe en un momento definido, conteniendo los varios estados de funcionamiento al menos un estado de proceso de la instalación que se va a controlar y al menos un estado de sistema del dispositivo de control de seguridad, y generar una señal de estado de funcionamiento que representa un estado de funcionamiento determinado,
25 -seleccionar uno de varios tipos de funcionamiento especial diferentes entre sí, diferenciándose los tipos de funcionamiento especial en cada caso del funcionamiento automático, y proporcionar una señal de tipo de funcionamiento especial que representa el tipo de funcionamiento especial seleccionado,
-
detectar una autorización de acceso que está asignada a una persona que interacciona con el dispositivo de control de seguridad, en particular a una persona que lee una unidad de visualización, y proporcionar una señal de autorización de acceso que representa la autorización de acceso detectada,
-
suministrar la señal de estado de funcionamiento así como la señal de tipo de funcionamiento especial y la señal de autorización de acceso a una unidad de selección de diagnóstico,
35 -determinar una notificación de diagnóstico que representa el estado de funcionamiento determinado en función del estado de funcionamiento determinado y en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada, y generar una señal de diagnóstico que representa la notificación de diagnóstico en la unidad de diagnóstico, y
-
suministrar la señal de diagnóstico a la unidad de visualización para visualizar la notificación de diagnóstico, estando registrada en la unidad de selección de diagnóstico una pluralidad de notificaciones de diagnóstico diferentes entre sí, representando cada una de estas notificaciones de diagnóstico el estado de funcionamiento determinado, seleccionando la unidad de selección de diagnóstico una de estas notificaciones de diagnóstico en
45 función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada, siendo la autorización de acceso detectada una a partir de una pluralidad de autorizaciones de acceso definidas, diferentes entre sí, conteniendo la pluralidad de notificaciones de diagnóstico diferentes entre sí para cada uno de los estados de funcionamiento especial diferentes entre sí y para cada una de las autorizaciones de acceso diferentes entre sí una notificación de diagnóstico asignada en cada caso.
El dispositivo de control de seguridad nuevo y el procedimiento correspondiente se basan en el planteamiento de determinar una notificación de diagnóstico que representa un estado de funcionamiento determinado en función del estado de funcionamiento determinado y adicionalmente en función de un tipo de funcionamiento especial seleccionado y de una autorización de acceso detectada, pudiendo tratarse en el caso del estado de funcionamiento
55 determinado de un estado de proceso de una instalación que se va a controlar o de un estado de sistema del dispositivo de control de seguridad. Mediante este planteamiento existe ahora la posibilidad de poder configurar de manera flexible la transmisión de la información que representa un estado de proceso determinado de la instalación que se va a controlar o un estado de sistema determinado del dispositivo de control de seguridad y por tanto poder adaptar la información que se va a visualizar a circunstancias exteriores.
Antes de que a continuación se expongan las ventajas individuales del dispositivo de control de seguridad según la invención del procedimiento según la invención se explican en primer lugar algunos términos para su mejor compresión.
65 Un estado de sistema de un dispositivo de control de seguridad es un estado que pueden adoptar por un lado el dispositivo de control de seguridad como tal, es decir, la unidad constructiva en la que están incorporados los componentes de lógica, por ejemplo procesadores y memorias, que son necesarios para la realización de tareas de mando, y por otro lado los componentes, por ejemplo sensores y accionadores, de la instalación que se va a controlar, que están conectados de manera eléctrica con esta unidad constructiva, y además los denominados aparatos de notificación, por ejemplo interruptores de selección de tipo de funcionamiento que también están
5 conectados con esta unidad constructiva. También se incluyen en este planteamiento todos los cableados. Con respecto a un diagnóstico son de interés sobre todo los estados de sistema en los que se produzca un error en uno de los componentes anteriormente indicados.
Un estado de proceso de la instalación que se va a controlar es un estado que puede adoptar la instalación que se
10 va a controlar debido a una aplicación, estando definida la aplicación mediante el programa de usuario que se ejecuta en el dispositivo de control de seguridad.
Por un tipo de funcionamiento en el que se puede operar una instalación que se va a controlar se entiende en primer lugar uno de los tipos de funcionamiento que se describen en la norma DIN EN 12417. En este caso se puede tratar 15 de un funcionamiento automático en el que la instalación que se va a controlar se opera con dispositivos de protección cerrados. Además se puede tratar de uno de los dos tipos de funcionamiento especial descritos en dicha norma. Por un lado un funcionamiento de preparación en el que un usuario con la puerta de protección abierta, una velocidad claramente reducida y medidas de seguridad adicionales puede intervenir en el proceso para preparar la instalación para el funcionamiento automático. Por otro lado un tipo de funcionamiento denominado "intervención 20 manual ampliada" en el que un usuario por ejemplo puede operar una máquina con la puerta de protección abierta. El usuario tiene a este respecto disponible un número reducido de funciones de máquina que sólo puede activar cuando mantenga pulsado un interruptor de confirmación. Además entra en consideración un tipo de funcionamiento adicional que se denomina "observación de proceso". A este respecto un usuario puede operar una máquina con la puerta de protección abierta sin tener que mantener pulsado a este respecto un interruptor de confirmación. Este 25 tercer tipo de funcionamiento especial no se describe en la norma anterior. Además son concebibles tipos de funcionamiento especial adicionales que por ejemplo se definen por parte del propio usuario de una instalación. Como ejemplo se indica en este caso un tipo de funcionamiento especial denominado "funcionamiento de fin de semana". En este tipo de funcionamiento especial se opera durante un fin de semana en un volumen reducido una instalación grande que para conseguir una productividad muy elevada dispone de varias unidades configuradas de
30 manera idéntica que permiten un procesamiento en paralelo, en. Es decir, durante el fin de semana sólo una parte de estas unidades está en funcionamiento, mientras que otra parte de estas unidades está parada.
Por una autorización de acceso se debe entender el permiso que está asignado a una persona y por tanto está concedido a la misma de poder realizar intervenciones en una instalación que se va a controlar, por ejemplo poder 35 operar una instalación en uno de los tipos de funcionamiento especial anteriormente descritos. Igual que existen diferentes tipos de funcionamiento especial, existen también diferentes autorizaciones de acceso. El usuario de una máquina o instalación por regla general no tiene ninguna autorización de acceso, es decir, no puede realizar intervenciones en la máquina o instalación. En cambio, un técnico de mantenimiento tiene una autorización de acceso baja, puede realizar en un marco determinado intervenciones en la máquina o instalación. Así, un técnico de 40 mantenimiento por ejemplo puede rellenar recipientes para lubricantes de refrigeración o líquido hidráulico. Un técnico de preparación que puede operar una máquina o instalación en el funcionamiento de preparación tiene una autorización de acceso media. Puede realizar todas las intervenciones en una máquina o instalación que sean necesarias para la preparación del funcionamiento automático. El creador de un programa de usuario que se ejecuta en el dispositivo de control de seguridad y que establece el funcionamiento automático de una máquina o instalación 45 tiene una autorización de acceso alta. Puede realizar intervenciones en una máquina o instalación que van más allá de las intervenciones que puede realizar un técnico de preparación. En lo que al creador de un programa de usuario se refiere, se deben diferenciar las siguientes dos constelaciones: si se trata del dispositivo de control de seguridad de una máquina-herramienta que se fabrica por parte de un fabricante de máquinas-herramientas en números de unidades considerables, tal como es el caso por ejemplo con tornos, máquinas de fresado o centros de 50 mecanización, entonces el creador del programa de usuario es por regla general un empleado del fabricante de máquinas-herramientas. En cambio, si se trata del dispositivo de control de seguridad de una instalación de máquinas grande que está configurada de manera específica con respecto al cliente y de la que por regla general sólo existe el ejemplar del usuario, tal como es el caso por ejemplo en instalaciones en la industria química, entonces el creador de un programa de usuario es por regla general un empleado del operador de la instalación de 55 máquinas grande. El fabricante del dispositivo de control de seguridad como tal, es decir, el fabricante de la unidad constructiva en la que están incorporados los componentes de lógica que son necesarios para la realización de tareas de mando, también tiene una autorización de acceso alta. En el caso del creador de un programa de usuario en el que la prioridad consiste en la activación de una máquina o instalación, es decir, en la realización de desarrollos de movimiento, en el caso del fabricante del dispositivo de control de seguridad la prioridad consiste en
60 el funcionamiento del dispositivo de control de seguridad como tal. Para una persona encargada con tareas de seguridad que por ejemplo quiere comprobar si los dispositivos de protección montados en una instalación que se va a controlar se deben accionar según las normas legales en intervalos de tiempo previamente establecidos para fines de ensayo, la prioridad para la autorización de acceso consiste en la lectura de memorias de diagnóstico y menos en el hecho de posibilitar intervenciones en la instalación que se va a controlar.
65 Teniendo en cuenta las realizaciones anteriores se obtienen diferentes ventajas para el dispositivo de control de seguridad y el procedimiento.
Determinar la notificación de diagnóstico que representa el estado de funcionamiento determinado en función de la
5 autorización de acceso detectada es muy eficaz con respecto a la adaptación de la transmisión de información a circunstancias exteriores. Mediante esta medida se puede adaptar el contenido de una notificación de diagnóstico que se va a visualizar por ejemplo en una unidad de visualización a la persona que lee la notificación de diagnóstico en la unidad de visualización. En particular es posible una adaptación al papel que está asignado a la persona con respecto a la instalación que se va a controlar o el dispositivo de control de seguridad como tal, viniendo definido este papel por ejemplo a través de la autorización de acceso.
Sobre todo con respecto a un estado de sistema determinado del dispositivo de control de seguridad se obtiene la mayor eficacia. Tal como ya se explicó, en el caso de un estado de sistema determinado del dispositivo de control de seguridad se trata por regla general de un estado de error determinado. Por consiguiente, con una notificación de
15 diagnóstico se señala el error determinado.
Habitualmente una notificación de diagnóstico contiene cuatro partes de información: Una parte "qué" que informa acerca de lo que ha pasado, es decir, qué tipo de perturbación o qué tipo de error existe. Una parte "dónde" que informa acerca de dónde se ha producido la perturbación o el error. Una parte "cómo" que informa acerca de cómo se debe arreglar la perturbación o el error. Una parte "quién" que informa acerca de quién puede arreglar la perturbación o el error.
Precisamente en este caso resulta especialmente ventajoso adaptar la notificación de diagnóstico que se va a visualizar a la capacidad, concretamente a la autorización de acceso que está asignada a la persona que lee la 25 unidad de visualización. En el caso de un operario es suficiente por regla general comunicarle qué ha pasado o qué está defectuoso y quién puede arreglar la perturbación. En particular la información acerca de quién puede arreglar la perturbación, esto es, quién es la persona de contacto correcta, lleva a un ahorro de tiempo y por tanto a un ahorro de costes, ya que se puede contactar directamente con la persona competente. En el caso de un operario no es necesario visualizar cómo se puede arreglar la perturbación, ya que por falta de autorización de acceso no es capaz de arreglar la perturbación. En el caso de un técnico de mantenimiento la notificación de diagnóstico contiene, siempre que se trate de una perturbación que pueda arreglar debido a su autorización de acceso, además de la información acerca de qué ha pasado también una información acerca de dónde se ha producido la perturbación y cómo se puede arreglar. Siempre que se trate de una perturbación que no pueda arreglar debido a su autorización de acceso es suficiente cuando la notificación de diagnóstico contenga una información acerca de qué tipo de 35 perturbación existe y quién la puede arreglar. En el caso de un técnico de preparación, en el caso de un creador del programa de usuario y en el caso de un fabricante del dispositivo de control de seguridad una notificación de diagnóstico contendrá por regla general una información acerca de qué ha pasado, dónde ha pasado, cómo se debe arreglar la perturbación y quién lo puede realizar. A este respecto, partiendo del técnico de preparación hasta el creador del programa de usuario y hasta el fabricante del dispositivo de control de seguridad aumentará la parte de información acerca de cómo se debe arreglar una perturbación y al mismo tiempo disminuirá la parte de información acerca de quién puede arreglar una perturbación, ya que partiendo del técnico de preparación hasta el creador de un programa de usuario y hasta el fabricante de un dispositivo de control de seguridad aumentan las posibilidades de intervención en la instalación que se va a controlar o el dispositivo de control de seguridad debido a la creciente autorización de acceso. En comparación con el técnico de preparación y el creador del programa de usuario, en el
45 caso del fabricante del dispositivo de control de seguridad la prioridad con respecto a la parte de información acerca de qué ha pasado consistirá principalmente en el dispositivo de control de seguridad. En el caso de un fabricante de un dispositivo de control de seguridad las perturbaciones visualizadas se refieren por ejemplo a componentes de hardware de lógica contenidos en el dispositivo de control de seguridad o al sistema operativo implementado en el dispositivo de control de seguridad. Notificaciones de diagnóstico destinadas para una persona encargada con tareas de seguridad contendrán principalmente información acerca de qué tipo de perturbaciones se han producido, y de forma complementaria información acerca de cuándo se han producido.
También con respecto a un estado de proceso determinado de la instalación que se va a controlar es muy eficaz determinar la notificación de diagnóstico que representa el estado de proceso determinado en función de la 55 autorización de acceso detectada. La notificación de diagnóstico que representa un estado de proceso determinado contiene una información acerca de qué estado definido mediante el programa de usuario adopta la instalación que se va a controlar. También en este caso es conveniente adaptar la información visualizada mediante la unidad de visualización en cuanto a su contenido a la persona que lee la notificación de diagnóstico en la unidad de visualización. Así es de suma importancia para un operario, un técnico de mantenimiento y una persona encargada con tareas de seguridad ser informado acerca de estados de proceso individuales que adopta la instalación que se va a controlar en un momento definido. Mientras que para un técnico de preparación, un creador de un programa de usuario y el fabricante de un dispositivo de control de seguridad esto resulta menos importante. En el caso de estas personas es por ejemplo conveniente reducir notificaciones de diagnóstico, que representan un estado de proceso, al contenido de información "funcionamiento sin errores" o "funcionamiento erróneo". Dado el caso se puede
65 prescindir incluso de la visualización de notificaciones de diagnóstico de este tipo. En total se aumenta de este modo la posibilidad de lectura o la visibilidad en una unidad de visualización.
También con respecto a un estado de proceso determinado de la instalación que se va a controlar resulta ventajoso determinar la notificación de diagnóstico que representa este estado de proceso en función del tipo de funcionamiento especial seleccionado. Si la instalación se opera en el funcionamiento automático, entonces se deberían visualizar todas las notificaciones de diagnóstico que se refieren a estados de proceso determinados. Sin 5 embargo, a este respecto es recomendable adaptar el contenido de información de la notificación de diagnóstico al papel del lector al que se visualiza la notificación de diagnóstico mediante una unidad de visualización. Así por ejemplo es suficiente comunicar al operario de una instalación que se debe rellenar un recipiente determinado para líquidos. En cambio, a un técnico de mantenimiento se le puede comunicar adicionalmente dónde se encuentra este recipiente en la instalación y por ejemplo dónde está almacenado el líquido con el que se debe rellenar. Para una persona encargada con tareas de seguridad se puede preparar la información que se va a transmitir por ejemplo con respecto a las evaluaciones que se van a realizar por la misma. Las realizaciones anteriores muestran que es especialmente ventajoso determinar notificaciones de diagnóstico tanto en función del tipo de funcionamiento especial seleccionado como en función de la autorización de acceso detectada. Esto es sobre todo así por que la autorización de acceso que está asignada a una persona que lee la unidad de visualización no tiene que estar 15 obligatoriamente correlacionada con el tipo de funcionamiento especial seleccionado, tal como indican las explicaciones anteriores. Si la instalación se opera en el funcionamiento de preparación, entonces es conveniente por ejemplo suprimir notificaciones de diagnóstico que representan estados de proceso que por ejemplo se refieren a una puerta de protección abierta. Esto es así porque estas notificaciones de diagnóstico no tienen una parte de información que va más allá de los conocimientos actuales del técnico de preparación que toma medidas en el marco del funcionamiento de preparación en la instalación que se va a controlar. El técnico de preparación sabe que la puerta de protección está abierta. En cambio se pueden visualizar notificaciones de diagnóstico especialmente adaptadas al funcionamiento de preparación que por ejemplo contienen un contenido de información acerca de si un desarrollo de movimiento planificado por parte del técnico de preparación es compatible con las circunstancias de la máquina. Si se opera una instalación en el funcionamiento de fin de semana, entonces es recomendable suprimir
25 notificaciones de diagnóstico que representan estados de proceso que proceden de partes apagadas de la instalación debido al funcionamiento de fin de semana, ya que no se tienen que observar estas notificaciones de diagnóstico en este tipo de funcionamiento especial.
También es especialmente eficaz con respecto a un estado de sistema determinado del dispositivo de control de seguridad determinar notificaciones de diagnóstico que representan un estado de sistema en función del tipo de funcionamiento especial seleccionado. Si se opera una instalación en el funcionamiento automático, entonces se deberían visualizar todas las notificaciones de diagnóstico que representen estados de sistema. También es necesario a este respecto por regla general indicar, además de la información acerca de qué ha pasado y dónde, quién puede arreglar la perturbación. En cambio, si se opera la instalación en un tipo de funcionamiento en el que se
35 puedan realizar trabajos de reparación en la instalación, entonces no es necesario que notificaciones de diagnóstico que representan un estado de sistema contengan indicaciones acerca de quién puede arreglar una perturbación, ya que habitualmente personas que llevan a cabo las reparaciones tienen la capacidad correspondiente. En un caso tal resulta más bien ventajoso visualizar información acerca de qué se debe realizar para arreglar la perturbación. También puede resultar ventajoso visualizar fichas técnicas o información similar acerca de un componente que se va a reparar o que se va a remplazar.
Las exposiciones anteriores muestran que con el planteamiento según la invención es posible adaptar de manera especialmente eficaz notificaciones de diagnóstico y por tanto la información a circunstancias exteriores. El planteamiento según la invención hace además que haya una representación de información especialmente
45 estructurada en una unidad de visualización. Además contribuye a un ahorro de tiempo y por tanto de costes.
Tal como muestran las exposiciones anteriores, se puede conseguir una adaptación especialmente eficaz de las notificaciones de diagnóstico a una circunstancia exterior por que se determinan notificaciones de diagnóstico en función de una autorización de acceso detectada. Esta adaptación se puede aumentar adicionalmente teniendo en cuenta adicionalmente el estado de funcionamiento determinado a la hora de determinar las notificaciones de diagnóstico.
En la unidad de selección de diagnóstico está registrada una pluralidad de notificaciones de diagnóstico diferentes entre sí, representando cada una de estas notificaciones de diagnóstico el estado de funcionamiento determinado,
55 seleccionando la unidad de selección de diagnóstico una de estas notificaciones de diagnóstico en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada.
Esta medida asegura que para un estado de funcionamiento determinado, y concretamente de forma independiente de si se trata de un estado de proceso de la instalación que se va a controlar o de un estado de sistema del dispositivo de control de seguridad, están registradas todas las notificaciones de diagnóstico necesarias, y por tanto están disponibles para una adaptación óptima de la información que se va a representar mediante la notificación de diagnóstico al tipo de funcionamiento especial seleccionado y/o a la autorización de acceso detectada. Por tanto es posible una adaptación óptima de la información que se va a representar a una circunstancia exterior.
65 La autorización de acceso detectada es una a partir de una pluralidad de autorizaciones de acceso definidas, diferentes entre sí, conteniendo la pluralidad de notificaciones de diagnóstico diferentes entre sí para cada uno de los estados de funcionamiento especial diferentes entre sí y para cada una de las autorizaciones de acceso diferentes entre sí una notificación de diagnóstico asignada en cada caso.
Mediante esta medida se asegura que no sólo para cada uno de los posibles tipos de funcionamiento especial sino
5 también para cada una de las posibles autorizaciones de acceso se registran las notificaciones de diagnóstico óptimas en cada caso y por tanto se pueden seleccionar y por tanto determinar en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada.
En una configuración de la invención está registrada para cada uno de los varios estados de funcionamiento una pluralidad de notificaciones de diagnóstico diferentes entre sí.
Esta medida tiene la ventaja de que para cada uno de los varios estados de funcionamiento se pueda determinar la notificación de diagnóstico óptima en cada caso con respecto al tipo de funcionamiento especial seleccionado y/o la autorización de acceso detectada. Por tanto es posible una adaptación especialmente eficaz a circunstancias
15 exteriores.
En una configuración adicional de la invención la unidad de detección y la unidad de visualización forman una unidad constructiva.
Debido a esta medida una persona que lee la unidad de visualización puede adaptar de manera sencilla la notificación de diagnóstico visualizada mediante la unidad de visualización a la autorización de acceso asignada a la misma. La ventaja especial consiste en que esta adaptación es posible directamente durante la lectura.
En una configuración adicional de la invención la unidad de detección está configurada para detectar la autorización 25 de acceso mediante un efecto recíproco con una unidad de autorización de acceso móvil.
De manera ventajosa la unidad de autorización de acceso representa a este respecto la autorización de acceso que está contenida en una pluralidad de autorizaciones de acceso previamente establecidas, diferentes entre sí, y que está asignada a la persona que interacciona con el dispositivo de control de seguridad. Esta medida posibilita una manipulación especialmente flexible con respecto a la detección de una autorización de acceso. Debido a que la unidad de autorización de acceso que representa la autorización de acceso está configurada de manera móvil se puede detectar la autorización de acceso en diferentes lugares. Si en la instalación que se va a controlar existen varias unidades de visualización, entonces se puede detectar mediante cada una de estas unidades de visualización la autorización de acceso, siempre que cada una de estas unidades de visualización presente una unidad de
35 detección. Además la configuración móvil de la unidad de autorización de acceso tiene la ventaja de que a personas individuales se les pueda asignar de forma explícita una autorización de acceso.
En una configuración adicional de la medida anteriormente mencionada la unidad de autorización de acceso presenta una llave mecánica que se puede introducir en un alojamiento de llave dispuesto en la unidad de detección.
De manera ventajosa el alojamiento de llave está configurado para llevarse a una pluralidad de posiciones mediante el giro de la llave mecánica, representando cada una de estas posiciones una autorización de acceso que está contenida en la pluralidad de autorizaciones de acceso previamente establecidas, diferentes entre sí, dependiendo la posición que adopta el alojamiento de llave tras el giro de la llave mecánica de la conformación de la llave mecánica.
45 Esta medida tiene la siguiente ventaja: en el campo del dispositivo de control de seguridad ha demostrado ser útil hasta ahora el uso de llaves mecánicas y de alojamientos de llave correspondientes con respecto a establecer un tipo de funcionamiento especial en el que se debe operar una instalación que se va a controlar. Por consiguiente se emplean con un número de unidades correspondientemente elevado y por tanto son económicos interruptores de selección de tipo de funcionamiento en los que se usa una llave mecánica. Por consiguiente esta medida posibilita una detección económica de la autorización de acceso.
En una configuración adicional de las dos medidas anteriormente mencionadas la unidad de autorización de acceso presenta un transpondedor, conteniendo el transpondedor datos de autorización de acceso que representan la autorización de acceso.
55 En esta configuración la unidad de detección está configurada como sensor para leer el transpondedor y los datos de autorización de acceso representan la autorización de acceso que está asignada a la persona que interacciona con el dispositivo de control de seguridad. Con respecto a una llave mecánica el uso de un transpondedor tiene la ventaja de que se puedan diferenciar fundamentalmente más autorizaciones de acceso, ya que de forma electrónica se pueden generar fundamentalmente más códigos diferentes que en el caso con un interruptor mecánico de selección de tipo de funcionamiento. Por tanto se puede conseguir mediante el uso de un transpondedor una adaptación especialmente eficaz de la información que se va a transmitir a una circunstancia exterior. En el uso de un transpondedor son concebibles dos configuraciones alternativas: En una primera configuración el transpondedor está insertado en la llave mecánica. En una segunda configuración no se utiliza una llave mecánica sino sólo un
65 transpondedor para establecer la autorización de acceso.
En una configuración adicional de la invención la unidad de detección presenta un número de elementos de entrada a través de los que se puede introducir la autorización de acceso. El número de elementos de entrada puede estar configurado como campo de entrada alfanumérico. La persona que interacciona con el dispositivo de control de seguridad introduce entonces un código que sólo conoce ella a través del campo de entrada alfanumérico y
5 mediante la evaluación de este código se puede detectar la autorización de acceso asignada a esta persona. Dado que campos de entrada alfanuméricos no son muy caros se trata en este caso de una variante económica de detectar la autorización de acceso.
En una configuración adicional de la invención la unidad de selección de tipo de funcionamiento está configurada para seleccionar el tipo de funcionamiento especial mediante un efecto recíproco con una unidad de tipo de funcionamiento especial móvil.
De manera ventajosa la unidad de tipo de funcionamiento especial representa a este respecto el tipo de funcionamiento especial que se va a seleccionar. Esta medida posibilita una manipulación especialmente flexible con
15 respecto a la selección de un tipo de funcionamiento especial. Debido a que la unidad de tipo de funcionamiento especial está configurada de forma móvil se puede seleccionar el tipo de funcionamiento especial en diferentes lugares.
Resulta especialmente ventajoso que para la detección de la autorización de acceso esté prevista una unidad de detección y que para la selección del tipo de funcionamiento especial esté prevista una unidad independiente de selección de tipo de funcionamiento. Debido a que en este caso se trata de dos unidades independientes y por tanto separadas se puede detectar la autorización de acceso independientemente del tipo de funcionamiento especial seleccionado. Por tanto al mismo tiempo puede estar seleccionado un tipo de funcionamiento especial y se puede detectar una autorización de acceso que no están correlacionados obligatoriamente entre sí. Por tanto la notificación
25 de diagnóstico y la información que se va a transmitir se pueden adaptar especialmente bien a una circunstancia exterior.
En una configuración adicional de la medida anteriormente mencionada la unidad de tipo de funcionamiento especial presenta un transpondedor que contiene datos de funcionamiento especial que representan un tipo de funcionamiento especial definido.
En esta configuración la unidad de selección de tipo de funcionamiento está configurada como sensor para leer el transpondedor y los datos de tipo de funcionamiento especial representan el tipo de funcionamiento especial que se debe seleccionar.
35 En una configuración adicional de la invención el programa de usuario presenta al menos un módulo de control de seguridad en el que se procesan de manera segura frente a errores señales de entrada de control relevantes para la seguridad, y al menos un módulo de control estándar en el que se procesan principalmente señales de entrada de control relevantes para el proceso.
En esta configuración la pluralidad de sensores comprende de manera ventajosa un primer número de sensores que están configurados para detectar magnitudes relevantes para la seguridad, suministrándose estas magnitudes relevantes para la seguridad al módulo de control de seguridad mediante señales de entrada de control relevantes para la seguridad, y un segundo número de sensores que están configurados para detectar magnitudes relevantes 45 para el proceso, suministrándose estas magnitudes relevantes para el proceso al módulo de control estándar mediante señales de entrada de control relevantes para el proceso. Además está previsto en esta configuración de manera ventajosa que la pluralidad de señales de salida de control comprenda un primer número de señales de salida de control que se determinan en el módulo de control de seguridad y que están destinadas para la activación de un primer número de accionadores que están configurados para la realización de acciones relevantes para la seguridad, y que comprenda un segundo número de señales de salida de control que se determinan en el módulo de control estándar y que están destinadas para la activación de un segundo número de accionadores que están configurados para la realización de acciones relevantes para el proceso. Esta estructura del programa de usuario, según la que él programa de usuario comprende al menos un módulo de control de seguridad y al menos un módulo de control estándar, hace posible que con el mismo programa de usuario se puedan procesar tanto tareas de mando 55 que están asignadas al aspecto de control de seguridad como tareas de mando que están asignadas al aspecto de control estándar. Por tanto se pueden realizar con un dispositivo de control de seguridad configurado según este aspecto tanto tareas de mando que están asignadas al aspecto de control de seguridad como tareas de mando que están asignadas al aspecto de control estándar. Esto tiene la ventaja de que para un control exhaustivo de una instalación, es decir, para un control que comprende tanto el aspecto de control de seguridad como el aspecto de control estándar, sólo es necesario un único aparato de control y no dos aparatos de control de los que uno se encarga de las tareas de mando que están asignadas al aspecto de control de seguridad y uno se encarga de las tareas de mando que están asignadas al aspecto de control estándar. Por tanto se reduce también el trabajo necesario para el cableado. En total esta medida representa una posibilidad económica de realizar un control exhaustivo para una instalación. En este punto cabe señalar que con la formulación de que en el módulo de control 65 estándar se procesan principalmente señales de entrada de control relevantes para el proceso se pretende decir que en el módulo de control estándar también se pueden procesar señales de entrada de control relevantes para la
seguridad.
En una configuración adicional de la invención el estado de sistema representa un accionador y/o sensor perturbado.
5 Precisamente en caso de notificaciones de diagnóstico, que representan un accionador y/o sensor perturbado resulta ventajoso adaptar la información que se va a transmitir al papel de la persona que lee la información. Así por ejemplo es suficiente para un operario de una instalación que sea informado acerca de que existe un accionador perturbado o un sensor perturbado. En cambio es razonable indicar a un técnico de mantenimiento información adicional. En este caso se puede tratar por ejemplo de una información acerca de qué accionador o qué sensor está perturbado. Con ayuda de tal información específica de componentes constructivos el técnico de mantenimiento puede realizar un cambio rápido del componente constructivo defectuoso. En caso de un accionador perturbado o un sensor perturbado se debe tratar de un accionador o sensor que es defectuoso o que por otro motivo no se puede evaluar de manera unívoca. En este punto cabe indicar lo que se debe entender por un sensor: en caso de un sensor se puede tratar exclusivamente de una unidad de detección con la que se puede detectar una magnitud
15 física. Sin embargo, un sensor también puede estar configurado como combinación a partir de una unidad de detección de este tipo y una unidad de procesamiento de señal, estando la unidad de procesamiento de señal configurada para realizar diferentes medidas de preparación de señal, por ejemplo una conversión analógica/digital o una amplificación de señal.
En una configuración adicional de la medida anteriormente mencionada la unidad de selección de diagnóstico está configurada para determinar la notificación de diagnóstico además en función de una indicación de lugar, representando la indicación de lugar el lugar de montaje del accionador y/o del sensor dentro de la instalación.
Precisamente en caso de una indicación de lugar resulta especialmente ventajoso incluir ésta en una notificación de
25 diagnóstico o no considerarla en función del papel de la persona que lee una unidad de visualización. Así es irrelevante para un operario de una instalación dónde se encuentra un sensor defectuoso o un accionador defectuoso, ya que por falta de autorización de acceso no puede realizar un cambio. Por consiguiente en el caso de un operario no es necesaria una indicación de lugar en una notificación de diagnóstico. La omisión de la indicación de lugar lleva a una visión más estructurada de la información visualizada mediante una unidad de visualización. En cambio, para un técnico de mantenimiento una indicación de lugar es una información útil, ya que de este modo puede cambiar rápidamente un sensor defectuoso o un accionador defectuoso. Por consiguiente para un técnico de mantenimiento debería estar incluida una indicación de lugar en una notificación de diagnóstico.
En una configuración adicional de la invención se crea el programa de usuario proporcionando una pluralidad de
35 componentes de software, correspondiendo la pluralidad de los componentes de software a una pluralidad de componentes de hardware de instalación contenida en la instalación que se va a controlar.
Debido a esta medida es posible crear de manera especialmente sencilla y estructurada un programa de usuario. Esto contribuye a una mayor seguridad frente a errores de la programación de un dispositivo de control de seguridad.
En la adaptación de la notificación de diagnóstico a la persona que lee una unidad de visualización cabe establecer ahora cuál de estas cuatro partes de información debe estar incluida realmente en la notificación de diagnóstico y cómo de detallada debe estar realizada la parte de información individual. Ambas cosas se pueden establecer 45 mediante una evaluación de la autorización de acceso que está asignada a la persona. Para un operario es suficiente cuando éste reciba una información acerca de qué tipo de perturbación existe y quién la puede arreglar. Es decir, una notificación de diagnóstico destinada a un operario contiene una parte "qué" y una parte "quién". Para un técnico de mantenimiento, un creador de un programa de usuario y un fabricante del dispositivo de control de seguridad es importante, además de la información acerca de qué ha pasado y dónde, la información acerca de cómo se puede arreglar la perturbación o el error. Por consiguiente una notificación de diagnóstico destinada para esta persona contiene además de una parte "qué" y una parte "dónde" además una parte "cómo". A este respecto se adapta el grado de detalle de la parte "cómo" a las posibilidades establecidas mediante la autorización de acceso de poder realizar intervenciones en la instalación y/o en el dispositivo de control de seguridad. Esta adaptación es válida también para la parte "qué" y la parte "dónde". Así por ejemplo se le puede indicar de manera concreta al
55 fabricante del dispositivo de control de seguridad qué componente de lógica contenida como tal en el dispositivo de control está defectuoso o qué módulo del sistema operativo almacenado en el dispositivo de control de seguridad está defectuoso. Mientras que es suficiente sólo indicar al creador de un programa de usuario que existe un error en el dispositivo de control de seguridad. El hecho de tener en cuenta la autorización de acceso detectada posibilita con respecto a un estado de sistema determinado una adaptación especialmente eficaz de una notificación de diagnóstico a la persona que lee una unidad de visualización. Mientras que con respecto a un estado de proceso determinado el hecho de tener en cuenta un tipo de funcionamiento especial seleccionado posibilita una adaptación especialmente eficaz de una notificación de diagnóstico a la persona que lee una unidad de visualización.
Se entiende que las características mencionadas anteriormente y las características que aún se van a explicar a
65 continuación no sólo se pueden utilizar en la combinación indicada en cada caso sino también en otras combinaciones o de forma individual sin alejarse del marco de la presente invención.
Ejemplos de realización de la invención se representan en el dibujo y se explican en más detalle en la siguiente descripción. Muestran:
5 la figura 1, una representación esquemática de un dispositivo de control de seguridad según la invención en conexión con una instalación que se va a controlar, y
la figura 2, en una representación esquemática una unidad de selección de diagnóstico contenida en el dispositivo de control de seguridad.
En la figura 1 se representa un circuito de seguridad designado en su totalidad con el número de referencia 10 que presenta un dispositivo de control de seguridad 12 que está configurado para controlar una instalación designada en su totalidad con el número de referencia 14. La instalación 14 comprende una pluralidad 16 de accionadores y una pluralidad 18 de sensores. A modo de ejemplo se representa un elemento consumidor 20 contenido en la instalación
15 14 en cuyo caso se puede tratar por ejemplo de un robot.
El dispositivo de control de seguridad 12 comprende una unidad de control 22. La unidad de control 22 está configurada con redundancia en dos canales para conseguir la seguridad requerida frente a errores para controlar procesos críticos con respecto a la seguridad. De modo representativo de la estructura de dos canales se representan en la figura 1 dos procesadores 24, 26 separados entre sí que a través de una interfaz de comunicación bidireccional 28 están conectados entre sí para poderse controlar mutuamente y poder intercambiar datos. Preferiblemente los dos canales de la unidad de control 22 y los dos procesadores 24, 26 están configurados de forma diversitaria, es decir, de manera diferente entre sí, para excluir en gran parte errores sistemáticos.
25 Con el número de referencia 30 se designa una unidad de entrada/salida que está conectada con cada uno de los dos procesadores 24, 26. La unidad de entrada/salida 30 recibe una pluralidad 32 de señales de entrada de control desde la pluralidad 18 de sensores y la retransmite en un formato de datos adaptado a cada uno de los dos procesadores 24, 26. Además, la unidad de entrada/salida genera en función de los procesadores 24, 26 una pluralidad 34 de señales de salida de control con las que se activa la pluralidad 16 de accionadores.
Con el número de referencia 36 se designa una tarjeta de chip en la que se almacena un programa de usuario 38. El programa de usuario 38 se crea con ayuda de una herramienta de programación. En el caso de la herramienta de programación se trata por ejemplo de un programa informático que se puede ejecutar en un ordenador personal convencional. El uso de una tarjeta de chip 36 como medio de almacenamiento posibilita a este respecto un cambio
35 sencillo del programa de usuario 38 también sin conexión directa al ordenador personal en el que se ejecuta la herramienta de programación. De manea alternativa a esto el programa de usuario 38 puede estar almacenado también en una memoria incorporada fijamente en la unidad de control 22, por ejemplo una memoria EEPROM.
El programa de usuario 38 establece las tareas de mando que va a realizar el dispositivo de control de seguridad 12. Para ello el programa de usuario 38 contiene un módulo de control de seguridad 40 en el que se realizan las tareas de mando que están asignadas al aspecto de control de seguridad. En el módulo de control de seguridad 40 se procesan de manera segura frente a errores señales de entrada de control 42 relevantes para la seguridad que se generan por sensores de seguridad 44 asignados al aspecto de control de seguridad. En el caso de los sensores de seguridad 44 se trata por ejemplo de un interruptor de emergencia, mandos bimanuales, puertas de protección,
45 aparatos de supervisión del número de revoluciones u otros sensores para recibir parámetros relevantes para la seguridad. Según las tareas de mando asignadas en el aspecto de control de seguridad se generan señales de salida de control 46 relevantes para la seguridad en función de las señales de entrada de control 42 relevantes para la seguridad, con las que se activan accionadores de seguridad 48, 50, accionadores asignados al aspecto de control de seguridad. En el caso de los accionadores de seguridad 48, 50 se trata por ejemplo de denominados contactores cuyos contactos de trabajo están dispuestos en la conexión entre una alimentación de corriente 52 y el elemento consumidor 20. A través de los accionadores de seguridad 48, 50 se puede apagar la alimentación de corriente del elemento consumidor 20, por lo que es posible, al aparecer una función errónea correspondiente, traspasar al menos el elemento consumidor 20 a un estado seguro.
55 Además el programa de usuario 38 presenta un módulo de control estándar 54 con el que se realizan las tareas de mando que están asignadas al aspecto de controle estándar. Para ello se procesan en el módulo de control estándar 54 señales de entrada de control 56 relevantes para el proceso que se generan por sensores estándar 58. En el caso de los sensores estándar 58 se trata de sensores que por ejemplo detectan magnitudes de entrada necesarias para una regulación de accionamiento. En este caso se puede tratar por ejemplo de números de revolución, igual que ángulos o velocidades. En función de las señales de entrada de control 56 relevantes para el proceso se generan según las tareas de mando asignadas al aspecto de control estándar señales de salida de control 60 relevantes para el proceso que se suministran a accionadores estándar 62. En el caso de los accionadores estándar 62 se puede tratar por ejemplo de motores o cilindros de ajustes.
65 La estructura del programa de usuario 38 seleccionada en el ejemplo de realización, según la que éste contiene un módulo de control de seguridad 40 y un módulo de control estándar 54, por lo que por la unidad de control 22 se realizan tanto tareas de mando que está asignadas al aspecto de control de seguridad como tareas de mando que están asignadas al aspecto de control estándar, no debe tener un efecto restrictivo. Evidentemente es también concebible que la unidad de control 22 realice sólo tareas de mando que están asignadas al aspecto de control de seguridad. En este caso el programa de usuario 38 no contiene un módulo de control estándar 54.
5 La unidad de entrada/salida 30 sirve también para la conexión de componentes adicionales contenidos en el dispositivo de control de seguridad 12 a los dos procesadores 24, 26. Así se le suministran a una unidad de evaluación de diagnóstico 64 un número 66 de señales de entrada de diagnóstico partiendo de la unidad de entrada/salida 30. La unidad de evaluación de diagnóstico 64 está configurada para determinar, en función del número 66 de señales de entrada de diagnóstico, cuál de varios estados de funcionamiento existe en un momento definido. Los varios estados de funcionamiento contienen a este respecto al menos un estado de proceso de la instalación 14 que se va a controlar y al menos un estado de sistema del dispositivo de control de seguridad 12. El estado de sistema debe detectar a este respecto no sólo las unidades y componentes contenidos en el dispositivo de control de seguridad 12 sino también todas las unidades conectadas eléctricamente con el dispositivo de control
15 de seguridad 12. En este caso se trata de los sensores de seguridad 44, los accionadores de seguridad 48, 50, los sensores estándar 58, los accionadores estándar 62 así como una unidad de visualización que aún se va a describir y aparatos de notificación que aún se van a describir. También el estado de sistema debe comprender todos los cableados existentes entre el dispositivo de control de seguridad 12 y las unidades anteriormente indicadas.
La unidad de evaluación de diagnóstico 64 genera una señal de estado de funcionamiento 68 que representa un estado de funcionamiento determinado. La señal de estado de funcionamiento 68 se suministra a la unidad de entrada/salida 30. Por tanto la unidad de control 22 puede tomar medidas adecuadas de manera correspondiente al estado de funcionamiento determinado. El dispositivo de control de seguridad 12 comprende una interfaz 70 para una unidad de visualización 72. La unidad de visualización 72 está configurada para visualizar notificaciones de
25 diagnóstico.
Además el dispositivo de control de seguridad 12 comprende una interfaz 74 para una unidad de selección de tipo de funcionamiento 76. La unidad de selección de tipo de funcionamiento 76 está configurada para seleccionar uno de varios tipos de funcionamiento especial diferentes entre sí, diferenciándose los tipos de funcionamiento especial en cada caso del funcionamiento automático. La unidad de selección de tipo de funcionamiento 76 proporciona una señal de tipo de funcionamiento especial 78 que representa el tipo de funcionamiento especial seleccionado. La señal de tipo de funcionamiento especial 78 se suministra a la unidad de control 22 para operar la instalación 14 en el tipo de funcionamiento especial seleccionado.
35 Además el dispositivo de control de seguridad 12 presenta una interfaz 80 para una unidad de detección 82. La unidad de detección está configurada para detectar una autorización de acceso que está asignada a una persona que interacciona con el dispositivo de control de seguridad 12, en particular a una persona que lee la unidad de visualización 72. La unidad de detección 82 proporciona una señal de autorización de acceso 84 que representa la autorización de acceso detectada.
Además el dispositivo de control de seguridad 12 presenta una unidad de selección de diagnóstico 86. A la unidad de selección de diagnóstico 86 se le suministra la señal de estado de funcionamiento 68. Además se le suministra a la unidad de selección de diagnóstico 86 la señal de tipo de funcionamiento especial 78 y/o la señal de autorización de acceso 84 a través de la unidad de entrada/salida 30. En función del estado de funcionamiento determinado y en
45 función del tipo de funcionamiento especial seleccionado y/o de la autorización de acceso detectada la unidad de selección de diagnóstico 86 determina una notificación de diagnóstico que representa el estado de funcionamiento determinado. La unidad de selección de diagnóstico 86 genera una señal de diagnóstico 88 que representa la notificación de diagnóstico que se suministra a la unidad de visualización 72 a través de la unidad de entrada/salida 30 para visualizar la notificación de diagnóstico. La unidad de evaluación de diagnóstico 64 y la unidad de selección de diagnóstico 86 pueden estar agrupadas para formar una unidad de diagnóstico 90, lo que se indica mediante la representación con puntos y rayas.
La unidad de visualización 72 y la unidad de detección 82 pueden estar agrupadas para formar una unidad constructiva 92, lo que se indica mediante la representación con puntos y rayas. De manera ventajosa es
55 conveniente integrar la unidad de detección 82 en la unidad de visualización 72.
La unidad de detección 82 está configurada para detectar la autorización de acceso mediante un efecto recíproco con una unidad de autorización de acceso móvil 94, lo que se indica mediante una flecha 96. Para la unidad de detección 82 y por tanto también para la unidad de autorización de acceso móvil 94 son concebibles diferentes configuraciones. En una primera configuración la unidad de autorización de acceso móvil 94 está realizada como llave mecánica que se puede introducir en un alojamiento de llave que está dispuesto en la unidad de detección 82. Esta primera configuración corresponde a un interruptor de selección de tipo de funcionamiento realizado de manera mecánica. En una segunda configuración la unidad de autorización de acceso móvil 94 puede estar realizada como transpondedor cuyos datos se pueden leer por la unidad de detección 82 realizada como aparato lector. El 65 transpondedor contiene datos de autorización de acceso que representan la autorización de acceso. Es concebible una tercera configuración que representa una combinación de la primera configuración y la segunda configuración.
Es decir, la llave mecánica contiene un transpondedor y la unidad de detección 82 contiene en la zona del alojamiento de llave un aparato lector para el transpondedor. Además es concebible una cuarta configuración en la que la unidad de detección 82 presenta un número de elementos de entrada a través de los que se puede introducir la autorización de acceso. A este respecto la unidad de detección 82 está realizada por ejemplo como unidad de
5 entrada alfanumérica. En esta configuración no es necesaria una unidad de autorización de acceso móvil 94. El orden de enumeración de las configuraciones individuales no debe representar una valoración con respecto a sus posibilidades de uso.
La unidad de selección de tipo de funcionamiento 76 está configurada para seleccionar el tipo de funcionamiento
10 especial mediante un efecto recíproco con una unidad de tipo de funcionamiento especial móvil 98, lo que se indica mediante una flecha 100. La unidad de tipo de funcionamiento especial móvil 98 puede estar configurada como transpondedor que contiene datos de tipo de funcionamiento especial que representan un tipo de funcionamiento especial definido. En este caso la unidad de selección de tipo de funcionamiento 76 está configurada como aparato lector con el que se pueden leer los datos de tipo de funcionamiento especial por el transpondedor.
15 La unidad de selección de tipo de funcionamiento 76 y la unidad de detección 82 se denominan habitualmente aparatos de notificación.
A través de la unidad de entrada/salida 30 se intercambian señales de prueba 102 entre el dispositivo de control de
20 seguridad 12 y los sensores de seguridad 44, los accionadores de seguridad 48, 50, la unidad de visualización 72, la unidad de selección de tipo de funcionamiento 76 y la unidad de detección 82. Con ayuda de las señales de prueba 102 se puede determinar en el dispositivo de control de seguridad 12 si las unidades y componentes conectados al mismo funcionan sin errores, lo que es necesario, ya que se debe garantizar un estado seguro de la instalación 14 que se va a controlar, una vez que se produzca una función errónea en un aparato conectado con el dispositivo de
25 control de seguridad 12.
Mediante la representación en la figura 2 se explica el funcionamiento de la unidad de evaluación de diagnóstico 64 y sobre todo el funcionamiento de la unidad de selección de diagnóstico 86.
30 Partiendo de la unidad de entrada/salida 30 se suministra a la unidad de evaluación de diagnóstico 64 un número 66 de señales de entrada de diagnóstico. En este caso se puede tratar de las siguientes señales: las señales de entrada de control 42 relevantes para la seguridad y las señales de entrada de control 56 relevantes para el proceso; las señales de salida de control 46 relevantes para la seguridad y las señales de salida de control 60 relevantes para el proceso así como señales adicionales 120. En las señales adicionales 120 pueden estar contenidas las señales
35 de prueba 102, la señal de autorización de acceso 84, la señal de tipo de funcionamiento especial 78 así como señales determinadas y procesadas en la unidad de control 22.
En función de las señales suministradas en total la unidad de evaluación de diagnóstico 64 determina cuál de varios estados de funcionamiento 122 existe en un momento definido. Esto se realiza mediante una evaluación 40 correspondiente de las señales suministradas. En el caso del estado de funcionamiento determinado se puede tratar de un estado de proceso de la instalación 14 que se va a controlar o de un estado de sistema del dispositivo de control de seguridad 22. En el caso de un estado de sistema se puede tratar por ejemplo de un cortocircuito a tierra
o a la tensión de alimentación, de un defecto de sensor, de un defecto de accionador, de una rotura de conductor, de un error que se produce en la tarjeta de chip 36, de un error que se produce en uno de los procesadores 24, 26 o de
45 un error similar. Habitualmente se determina un estado de proceso de la instalación que se va a controlar por que en particular las señales de entada de control 56 relevantes para el proceso se comparan con valores umbral previamente establecidos.
La unidad de evaluación de diagnóstico 64 genera una señal de estado de funcionamiento 68 que representa el
50 estado de funcionamiento determinado. La señal de estado de funcionamiento 68 se suministra tanto a la unidad de entrada/salida 30 como a la unidad de selección de diagnóstico 86. Según la representación en la figura 2 se debe tratar en el caso del estado de funcionamiento determinado del estado de funcionamiento B2, lo que se indica mediante las esquinas biseladas. En la unidad de selección de diagnóstico 86 está registrada para cada uno de los varios estados de funcionamiento 122 una pluralidad de notificaciones de diagnóstico diferentes entre sí. Para el
55 estado de funcionamiento determinado B2 está registrada una pluralidad 124 de notificaciones de diagnóstico diferentes entre sí. Partiendo de la unidad de entrada/salida 30 se suministran a la unidad de selección de diagnóstico 86 la señal de tipo de funcionamiento especial 78 que representa el tipo de funcionamiento especial seleccionado y la señal de autorización de acceso 84 que representa la autorización de acceso detectada. En el presente caso se debe tratar en el caso del tipo de funcionamiento especial seleccionado del tipo de funcionamiento
60 especial S1 y en el caso de la autorización de acceso detectada de la autorización de acceso Z1, lo que se indica en cada caso mediante las esquinas biseladas. Por consiguiente la unidad de selección de diagnóstico 86 selecciona la notificación de diagnóstico D2M1 a partir de la pluralidad 124 de notificaciones de diagnóstico diferentes entre sí y genera la señal de diagnóstico 88 que representa esta notificación de diagnóstico y que se suministra a la unidad de entrada/salida 30 para su retransmisión a la unidad de visualización 72.
65 En la unidad de selección de diagnóstico 86 está registrada para cada uno de los varios estados de funcionamiento 122 una pluralidad de notificaciones de diagnóstico diferentes entre sí. Cada una de la pluralidad de notificaciones de diagnóstico diferentes entre sí contiene para cada uno de los estados de funcionamiento especial diferentes entre sí S1 a Sr y/o para cada una de las autorizaciones de acceso diferentes entre sí Z1 a Zs una notificación de
5 diagnóstico asignada en cada caso. En total están registradas en la unidad de selección de diagnóstico 86 las notificaciones de diagnóstico D1M1 a DnMn para los varios estados de funcionamiento 121 B1 a Bn.
La configuración del dispositivo de control de seguridad en que se basa el ejemplo de realización, según la que se procesan con el dispositivo de control de seguridad tanto tareas de mando que están asignadas al aspecto de
10 control de seguridad como tareas de mando que están asignadas al aspecto de control estándar con la misma unidad de control, no es obligatoria para la implementación de la idea de la invención. Para ambas categorías de tareas de mando se pueden emplear también unidades de control independientes.
La unidad de visualización 72 puede estar dispuesta en un puesto de mando contenido en la instalación 14. Sin
15 embargo, también se puede tratar de una unidad de visualización independiente. Puede estar realizada como pantalla LCD o como campo de texto alfanumérico.
Una notificación de diagnóstico de proceso puede ser por ejemplo "recipiente vacío". Como notificaciones de diagnóstico de sistema entran en consideración por ejemplo "memoria defectuosa", “cortocircuito a 24V" o "error de
20 hardware".

Claims (13)

  1. REIVINDICACIONES
    1. Dispositivo de control de seguridad para controlar una instalación automatizada (14) que comprende una pluralidad (18) de sensores y una pluralidad (16) de accionadores, con una unidad de control (22) a la que está
    5 suministrada una pluralidad (32) de señales de entrada de control de los sensores, estando la unidad de control (22) configurada para generar en un funcionamiento automático una pluralidad (34) de señales de salida de control en función de las señales de entrada de control según un programa de usuario (38) que se ejecuta en la misma, activándose con la pluralidad (34) de señales de salida de control la pluralidad (16) de accionadores, con una unidad de evaluación de diagnóstico (64) a la que está suministrado un número (66) de señales de entrada de diagnóstico, estando la unidad de evaluación de diagnóstico (64) configurada para determinar, en función del número (66) de señales de entrada de diagnóstico, determinar cuál de varios estados de funcionamiento (122) existe en un momento definido, conteniendo los varios estados de funcionamiento (122) al menos un estado de proceso de la instalación (14) que se va a controlar y al menos un estado de sistema del dispositivo de control de seguridad (12), generando la unidad de evaluación de diagnóstico (64) una señal de estado de funcionamiento (68) que
    15 representa un estado de funcionamiento determinado, con una unidad de visualización (74) que está configurada para visualizar notificaciones de diagnóstico, con una unidad de selección de tipo de funcionamiento (76) que está configurada para seleccionar uno de varios tipos de funcionamiento especial diferentes entre sí, diferenciándose los tipos de funcionamiento especial en cada caso del funcionamiento automático, proporcionando la unidad de selección de tipo de funcionamiento (76) una señal de tipo de funcionamiento especial (78) que representa el tipo de funcionamiento especial seleccionado, suministrándose esta señal de tipo de funcionamiento especial (78) a la unidad de control (22) para operar la instalación (14) en el tipo de funcionamiento especial seleccionado, con una unidad de detección (82) que está configurada para detectar una autorización de acceso que está asignada a una persona que interacciona con el dispositivo de control de seguridad (12), en particular a una persona que lee
    25 la unidad de visualización (72), proporcionando la unidad de detección (82) una señal de autorización de acceso (84) que representa la autorización de acceso detectada, y con una unidad de selección de diagnóstico (86) a la que se suministran la señal de estado de funcionamiento (68) así como la señal de tipo de funcionamiento especial (78) y la señal de autorización de acceso (84), determinando la unidad de selección de diagnóstico (86) en función del estado de funcionamiento determinado y en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada una notificación de diagnóstico que representa el estado de funcionamiento determinado, generando la unidad de selección de diagnóstico (86) una señal de diagnóstico (88) que representa la notificación de diagnóstico que se suministra a la unidad de visualización
    (72) para visualizar la notificación de diagnóstico, caracterizado por que en la unidad de selección de diagnóstico (86) está registrada una pluralidad (124) de
    35 notificaciones de diagnóstico diferentes entre sí, representando cada una de estas notificaciones de diagnóstico el estado de funcionamiento determinado, seleccionando la unidad de selección de diagnóstico (86) una de estas notificaciones de diagnóstico en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada, siendo la autorización de acceso detectada una a partir de una pluralidad de autorizaciones de acceso definidas, diferentes entre sí, conteniendo la pluralidad (124) de notificaciones de diagnóstico diferentes entre sí para cada uno de los estados de funcionamiento especial diferentes entre sí y para cada una de las autorizaciones de acceso diferentes entre sí una notificación de diagnóstico asignada en cada caso.
  2. 2. Dispositivo de control de seguridad según la reivindicación 1, caracterizado por que para cada uno de los varios
    estados de funcionamiento (122) está registrada una pluralidad de notificaciones de diagnóstico diferentes entre sí. 45
  3. 3.
    Dispositivo de control de seguridad según una de las reivindicaciones anteriores, caracterizado por que la unidad de detección (82) y la unidad de visualización (72) forman una unidad constructiva (92).
  4. 4.
    Dispositivo de control de seguridad según una de las reivindicaciones anteriores, caracterizado por que la unidad de detección (82) está configurada para detectar la autorización de acceso mediante un efecto recíproco con una unidad de autorización de acceso móvil (94).
  5. 5.
    Dispositivo de control de seguridad según la reivindicación 4, caracterizado por que la unidad de autorización de
    acceso (94) presenta una llave mecánica que se puede introducir en un alojamiento de llave dispuesto en la unidad 55 de detección (82).
  6. 6.
    Dispositivo de control de seguridad según la reivindicación 4 o 5, caracterizado por que la unidad de autorización de acceso (94) presenta un transpondedor, conteniendo el transpondedor datos de autorización de acceso que representan la autorización de acceso.
  7. 7.
    Dispositivo de control de seguridad según una de las reivindicaciones anteriores, caracterizado por que la unidad de detección (82) presenta un número de elementos de entrada a través de los que se puede introducir la autorización de acceso.
    65 8. Dispositivo de control de seguridad según una de las reivindicaciones anteriores, caracterizado por que la unidad de selección de tipo de funcionamiento (76) está configurada para seleccionar el tipo de funcionamiento especial mediante un efecto recíproco con una unidad de tipo de funcionamiento especial móvil (98).
  8. 9. Dispositivo de control de seguridad según la reivindicación 8, caracterizado por que la unidad de tipo de
    funcionamiento especial (98) presenta un transpondedor que contiene datos de tipo de funcionamiento especial que 5 representan un tipo de funcionamiento especial definido.
  9. 10. Dispositivo de control de seguridad según una de las reivindicaciones anteriores, caracterizado por que el programa de usuario (38) presenta al menos un módulo de control de seguridad (40) en el que se procesan de manera segura frente a errores señales de entrada de control (42) relevantes para la seguridad, y al menos un
    10 módulo de control estándar (54) en el que se procesan principalmente señales de entrada de control (56) relevantes para el proceso.
  10. 11. Dispositivo de control de seguridad según una de las reivindicaciones anteriores, caracterizado por que el
    estado de sistema representa un accionador y/o sensor perturbado. 15
  11. 12. Dispositivo de control de seguridad según la reivindicación 11, caracterizado por que la unidad de selección de diagnóstico (86) está configurada para determinar la notificación de diagnóstico adicionalmente en función de una indicación de lugar, representando la indicación de lugar el lugar de montaje del accionador y/o del sensor dentro de la instalación.
  12. 13. Procedimiento para controlar una instalación automatizada (14) que comprende una pluralidad (18) de sensores y una pluralidad (16) de accionadores, con las etapas:
    -
    suministrar una pluralidad (32) de señales de entrada de control desde los sensores a una unidad de control, 25 estando la unidad de control (22) configurada para generar en un funcionamiento automático una pluralidad (34) de señales de salida de control en función de las señales de entrada de control según un programa de usuario
    (38)
    que se ejecuta en la misma, activándose con la pluralidad (34) de señales de salida de control la pluralidad
    (16)
    de accionadores, -determinar, en función de un número (66) de señales de entrada de diagnóstico, cuál de varios estados de
    30 funcionamiento (122) existe en un momento definido, conteniendo los varios estados de funcionamiento (122) al menos un estado de proceso de la instalación (14) que se va a controlar y al menos un estado de sistema del dispositivo de control de seguridad (12), y generar una señal de estado de funcionamiento (68) que representa un estado de funcionamiento determinado, -seleccionar uno de varios tipos de funcionamiento especial diferentes entre sí, diferenciándose los tipos de
    35 funcionamiento especial en cada caso del funcionamiento automático, y proporcionar una señal de tipo de funcionamiento especial (78) que representa el tipo de funcionamiento especial seleccionado, -detectar una autorización de acceso que está asignada a una persona que interacciona con el dispositivo de control de seguridad (12), en particular a una persona que lee una unidad de visualización (72), y proporcionar una señal de autorización de acceso (84) que representa la autorización de acceso detectada,
    40 -suministrar la señal de estado de funcionamiento (68) así como la señal de tipo de funcionamiento especial (78) y la señal de autorización de acceso (84) a una unidad de selección de diagnóstico (86), -determinar una notificación de diagnóstico que representa el estado de funcionamiento determinado en función del estado de funcionamiento determinado y en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada, y generar una señal de diagnóstico (88) que representa la notificación de
    45 diagnóstico en la unidad de selección de diagnóstico (86), y -suministrar la señal de diagnóstico (88) a la unidad de visualización (72) para visualizar la notificación de diagnóstico,
    caracterizado por que en la unidad de selección de diagnóstico (86) está registrada una pluralidad (124) de
    50 notificaciones de diagnóstico diferentes entre sí, representando cada una de estas notificaciones de diagnóstico el estado de funcionamiento determinado, seleccionando la unidad de selección de diagnóstico (86) una de estas notificaciones de diagnóstico en función del tipo de funcionamiento especial seleccionado y de la autorización de acceso detectada, siendo la autorización de acceso detectada una a partir de una pluralidad de autorizaciones de acceso definidas, diferentes entre sí, conteniendo la pluralidad (124) de notificaciones de diagnóstico diferentes
    55 entre sí para cada uno de los estados de funcionamiento especial diferentes entre sí y para cada una de las autorizaciones de acceso diferentes entre sí una notificación de diagnóstico asignada en cada caso.
  13. 14. Producto de programa informático con un soporte de datos con código de programa que está configurado para
    realizar un procedimiento según la reivindicación 13 cuando el código de programa se ejecuta en un dispositivo de 60 control de seguridad (12) según una de las reivindicaciones 1 a 12.
ES09806078T 2008-11-25 2009-11-20 Dispositivo de control de seguridad y procedimiento para controlar una instalación automatizada Active ES2433991T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102008060010A DE102008060010A1 (de) 2008-11-25 2008-11-25 Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
DE102008060010 2008-11-25
PCT/EP2009/008269 WO2010060574A1 (de) 2008-11-25 2009-11-20 Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage

Publications (1)

Publication Number Publication Date
ES2433991T3 true ES2433991T3 (es) 2013-12-13

Family

ID=41785892

Family Applications (1)

Application Number Title Priority Date Filing Date
ES09806078T Active ES2433991T3 (es) 2008-11-25 2009-11-20 Dispositivo de control de seguridad y procedimiento para controlar una instalación automatizada

Country Status (8)

Country Link
US (1) US8595827B2 (es)
EP (1) EP2353052B1 (es)
JP (1) JP5479486B2 (es)
CN (1) CN102292683B (es)
DE (1) DE102008060010A1 (es)
ES (1) ES2433991T3 (es)
HK (1) HK1159767A1 (es)
WO (1) WO2010060574A1 (es)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5407882B2 (ja) * 2010-01-14 2014-02-05 オムロン株式会社 制御システム
DE102010047641B4 (de) 2010-10-06 2022-06-15 Kuka Roboter Gmbh Steuerung eines Roboters
US9459619B2 (en) * 2011-06-29 2016-10-04 Mega Fluid Systems, Inc. Continuous equipment operation in an automated control environment
JP5113931B1 (ja) * 2011-07-04 2013-01-09 ファナック株式会社 ユーザインタフェースが変更可能な数値制御装置
DE102011119413A1 (de) 2011-11-21 2013-05-23 Euchner Gmbh + Co. Kg Vorrichtung zum Steuern des Betriebs einer Maschine, Sperreinsatz für eine solche Vorrichtung und zugehöriges Betriebsverfahren
DE102011088220A1 (de) 2011-12-12 2013-06-13 Trumpf Werkzeugmaschinen Gmbh + Co. Kg Verfahren zum Umschalten zwischen hinsichtlich der Bedienereingriffsanforderungen verschiedenen Betriebsmodi einer Bearbeitungsmaschine
DE102012101516A1 (de) 2012-02-24 2013-08-29 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung mit Netzteil
CN103679055A (zh) * 2012-09-18 2014-03-26 联想(北京)有限公司 信息处理方法、装置及电子设备
EP2720094B1 (de) * 2012-10-10 2015-05-20 Sick Ag Sicherheitssystem
EP2720098B1 (de) 2012-10-10 2020-04-15 Sick Ag Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
JP5689504B2 (ja) * 2013-03-21 2015-03-25 ファナック株式会社 サーボ自動開閉扉を備えた加工システム
DE102013112488A1 (de) * 2013-11-13 2015-05-13 Pilz Gmbh & Co. Kg Sicherheitssteuerung mit konfigurierbaren Eingängen
DE102015011910A1 (de) 2015-09-11 2017-03-16 Kuka Roboter Gmbh Verfahren und System zum Steuern einer Roboteranordnung
DE102015120314A1 (de) * 2015-11-24 2017-05-24 Pilz Gmbh & Co. Kg Verfahren zum Programmieren einer Sicherheitssteuerung
CN105652855B (zh) * 2016-03-03 2018-01-09 梁崇彦 一种停车设备电控部份的测试方法
US11099525B2 (en) 2016-12-08 2021-08-24 National Instruments Corporation Control of safety input/output by non-safety system during safe times
JP6571704B2 (ja) * 2017-02-13 2019-09-04 ファナック株式会社 診断用データ取得システム、診断用システム、及び診断用データ取得プログラム
PL3416337T3 (pl) * 2017-06-12 2020-04-30 Smart Place Ag Urządzenie do automatyzacji domu lub budynku
EP3652037B1 (en) 2017-07-13 2023-09-13 Danfoss Power Solutions II Technology A/S Electromechanical controller
EP3451087B1 (de) * 2017-09-05 2020-08-12 Bürkert Werke GmbH & Co. KG System und verfahren zur auswahl und identifikation von feldgeräten
AT521134B1 (de) * 2018-04-20 2019-11-15 Engel Austria Gmbh Industrieanlage
DE102018110084A1 (de) * 2018-04-26 2019-10-31 Fibro Gmbh Diagnoseeinheit
CN111897304B (zh) * 2019-05-06 2023-12-05 埃尔构人工智能有限责任公司 用于机器系统中实时诊断和故障监视的方法、设备和系统
DE102019131833A1 (de) * 2019-11-25 2021-05-27 Endress + Hauser Wetzer Gmbh + Co. Kg Verfahren zur Überprüfung der Einstellung von vorgegebenen Sicherheitsfunktionen eines Feldgeräts der Prozess- und Automatisierungstechnik
FR3104789B1 (fr) 2019-12-12 2021-11-05 Schneider Electric Ind Sas Détecteur de sécurité et système de détection de sécurité incluant ledit détecteur de sécurité
WO2022009256A1 (ja) * 2020-07-06 2022-01-13 三菱電機株式会社 入出力モジュール、標準入出力モジュールユニット、および、安全回路ユニット
CN112147988A (zh) * 2020-10-15 2020-12-29 济宁科力光电产业有限责任公司 一种危险失效的同步逻辑诊断方法
DE102021204306B3 (de) 2021-04-29 2022-07-28 Kuka Deutschland Gmbh Verfahren und System zum Durchführen einer Roboterapplikation
US11774127B2 (en) 2021-06-15 2023-10-03 Honeywell International Inc. Building system controller with multiple equipment failsafe modes

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10177412A (ja) * 1996-10-18 1998-06-30 Hitachi Electric Syst:Kk プラント用保護装置及びプラント用制御装置
DE19746014A1 (de) 1996-10-18 1998-05-07 Hitachi Electric Systems Ltd Anlagenschutzvorrichtung und Anlagensteuervorrichtung
US7170577B2 (en) * 2000-09-27 2007-01-30 David H. Sitrick Targeted anti-piracy system and methodology
JP3997988B2 (ja) * 2001-05-31 2007-10-24 オムロン株式会社 安全ユニット及びコントローラシステム並びにコントローラの連結方法及びコントローラシステムの制御方法
JP2003186536A (ja) * 2001-12-18 2003-07-04 Yokogawa Electric Corp アラーム監視装置
JP4197652B2 (ja) * 2002-03-27 2008-12-17 株式会社東芝 プラントの集中監視制御装置および方法
US7330768B2 (en) * 2003-01-28 2008-02-12 Fisher-Rosemount Systems, Inc. Integrated configuration in a process plant having a process control system and a safety system
US7237109B2 (en) * 2003-01-28 2007-06-26 Fisher- Rosemount Systems, Inc. Integrated security in a process plant having a process control system and a safety system
US7103427B2 (en) * 2003-02-28 2006-09-05 Fisher-Rosemont Systems, Inc. Delivery of process plant notifications
DE10315526A1 (de) 2003-04-04 2004-10-28 Siemens Ag Verfahren und Einrichtung zur sicheren Betriebsartenumschaltung einer industriellen Steuerung oder Regelung für Werkzeug- oder Produktionsmaschinen
JP4196757B2 (ja) * 2003-07-08 2008-12-17 オムロン株式会社 セーフティコントローラ
JP4429650B2 (ja) * 2003-07-25 2010-03-10 日本制禦機器株式会社 セーフティコントローラー
US7030747B2 (en) 2004-02-26 2006-04-18 Fisher-Rosemount Systems, Inc. Method and system for integrated alarms in a process control system
JP2007536634A (ja) * 2004-05-04 2007-12-13 フィッシャー−ローズマウント・システムズ・インコーポレーテッド プロセス制御システムのためのサービス指向型アーキテクチャ
DE102005014050A1 (de) 2005-03-23 2006-09-28 Endress + Hauser Process Solutions Ag Verfahren zum sicheren Bedienen eines Feldgerätes der Automatisierungstechnik
DE502005004879D1 (de) 2005-03-30 2008-09-11 Siemens Ag Dynamisches Zuordnen von Meldungseigenschaften zu einer Alarmmeldung zur Meldungseskalation
US8046588B2 (en) * 2006-02-23 2011-10-25 Rockwell Automation Technologies, Inc. Audit trail in a programmable safety instrumented system via biometric signature(s)
EP1855172A1 (de) 2006-05-12 2007-11-14 Siemens Aktiengesellschaft Verfahren zur Alarmunterdrückung in einer Prozessanlage
JP2007323396A (ja) * 2006-06-01 2007-12-13 Yokogawa Electric Corp プラント情報処理システムおよびプラント情報処理方法
JP4584223B2 (ja) * 2006-09-27 2010-11-17 日本制禦機器株式会社 監視装置
US7778797B2 (en) * 2006-09-28 2010-08-17 Fisher-Rosemount Systems, Inc. Method and system for detecting abnormal operation in a stirred vessel
US20080079596A1 (en) * 2006-09-29 2008-04-03 Rockwell Automation Technologies, Inc. Buffering alarms
US20080255681A1 (en) * 2007-04-10 2008-10-16 Cindy Alsup Scott Methods and apparatus to manage process plant alarms
DE102007041768B4 (de) * 2007-09-04 2010-03-04 Deckel Maho Pfronten Gmbh System zur Steuerung des Zugriffs auf eine Werkzeugmaschine
US8026933B2 (en) * 2007-09-27 2011-09-27 Rockwell Automation Technologies, Inc. Visualization system(s) and method(s) for preserving or augmenting resolution and data associated with zooming or paning in an industrial automation environment
US8571904B2 (en) * 2008-02-08 2013-10-29 Rockwell Automation Technologies, Inc. Self sensing component interface system

Also Published As

Publication number Publication date
HK1159767A1 (en) 2012-08-31
US8595827B2 (en) 2013-11-26
EP2353052B1 (de) 2013-10-02
EP2353052A1 (de) 2011-08-10
CN102292683A (zh) 2011-12-21
DE102008060010A1 (de) 2010-06-02
CN102292683B (zh) 2014-09-03
WO2010060574A1 (de) 2010-06-03
WO2010060574A8 (de) 2010-07-29
US20120005748A1 (en) 2012-01-05
JP2012510098A (ja) 2012-04-26
JP5479486B2 (ja) 2014-04-23

Similar Documents

Publication Publication Date Title
ES2433991T3 (es) Dispositivo de control de seguridad y procedimiento para controlar una instalación automatizada
ES2236501T3 (es) Procedimiento y dispositivo para la programacion de un mando de seguridad.
CN103336473B (zh) 一种用于保护一过程控制设备的方法
US8344848B2 (en) Method and device for the safe, systematic, exclusive assignment of the command authorization of an operator to a controllable technical installation
ES2446349T3 (es) Control de seguridad y procedimiento para el control de una instalación automática
ES2434874T3 (es) Control de seguridad y procedimiento para el control de una instalación automática con una pluralidad de componentes de hardware de la instalación
US20110301720A1 (en) Safety controller and method for controlling an automated installation
ES2417309T3 (es) Procedimiento y dispositivo para la creación de un programa de usuario para un control de seguridad
ES2324236T3 (es) Dispositivo de conmutacion de seguridad modular y procedimiento de conmutacion de seguridad.
JP6338617B2 (ja) 教示装置
ES2187397T3 (es) Procedimiento de mando a distancia de un dispositivo para la transmision de radio o por sector, y el dispositivo correspondiente.
KR101778333B1 (ko) Plc 시스템
CN107656504A (zh) 用于本质安全操作的具有电阻器网络的便携式现场维护工具
JP2016206842A (ja) 制御装置
ES2847399T3 (es) Interruptor de seguridad
ES2363650T3 (es) Control de seguridad.
CN103975371A (zh) 用于对工作机进行控制的方法、系统、以及装置
US10596669B2 (en) Machining system
JP5344868B2 (ja) 中間装置を介して制御装置と周辺要素との間でメッセージを伝達するための方法
JP2009048632A6 (ja) 中間装置を介して制御装置と周辺要素との間でメッセージを伝達するための方法
ES2206264T3 (es) Procedimiento para la generacion de un bloque de control y bloque de control.
US7424378B2 (en) Method and device for communication with a plant
JP3351130B2 (ja) 産業車両の運転制御装置
JP2013107099A (ja) フットスイッチ
JP2005352758A (ja) ポータブル型現場操作器およびプラント制御システム