WO2009021901A1 - Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente - Google Patents

Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente Download PDF

Info

Publication number
WO2009021901A1
WO2009021901A1 PCT/EP2008/060395 EP2008060395W WO2009021901A1 WO 2009021901 A1 WO2009021901 A1 WO 2009021901A1 EP 2008060395 W EP2008060395 W EP 2008060395W WO 2009021901 A1 WO2009021901 A1 WO 2009021901A1
Authority
WO
WIPO (PCT)
Prior art keywords
control unit
input elements
message
machine
operator
Prior art date
Application number
PCT/EP2008/060395
Other languages
English (en)
French (fr)
Inventor
Karsten Heil
Günter Schwesig
Guido Seeger
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to US12/673,309 priority Critical patent/US20110202146A1/en
Publication of WO2009021901A1 publication Critical patent/WO2009021901A1/de

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/18Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form
    • G05B19/409Numerical control [NC], i.e. automatically operating machines, in particular machine tools, e.g. in a manufacturing environment, so as to execute positioning, movement or co-ordinated operations by means of programme data in numerical form characterised by using manual input [MDI] or by using control panel, e.g. controlling functions with the panel; characterised by control panel details, by setting parameters
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24192Configurable redundancy

Definitions

  • the present invention relates to a method for triggering actions of a machine, wherein a control device, upon actuation of a safe input element by an operator, effects the activation of the machine according to the action associated with the actuated safe input element.
  • the present invention further relates to a control unit for triggering actions of a machine, wherein the control unit is connected at least to an operator interface having secure input elements, wherein the
  • Control unit is designed such that it performs such a method during operation.
  • the present invention relates to a computer program which contains machine code which can be processed directly by such a control unit.
  • the execution of the machine code by the control unit causes the control unit, upon actuation of one of the safe input elements by an operator, to actuate the machine in accordance with the action associated with the actuated safe input element.
  • control and regulating systems are used for automation and drive technology, for example for production and machine tools.
  • corresponding devices such as operator panels, machine control panels, keyboards and handheld terminals are used. applies.
  • Other embodiments of operator interfaces are conceivable.
  • safe motion control certain machine components can be moved to set up despite reduced safety measures, albeit at a reduced speed.
  • a milling machine can be moved in the direction of its x, y and / or z-axis for setting up with the protective door open in this manner Key operation is sent to the (also fail-safe)
  • Control unit transmitted, which then triggers the desired action.
  • the secure keys are arranged in the prior art, for example on a machine control panel.
  • each key is assigned a specific action, such as the procedure of a specific axis.
  • typical operator interfaces such as the mentioned machine control panel, have a field of view via which messages can be output to the operator.
  • a field of view via which messages can be output to the operator.
  • softkeys are in many cases normal buttons with a single electrical contact. They are not fail-safe.
  • the available space on the operator interface is limited to the arrangement of the input elements. In the prior art, therefore, there is either the compulsion to provide small input elements. In this case, there is a risk of slippage or accidental actuation of a button next to the actually desired button. key. Alternatively, only a limited functionality is feasible.
  • the operator interface usually also has a so-called menu key. Using the menu key different masks can be selected and displayed on the screen. Depending on the mask, different functions are assigned to the softkeys. In particular, actions can also be started by means of the softkeys. Due to the fact that the softkeys are only normal pushbuttons with a single electrical contact, triggering of safety-relevant actions is not permitted.
  • Actions of a machine known wherein a control unit based on their current operating state dynamically decides whether and optionally what actions they assign input elements of an operator interface, and upon actuation of one of the input elements by an operator, the control of the machine according to the currently actuated input element associated action causes.
  • control device transmits transmission data to a handheld device for checking a transmission channel
  • the handset transmits the transmitted data back to the controller and the controller transmits the returned data and the checked their data for identity.
  • DE 103 20 522 A1 discloses a method for controlling a safety-critical process, in which transmission errors are encoded by input elements sent to a control unit signals with a variable keyword.
  • the object of the present invention is to provide possibilities for triggering also safety-relevant actions, which can be flexibly expanded as needed.
  • the object is achieved by a method having the features of claim 1, a control unit having the features of claim 12 and a computer program having the features of claim 13. Furthermore, the object is achieved by a data carrier on which such a computer program is stored.
  • Advantageous embodiments of the present invention are the subject of the dependent claims 2 to 11.
  • the control unit dynamically decides on the basis of its current operating state whether and, if so, which actions it assigns to the safe input elements of the operator interface in each case.
  • the control unit Upon actuation of one of the safe input elements by the operator, the control unit effects the activation of the machine in accordance with the action currently associated with the actuated safe input element.
  • the fixed assignment of predetermined actions to the individual secure input elements is abandoned. The assignment is only dynamic. With this configuration, it is possible to trigger any number of actions in principle by means of less secure input elements.
  • the operator preferably specifies a selection of a current operating state of the control unit via a selection device of the user interface.
  • the selection is transmitted from the operator interface directly or indirectly to the control unit.
  • the controller easily recognizes the desired assignment of the actions to the secure input elements.
  • the operating stand the control unit corresponds to this, for example, the selection of a particular display menu.
  • a drive unit transmits to a display device of the user interface information indicating whether and, if appropriate, which action is currently associated with the safe input elements.
  • the display device outputs a message corresponding to the transmitted information to the operator. In this way, the assignment of the actions to the safe input elements for the operator is easily recognizable.
  • the selection can be transmitted from the operator interface to the control unit and for the control unit to transmit the selection to the control unit.
  • the selection can be transmitted from the operator interface to the control unit.
  • the control unit specifies to the drive unit which information it should transmit to the display device.
  • a monitoring device preferably checks whether and, if appropriate, which information the drive unit transmits to the display device.
  • the monitoring device in this case transmits a corresponding message to the control unit.
  • the control unit effects a corresponding activation of the machine only if the message transmitted to the control unit and the current operating state of the control unit correspond to one another. In this way, it is possible to ensure that the message output to the operator via the display device and the actual assignment of the actions to the secure input elements correspond to one another or that a possibly dangerous action due to the erroneous assignment is omitted.
  • the message preferably contains at least one message. at least one dynamic message share.
  • the control device can be designed in such a way that upon actuation of one of the secure input elements, it effects the corresponding control of the machine only if the message contains at least one dynamic message component. By this configuration can be detected if the monitoring device or possibly also the drive unit are defective.
  • a defect of the drive unit is particularly easy to detect if the monitoring device determines the at least one dynamic message share based on the information transmitted.
  • the message issued to the operator contains at least one dynamic message share.
  • the message issued to the operator contains at least one dynamic message share.
  • the message issued to the operator preferably has a corresponding message element for each secure input element, which indicates whether and, if appropriate, which action is currently assigned to the respective secure input element.
  • An arrangement of the message elements on a display area of the display device in this case preferably corresponds to an arrangement of the secure input elements on the operator interface.
  • the current operating state of the control unit in the transmitted information is preferably separate from the assignment of the actions to the secure input elements. diert. As a result, the current operating state can be easily extracted and output to the operator.
  • control unit is specified within the framework of a projecting, in which operating state it assigns which actions to which safe input elements in each case. This procedure makes possible a particularly flexible handling of the assignment of the actions to the secure input elements and the operating states.
  • FIG. 1 shows a block diagram of an arrangement for triggering actions of a machine
  • FIG. 2 shows a display area of a display device of a user interface and its surroundings.
  • an arrangement for triggering actions of a machine 1 has a secure control unit 2 and an operator interface 3.
  • the user interface 3 has a number of secure input elements 4, for example, secure buttons. The number here is at least 1. However, as a rule, several secure input elements 4 are present.
  • the control unit 2 is connected to the user interface 3.
  • the safe input elements 4 are securely connected to the control unit 2.
  • safe in the context of the present invention means a fail safe (fail safe) in the sense of a fault-tolerant design of the control unit 2, the input elements 4 and the connections of the input elements 4 with the control unit 2, for example, a least two-channel interpretation "Fail-safe” is generally known and familiar to experts. Usually it is defined in national and international standards. The corresponding elements (Input elements 4, control units 2, types of connection, etc.) are well known to those skilled in the art.
  • the arrangement has further components, in particular a drive unit 5.
  • the drive unit 5 can be an integral part of the control unit 2. Alternatively, it may be connected to the control unit 2.
  • the drive unit 5 is connected to the user interface 3.
  • the drive unit 5 may alternatively be fail-safe or not fail-safe.
  • the connection of the drive unit 5 to the control unit 2 and the operator interface 3 can alternatively be fail-safe or fail-safe.
  • the user interface 3 can contain, in addition to the secure input elements 4, further, non-secure input elements. In the context of the present invention, however, only the safe input elements 4 are important.
  • control unit 2 is designed as a software programmable control unit. Their operation is therefore determined by a computer program 6, with which the control unit 2 is programmed.
  • the programming of the control unit 2 can take place, for example, by storing the computer program 6 in a machine-readable form on a suitable data carrier 7 (for example a USB memory stick, a memory card, a plug-in EEPROM, etc.) and the control unit 2 via the Data carrier 7 is supplied.
  • suitable data carrier 7 for example a USB memory stick, a memory card, a plug-in EEPROM, etc.
  • the computer program 6 contains machine code 8 which can be processed directly by the control unit 2.
  • the execution of the machine code 8 by the control unit 2 causes the control unit 2 to execute a method for triggering actions of the machine 1, which will be described in detail below.
  • control unit 2 By means of the control unit 2, security-relevant actions and non-safety-relevant actions of the machine 1 to be controlled.
  • An example of a non-safety-relevant action is a tool change during normal operation of the machine 1.
  • Further examples of non-safety-relevant actions are the specification of a setpoint speed during normal operation or a normal stop command.
  • An example of a safety-relevant action is the method of a machine element of the machine 1 with limited safety, for example when the safety door is open. Such an operation takes place, for example, in the context of the so-called set-up of the machine 1. When setting up the machine 1, only a reduced speed is permissible. Furthermore, it must be ensured that the respective machine element is moved only when a corresponding action has actually been requested by an operator 9.
  • the control unit 2 can assume different operating states Z. For example, a selection of an operating state Z by the operator 9 via a selection device 10 (menu key) of the user interface 3 can be given to the control unit 2.
  • the specification can be transmitted, for example, directly to the control unit 2 (see in FIG 1, the solid line from the selector 10 to the control unit 2).
  • the selection can be transmitted to the drive unit 5 and forwarded by the drive unit 5 to the control unit 2 (see in FIG. 1 the dashed line from the selection device 10 to the drive unit 5 and from there to the control unit 2).
  • the selection device 10 may be, for example, a simple (not necessarily safe) button, by means of which successively different operating conditions Z of the control unit 2 can be specified.
  • Other types of selection are possible, for example, a specification via a rotary switch or a numeric keypad.
  • the control unit 2 decides dynamically on the basis of its current operating state Z whether and, if appropriate, which actions it assigns to each of the safe input elements 4. For example, the control unit 2 to the safe Input element 4 whose connections to the control unit 2 and the drive unit 5 are shown in FIG. 1,
  • a corresponding individual assignment of actions also takes place for the other secure input elements 4, the wiring of which is not shown in FIG. 1 (for the sake of clarity).
  • control unit 2 When one of the safe input elements 4 is actuated by the operator 9, the control unit 2 causes the machine 1 to be driven accordingly. Of course, the driving takes place in accordance with the action which is currently associated with the actuated safe input element 4.
  • control unit 2 controls the machine 1 directly.
  • control unit 2 can pass on the request for the action to another control unit, which is not shown in FIG. 1 and is preferably fail-safe.
  • the selection of a new operating state Z initially causes all actions to be blocked.
  • the lock is maintained until a rich 11 a display device 12 of the operator interface 3, a message M to the operator 9 is output.
  • the message M shows whether and, if appropriate, which actions are now assigned to the individual safe input elements 4 on the basis of the new selection of the operating state Z. Then the lock is released again.
  • control unit 2 gives the on-control unit 5 - for example in the form of the specification of
  • desired information I * for example, a coded specification, for example, in the transmission of a number for the respective operating state Z done.
  • the control unit 5 then transmits the corresponding information I to the display device 12.
  • the information I shows whether and, if appropriate, which actions are assigned to the individual secure input elements 4.
  • the display device 12 is therefore able to output a message M corresponding to the information to the operator 9 via the display area 11.
  • the drive unit 5 determines the information I to be transmitted to the display device 12 itself and transmits it to the display device 12. Furthermore, it transmits the selection made of the operating state Z to the control unit 2. Auch Here, the transmission of the selection to the control unit 2, for example, by transmitting an encoding for the operating state Z and / or by transmitting the information to be displayed I done.
  • the message M output to the operator 9 preferably has its own one for each secure input element 4 corresponding message element m on.
  • the respective message element m shows whether and, if appropriate, which action is currently assigned to the corresponding secure input element 4.
  • the information I transmitted by the control unit 5 to the display device 12 is preferably constructed in an analogous manner.
  • Input elements 4 on the operator interface 3 corresponds.
  • this approach here, when the safe input elements 4 are arranged at the edge of the display area 11. Because in this case, the assignment of the actions to the secure input elements 4 can be recognized immediately and intuitively.
  • other embodiments are alternatively possible, for example a listing of the actions with each other or next to each other, wherein the secure input elements 4 are arranged with each other or side by side.
  • the current operating state Z of the control unit 2 is displayed on the display area 11 with. This is particularly easy to realize if the current operating state Z in the transmitted information I is coded separately from the assignment of the actions to the safe input elements 4.
  • the information I may include a number of the respective operating state Z and the respective message elements m of this state Z.
  • a monitoring device 13 is preferably provided.
  • the monitoring device 13 checks whether and, if appropriate, which information I transmits the drive unit 5 to the display device 12. It then transmits a corresponding message N to the control unit 2. If one of the safe input elements 4 is actuated, the control unit 2 effects a corresponding activation of the machine 1 only if at the same time the message N transmitted to the control unit 2 and the current operating state Z of the control unit 2 correspond to one another. Otherwise, despite the actuation of the secure input element 4, the triggering of an action does not take place. If necessary, however, the output of an error message can take place.
  • the message N contains when properly
  • Operation of the drive unit 5 and the listening device 13 at least one dynamic message share Nd.
  • a dynamic information component Id can already be contained in the transmitted information I and extracted from the monitoring device 13 from the transmitted information I.
  • the monitoring device 13 determines the dynamic message component Nd on the basis of the transmitted information I.
  • a separate dynamic information component Id can be contained in the transmitted information I for each individual message element m.
  • a common dynamic information component Id can be contained in the transmitted information I, for example in addition to the code for the operating state Z.
  • the message M issued to the operator 9 preferably also contains at least one dynamic component, referred to below as a distinction from the dynamic message component Nd dynamic message component md.
  • the assignment of the dynamic message component md to the message m can be analogous to the assignment of the dynamic information component Id to the transmitted information I.
  • each individual message element m may contain its own dynamic message component md.
  • the control unit 2 can check whether the message N actually contains the dynamic message component Nd. holds. It can therefore suppress the corresponding activation of the machine 1 when one of the secure input elements 4 is actuated, if the message N does not contain the at least one dynamic message component Nd. Only when the follower N contains the at least one dynamic message component Nd is the corresponding activation of the machine 1 effected when one of the secure input elements 4 is actuated.
  • the procedure according to the invention has many advantages.
  • the actions - both non-safety-related actions and safety-related actions - can be flexible and, as needed, the individual secure
  • Input elements 4 are assigned.
  • the number of safety-related actions here is not limited by the number of safe input elements 4.
  • the monitoring device 13 can be dispensed with and, instead, monitoring by the control unit 2 can take place directly. Furthermore, it is possible to combine the control unit 2 and the drive unit 5 into a common unit. Also, the drive unit 5 - optionally including the control unit 2 - be arranged in the operator interface 3.
  • the individual message elements m may for example consist of two different parts.
  • the first part corresponds to a language-specific information for the operator 9, the second part is designed action-specific.
  • the second part may provide information about the one to be triggered Action, the associated safe input element 4 and / or the respective operating state Z of the control unit 2 include. If appropriate, it also contains the dynamic message portion md of the respective message element m.
  • the transmitted information I, I *, messages M and messages N in their entirety or in their individual parts can be provided with check information, for example checksums, parity bits, CRCs and the like.
  • the drive unit 5 transmits, to the control unit 2, a code to the control unit 2, possibly in addition to the modification of the displayed message M, which indicates which action was requested.
  • a code is transmitted which is characteristic of the action currently assigned to the respective secure input element 4.
  • the control unit 2 is therefore able to also check this code and, if necessary, in case of a deviation, not trigger the corresponding action. This further increases the level of error safety.
  • the transmitted code can be derived, for example, from the corresponding message element m or the corresponding part of the information I.
  • the machine e.g. can be designed as a machine tool, production machine and / or robot.

Abstract

Eine Steuereinheit (2) entscheidet anhand ihres momentanen Betriebszustands (Z) dynamisch, ob und ggf. welche Aktionen sie sicheren Eingabeelementen (4) einer Bedienerschnittstelle (3) jeweils zuordnet. Bei Betätigen eines der sicheren Eingabeelemente (4) durch einen Bediener (9) bewirkt die Steuereinheit (2) die Ansteuerung der Maschine (1) entsprechend der dem betätigten sicheren Eingabeelement (4) momentan zugeordneten Aktion.

Description

Beschreibung
Verfahren zum Auslösen von Aktionen einer Maschine durch sichere Eingabeelemente
Die vorliegende Erfindung betrifft ein Verfahren zum Auslösen von Aktionen einer Maschine, wobei eine Steuereinrichtung bei Betätigen eines sicheren Eingabeelements durch einen Bediener die Ansteuerung der Maschine entsprechend der dem betätigten sicheren Eingabeelement zugeordneten Aktion bewirkt.
Die vorliegende Erfindung betrifft weiterhin eine Steuereinheit zum Auslösen von Aktionen einer Maschine, wobei die Steuereinheit zumindest mit einer Bedienerschnittstelle ver- bunden ist, die sichere Eingabeelemente aufweist, wobei die
Steuereinheit derart ausgebildet ist, dass sie im Betrieb ein derartiges Verfahren ausführt.
Schließlich betrifft die vorliegende Erfindung ein Computer- programm, das Maschinencode enthält, der von einer derartigen Steuereinheit unmittelbar abarbeitbar ist. Die Abarbeitung des Maschinencodes durch die Steuereinheit bewirkt in diesem Fall, dass die Steuereinheit bei Betätigen eines der sicheren Eingabeelemente durch einen Bediener die Ansteuerung der Ma- schine entsprechend der dem betätigten sicheren Eingabeelement zugeordneten Aktion bewirkt.
Derartige Verfahren, Steuereinheiten und Computerprogramme sind bekannt.
In der Industrie werden für die Automatisierungs- und Antriebstechnik Steuerungs- und Regelungssysteme eingesetzt, beispielsweise für Produktions- und Werkzeugmaschinen. Zur Bedienung, Beobachtung und Inbetriebsetzung dieser Maschinen werden entsprechende Geräte wie beispielsweise Bedientafeln, Maschinensteuertafein, Tastaturen und Handbediengeräte ver- wendet. Auch andere Ausgestaltungen von Bedienerschnittstellen sind denkbar.
Die Steuerung- und Antriebssysteme sind optional mit integ- rierter Sicherheitstechnik (safety-integrated) für die sogenannte „sichere Bewegungsführung" verfügbar. Bei der sicheren Bewegungsführung können bestimmte Maschinenkomponenten zum Einrichten trotz verringerter Sicherheitsmaßnahmen verfahren werden, wenn auch nur mit reduzierter Geschwindigkeit. Bei- spielsweise kann eine Fräsmaschine in Richtung ihrer x-, y- und/oder z-Achse zum Einrichten bei offener Schutztür auf diese Weise verfahren werden. Der Verfahrbefehl wird im Stand der Technik mittels eines sicheren Eingabeelements vorgegeben, beispielsweise mittels einer sogenannten sicheren Taste. Die Tastenbetätigung wird an die (ebenfalls fehlersichere)
Steuereinheit übermittelt, welche sodann die gewünschte Aktion auslöst.
Die sicheren Tasten sind im Stand der Technik beispielsweise auf einer Maschinensteuertafel angeordnet. Hierbei ist jeder Taste eine bestimmte Aktion fest zugeordnet, beispielsweise das Verfahren einer ganz bestimmten Achse.
Weiterhin weisen typische Bedienerschnittstellen wie bei- spielsweise die erwähnte Maschinensteuertafel ein Sichtfeld auf, über das Meldungen an den Bediener ausgegeben werden können. Unter und/oder neben dem Sichtfeld befinden sich in vielen Fällen Softkeys. Die Softkeys sind im Stand der Technik normale Taster mit einem einzigen elektrischen Kontakt. Sie sind nicht fehlersicher.
In vielen Fällen ist der zur Verfügung stehende Platz auf der Bedienerschnittstelle für die Anordnung der Eingabeelemente beschränkt. Im Stand der Technik besteht daher entweder der Zwang, kleine Eingabeelemente vorzusehen. In diesem Fall besteht die Gefahr eines Abrutschens oder des versehentlichen Betätigens einer neben der eigentlich gewünschten Taste lie- genden Taste. Alternativ ist nur eine beschränkte Funktionalität realisierbar.
Wenn die Softkeys vorhanden sind, weist die Bedienerschnitt- stelle in der Regel auch eine sogenannte Menütaste auf. Mittels der Menütaste können verschiedene Masken ausgewählt und auf dem Sichtgerät dargestellt werden. Je nach Maske werden den Softkeys verschiedene Funktionen zugeordnet. Insbesondere können mittels der Softkeys auch Aktionen gestartet werden. Auf Grund des Umstands, dass die Softkeys nur normale Taster mit einem einzigen elektrischen Kontakt sind, ist ein Auslösen sicherheitsrelevanter Aktionen jedoch nicht zulässig.
Aus der EP 0 742 500 Al ist ein Verfahren zum Auslösen von Aktionen einer Maschine bekannt, bei dem eine Steuereinheit bei Betätigen eines sicheren Eingabeelements durch einen Bediener eine Ansteuerung der Maschine entsprechend der dem betätigen sicheren Eingabeelement zugeordneten Aktion bewirkt.
Aus der DE 34 42 063 C2 ist ein Verfahren zum Auslösen von
Aktionen einer Maschine bekannt, wobei eine Steuereinheit anhand ihres momentanen Betriebszustands dynamisch entscheidet, ob und gegebenenfalls welche Aktionen sie Eingabeelementen einer Bedienerschnittstelle jeweils zuordnet, und bei Betäti- gen eines der Eingabeelemente durch einen Bediener die Ansteuerung der Maschine entsprechend der dem betätigten Eingabeelement momentan zugeordneten Aktion bewirkt.
Aus der DE 198 26 875 Al ist ein Verfahren um Auslösen von Aktionen einer Maschine bekannt, wobei die Steuereinrichtung zur Überprüfung eines Übertragungskanals Übertragungsdaten an ein Handgerät übermittelt, das Handgerät die übertragenen Daten an die Steuerung zurück übermittelt und die Steuerung die rückübermittelten Daten und die von ihr gesendeten Daten auf Identität überprüft.
Aus der DE 103 20 522 Al ist ein Verfahren zum Steuern eines sicherheitskritischen Prozesses bekannt, bei dem zur Siehe- rung gegenüber Übertragungsfehlern die von Eingabeelementen an eine Steuereinheit gesendeten Signale mit einem variablen Schlüsselwort codiert werden.
Die Aufgabe der vorliegenden Erfindung besteht darin, Möglichkeiten zum Auslösen auch von sicherheitsrelevanten Aktionen zu schaffen, die nach Bedarf flexibel erweiterbar sind.
Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Anspruchs 1, eine Steuereinheit mit den Merkmalen des Anspruchs 12 und ein Computerprogramm mit den Merkmalen des Anspruchs 13 gelöst. Weiterhin wird die Aufgabe durch einen Datenträger gelöst, auf dem ein derartiges Computerprogramm gespeichert ist. Vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind Gegenstand der abhängigen Ansprüche 2 bis 11.
Erfindungsgemäß entscheidet die Steuereinheit anhand ihres momentanen Betriebszustandes dynamisch, ob und gegebenenfalls welche Aktionen sie den sicheren Eingabeelementen der Bedie- nerschnittstelle jeweils zuordnet. Bei Betätigen eines der sicheren Eingabeelemente durch den Bediener bewirkt die Steuereinheit die Ansteuerung der Maschine entsprechend der dem betätigten sicheren Eingabeelement momentan zugeordneten Aktion. Bei der vorliegenden Erfindung wird also die feste Zu- Ordnung vorbestimmter Aktionen zu den einzelnen sicheren Eingabeelementen aufgegeben. Die Zuordnung ist nur noch dynamisch. Durch diese Ausgestaltung ist es möglich, mittels weniger sicherer Eingabeelemente prinzipiell beliebig viele Aktionen auszulösen.
Vorzugsweise wird vom Bediener über eine Auswahleinrichtung der Bedienerschnittstelle eine Auswahl eines momentanen Betriebszustandes der Steuereinheit vorgegeben. Die Auswahl wird von der Bedienerschnittstelle direkt oder indirekt an die Steuereinheit übermittelt. Dadurch ist von der Steuereinheit auf einfache Weise die gewünschte Zuordnung der Aktionen zu den sicheren Eingabeelementen erkennbar. Der Betriebszu- stand der Steuereinheit entspricht hierbei beispielsweise der Anwahl eines bestimmten Anzeigemenüs.
Vorzugsweise übermittelt eine Ansteuereinheit an eine Anzei- geeinrichtung der Bedienerschnittstelle Informationen, aus denen hervorgeht, ob und gegebenenfalls welche Aktion den sicheren Eingabeelementen jeweils momentan zugeordnet ist. Die Anzeigeeinrichtung gibt in diesem Fall eine mit den übermittelten Informationen korrespondierende Meldung an den Bedie- ner aus. Auf diese Weise ist die Zuordnung der Aktionen zu den sicheren Eingabeelementen auch für den Bediener auf einfache Weise erkennbar.
Es ist möglich, dass die Auswahl von der Bedienerschnittstel- Ie an die Ansteuereinheit übermittelt wird und die Ansteuereinheit die Auswahl an die Steuereinheit übermittelt. Alternativ kann die Auswahl von der Bedienerschnittstelle an die Steuereinheit übermittelt werden. In diesem Fall gibt die Steuereinheit der Ansteuereinheit vor, welche Informationen sie an die Anzeigeeinrichtung übermitteln soll.
Vorzugsweise überprüft eine Mithöreinrichtung, ob und gegebenenfalls welche Informationen die Ansteuereinheit an die Anzeigeeinrichtung übermittelt. Die Mithöreinrichtung übermit- telt in diesem Fall eine entsprechende Nachricht an die Steuereinheit. Die Steuereinheit bewirkt in diesem Fall bei Betätigen eines der sicheren Eingabeelemente eine entsprechende Ansteuerung der Maschine nur dann, wenn die an die Steuereinheit übermittelte Nachricht und der momentane Betriebszustand der Steuereinheit miteinander korrespondieren. Auf diese Weise ist gewährleistbar, dass die über die Anzeigeeinrichtung an den Bediener ausgegebene Meldung und die tatsächliche Zuordnung der Aktionen zu den sicheren Eingabeelementen miteinander korrespondieren oder eine auf Grund der fehlerhaften Zuordnung möglicherweise gefährliche Aktion unterbleibt.
Vorzugsweise enthält die Nachricht bei ordnungsgemäßem Funktionieren der Ansteuereinheit und der Mithöreinrichtung min- destens einen dynamischen Nachrichtenanteil. Die Steuereinrichtung kann in diesem Fall derart ausgestaltet sein, dass sie bei Betätigen eines der sicheren Eingabeelemente die entsprechende Ansteuerung der Maschine nur dann bewirkt, wenn die Nachricht mindestens einen dynamischen Nachrichtenanteil enthält. Durch diese Ausgestaltung kann erkannt werden, wenn die Mithöreinrichtung oder eventuell auch die Ansteuereinheit defekt sind.
Ein Defekt der Ansteuereinheit ist besonders einfach erkennbar, wenn die Mithöreinrichtung den mindestens einen dynamischen Nachrichtenanteil anhand der übermittelten Informationen ermittelt.
Vorzugsweise enthält die an den Bediener ausgegebene Meldung mindestens einen dynamischen Meldungsanteil. Dadurch ist vom Bediener erkennbar, ob eine Fehlfunktion der Ansteuereinheit vorliegt .
Die an den Bediener ausgegebene Meldung weist vorzugsweise für jedes sichere Eingabeelement ein korrespondierendes Meldungselement auf, aus dem hervorgeht, ob und gegebenenfalls welche Aktion dem jeweiligen sicheren Eingabeelement momentan zugeordnet ist. Eine Anordnung der Meldungselemente auf einem Anzeigebereich der Anzeigeeinrichtung korrespondiert in diesem Fall vorzugsweise mit einer Anordnung der sicheren Eingabeelemente auf der Bedienerschnittstelle. Durch diese Maßnahmen ist die Zuordnung der Aktionen zu den sicheren Eingabeelementen für den Bediener auf besonders einfache Weise intu- itiv erkennbar. Die Erkennbarkeit ist hierbei optimal, wenn die sicheren Eingabeelemente am Rand des Anzeigebereichs angeordnet sind und die Meldungselemente in unmittelbarer Nähe des jeweiligen sicheren Eingabeelements angezeigt werden.
Vorzugsweise ist der momentane Betriebszustand der Steuereinheit in den übermittelten Informationen separat von der Zuordnung der Aktionen zu den sicheren Eingabeelementen co- diert. Dadurch ist der momentane Betriebszustand auf einfache Weise extrahierbar und an den Bediener ausgebbar.
Vorzugsweise wird der Steuereinheit im Rahmen einer Projek- tierung vorgegeben, in welchem Betriebszustand sie welche Aktionen welchen sicheren Eingabeelementen jeweils zuordnet. Durch diese Vorgehensweise wird eine besonders flexible Handhabung der Zuordnung der Aktionen zu den sicheren Eingabeelementen und den Betriebszuständen möglich.
Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels in Verbindung mit den Zeichnungen. Es zeigen in Prinzipdarstellung
FIG 1 ein Blockschaltbild einer Anordnung zum Auslösen von Aktionen einer Maschine und
FIG 2 einen Anzeigebereich einer Anzeigeeinrichtung einer Benutzerschnittstelle und dessen Umgebung.
Gemäß FIG 1 weist eine Anordnung zum Auslösen von Aktionen einer Maschine 1 eine sichere Steuereinheit 2 und eine Bedienerschnittstelle 3 auf. Die Bedienerschnittstelle 3 weist eine Anzahl sicherer Eingabeelemente 4 auf, beispielsweise sichere Taster. Die Anzahl beträgt hierbei mindestens 1. In der Regel sind jedoch mehrere sichere Eingabeelemente 4 vorhanden. Die Steuereinheit 2 ist mit der Bedienerschnittstelle 3 verbunden. Insbesondere sind die sicheren Eingabeelemente 4 sicher mit der Steuereinheit 2 verbunden.
Der Begriff „sicher" bedeutet im Rahmen der vorliegenden Erfindung eine Fehlersicherheit (fail safe) im Sinne einer fehlertoleranten Auslegung der Steuereinheit 2, der Eingabeelemente 4 und der Verbindungen der Eingabeelemente 4 mit der Steuereinheit 2, beispielsweise einer mindestens zweikanali- gen Auslegung. Der Begriff „fehlersicher" ist Fachleuten allgemein bekannt und geläufig. Meist ist er in nationalen und internationalen Normen definiert. Die entsprechenden Elemente (Eingangselemente 4, Steuereinheiten 2, Arten der Verbindung usw.) sind als solche Fachleuten allgemein bekannt.
In der Regel weist die Anordnung weitere Komponenten auf, insbesondere eine Ansteuereinheit 5. Die Ansteuereinheit 5 kann ein integraler Bestandteil der Steuereinheit 2 sein. Alternativ kann sie mit der Steuereinheit 2 verbunden sein. Die Ansteuereinheit 5 ist mit der Bedienerschnittstelle 3 verbunden. Die Ansteuereinheit 5 kann alternativ fehlersicher oder nicht fehlersicher sein. Auch die Verbindung der Ansteuereinheit 5 mit der Steuereinheit 2 und der Bedienerschnittstelle 3 kann alternativ fehlersicher oder nicht fehlersicher sein.
Weiterhin sei der Vollständigkeit halber erwähnt, dass die Bedienerschnittstelle 3 zusätzlich zu den sicheren Eingabeelementen 4 weitere, nicht sichere Eingabeelemente enthalten kann. Im Rahmen der vorliegenden Erfindung sind jedoch nur die sicheren Eingabeelemente 4 von Bedeutung.
In der Regel ist die Steuereinheit 2 als softwareprogrammierbare Steuereinheit ausgebildet. Ihre Wirkungsweise wird daher durch ein Computerprogramm 6 bestimmt, mit dem die Steuereinheit 2 programmiert ist. Die Programmierung der Steuereinheit 2 kann beispielsweise dadurch erfolgen, dass das Computerpro- gramm 6 auf einem geeigneten Datenträger 7 (beispielsweise einen USB-Memory-Stick, einer Speicherkarte, einem steckbaren EEPROM usw.) in maschinenlesbarer Form gespeichert wird und der Steuereinheit 2 über den Datenträger 7 zugeführt wird.
Das Computerprogramm 6 enthält Maschinencode 8, der von der Steuereinheit 2 unmittelbar abarbeitbar ist. Das Abarbeiten des Maschinencodes 8 durch die Steuereinheit 2 bewirkt, dass die Steuereinheit 2 ein Verfahren zum Auslösen von Aktionen der Maschine 1 ausführt, das nachfolgend detailliert be- schrieben werden wird.
Mittels der Steuereinheit 2 können sicherheitsrelevante Aktionen und nicht sicherheitsrelevante Aktionen der Maschine 1 gesteuert werden. Ein Beispiel einer nicht sicherheitsrelevanten Aktion ist ein Werkzeugwechsel im normalen Betrieb der Maschine 1. Weitere Beispiele nicht sicherheitsrelevanter Aktionen sind die Vorgabe einer Sollgeschwindigkeit im normalen Betrieb oder ein normaler Stoppbefehl. Ein Beispiel einer sicherheitsrelevanten Aktion ist das Verfahren eines Maschinenelements der Maschine 1 bei eingeschränkter Sicherheit, beispielsweise bei geöffneter Schutztür. Ein derartiger Betrieb erfolgt beispielsweise im Rahmen des sogenannten Einrichtens der Maschine 1. Beim Einrichten der Maschine 1 ist nur eine reduzierte Geschwindigkeit zulässig. Weiterhin muss sicher gestellt sein, dass das jeweilige Maschinenelement nur dann verfahren wird, wenn tatsächlich eine entsprechende Aktion durch einen Bediener 9 angefordert wurde.
Die Steuereinheit 2 kann verschiedene Betriebszustände Z annehmen. Beispielsweise kann der Steuereinheit 2 vom Bediener 9 über eine Auswahleinrichtung 10 (Menütaste) der Bedienerschnittstelle 3 eine Auswahl eines Betriebszustands Z vorge- geben werden. Die Vorgabe kann hierbei beispielsweise direkt an die Steuereinheit 2 übermittelt werden (siehe in FIG 1 die durchgezogene Linie von der Auswahleinrichtung 10 zur Steuereinheit 2) . Alternativ kann die Auswahl an die Ansteuereinheit 5 übermittelt und von der Ansteuereinheit 5 an die Steu- ereinheit 2 weitergeleitet werden (siehe in FIG 1 die gestrichelte Linie von der Auswahleinrichtung 10 zur Ansteuereinheit 5 und von dort weiter zur Steuereinheit 2) . Die Auswahleinrichtung 10 kann beispielsweise eine einfache (nicht notwendigerweise sichere) Taste sein, mittels derer nacheinander verschiedene Betriebszustände Z der Steuereinheit 2 vorgegeben werden können. Auch andere Arten der Auswahl sind möglich, beispielsweise eine Vorgabe über einen Drehschalter oder eine Zifferntastatur.
Die Steuereinheit 2 entscheidet anhand ihres momentanen Betriebszustands Z dynamisch, ob und gegebenenfalls welche Aktionen sie welchen der sicheren Eingabeelemente 4 jeweils zuordnet. Beispielsweise kann die Steuereinheit 2 dem sicheren Eingabeelement 4, dessen Verbindungen mit der Steuereinheit 2 und der Ansteuereinheit 5 in FIG 1 eingezeichnet sind,
- in einem ersten Betriebszustand Z zuordnen, dass ein be- stimmtes Maschinenelement in x-Richtung verfahren wird,
- in einem zweiten Betriebszustand Z zuordnen, dass dasselbe Maschinenelement in einer anderen Richtung verfahren wird,
- in einem dritten Betriebszustand Z zuordnen, dass ein anderes Maschinenelement verfahren wird, - in einem vierten Betriebszustand Z keine Aktion zuordnen, und
- in einem fünften Betriebszustand eine andere, im Gegensatz zu den ersten drei der vorgenannten Betriebszustände Z nicht sicherheitsrelevante Aktion zuordnen, beispielsweise die Funktion der Auswahleinrichtung 10.
Eine entsprechende individuelle Zuordnung von Aktionen erfolgt auch für die anderen sicheren Eingabeelemente 4, deren Verdrahtung in FIG 1 (lediglich der Übersichtlichkeit halber) nicht dargestellt ist. Hierbei existiert vorzugsweise für jedes sichere Eingabeelement 4 mindestens ein Betriebszustand Z der Steuereinheit 2, in dem dem jeweiligen sicheren Eingabeelement 4 eine sicherheitsrelevante Aktion zugeordnet ist.
Wenn eines der sicheren Eingabeelemente 4 vom Bediener 9 betätigt wird, bewirkt die Steuereinheit 2, dass die Maschine 1 entsprechend angesteuert wird. Das Ansteuern erfolgt hierbei selbstverständlich entsprechend der Aktion, die dem betätigten sicheren Eingabeelement 4 momentan zugeordnet ist.
Im einfachsten Fall steuert die Steuereinheit 2 die Maschine 1 direkt an. Alternativ kann die Steuereinheit 2 die Anforderung der Aktion an eine andere, in FIG 1 nicht dargestellte - vorzugsweise fehlersichere - Steuereinheit weitergeben.
In aller Regel bewirkt die Auswahl eines neuen Betriebszustands Z zunächst, dass alle Aktionen gesperrt werden. Die Sperre bleibt aufrecht erhalten, bis über einen Anzeigebe- reich 11 einer Anzeigeeinrichtung 12 der Bedienerschnittstelle 3 eine Meldung M an den Bediener 9 ausgegeben wird. Aus der Meldung M geht hervor, ob und gegebenenfalls welche Aktionen den einzelnen sicheren Eingabeelementen 4 auf Grund der neuen Auswahl des Betriebszustands Z nunmehr zugeordnet sind. Sodann wird die Sperre wieder aufgehoben.
Wenn die Auswahl des Betriebszustands Z direkt an die Steuereinheit 2 übermittelt wird, gibt die Steuereinheit 2 der An- Steuereinheit 5 - beispielsweise in Form der Vorgabe von
Sollinformationen I* - vor, welche Informationen I die Ansteuereinheit 5 an die Anzeigeeinrichtung 12 übermitteln soll. Alternativ zur Vorgabe der Sollinformationen I* kann selbstverständlich eine codierte Vorgabe, beispielsweise in der Übermittlung einer Nummer für den jeweiligen Betriebszustand Z erfolgen. Die Ansteuereinheit 5 übermittelt daraufhin die entsprechenden Informationen I an die Anzeigeeinrichtung 12.
Aus den Informationen I geht hervor, ob und gegebenenfalls welche Aktionen den einzelnen sicheren Eingabeelementen 4 zugeordnet sind. Die Anzeigeeinrichtung 12 ist daher in der Lage, eine mit den Informationen korrespondierende Meldung M über den Anzeigebereich 11 an den Bediener 9 auszugeben.
Wenn die Auswahl des Betriebszustands Z an die Ansteuereinheit 5 übermittelt wird, ermittelt die Ansteuereinheit 5 die an die Anzeigeeinrichtung 12 zu übermittelnden Informationen I selbst und übermittelt sie an die Anzeigeeinrichtung 12. Weiterhin übermittelt sie die vorgenommene Auswahl des Betriebszustands Z an die Steuereinheit 2. Auch hier kann die Übermittlung der Auswahl an die Steuereinheit 2 beispielsweise durch Übermitteln einer Codierung für den Betriebszustand Z und/oder durch Übermitteln der anzuzeigenden Informationen I erfolgen.
Die an den Bediener 9 ausgegebene Meldung M weist gemäß FIG 2 vorzugsweise für jedes sichere Eingabeelement 4 ein eigenes korrespondierendes Meldungselement m auf. Aus dem jeweiligen Meldungselement m geht hervor, ob und gegebenenfalls welche Aktion dem korrespondierenden sicheren Eingabeelement 4 momentan zugeordnet ist. Die von der Ansteuereinheit 5 an die Anzeigeeinrichtung 12 übermittelten Informationen I sind vorzugsweise in analoger Weise aufgebaut.
Diese Vorgehensweise ist insbesondere von Vorteil, wenn - siehe erneut FIG 2 - eine Anordnung der Meldungselemente m auf dem Anzeigebereich 11 mit einer Anordnung der sicheren
Eingabeelemente 4 auf der Bedienerschnittstelle 3 korrespondiert. Von ganz besonderem Vorteil ist diese Vorgehensweise hierbei, wenn die sicheren Eingabeelemente 4 am Rand des Anzeigebereichs 11 angeordnet sind. Denn in diesem Fall ist so- fort und intuitiv die Zuordnung der Aktionen zu den sicheren Eingabeelementen 4 erkennbar. Es sind jedoch alternativ andere Ausgestaltungen möglich, beispielsweise eine Auflistung der Aktionen untereinander oder nebeneinander, wobei die sicheren Eingabeelemente 4 untereinander oder nebeneinander an- geordnet sind.
Vorzugsweise wird auch der momentane Betriebszustand Z der Steuereinheit 2 auf dem Anzeigebereich 11 mit angezeigt. Besonders einfach ist dies zu realisieren, wenn der momentane Betriebszustand Z in den übermittelten Informationen I separat von der Zuordnung der Aktionen zu den sicheren Eingabeelementen 4 codiert ist. Beispielsweise können die Informationen I eine Nummer des jeweiligen Betriebszustandes Z und die jeweiligen Meldungselemente m dieses Zustands Z umfassen.
Um Fehlbedienungen auszuschließen, die der Bediener 9 vornehmen könnte, wenn die angezeigte Meldung M auf Grund einer Fehlfunktion nicht mit dem tatsächlichen Betriebszustand Z korrespondiert, ist vorzugsweise eine Mithöreinrichtung 13 vorgesehen. Die Mithöreinrichtung 13 überprüft, ob und gegebenenfalls welche Informationen I die Ansteuereinheit 5 an die Anzeigeeinrichtung 12 übermittelt. Sie übermittelt daraufhin eine entsprechende Nachricht N an die Steuereinheit 2. Wenn eines der sicheren Eingabeelemente 4 betätigt wird, bewirkt die Steuereinheit 2 nur dann eine entsprechende Ansteuerung der Maschine 1, wenn zugleich auch die an die Steuereinheit 2 übermittelte Nachricht N und der momentane Be- triebszustand Z der Steuereinheit 2 miteinander korrespondieren. Anderenfalls erfolgt trotz des Betätigens des sicheren Eingabeelements 4 nicht das Auslösen einer Aktion. Gegebenenfalls kann jedoch die Ausgabe einer Fehlermeldung erfolgen.
Vorzugsweise enthält die Nachricht N bei ordnungsgemäßem
Funktionieren der Ansteuereinheit 5 und der Mithöreinrichtung 13 mindestens einen dynamischen Nachrichtenanteil Nd. Beispielsweise kann bereits in den übermittelten Informationen I ein dynamischer Informationsanteil Id enthalten sein und von der Mithöreinrichtung 13 aus den übermittelten Informationen I extrahiert werden. In diesem Fall ermittelt somit die Mithöreinrichtung 13 den dynamischen Nachrichtenanteil Nd anhand der übermittelten Informationen I. Hierbei kann beispielsweise für jedes einzelne Meldungselement m ein eigener dynami- scher Informationsanteil Id in den übermittelten Informationen I enthalten sein. Alternativ kann auch ein gemeinsamer dynamischer Informationsanteil Id in den übermittelten Informationen I enthalten sein, beispielsweise in Ergänzung zum Code für den Betriebszustand Z.
Gemäß FIG 2 enthält vorzugsweise die an den Bediener 9 ausgegebene Meldung M ebenfalls mindestens einen dynamischen Anteil, nachfolgend zur Unterscheidung vom dynamischen Nachrichtenanteil Nd dynamischer Meldungsanteil md genannt. Die Zuordnung des dynamischen Meldungsanteils md zur Meldung m kann analog zur Zuordnung des dynamischen Informationsanteils Id zu den übermittelten Informationen I sein. Insbesondere kann jedes einzelne Meldungselement m einen eigenen dynamischen Meldungsanteil md enthalten.
Wenn die Nachricht N den dynamischen Nachrichtenanteil Nd enthält, kann die Steuereinheit 2 überprüfen, ob die Nachricht N den dynamischen Nachrichtenanteil Nd tatsächlich ent- hält. Sie kann daher bei Betätigen eines der sicheren Eingabeelemente 4 die entsprechende Ansteuerung der Maschine 1 unterdrücken, wenn die Nachricht N den mindestens einen dynamischen Nachrichtenanteil Nd nicht enthält. Nur wenn die Nach- rieht N den mindestens einen dynamischen Nachrichtenanteil Nd enthält, wird bei Betätigen eines der sicheren Eingabeelemente 4 die entsprechende Ansteuerung der Maschine 1 bewirkt.
Es ist möglich, dass vorab bestimmt ist, in welchem Betriebs- zustand Z welchem der sicheren Eingabeelemente 4 welche Aktion zugeordnet ist. Die Festlegung kann beispielsweise mittels des Computerprogramms 6 erfolgen. Vorzugsweise jedoch kann der Steuereinheit 2 unabhängig vom Computerprogramm 6 mittels einer Projektierung 14 die entsprechende Zuordnung vorgegeben werden.
Die erfindungsgemäße Vorgehensweise weist viele Vorteile auf. Insbesondere können die Aktionen - und zwar sowohl nicht si- cherheitsgerichtete Aktionen als auch sicherheitsgerichtete Aktionen - flexibel und nach Bedarf den einzelnen sicheren
Eingabeelementen 4 zugewiesen werden. Die Anzahl sicherheits- gerichteter Aktionen ist hierbei nicht durch die Anzahl an sicheren Eingabeelementen 4 begrenzt.
Es sind verschiedene Ausgestaltungen der vorliegenden Erfindung möglich. Beispielsweise kann die Mithöreinrichtung 13 entfallen und stattdessen das Mithören durch die Steuereinheit 2 unmittelbar erfolgen. Weiterhin ist es möglich, die Steuereinheit 2 und die Ansteuereinheit 5 zu einer gemeinsa- men Einheit zusammenzufassen. Auch können die Ansteuereinheit 5 - gegebenenfalls einschließlich der Steuereinheit 2 - in der Bedienerschnittstelle 3 angeordnet sein.
Die einzelnen Meldungselemente m können beispielsweise aus zwei verschiedenen Teilen bestehen. Der erste Teil entspricht einer sprachspezifischen Information für den Bediener 9, der zweite Teil ist aktionsspezifisch ausgestaltet. Beispielsweise kann der zweite Teil Informationen über die auszulösende Aktion, das zugeordnete sichere Eingabeelement 4 und/oder den jeweiligen Betriebszustand Z der Steuereinheit 2 umfassen. Er enthält gegebenenfalls weiterhin den dynamischen Meldungsanteil md des jeweiligen Meldungselements m.
Weiterhin können die übermittelten Informationen I, I*, Meldungen M und Nachrichten N in ihrer Gesamtheit oder in ihren Einzelteilen mit PrüfInformationen versehen sein, beispielsweise Prüfsummen, Paritybits, CRCs und dergleichen.
Weiterhin ist es möglich, der Ansteuereinheit 5 ebenfalls eine Information zuzuführen, welches sichere Eingabeelement 4 betätigt wurde. Das Zuführen zur Ansteuereinheit 5 kann hierbei alternativ fehlersicher oder nicht fehlersicher sein. Das Zuführen der entsprechenden Information zur Ansteuereinheit 5 wird im Stand der Technik beispielsweise dazu genutzt, um über die Anzeigeeinrichtung 12 anzuzeigen, ob das jeweilige sichere Eingabeelement 4 momentan betätigt ist oder nicht. Beispielsweise kann das zuordnete Meldungselement m inver- tiert werden oder blinkend angezeigt werden. Erfindungsgemäß jedoch übermittelt die Ansteuereinheit 5 im Falle der Betätigung eines der sicheren Eingabeelemente 4 - gegebenenfalls zusätzlich zur Modifikation der angezeigten Meldung M - an die Steuereinheit 2 einen Code, aus dem hervorgeht, welche Aktion angefordert wurde. Es wird also ein Code übermittelt, der charakteristisch für die dem jeweiligen sicheren Eingabeelement 4 momentan zugeordnete Aktion ist. Die Steuereinheit 2 ist daher in der Lage, auch diesen Code mit zu überprüfen und gegebenenfalls bei einer Abweichung das Bewirken der ent- sprechenden Aktion nicht auszulösen. Dadurch wird der Grad an Fehlersicherheit noch weiter erhöht. Der übermittelte Code kann beispielsweise aus dem korrespondierenden Meldungselement m bzw. dem korrespondierenden Teil der Information I abgeleitet werden.
Schließlich kann selbstverständlich im Falle des Erkennens eines wie auch immer gearteten Fehlers eine entsprechende Fehlermeldung ausgegeben werden. Auch das Erstellen eines Fehlerprotokolls ist möglich.
Im Rahmen der Realisierung der vorliegenden Erfindung ist nicht entscheidend, ob die den sicheren Eingabeelementen 4 zugeordneten Aktionen sicherheitsrelevant sind oder nicht. Die vorstehend beschriebenen erfindungsgemäßen Maßnahmen dienen jedoch dem Zweck, sicherheitsrelevante Aktionen auf einfache und komfortable Weise anfordern zu können. Erst in Ver- bindung mit sicherheitsrelevanten Aktionen entfaltet die vorliegende Erfindung daher ihr volles Potential.
Die obige Beschreibung dient ausschließlich der Erläuterung der vorliegenden Erfindung. Der Schutzumfang der vorliegenden Erfindung soll hingegen ausschließlich durch die beigefügten Ansprüche bestimmt sein.
Es sei an dieser Stelle angemerkt, dass die Maschine z.B. als Werkzeugmaschine, Produktionsmaschine und/oder als Roboter ausgebildet sein kann.

Claims

Patentansprüche
1. Verfahren zum Auslösen von Aktionen einer Maschine (1), wobei eine Steuereinheit (2) anhand ihres momentanen Be- triebszustands (Z) dynamisch entscheidet, ob und ggf. welche Aktionen sie sicheren Eingabeelementen (4) einer Bedienerschnittstelle (3) jeweils zuordnet, und bei Betätigen eines der sicheren Eingabeelemente (4) durch einen Bediener (9) die Ansteuerung der Maschine (1) entsprechend der dem betätigten sicheren Eingabeelement (4) momentan zugeordneten Aktion bewirkt .
2. Verfahren nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass vom Bediener (9) über eine Auswahl- einrichtung (10) der Bedienerschnittstelle (3) eine Auswahl eines momentanen Betriebszustands (Z) der Steuereinheit (2) vorgegeben wird und dass die Auswahl von der Bedienerschnittstelle (3) direkt oder indirekt an die Steuereinheit (2) übermittelt wird.
3. Verfahren nach Anspruch 1 oder 2, d a d u r c h g e k e n n z e i c h n e t , dass eine Ansteuereinheit (5) an eine Anzeigeeinrichtung (12) der Bedienerschnittstelle (3) Informationen (I) übermittelt, aus denen hervorgeht, ob und ggf. welche Aktion den sicheren Eingabeelementen (4) jeweils momentan zugeordnet ist, und dass die Anzeigeeinrichtung (12) eine mit den übermittelten Informationen (I) korrespondierende Meldung (M) an den Bediener (9) ausgibt.
4. Verfahren nach Anspruch 2 und 3, d a d u r c h g e k e n n z e i c h n e t , dass entweder die Auswahl von der Bedienerschnittstelle (3) an die Ansteuereinheit (5) übermittelt wird und die Ansteuereinheit (5) die Auswahl an die Steuereinheit (2) übermittelt oder die Auswahl von der Bedie- nerschnittstelle (3) an die Steuereinheit (2) übermittelt wird und die Steuereinheit (2) der Ansteuereinheit (5) vorgibt, welche Informationen (I) sie an die Anzeigeeinrichtung (12) übermitteln soll.
5. Verfahren nach Anspruch 3 oder 4, d a d u r c h g e k e n n z e i c h n e t , dass eine Mithöreinrichtung (13) überprüft, ob und ggf. welche Informationen (I) die Ansteuer¬ einheit (5) an die Anzeigeeinrichtung (12) übermittelt, dass die Mithöreinrichtung (13) eine entsprechende Nachricht (N) an die Steuereinheit (2) übermittelt und dass die Steuerein¬ heit (2) bei Betätigen eines der sicheren Eingabeelemente (4) die entsprechende Ansteuerung der Maschine (1) nur dann be¬ wirkt, wenn die an die Steuereinheit (2) übermittelte Nach- rieht (N) und der momentane Betriebszustand (Z) der Steuer¬ einheit (2) miteinander korrespondieren.
6. Verfahren nach Anspruch 5, d a d u r c h g e k e n n z e i c h n e t , dass die Nachricht (N) bei ordnungsgemä- ßem Funktionieren der Ansteuereinheit (5) und der Mithöreinrichtung (13) mindestens einen dynamischen Nachrichtenanteil (Nd) enthält und dass die Steuereinheit (2) bei Betätigen ei¬ nes der sicheren Eingabeelemente (4) die entsprechende An¬ steuerung der Maschine (1) nur dann bewirkt, wenn die Nach- rieht (N) den mindestens einen dynamischen Nachrichtenanteil (Nd) enthält.
7. Verfahren nach Anspruch 6, d a d u r c h g e k e n n z e i c h n e t , dass die Mithöreinrichtung (13) den min- destens einen dynamischen Nachrichtenanteil (Nd) anhand der übermittelten Informationen (I) ermittelt.
8. Verfahren nach einem der Ansprüche 3 bis 7, d a d u r c h g e k e n n z e i c h n e t , dass die an den Bediener (9) ausgegebene Meldung (M) mindestens einen dynamischen Mel¬ dungsanteil (md) enthält.
9. Verfahren nach einem der Ansprüche 3 bis 8, d a d u r c h g e k e n n z e i c h n e t , dass die an den Bediener (9) ausgegebene Meldung (M) für jedes sichere Eingabeelement (4) ein korrespondierendes Meldungselement (m) aufweist, aus dem hervorgeht, ob und ggf. welche Aktion dem jeweiligen sicheren Eingabeelement (4) momentan zugeordnet ist, und dass eine An- Ordnung der Meldungselemente (m) auf einem Anzeigebereich (11) der Anzeigeeinrichtung (12) mit einer Anordnung der sicheren Eingabeelemente (4) auf der Bedienerschnittstelle (3) korrespondiert .
10. Verfahren nach einem der Ansprüche 3 bis 9, d a d u r c h g e k e n n z e i c h n e t , dass der momentane Betriebszustand (Z) der Steuereinheit (2) in den übermittelten Informationen (I) separat von der Zuordnung der Aktionen zu den sicheren Eingabeelementen (4) codiert ist.
11. Verfahren nach einem der obigen Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass der Steuereinheit (2) mittels einer Projektierung (14) vorgegeben wird, in welchem Betriebszustand (Z) sie welche Aktionen welchen sicheren Eingabeelementen (4) jeweils zuordnet.
12. Steuereinheit zum Auslösen von Aktionen einer Maschine (1), wobei die Steuereinheit zumindest mit einer Bediener- Schnittstelle (3) verbunden ist, die sichere Eingabeelemente (4) aufweist, wobei die Steuereinheit derart ausgebildet ist, dass sie im Betrieb ein Verfahren nach einem der obigen Ansprüche ausführt.
13. Computerprogramm, das Maschinencode (8) enthält, der von einer Steuereinheit (2) nach Anspruch 12 unmittelbar abarbeitbar ist, wobei die Abarbeitung des Maschinencodes (8) durch die Steuereinheit (2) bewirkt, dass die Steuereinheit (2) ein Verfahren nach einem der Ansprüche 1 bis 11 ausführt.
14. Datenträger mit einem auf dem Datenträger in maschinenlesbarer Form gespeicherten Computerprogramm (6) nach Anspruch 13.
PCT/EP2008/060395 2007-08-16 2008-08-07 Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente WO2009021901A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/673,309 US20110202146A1 (en) 2007-08-16 2008-08-07 Method for triggering actions of a machine using secure input elements

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102007038722.0 2007-08-16
DE102007038722A DE102007038722A1 (de) 2007-08-16 2007-08-16 Verfahren zum Auslösen von Aktionen einer Maschine durch sichere Eingabeelemente

Publications (1)

Publication Number Publication Date
WO2009021901A1 true WO2009021901A1 (de) 2009-02-19

Family

ID=39926466

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2008/060395 WO2009021901A1 (de) 2007-08-16 2008-08-07 Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente

Country Status (3)

Country Link
US (1) US20110202146A1 (de)
DE (1) DE102007038722A1 (de)
WO (1) WO2009021901A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3151404A1 (de) * 2015-09-30 2017-04-05 Siemens Aktiengesellschaft Rückspeisefähiges aktives filter
CN107810450A (zh) * 2015-07-01 2018-03-16 Abb股份公司 用于安全相关地输入至控制系统的方法和系统
CN109074032A (zh) * 2016-05-06 2018-12-21 Keba股份公司 用于电控设备的控制系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2645215B1 (de) 2012-03-28 2019-08-14 Siemens Aktiengesellschaft Anzeigeeinrichtung mit rückgelesener Anzeige
EP3144758A1 (de) * 2015-09-18 2017-03-22 Siemens Aktiengesellschaft Steuerungssystem sowie verfahren zum betrieb eines steuerungssystems mit einer realen und einer virtuellen steuerung

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3442063A1 (de) * 1984-11-17 1986-06-12 EGM Entwicklungsgesellschaft für Montagetechnik GmbH & Co KG, 3012 Langenhagen Betaetigungsvorrichtung fuer maschinen, anlagen oder geraete
EP0465710A1 (de) * 1990-07-12 1992-01-15 ELGE ELEKTRONIK-GERÄTEWERK GmbH. & Co. Vorrichtung zur Sicherheitsüberwachung bei Schutzeinrichtungen mit normaler und überhöhter Sicherheit von mehrachsigen Drehbewegungen durchführenden Maschinen
EP1031420A1 (de) * 1999-02-25 2000-08-30 Heidelberger Druckmaschinen Aktiengesellschaft Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen
DE10020074A1 (de) * 2000-04-22 2001-11-08 Pilz Gmbh & Co Modulares Sicherheitsschaltgeräte-System
EP1247622A2 (de) * 1997-12-06 2002-10-09 Elan Schaltelemente GmbH & Co. KG Verfahren zur Überwachung einer technischen Anlage mit erhöhten Sicherheitsanforderungen insbesondere eines Handhabungsgerätes, sowie Überwachungs- und Steuergerät
DE10344385A1 (de) * 2003-09-23 2005-05-04 Peter Wratil Notaus-Gerät und Verfahren zum Bereitstellen einer Notabschaltungsfunktion
WO2007010795A1 (ja) * 2005-07-19 2007-01-25 Omron Corporation 作業者安全管理システム

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4803039A (en) * 1986-02-03 1989-02-07 Westinghouse Electric Corp. On line interactive monitoring of the execution of process operating procedures
US4815014A (en) * 1987-02-27 1989-03-21 Westinghouse Electric Corp. Machine assisted execution of process operating procedures
DE59605777D1 (de) * 1995-05-11 2000-09-28 Siemens Ag Einrichtung zur numerischen Steuerung einer Werkzeugmaschine oder eines Roboters
US6243619B1 (en) * 1996-05-10 2001-06-05 Amada Company, Ltd. Control method and apparatus for plate material processing machine
DE19826875A1 (de) * 1998-06-17 1999-12-23 Heidenhain Gmbh Dr Johannes Numerische Steuerung mit einem räumlich getrennten Eingabegerät
DE19834863A1 (de) * 1998-08-01 2000-02-03 Heidenhain Gmbh Dr Johannes Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät
DE10016712C5 (de) * 2000-04-04 2004-09-16 Pilz Gmbh & Co. Sicherheitsschaltgerät und Verfahren zur Einstellung einer Betriebsart eines Sicherheitsschaltgeräts
DE10108962A1 (de) * 2001-02-20 2002-09-12 Pilz Gmbh & Co Verfahren und Vorrichtung zum Programmieren einer Sicherheitssteuerung
US6907300B2 (en) * 2001-07-20 2005-06-14 Siemens Building Technologies, Inc. User interface for fire detection system
DE10320522A1 (de) * 2003-05-02 2004-11-25 Pilz Gmbh & Co. Verfahren und Vorrichtug zum Steuern eines sicherheitskritischen Prozesses
US7069109B2 (en) * 2004-11-09 2006-06-27 E.G.O. North America, Inc. Systems and methods of using multiple microcontrollers for fail-safe control and enhanced feature operation of an appliance

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3442063A1 (de) * 1984-11-17 1986-06-12 EGM Entwicklungsgesellschaft für Montagetechnik GmbH & Co KG, 3012 Langenhagen Betaetigungsvorrichtung fuer maschinen, anlagen oder geraete
EP0465710A1 (de) * 1990-07-12 1992-01-15 ELGE ELEKTRONIK-GERÄTEWERK GmbH. & Co. Vorrichtung zur Sicherheitsüberwachung bei Schutzeinrichtungen mit normaler und überhöhter Sicherheit von mehrachsigen Drehbewegungen durchführenden Maschinen
EP1247622A2 (de) * 1997-12-06 2002-10-09 Elan Schaltelemente GmbH & Co. KG Verfahren zur Überwachung einer technischen Anlage mit erhöhten Sicherheitsanforderungen insbesondere eines Handhabungsgerätes, sowie Überwachungs- und Steuergerät
EP1031420A1 (de) * 1999-02-25 2000-08-30 Heidelberger Druckmaschinen Aktiengesellschaft Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen
DE10020074A1 (de) * 2000-04-22 2001-11-08 Pilz Gmbh & Co Modulares Sicherheitsschaltgeräte-System
DE10344385A1 (de) * 2003-09-23 2005-05-04 Peter Wratil Notaus-Gerät und Verfahren zum Bereitstellen einer Notabschaltungsfunktion
WO2007010795A1 (ja) * 2005-07-19 2007-01-25 Omron Corporation 作業者安全管理システム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107810450A (zh) * 2015-07-01 2018-03-16 Abb股份公司 用于安全相关地输入至控制系统的方法和系统
CN107810450B (zh) * 2015-07-01 2020-09-29 Abb股份公司 用于安全相关地输入至控制系统的方法和系统
EP3151404A1 (de) * 2015-09-30 2017-04-05 Siemens Aktiengesellschaft Rückspeisefähiges aktives filter
CN109074032A (zh) * 2016-05-06 2018-12-21 Keba股份公司 用于电控设备的控制系统

Also Published As

Publication number Publication date
US20110202146A1 (en) 2011-08-18
DE102007038722A1 (de) 2009-02-26

Similar Documents

Publication Publication Date Title
EP0742500A2 (de) Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung
EP2171549B1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
EP2356526A1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage
WO2009021901A1 (de) Verfahren zum auslösen von aktionen einer maschine durch sichere eingabeelemente
WO2010060573A2 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage mit einer vielzahl von anlagenhardwarekomponenten
EP1847891A1 (de) Sichere Parametrierung einer Sicherheitsschaltungsvorrichtung
EP4235323A2 (de) Verfahren und vorrichtung zur automatischen validierung von sicherheitsfunktionen an einem modular aufgebauten sicherheitssystem
WO2007096126A1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
EP2422248B1 (de) System und verfahren zum verteilen von projektdaten einer sicherheitssteuerung einer automatisierten anlage auf die steuerungskomponenten
EP1485765B1 (de) Sensor-maschinen-interface und verfahren zu dessen betrieb
EP0647890A1 (de) Verarbeitungsmodul für ein modulares Automatisierungssystem
EP2034463A2 (de) Verfahren sowie Vorrichtung zur drahtlosen Übertragung von Signalen
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
DE102008060118A1 (de) Maschine mit aufsteckbarem Bediengerät
DE102008060117A1 (de) Maschine mit Bediengerät für sicherheitsrelevante Funktionen
EP1677167B1 (de) Betriebsartenwahlschalter
EP1921525B1 (de) Verfahren zum Betrieb einer sicherheitsgerichteten Anlage
DE202019103188U1 (de) Sicherheitsschaltelement für Maschinen oder Roboter
DE102006020793A1 (de) Schaltungsanordnung und Verfahren zum Betrieb einer Schaltungsanordnung
EP3726313B1 (de) Sicherheitsschaltvorrichtung
DE10344070B4 (de) Antriebsmodul für eine Druckmaschine
EP3980224B1 (de) Sicherheitsschaltelement für maschinen oder roboter
EP1490736A1 (de) Sensor-maschinen schnittstelle und verfahren zu deren betrieb
DE102007026326B4 (de) Sicherheitskonzept für einen Getriebesteller
WO2022207557A1 (de) Steuervorrichtung mit einer überwachungseinrichtung

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 08786992

Country of ref document: EP

Kind code of ref document: A1

DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
DPE1 Request for preliminary examination filed after expiration of 19th month from priority date (pct application filed from 20040101)
WWE Wipo information: entry into national phase

Ref document number: 12673309

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 08786992

Country of ref document: EP

Kind code of ref document: A1