[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

EP2093845B1 - Modulare Sicherheitssteuerung - Google Patents

Modulare Sicherheitssteuerung Download PDF

Info

Publication number
EP2093845B1
EP2093845B1 EP08101866A EP08101866A EP2093845B1 EP 2093845 B1 EP2093845 B1 EP 2093845B1 EP 08101866 A EP08101866 A EP 08101866A EP 08101866 A EP08101866 A EP 08101866A EP 2093845 B1 EP2093845 B1 EP 2093845B1
Authority
EP
European Patent Office
Prior art keywords
modules
module
safety
encoding
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Not-in-force
Application number
EP08101866A
Other languages
English (en)
French (fr)
Other versions
EP2093845A1 (de
Inventor
Rainer Kremp
Franz Josef Dold
Patrick Bornstein
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sick AG
Original Assignee
Sick AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sick AG filed Critical Sick AG
Priority to EP08101866A priority Critical patent/EP2093845B1/de
Publication of EP2093845A1 publication Critical patent/EP2093845A1/de
Application granted granted Critical
Publication of EP2093845B1 publication Critical patent/EP2093845B1/de
Not-in-force legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01RELECTRICALLY-CONDUCTIVE CONNECTIONS; STRUCTURAL ASSOCIATIONS OF A PLURALITY OF MUTUALLY-INSULATED ELECTRICAL CONNECTING ELEMENTS; COUPLING DEVICES; CURRENT COLLECTORS
    • H01R13/00Details of coupling devices of the kinds covered by groups H01R12/70 or H01R24/00 - H01R33/00
    • H01R13/64Means for preventing incorrect coupling
    • H01R13/642Means for preventing incorrect coupling by position or shape of contact members

Definitions

  • the invention relates to a modular safety control according to the preamble of claim 1 and to a method for producing and checking such a modular safety control.
  • a safety controller is a device that receives supplied input signals from signalers, such as emergency stop buttons, protective door switches, light barriers or light grids, and generates logical signals from them.
  • the output signals can then be supplied to actuators, which then effect specific actions or reactions in the environment depending on the input signals, eg. B. to a machine, such as a press or a welding robot, emanating from the operation of a danger to people to hedge.
  • a signal generator z. B. when opening the protective door, pressing the emergency stop button or when a sensor responds, a signal is generated in each case, which is supplied to the safety controller as an input signal.
  • the safety controller then switches off the dangerous part of the machine, for example with the aid of an actuator, or places the machine in a safe state.
  • a characteristic feature of a safety control in contrast to a "normal" control system, is that the safety control must always ensure a safe state of the hazardous installation or machine even if it or its connected device malfunctions. Therefore, in safety control systems extremely high demands are placed on the own fault tolerance, which results in a considerable effort in the development and production.
  • the safety controller must comply with specified safety standards, which are defined, for example, in the European standard EN 954-1 or ISO 13849 (performance level). The possible safety levels and the additional safety requirements for an application are defined in the standard EN 61508 or EN 62061.
  • each input module receives input signals from a signal generator and each output module can actuate an actuator that turns off a source of danger.
  • the assignment of the input signals to an actuator takes place in that the positions at which the modules are arranged in the module row determine a clear assignment of an input signal to an output signal.
  • the positions within the module row thus provide the switching rules and by inserting the modules can be selected, which sensors are connected in which way with these switching rules with an actuator. On the one hand this saves programming and on the other hand it is more flexible than a fixed wiring.
  • connection device for an electrical installation system is known, which is constructed in a modular manner and in which the modules can have mutually coded connectors.
  • the invention enables an unambiguous assignment of the input modules to output modules and prevents interchanging protection of the safety shutdown paths due to the mechanical coding. This increases plant availability, reduces the risk of commissioning, maintenance and repair, and reduces costs by making it much easier to make mandatory safety checks after changes to equipment.
  • the solution is very advantageous to the user, as he recognizes a permutation immediately and obviously by mechanical incompatibility.
  • Another significant advantage is that it is ensured by the mechanical coding that a sufficient exchange protection is given, for example, in a desired system expansion.
  • the manufacturer only has to provide the correctly encoded input module to the user, and the user can insert the obtained module into the module row without any prior knowledge and can be sure that no false safety shutdown paths have been generated.
  • the modular safety control according to the invention can be expanded in a very simple manner by joining together, for example by plugging in, additional modules for connecting additional sensors, without the previous safety shutdown paths having to be checked again.
  • the user has the ability to later expand the system by z. B. deliberately allow plant extensions by the mechanical coding or to prevent.
  • the user when exchanging modules, for example when replacing defective modules, to immediately detect a faulty positioning of the input module without having to use diagnostic software or to interpret an error display on the device display. This is ensured by the mechanical coding, because from the outset the mechanical coding does not allow a wrong positioning.
  • Another advantage of the invention is that within a subsystem, the modules can be arbitrarily swapped without affecting the safety shutdown paths.
  • An easy-to-implement way of mechanical coding is to provide a coding connector.
  • the mechanical coding could also be implemented in different, mutually compatible housing forms, so that, for example, a module row can be constructed in the manner of matching building blocks.
  • this would have the disadvantage over a simple coding connector that a large number of different housing shapes would have to be present according to the coding.
  • the coding plug connector consists of a multi-pin plug and corresponding socket, each pole is formed by a plug pin and the coding is formed by the coded plug at least one of the plug pins changed, in particular in cross section reduced, or is completely removed and in the corresponding socket, the corresponding pin receptacle is adjusted or closed accordingly.
  • a coding connector can then be built from commercially available electrical connectors.
  • the replacement of modules or the extension of the module row is facilitated if the modules have similar housing and each have a plug and a socket for the Codier connector on opposite sides of the housing in a similar arrangement.
  • the housing is designed as a standard IP20 housing.
  • the output module may be adjacent to each other module to one side.
  • an extension of the module row by attaching a further output module to one end of the module row is much easier, regardless of the coding of the last, located at the end of the module row module.
  • an output module with a neutral coded plug such a module row can be extended by a simple sub-system.
  • such a subsystem has a group of modules of the same coding, each having at least one output module and at least one associated input module.
  • the subsystem has only exactly one output module and associated input modules.
  • the input module can be configured via an operating element for assigning inputs of the input module to outputs of the output module of the same coding.
  • the operating element for example a rotary switch, can be mounted on the housing, so that it is compact and easy to manufacture while at the same time being easily accessible to the user.
  • the control provides further support for secure system configuration and interchange protection.
  • the configuration of the safety-related input evaluation can take place, for example, whether the connected signal transmitters are to be evaluated as single-channel or dual-channel and / or whether the emergency stop switch, light curtain, safety switch or two-hand function is involved.
  • This mechanically visible configuration also allows the user to quickly perceive that, if necessary, when replacing defective modules, theforceabschaltpfad has not changed, but the evaluation of the sensor system is set incorrectly.
  • the control element can configure the logical connection of the assigned input modules of the subsystem (And / Or / Order) and here, too, the user visually recognizes an incorrect configuration immediately when replacing output modules.
  • Another embodiment of the invention may be to provide fixed logic functions in a subsystem. For example, in a subsystem, all input signals can be logically ANDed and the result can be routed to the actuator connected to the output module. If the subsystem is now extended by an input module due to system extension, the connected sensors automatically also act AND linked to the actuator.
  • the mechanical coding according to the invention makes it possible to deliberately allow later expandability of the system.
  • B contains the last module of the module row at its free end a coding on which none of the modules of the module row fits, for example, all plug pin receptacles of the socket of the coding plug connection are closed. Since no matching input module is available, it can not come to the subconscious extension of the system.
  • one of the modules forms a central control module, with which an assignment of signal generator information applied to the input modules to the actuator signals to be output at the associated output modules can take place.
  • the central control module may include an evaluation unit with which a check can be carried out as to whether the connected modules have been correctly assembled according to the coding. Such verifiability further increases safety and can facilitate certification.
  • the modules are designed with two channels and process the signals redundant and / or diverse fail-safe.
  • a safety controller 100 with, for example, five input modules and three output modules is shown in FIG FIG. 1 shown.
  • the safety controller 100 consists of a module row 102, which in turn is composed of subsystems 110, 120 and 130.
  • a subsystem contains an output module and associated input modules. The numerals have been chosen so that each output and input module each contain two hyphenated reference numerals, the numeral before the hyphen designating the subsystem, and the digit after the hyphen continuing.
  • Each input module has at least one single- or multi-channel input or a connection possibility for one or more signal transmitters.
  • a signal transmitter such as a light barrier, a light grid, a laser scanner or a security camera, but also a switch, such as a door position switch or an emergency stop switch can be provided.
  • each output module has at least one single- or multi-channel output for an actuator.
  • This actuator can be the control of a robot, a motor, a power line, a relay or the control of a machine, eg. As a press, his. In general, therefore, the actuator is part of a dangerous machine. Under an actuation of the actuator should not its normal operation but a special control by the safety controller 100 to bring the hazardous machine in a safe state. This can be a simple shutdown, but also a warning or the controlled transfer to a safe parking position. If the actuator is not actuated, this does not mean standstill, but ordinary, undisturbed operation. This understanding does not prevent that other controls can go from or via the output module to the actuator.
  • the modules can be designed with two channels in order to be able to evaluate the signals redundantly and possibly also diversitively.
  • the input modules are each connected to specific output modules. This assignment depends on the application, because each actuator is to be operated depending on the states of certain signal generator. In the present exemplary embodiment, a certain assignment should already be present by default, namely the input modules are always assigned to the respective output module arranged to the left thereof, which is also represented by the arrows 104. An output module, however, has no effect on the left of him arranged, other modules. Of course, other combinations are conceivable, namely that, for example, the input modules always act on the right of them arranged output module and the output modules have no effect on the right of them arranged further modules.
  • the first subsystem 110 therefore includes an output module 10-6 and two input modules 10-4 and 10-5.
  • To the input module 10-4 two signal generator, namely an emergency stop switch 10-1 and a sensor 10-2, connected.
  • the input module 10-4 two inputs not shown.
  • To the input module 10-5 another sensor 10-3 is connected.
  • the connection from the signal transmitters to the respective input module is shown only schematically by arrows 106 and can be single-channel or multi-channel.
  • the signals of the emergency stop switch 10-1 and the sensors 10-2 and 10-3 are pre-evaluated in the input modules 10-4 and 10-5 failsafe and given to the output module 10-6 via an electrical connector, not shown.
  • Such a connector through which the modules are connected are often referred to as "backplane".
  • the signals are optionally logically linked together and given the result to the actuator 10-7 via an output, not shown.
  • the arrows 108 indicate the connection to the actuator only schematically. In actual use, the connection may be single or multi-channel. It is also conceivable that the output module 10-7 has a plurality of outputs, not shown, and accordingly can operate various actuators not shown, depending on the various signals of the connected to the associated input modules of the subsystem 110 signal generators 10-1, 10-2 , 10-3.
  • Subsystem 120 has an output module 20-6 and an input module 20-4, wherein a signal transmitter 20-1 is connected to the input module and the output module 20-6 acts on an actuator 20-7.
  • Subsystem 130 has a similar structure to first subsystem 110 with two input modules 30-4 and 30-5, to which an emergency stop switch 30-1 and sensors 30-2 and 30-3 are connected, and to an output module 30-5. 6, which acts on an actuator 30-7.
  • the subsystems must be assembled, that is, which output modules are interconnected with which input modules, and which signal generators have to be considered when deciding which switching which actuator, and secondly, which evaluation rules of each output module used within a subsystem in the evaluation of the signals, so in which way the signals of a subsystem are logically linked together.
  • the output modules have a control element 103 and the input modules on a control element 105, which can be configured as a simple rotary switch and can be set via which inputs, ie signals which signal generator to act on a connected actuator. If necessary, such a configuration can also contain simple logic, which can then be selected via the rotary switches.
  • the positions of the input modules in the module row 102 are within one subsystem, for example input modules 10-4 and 10-5 of the first subsystem 110 or the input modules 30-4 and 30-5 of the third subsystem 130, optionally, with the only restriction that the output module must always be the leftmost positioned.
  • Each module of the module row 102 is housed according to an embodiment in a similar housing.
  • the housing can be an IP20 housing system in which the individual modules are in communication with the "backplane".
  • the housing may also be designed in a higher protection class, such as, for example, IP65.
  • mechanical codings are provided between the modules.
  • the mechanical codings are in the form of coded connectors 200 as shown in FIG Fig. 2 are shown schematically. It shows Fig.2 the module row 102 from Fig. 1 wherein the modules are shown separately from each other to show the coding connector 200 according to the invention.
  • the coding connectors 200 represent a mechanical coding between adjacent modules of the module row 102.
  • the coding plug connection 200 will be explained below by way of example with reference to the connection between the output modules 20-6 and the input module 20-4 of the module row 102.
  • the coding connector 200 consists of a plug 202 which is arranged on the left side of the input module 20-4 and a corresponding socket 204 which is arranged on the right side of the output module 20-6.
  • the plug 202 has plug pins 206 and the socket 204 corresponding plug pin receptacles 208.
  • the second plug pin 206 '(counted from below) is removed, which is indicated by a bright field, and the corresponding, second lowest pin terminal receptacle 208' is closed, for example, by a matching pen.
  • the closed pin receptacle 208 is represented by a dark field. All other plug pins 206 and pin receptacles 208 are unchanged. All modules of the second subsystem 120 have this coding, so that only output and input modules with this coding become a subsystem can be put together.
  • any other unambiguous binary codes are also conceivable (eg 2 from n or 3 from n).
  • the coding is already carried out by the manufacturer in order to have already predefined subsystems for the purpose of increasing safety.
  • the modules are already connected to each other via electrical connectors, it is advantageous for reasons of cost that the coding connectors are an integral part of the electrical connectors.
  • the modules have similar housing 210 and each have the plug 206 on one side (left in this embodiment) and the socket 208 on the opposite side of the housing 210 in a similar arrangement. Then, the module row 102 can be expanded or reduced by inserting additional modules into subsystems according to the coding or removal of modules.
  • each module of a subsystem contains the same encoding. This allows an input module within a subsystem arbitrarily positioned, but not used in other subsystems, whereby theSICabschaltpfade thus can not be changed.
  • the subsystems are independent of one another with respect to the safety shutdown paths, it is advantageous if a subsystem consisting of from an output module arranged on the left side and further input modules arranged to the right thereof can be used at any point in the module row.
  • the left-side plug 203 of an output module 20-6 or 30-6 it is necessary for the left-side plug 203 of an output module 20-6 or 30-6 to have a neutral coding, as is realized in the exemplary embodiment in that all plug pins 206 are designed such that they fit into any type of plug pin receptacle 208 or 208 'fit, what in Fig. 2 is indicated by bright fields for all pins 206 of the neutral coded plug 203.
  • the module row 102 could be off Fig. 2 may also be constructed such that the third subsystem 130 is located to the right of the first subsystem 110 and the second subsystem 120 to the right thereof. As a result, the end user has some flexibility in building the module row 102 without compromising safety.
  • modules are required in a safety control, which have no safety function, such as communication gateways for connecting the module row 102 to a bus system or passive bus components.
  • a module is referred to as the module row 102 right-hand terminating module 212 in FIG Fig. 2 shown.
  • the module 212 can be plugged into a subsystem of any coding and therefore also has a neutral coding on the plug side 203.
  • the module row is always lockable, regardless of which subsystem is located furthest to the right, or in other words, regardless of how long the module row is or how many subsystems the module row comprises.
  • the invention relates to a method for checking the modular safety control, that is to check the module row 102, whether from a safety point of view, the structure made, as he, for example, in Fig. 1 shown is correct.
  • This method is implemented in software that may either be separate or provided, for example, in the module 212 and by means of which a report of the existing configuration is made by entering the plugged module configuration into the software either by hand, e.g. By manually positioning images of the modules on a screen of the PC in the manner actually plugged in, or by automatically reading out the module configuration from the module 22.
  • the advantage of reading out the configuration of the module series is that the user does not have to manually reorder everything on the PC, but the software still has to generates clean plant documentation for acceptance.

Landscapes

  • Safety Devices In Control Systems (AREA)

Description

  • Die Erfindung betrifft eine modulare Sicherheitssteuerung nach dem Oberbegriff von Anspruch 1 sowie ein Verfahren zum Herstellen und Überprüfen einer solchen modularen Sicherheitssteuerung.
  • Eine Sicherheitssteuerung ist eine Vorrichtung, die von Signalgeber, wie Not-Aus-Taster, Schutztürschalter, Lichtschranken oder Lichtgitter, gelieferte Eingangssignale aufnimmt und daraus durch logische Verknüpfungen Ausgangssignale erzeugt. Die Ausgangssignale können dann Aktuatoren zugeführt werden, die dann in Abhängigkeit von den Eingangssignalen gezielte Aktionen oder Reaktionen in der Umgebung bewirken, z. B. um eine Maschine, wie eine Presse oder einen Schweißroboter, von der im Betrieb eine Gefahr für Menschen ausgeht, abzusichern. Beim Ansprechen eines Signalgebers, z. B. beim Öffnen der Schutztür, Betätigen des Not-Aus-Tasters oder beim Ansprechen eines Sensors wird jeweils ein Signal erzeugt, das der Sicherheitssteuerung als Eingangssignal zugeführt ist. In Reaktion darauf schaltet die Sicherheitssteuerung dann beispielsweise mit Hilfe eines Aktuators den gefahrbringenden Teil der Maschine ab bzw. setzt die Maschine in einen gefahrlosen Zustand.
  • Charakteristisch an einer Sicherheitssteuerung ist im Gegensatz zu einer "normalen" Steuerung, dass die Sicherheitssteuerung selbst dann, wenn bei ihr oder einem mit ihr verbundenen Gerät eine Fehlfunktion auftritt, stets einen sicheren Zustand der gefahrbringenden Anlage oder Maschine gewährleisten muss. Daher werden bei Sicherheitssteuerungen extrem hohe Anforderungen an die eigene Fehlersicherheit gestellt, was einen erheblichen Aufwand bei der Entwicklung und Herstellung zur Folge hat. In der Regel benötigen nicht nur die Sicherheitssteuerungen alleine eine besondere Zulassung durch zuständige Aufsichtsbehörden, wie Berufsgenossenschaften oder TÜV, sondern zusätzlich in Kombination mit einer mit der Sicherheitssteuerung ausgerüsteten Maschine. Die Sicherheitssteuerung muss dabei vorgegebene Sicherheitsstandards einhalten, die beispielsweise in der europäischen Norm EN 954-1 bzw. ISO 13849 (performance level) definiert sind. Die möglichen Sicherheitsstufen und die weiteren Sicherheitsanforderungen an eine Anwendung sind in der Norm EN 61508 bzw. EN 62061 definiert.
  • Aus der DE 100 20 075 C2 ist eine solche Sicherheitssteuerung bekannt. Danach ist eine Reihe von Eingangs- und Ausgangsmodulen vorgesehen, wobei jedes Eingangsmodul Eingangsignale von einem Signalgeber erhält und jedes Ausgangsmodul einen Aktor betätigen kann, der eine Gefahrenquelle ausschaltet. Mit einer fest implementierten Logikverschaltung erfolgt die Zuordnung der Eingangssignale zu einem Aktor dadurch, dass die Positionen, an denen die Module in der Modulreihe angeordnet sind, eine eindeutige Zuordnung eines Eingangssignals zu einem Ausgangsignal bestimmen. Die Positionen innerhalb der Modulreihe geben also die Schaltregeln vor und durch Einsetzen der Module kann ausgewählt werden, welche Sensoren auf welche Weise mit diesen Schaltregeln mit einem Aktor verbunden werden. Das erspart einerseits eine Programmierung und ist andererseits aber flexibler als eine feste Verdrahtung. Der Vorteil der einfachen Festlegung von Schaltregeln durch einfaches Positionieren der Eingangsmodule birgt aber auch ein Sicherheitsrisiko, denn im Falle eines Gerätetausches, beispielsweise aufgrund eines defekten Moduls oder aufgrund gewünschter Erweiterung der Modulreihe kann sehr leicht der Sicherheitsabschaltpfad ungewollt verändert werden. Wenn beispielsweise der Anwender ein Eingangsmodul aus dem System entfernt und es ungewollt oder unwissend an eine andere Position in der Modulreihe positioniert, hat er bereits den Abschaltpfad geändert. Diese Veränderung des Sicherheitsabschaltpfades kann die Wirkrichtung eines Sicherheitslichtgitters auf den Aktor verändern, das heißt im schlimmsten Fall, dass durch einen Eingriff in das Lichtgitter nicht die gefahrbringende Bewegung der Presse gestoppt, sondern möglicherweise nur eine Materialzuführung gestoppt wird. Um dennoch die Sicherheit zu gewährleisten, müsste eine Positionsänderung von Eingangsmodulen jedes Mal durch eine erneute aufwändige Inbetriebnahme des Sicherheitsschaltgerätes mit vollständiger Überprüfung aller Sicherheitsfunktionen auf korrekte Installation geprüft werden. Zumindest müsste eine Fehleranzeige erfolgen, was nicht nur aufwändig ist, sondern auch zusätzliche Komponenten erfordert. Womöglich muss die gesamte Anlage mit der Sicherheitssteuerung neu zertifiziert werden.
  • Aus der DE 196 05 698 C1 ist eine Anschlusseinrichtung für ein elektrisches Installationssystem bekannt, das moduartig aufgebaut ist und bei dem die Module untereinander kodierte Steckverbindungen aufweisen können.
  • Davon ausgehend ist es Aufgabe der Erfindung, eine kostengünstige und leistungsfähige Sicherheitssteuerung bereitzustellen, welche auch im Falle der Wartung und Reparatur dem Anwender eine möglichst hohe Sicherheit bei gleichbleibend einfacher Bedienung ermöglicht.
  • Diese Aufgabe wird gelöst durch eine modulare Sicherheitssteuerung, gemäß den Anspruch 1.
  • Die Erfindung ermöglicht eine eindeutige Zuordnung der Eingangsmodule zu Ausgangsmodulen und verhindert durch die mechanische Codierung einen Vertauschungsschutz der Sicherheitsabschaltpfade. Dies erhöht die Anlagenverfügbarkeit, verringert das Sicherheitsrisiko bei Inbetriebnahme, Wartung und Reparatur und senkt die Kosten, da die zwingende Sicherheitsüberprüfung nach Änderungen der Anlagen stark vereinfacht werden kann.
  • Weiterhin ist die Realisierung sehr kostengünstig für den Gerätehersteller, da keine Software und Elektronikhardware hierfür vorgesehen werden muss.
  • Ebenfalls ist die Lösung für den Anwender sehr vorteilhaft, da er eine Vertauschung sofort und offensichtlich durch mechanische Inkompatibilität erkennt.
  • Ein weiterer wesentlicher Vorteil besteht darin, dass durch die mechanische Codierung sichergestellt ist, dass ein ausreichender Vertauschungsschutz gegeben ist, beispielsweise bei einer gewünschten Systemerweiterung. In diesem Fall muss dem Anwender vom Hersteller nur das richtig codierte Eingangsmodul bereitgestellt werden und der Anwender kann ohne besondere Vorkenntnisse das erhaltene Modul in die Modulreihe einstecken und dabei sicher sein, dass keine falschen Sicherheitsabschaltpfade erzeugt wurden. Auf diese Weise lässt sich die erfindungsgemäße modulare Sicherheitssteuerung in einfachster Weise durch Zusammenfügen, beispielsweise Stecken, weiterer Module zum Anschluss weiterer Sensoren erweitern, ohne dass die bisherigen Sicherheitsabschaltpfade erneut geprüft werden müssen.
  • Ebenfalls hat der Anwender die Möglichkeit, eine spätere Erweiterung des System durch z. B. Anlagenerweiterungen durch die mechanische Codierung bewusst zuzulassen oder auch zu verhindern.
  • Mit der Erfindung ist es dem Anwender möglich, beim Tausch von Modulen, beispielsweise beim Austausch defekter Module, eine fehlerhafte Positionierung des Eingangsmoduls sofort zu erkennen ohne hierzu eine Diagnosesoftware nutzen oder eine Fehleranzeige auf dem Gerätedisplay interpretieren zu müssen. Dieses wird durch die mechanische Codierung sichergestellt, indem von vornherein die mechanische Codierung eine falsche Positionierung nicht zulässt.
  • Ein weitere Vorteil der Erfindung ist, dass innerhalb eines Subsystems die Module beliebig vertauscht werden können, ohne die Sicherheitsabschaltpfade zu beeinflussen.
  • Die Erfindung kann mit weiteren Merkmalen fortgebildet werden, wie sie beispielhaft, aber nicht abschließend, in den sich anschließenden Unteransprüchen angegeben sind und zeigt dabei weitere Vorteile.
  • Eine einfach zu realisierende Möglichkeit der mechanischen Codierung besteht darin, eine Codier-Steckverbindung vorzusehen. Alternativ könnte die mechanische Codierung auch in verschiedenen, zueinander passenden Gehäuseformen realisiert sein, so dass beispielsweise nach Art von zueinander passenden Bausteinen eine Modulreihe aufgebaut sein kann. Das hätte gegenüber einer einfachen Codier-Steckverbindung allerdings den Nachteil, dass eine Vielzahl verschiedener Gehäuseformen entsprechend der Codierung vorhanden sein müssten.
  • Bei bekannten Modulreihen besteht bereits eine mechanische Verbindung zwischen den einzelnen Modulen durch die typische Realisierung eines so genannten "backplane" mittels Stecker/Buchse zwischen den einzelnen Modulen. Deshalb ist es vorteilhaft, wenn die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen sind. Alternativ können aber auch zusätzliche mechanische Codier-Steckverbindungen zwischen den Modulen durch beispielsweise Nuten/Stift-Kombinationen realisiert werden.
  • Eine vorteilhaft einfache Codiermöglichkeit ergibt sich, wenn die Codier-Steckverbindung aus einem mehrpoligen Stecker und dazu korrespondierender Buchse besteht, wobei jeder Pol durch einen Steckerstift gebildet ist und die Codierung dadurch gebildet ist, dass im kodierten Stecker wenigstens einer der Steckerstifte verändert, insbesondere im Querschnitt verkleinert, bzw. ganz entfernt ist und in der korrespondierenden Buchse die zugehörige Steckerstiftaufnahme entsprechend angepasst bzw. verschlossen ist. Eine solche Codier-Steckverbindung lässt sich dann aus im Handel erhältlichen elektrischen Steckverbindungen aufbauen.
  • Der Austausch von Modulen oder die Erweiterung der Modulreihe ist erleichtert, wenn die Module gleichartige Gehäuse aufweisen und jeweils einen Stecker und eine Buchse für die Codier-Steckverbindung auf gegenüberliegenden Seiten des Gehäuses in gleichartiger Anordnung aufweisen. Vorzugsweise ist das Gehäuse als Standard IP20 Gehäuse ausgebildet.
  • Wenn ausgewählte Module, beispielsweise Ausgangsmodule, neutral codierte Stecker der Codier-Steckverbindung aufweisen, so kann das Ausgangsmodul zur einen Seite hin jedem anderen Modul benachbart sein. Dadurch ist eine Erweiterung der Modulreihe durch Anstecken eines weiteren Ausgangsmoduls an ein Ende der Modulreihe wesentlich erleichtert, unabhängig von der Codierung des letzten, am Ende der Modulreihe gelegenen Moduls. Mit Hilfe eines Ausgangsmodules mit neutral codiertem Stecker kann eine solche Modulreihe durch einfaches Anstecken um ein Subsystems erweitert werden.
  • Vorteilhafterweise weist ein solches Subsystem eine Gruppe von Modulen gleicher Codierung mit jeweils wenigstens einem Ausgangsmodul und wenigstens einem zugeordneten Eingangsmodul auf. Zur Erhöhung der Sicherheit ist es vorteilhaft, wenn das Subsystem jeweils nur genau ein Ausgangsmodul und zugeordnete Eingangsmodule aufweist. Ergebnis dieser Lösung ist es, dass Eingangsmodule nur noch innerhalb eines Subsystems beliebig tauschbar sind, was nicht sicherheitskritisch ist und der Anwender Eingangsmodule zwischen den Subsystemen durch die mechanische Inkompatibilität nicht vertauschen kann und dies sofort ohne aufwändige Diagnose erkennt.
  • Bevorzugt kann innerhalb eines Subsystems das Eingangsmodul über ein Bedienelement konfiguriert werden zur Zuordnung von Eingängen des Eingangsmoduls zu Ausgängen des Ausgangsmoduls gleicher Codierung. Das Bedienelement, beispielsweise ein Drehschalter, kann am Gehäuse angebracht sein, so dass dieses kompakt und einfach herzustellen und zugleich dem Benutzer einfach zugänglich ist. Das Bedienelement bietet eine weitere Unterstützung der sicheren Systemkonfiguration sowie des Vertauschungsschutzes. Mittels des Bedienelementes kann die Konfiguration der sicherheitstechnischen Eingangsauswertung erfolgen, beispielsweise ob die angeschlossenen Signalgeber einkanalig oder zweikanalig auszuwerten sind und/oder ob es sich um Not-Aus-Schalter, Lichtgitter, Sicherheitsschalter oder Zweihandfunktion etc. handelt. Diese mechanisch sichtbare Konfiguration ermöglicht dem Anwender ebenfalls die schnelle Wahrnehmung, dass gegebenenfalls beim Austausch defekter Module sich zwar der Sicherheitsabschaltpfad nicht verändert hat, aber die Auswertung der Sensorik falsch eingestellt ist. Ebenfalls kann das Bedienelement als Konfigurationsselektionsschalter auf dem Ausgangsmodul die logische Verknüpfung der zugeordneten Eingangsmodule des Subsystems (Und/ Oder/ Reihenfolge) konfigurieren und auch hier erkennt der Anwender bei Austausch von Ausgangsmodulen eine falsch eingestellte Konfiguration visuell sofort.
  • Eine weitere Ausgestaltung der Erfindung kann darin bestehen, feste Logikfunktionen in einem Subsystem vorzusehen. So können beispielsweise in einem Subsystem alle Eingangssignale logisch UND verknüpft werden und das Ergebnis auf den am Ausgangsmodul angeschlossenen Aktor geführt sein. Wird nun das Subsystem um ein Eingangsmodul durch Anlagenerweiterung erweitert, dann wirken die angeschlossenen Sensoren automatisch ebenfalls UND verknüpft auf den Aktor. Durch die erfindungsgemäße mechanische Codierung kann eine spätere Erweiterbarkeit des Systems bewusst zugelassen werden.
  • In ähnlicher Weise ließe sich auch eine spätere Erweiterung bewusst verhindern, indem z. B. das letzte Modul der Modulreihe an seinem freien Ende eine Codierung enthält, auf die keines der Module der Modulreihe passt, indem beispielsweise alle Steckerstiftaufnahmen der Buchse der Codier-Steckverbindung verschlossen sind. Da kein passendes Eingangsmodul verfügbar ist, kann es nicht zur unbewussten Erweiterung des Systems kommen.
  • In einer Ausführungsform der Erfindung bildet eines der Module ein zentrales Steuerungsmodul, mit dem eine Zuordnung von an den Eingangsmodulen anliegenden Signalgeberinformationen zu den an den zugehörigen Ausgangsmodulen auszugebenden Aktorsignalen erfolgen kann. Des Weiteren kann das zentrale Steuerungsmodul eine Auswerteeinheit umfassen, mit der eine Überprüfung durchführbar ist, ob die angeschlossenen Module korrekt, entsprechend der Codierung zusammengesteckt wurden. Eine solche Überprüfbarkeit erhöht weiter die Sicherheit und kann die Zertifizierung erleichtern.
  • Zur Erfüllung der Sicherheitsanforderungen nach den Normen ist es vorteilhaft, wenn die Module zweikanalig ausgeführt sind und die Signale redundant und/oder diversitär fehlersicher verarbeiten.
  • Durch ein Verfahren zum Herstellen und Überprüfen der modularen Sicherheitssteuerung wie sie vorstehend beschrieben ist und bei dem zunächst die Module bereitgestellt, dann zusammengesteckt werden, wie es die Codierungen erlauben und weiter die gesteckte Modulkonfiguration in eine Konfigurationssoftware eingegeben oder alternativ die Modulkonfiguration durch die Konfigurationssoftware selbsttätig ausgelesen wird und daraufhin ein Konfigurationsreport durch die Konfigurationssoftware erstellt wird, ist die Überprüfung, ob die Modulreihe richtig zusammengestellt wurde, also die Sicherheitssteuerung nur zulässige Abschaltpfade erlaubt, sowie eine Zertifizierung erheblich erleichtert. Der Konfigurationsreport kann Teil der Zertifizierung sein.
  • Die Erfindung wird nachstehend auch hinsichtlich weiterer Merkmale und Vorteile beispielhaft anhand eines Ausführungsbeispiels unter Bezug auf die Zeichnung näher erläutert. In der Zeichnung zeigen:
    • Fig. 1
    eine schematische Darstellung einer erfindungsgemäßen, modularen Sicherheitssteuerung;
    Fig. 2
    eine schematische Darstellung der Modulreihe aus Fig. 1 ohne Peripherie zur Darstellung der Codier-Steckverbindungen.
  • Eine erfindungsgemäßen Sicherheitssteuerung 100 mit beispielhaft fünf Eingangsmodulen und drei Ausgangsmodulen ist in Figur 1 dargestellt. Die Sicherheitssteuerung 100 besteht aus einer Modulreihe 102, die wiederum aus Subsystemen 110, 120 und 130 zusammengesetzt ist. Ein Subsystem enthält jeweils ein Ausgangsmodul und zugeordnete Eingangsmodule. Die Bezugszeichen wurden so gewählt, dass jedes Ausgangs- und Eingangsmodul jeweils zwei mit einem Bindestrich verbundene Bezugszeichen enthält, wobei die Ziffer vor dem Bindestrich das Subsystem bezeichnet und die Ziffer nach dem Bindestrich fortlaufend ist.
  • Jedes Eingangsmodul hat wenigstens einen ein- oder mehrkanaligen Eingang beziehungsweise eine Anschlussmöglichkeit für einen oder mehrere Signalgeber. Als Signalgeber kann ein Überwachungssensor, wie eine Lichtschranke, ein Lichtgitter, ein Laserscanner oder eine Sicherheitskamera, aber auch ein Schalter, wie ein Türpositionsschalter oder ein Not-Aus-Schalter vorgesehen sein.
  • Entsprechend hat jedes Ausgangsmodul wenigstens einen ein- oder mehrkanaligen Ausgang für einen Aktor. Dieser Aktor kann die Steuerung eines Roboters, ein Motor, eine Stromleitung, ein Relais oder die Steuerung einer Maschine, z. B. eine Presse, sein. Allgemein ist also der Aktor Teil einer Gefahr bringenden Maschine. Unter einem Betätigen des Aktors soll hier nicht dessen normaler Betrieb verstanden werden, sondern eine besondere Ansteuerung durch die Sicherheitssteuerung 100, um die Gefahr bringende Maschine in einen sicheren Zustand zu bringen. Das kann ein einfaches Abschalten, aber auch eine Warnung oder das gesteuerte Verbringen in eine sichere Parkposition sein. Wird der Aktor nicht betätigt, so bedeutet dies demnach nicht Stillstand, sondern gewöhnlichen, ungestörten Betrieb. Dieses Verständnis hindert nicht, dass auch andere Ansteuerungen von dem oder über das Ausgangsmodul an den Aktor gehen können.
  • Um die von den eingangs genannten Normen geforderten Sicherheitsanforderungen bei einer bestimmten Anwendung mit einer bestimmten, geforderten Sicherheitskategorie zu erfüllen, können die Module zweikanalig aufgebaut sein, um die Signale redundant und gegebenenfalls auch diversitär auswerten zu können.
  • Die Eingangsmodule sind jeweils mit bestimmten Ausgangsmodulen verbunden. Diese Zuordnung hängt von der Anwendung ab, denn jeder Aktor soll abhängig von den Zuständen bestimmter Signalgeber betätigt werden. In dem vorliegenden Ausführungsbeispiel soll eine gewisse Zuordnung bereits standardmäßig vorhanden sein, nämlich die Eingangsmodule sind immer dem jeweils links davon angeordneten Ausgangsmodul zugeordnet, was auch durch die Pfeile 104 dargestellt ist. Ein Ausgangsmodul hat jedoch keine Auswirkung auf links von ihm angeordnete, weitere Module. Selbstverständlich sind auch andere Kombinationen denkbar, nämlich, dass beispielsweise die Eingangsmodule immer auf das rechts von ihnen angeordnete Ausgangsmodul wirken und die Ausgangsmodule keine Wirkung auf rechts von ihnen angeordnete weitere Module haben.
  • Das erste Subsystem 110 umfasst deshalb ein Ausgangsmodul 10-6 und zwei Eingangsmodule 10-4 und 10-5. An das Eingangsmodul 10-4 sind zwei Signalgeber, nämlich ein Not-Aus-Schalter 10-1 und ein Sensor 10-2, angeschlossen. Dazu weist das Eingangsmodul 10-4 zwei nicht näher dargestellte Eingänge auf. An das Eingangsmodul 10-5 ist ein weiterer Sensor 10-3 angeschlossen. Die Verbindung von den Signalgebern zu dem jeweiligen Eingangsmodul ist durch Pfeile 106 nur schematisch dargestellt und kann ein- oder mehrkanalig ausgebildet sein. Die Signale des Not-Aus-Schalters 10-1 und der Sensoren 10-2 und 10-3 werden in den Eingangsmodulen 10-4 und 10-5 fehlersicher vorausgewertet und an das Ausgangsmodul 10-6 über eine nicht näher dargestellte elektrische Steckverbindung gegeben. Eine solche Steckverbindung, über die die Module miteinander verbunden sind, wird häufig auch als "backplane" bezeichnet. Im Ausgangsmodul 10-6 werden die Signale gegebenenfalls logisch miteinander verknüpft und das Ergebnis an den Aktor 10-7 über einen nicht näher dargestellten Ausgang gegeben. Auch hier deuten die Pfeile 108 die Verbindung zum Aktor nur schematisch an. In der tatsächlichen Anwendung kann die Verbindung ein- oder mehrkanalig sein. Auch ist es denkbar, dass das Ausgangsmodul 10-7 mehrere nicht dargestellte Ausgänge aufweist und dementsprechend verschiedene nicht weiter dargestellte Aktoren betätigen kann, und zwar abhängig von den verschiedenen Signalen der an den zugeordneten Eingangsmodulen des Subsystems 110 angeschlossenen Signalgebern 10-1, 10-2, 10-3.
  • In analoger Weise sind die beiden anderen Subsysteme 120 und 130 aufgebaut. Subsystem 120 weist ein Ausgangsmodul 20-6 und ein Eingangsmodul 20-4 auf, wobei an dem Eingangsmodul ein Signalgeber 20-1 angeschlossen ist und das Ausgangsmodul 20-6 auf einen Aktor 20-7 wirkt. Subsystem 130 ist ähnlich aufgebaut wie das erste Subsystem 110 mit zwei Eingangsmodulen 30-4 und 30-5, an denen ein Not-Aus-Schalter 30-1 und Sensoren 30-2 und 30-3 angeschlossen sind, sowie mit einem Ausgangsmodul 30-6, das auf einen Aktor 30-7 wirkt.
  • Zur Anpassung an eine Anwendung sind nun zwei Konfigurationsschritte notwendig: Es müssen erstens die Subsysteme zusammengestellt werden, also welche Ausgangsmodule mit welchen Eingangsmodulen verschaltet sind, bzw. welche Signalgeber bei der Entscheidung über das Schalten welchen Aktors zu berücksichtigen sind, und zweitens welche Auswertungsregeln jedes Ausgangsmodul innerhalb eines Subsystems bei der Auswertung der Signale verwendet, also in welcher Weise die Signale eines Subsystems logisch miteinander verknüpft werden sollen.
  • Für den ersten Schritt müssen lediglich ein Ausgangsmodul und rechts davon eine ausreichende Anzahl von Einzelmodulen gesteckt werden. Für den zweiten Schritt weisen die Ausgangsmodule ein Bedienelement 103 und die Eingangsmodule ein Bedienelement 105 auf, die als einfache Drehschalter ausgebildet sein können und über die festgelegt werden kann, welche Eingänge, also Signale welcher Signalgeber, auf einen angeschlossenen Aktor wirken sollen. Eine solche Konfiguration kann gegebenenfalls auch einfache Logik, die über die Drehschalter dann aus wählbar ist, enthalten.
  • Da ein derart konfiguriertes Subsystem eine in sich geschlossene Einheit bildet, jedenfalls was die Sicherheitsabschaltpfade betrifft, sind die Positionen der Eingangsmodule in der Modulreihe 102 innerhalb eines Subsystems, beispielsweise Eingangsmodule 10-4 und 10-5 des ersten Subsystems 110 oder die Eingangsmodule 30-4 und 30-5 des dritten Subsystems 130, beliebig, mit der einzigen Beschränkung, dass das Ausgangsmodul immer das am weitesten links positionierte sein muss.
  • Jedes Modul der Modulreihe 102 ist nach einer Ausführungsform in einem gleichartigen Gehäuse untergebracht. Das Gehäuse kann dabei ein IP20-Gehäusesystem sein, bei dem die einzelnen Module mit der "backplane" miteinander in Verbindung stehen. Alternativ kann je nach Anforderung das Gehäuse auch in einer höheren Schutzklasse wie beispielsweise IP65 ausgeführt sein.
  • Erfindungsgemäß sind des Weiteren mechanische Codierungen zwischen den Modulen vorgesehen. In diesem Ausführungsbeispiel sind die mechanischen Codierungen in Form von Codier-Steckverbindungen 200 ausgebildet, wie sie in Fig. 2 schematisch dargestellt sind. Dabei zeigt Fig.2 die Modulreihe 102 aus Fig. 1, wobei die Module getrennt voneinander dargestellt sind, um die erfindungsgemäße Codier-Steckverbindung 200 zu zeigen. Die Codier-Steckverbindungen 200 stellen eine mechanische Codierung zwischen benachbarten Modulen der Modulreihe 102 dar.
  • Die Codier-Steckverbindung 200 wird im Folgenden beispielhaft anhand der Verbindung zwischen dem Ausgangsmodule 20-6 und dem Eingangsmodul 20-4 der Modulreihe 102 erläutert. In diesem Ausführungsbeispiel besteht die Codier-Steckverbindung 200 aus einem Stecker 202, der linksseitig an dem Eingangsmodul 20-4 angeordnet ist und einer korrespondierenden Buchse 204, die rechtsseitig an dem Ausgangsmodul 20-6 angeordnet ist. Der Stecker 202 weist Steckerstifte 206 auf und die Buchse 204 entsprechende Steckerstiftaufnahmen 208. Zur mechanischen Codierung ist der zweite Steckerstift 206' (von unten gezählt) entfernt, was durch ein helles Feld angedeutet ist, und die korrespondierende, zweitunterste Steckerstiftaufnahme 208' ist verschlossen, beispielsweise durch einen passenden Stift. Die verschlossene Steckerstiftaufnahme 208' ist durch ein dunkles Feld dargestellt. Alle anderen Steckerstifte 206 und Steckerstiftaufnahmen 208 sind unverändert. Alle Module des zweiten Subsystems 120 weisen diese Codierung auf, so dass nur Ausgangs- und Eingangsmodule mit dieser Codierung zu einem Subsys tem zusammengesteckt werden können. Analoges gilt für das erste Subsystem 110, bei dem die Codierung dadurch erfolgt ist, dass hier der erste Steckerstift (von unten gezählt) entfernt und dementsprechend die erste Steckerstiftaufnahme verschlossen ist, sowie auch für das dritte Subsystem 31, bei dem die Codierung dadurch erfolgt ist, dass nur der dritte Steckerstift fehlt und die entsprechende dritte Steckerstiftaufnahme verschlossen ist.
  • Anstatt einen der neun Steckerstifte 206 zur Codierung zu entfernen und die entsprechende Steckerstiftaufnahme 208 zu verschließen, könnte auch lediglich eine Veränderung des entsprechenden Steckerstiftes in seinem Querschnitt, beispielsweise Verkleinerung und eine entsprechende Anpassung der Steckerstiftaufnahme genügen.
  • Anstelle des hier gewählten Codes 1 aus n (n=9) sind auch beliebig andere eindeutige Binärcodes denkbar (z. B. 2 aus n oder 3 aus n). Vorteilhafterweise erfolgt die Codierung bereits beim Hersteller, um zur Erhöhung der Sicherheit dem Anwender somit bereits Subsysteme vorgegeben zu haben.
  • Da die Module bereits über elektrische Steckverbindungen miteinander verbunden sind, ist es aus Kostengründen vorteilhaft, dass die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen sind.
  • Des Weiteren ist es vorteilhaft, wenn die Module gleichartige Gehäuse 210 aufweisen und jeweils den Stecker 206 auf der einen Seite (in diesem Ausführungsbeispiel links) und die Buchse 208 auf der gegenüberliegenden Seite des Gehäuses 210 in gleichartiger Anordnung aufweisen. Dann kann die Modulreihe 102 durch Einfügen zusätzlicher Module in Subsysteme entsprechend der Codierung oder Herausnehmen von Modulen erweitert oder verkleinert werden.
  • Wie bereits erläutert enthält jedes Modul eines Subsystems die gleiche Codierung. Damit kann ein Eingangsmodul innerhalb eines Subsystems beliebig positioniert, aber nicht in anderen Subsystemen eingesetzt werden, wodurch die Sicherheitsabschaltpfade somit nicht geändert werden können.
  • Da wie bereits oben erwähnt die Subsysteme bezüglich der Sicherheitsabschaltpfade unabhängig voneinander sind, ist es vorteilhaft, wenn ein Subsystem, bestehend aus einem linksseitig angeordneten Ausgangsmodul und rechts davon angeordneten weiteren Eingangsmodulen, an beliebiger Stelle in der Modulreihe eingesetzt werden kann. Dazu ist es notwendig, dass der linksseitige Stecker 203 eines Ausgangsmoduls 20-6 oder 30-6 eine neutrale Codierung aufweist, wie dies in dem Ausführungsbeispiel dadurch realisiert ist, dass sämtliche Steckerstifte 206 so ausgebildet sind, dass sie in jede Art Steckerstiftaufnahme 208 oder 208' passen, was in Fig. 2 durch helle Felder für alle Steckerstifte 206 des neutral codierten Steckers 203 angedeutet ist. Auf diese Weise könnte die Modulreihe 102 aus Fig. 2 auch so aufgebaut sein, dass rechts vom ersten Subsystem 110 das dritte Subsystem 130 und rechts davon das zweite Subsystem 120 angeordnet ist. Dadurch ist dem Endanwender eine gewisse Flexibilität beim Aufbau der Modulreihe 102 gelassen, ohne die Sicherheit zu beeinträchtigen.
  • Häufig werden in einer Sicherheitssteuerung Module gefordert, die keine sicherheitstechnische Funktion haben, beispielsweise Kommunikationsgateways zum Anschluss der Modulreihe 102 an ein Bussystem oder passive Buskomponenten. Ein solches Modul ist als die Modulreihe 102 rechts abschließendes Modul 212 in Fig. 2 dargestellt. Das Modul 212 kann an ein Subsystem beliebiger Codierung angesteckt werden und weist deshalb ebenfalls eine neutrale Codierung auf der Steckerseite 203 auf. Damit ist mit einem solchen Modul 212 die Modulreihe immer abschließbar, unabhängig davon welches Subsystem sich am weitesten rechts befindet oder mit anderen Worten, unabhängig davon wie lang die Modulreihe ist bzw. wie viele Subsysteme die Modulreihe umfasst.
  • Des Weiteren betrifft die Erfindung ein Verfahren zum Überprüfen der modularen Sicherheitssteuerung, also zum Überprüfen der Modulreihe 102, ob aus sicherheitstechnischen Gesichtspunkten der getätigte Aufbau, wie er beispielsweise in Fig. 1 gezeigt ist, korrekt ist. Dieses Verfahren ist in einer Software implementiert, die entweder separat oder beispielsweise in dem Modul 212 vorgesehen sein kann und mittels derer ein Report über die vorhandene Konfiguration erstellt wird, indem die gesteckte Modulkonfiguration in die Software entweder von Hand eingegeben, z. B. durch manuelle Positionierung von Abbildungen der Module auf einem Bildschirm des PC in der Weise wie tatsächlich gesteckt wurde, oder indem die Modulkonfiguration selbsttätig von dem Modul 22 ausgelesen wird. Die Konfiguration der Modulreihe automatisch auszulesen hat den Vorteil, dass dann der Anwender nicht nochmals manuell alles auf dem PC anordnen muss, jedoch weiterhin die Software eine saubere Anlagendokumentation für die Abnahme erzeugt. Denn der Report, z. B. ein Ausdruck, liefert archivierbare, nachweisbare Information darüber, welche Module wo in der Reihe anzuordnen sind, welche Codierung die Module aufweisen müssen und welche Gerätebestellnummern, also Gerätetypen, eingesetzt werden müssen. Anhand diesen Ausdrucks erfolgt dann die sicherheitstechnische Verifikation mit dem installierten System. So kann der Report für Abnahme- und Zertifizierungszwecke verwendet werden.

Claims (12)

  1. Modulare Sicherheitssteuerung, mit wenigstens einem Ausgangsmodul zur Ansteuerung eines Aktors, wenigstens einem Eingangsmodul zur Aufnahme von Signalgeberinformation, wenigstens einem weiteren Modul, wobei die Module über elektrische Steckverbindungen zu einer Modulreihe miteinander verbindbar sind, wobeieine mechanische Codierung zwischen benachbarten Modulen vorgesehen ist, die ein Zusammenstecken der Module nur entsprechend der Codierung erlaubt, dadurch gekennzeichnet, dass die Modulreihe aufgeteilt ist in Subsysteme, wobei Module innerhalb eines Subsystems eine gleiche Codierung aufweisen und Module unterschiedlicher Subsysteme unterschiedliche Codierungen aufweisen.
  2. Sicherheitssteuerung nach Anspruch 1, dadurch gekennzeichnet, dass die mechanische Codierung mittels Codier-Steckverbindungen gebildet ist.
  3. Sicherheitssteuerung nach Anspruch 2, dadurch gekennzeichnet, dass die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen sind.
  4. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 2 oder 3, dadurch gekennzeichnet, dass die Codier-Steckverbindung aus einem mehrpoligen Stecker und dazu korrespondierender Buchse besteht, wobei jeder Pol durch einen Steckerstift gebildet ist und die Codierung dadurch gebildet ist, dass im kodierten Stecker wenigstens einer der Steckerstifte verändert, insbesondere im Querschnitt verkleinert, bzw. ganz entfernt ist und in der korrespondierenden Buchse die zugehörige Steckerstiftaufnahme entsprechend angepasst bzw. verschlossen ist.
  5. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 2 bis 4, dadurch gekennzeichnet, dass Module gleichartige Gehäuse aufweisen und jeweils einen Stecker und eine Buchse für die Codier-Steckverbindung auf gegenüberliegenden Seiten des Gehäuses in gleichartiger Anordnung aufweisen.
  6. Sicherheitssteuerung nach Anspruch 5, dadurch gekennzeichnet, dass ausgewählte Module, insbesondere die Ausgangsmodule, neutral codierte Stecker der Codier-Steckverbindung aufweisen, so dass jedes Ausgangsmodul zur einen Seite hin jedem anderen Modul benachbart sein kann.
  7. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Subsystem mit Modulen gleicher Codierung jeweils wenigstens ein Ausgangsmodul und wenigstens ein zugeordnetes Eingangsmodul aufweist.
  8. Sicherheitssteuerung nach Anspruch 7, dadurch gekennzeichnet, dass ein Subsystem mit Modulen gleicher Codierung jeweils genau ein Ausgangsmodul und wenigstens ein zugeordnetes Eingangsmodul aufweist.
  9. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 7 bis 8, dadurch gekennzeichnet, dass das Eingangsmodul über ein Bedienelement konfiguriert werden kann zur Zuordnung von Eingängen des Eingangsmoduls zu Ausgängen des Ausgangsmoduls gleicher Codierung.
  10. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eines der Module ein zentrales Steuerungsmodul bildet, mit dem eine Zuordnung von an den Eingangsmodulen anliegenden Signalgeberinformationen zu den an den Ausgangsmodulen auszugebenden Aktorsignalen erfolgt und/oder das eine Auswerteeinheit umfasst, mit der eine Überprüfung durchführbar ist, ob die angeschlossenen Module korrekt, entsprechend der Codierung zusammengesteckt wurden.
  11. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Module zweikanalig ausgeführt sind und die Signale redundant und/oder diversitär fehlersicher verarbeiten.
  12. Verfahren zum Herstellen und Überprüfen einer modularen Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, bestehend aus Subsystemen und wenigstens einem Ausgangsmodul, wenigstens einem Eingangsmodul und wenigstens einem weiteren Modul mit folgenden Schritten:
    - Bereitstellen der Module,
    - Zusammenstecken der Module, wie es die Codierungen erlauben,
    - Eingeben der gesteckten Modulkonfiguration in eine Konfigurationssoftware oder selbsttätiges Auslesen der Modulkonfiguration durch die Konfigurationssoftware,
    - Erstellen eines Konfigurationsreports durch die Konfigurationssoftware.
EP08101866A 2008-02-22 2008-02-22 Modulare Sicherheitssteuerung Not-in-force EP2093845B1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP08101866A EP2093845B1 (de) 2008-02-22 2008-02-22 Modulare Sicherheitssteuerung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP08101866A EP2093845B1 (de) 2008-02-22 2008-02-22 Modulare Sicherheitssteuerung

Publications (2)

Publication Number Publication Date
EP2093845A1 EP2093845A1 (de) 2009-08-26
EP2093845B1 true EP2093845B1 (de) 2012-10-03

Family

ID=39632452

Family Applications (1)

Application Number Title Priority Date Filing Date
EP08101866A Not-in-force EP2093845B1 (de) 2008-02-22 2008-02-22 Modulare Sicherheitssteuerung

Country Status (1)

Country Link
EP (1) EP2093845B1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022107717A1 (de) * 2022-03-31 2023-10-05 Pilz Gmbh & Co. Kg Verfahren zur Durchführung einer Sicherheitsüberprüfung einer modularen Sicherheitssteuerung

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114921A1 (de) * 1991-05-07 1992-11-12 Ahlborn Mess Und Regelungstech Elektrische steckverbindung
EP0592712A1 (de) * 1992-10-14 1994-04-20 Siemens Aktiengesellschaft Steckanschlusssystem für eine elektronische Baugruppe

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE549278C (de) * 1929-11-26 1932-04-25 Siemens Schuckertwerke Akt Ges System unverwechselbarer Steckvorrichtungen mit profilierten Steckerstiften
JPS60124375A (ja) * 1983-11-28 1985-07-03 モレツクス・インコ−ポレ−テツド コネクタの定極化方法及びその装置
US4725243A (en) * 1986-08-28 1988-02-16 Minnesota Mining And Manufacturing Company Polarizing key for cable termination
DE4025571A1 (de) * 1990-08-11 1992-02-13 Wieland Elektrische Industrie Mehrpolige geraetesteckvorrichtung
JPH04108509U (ja) * 1991-03-06 1992-09-18 フクダ電子株式会社 誘導コネクタ
CH684042A5 (de) * 1991-09-06 1994-06-30 Siemens Ag Albis Steckdose.
DE19605698C1 (de) * 1996-02-16 1997-04-24 Wieland Elektrische Industrie Anschlußeinrichtung für ein elektrisches Installationssystem
US6172875B1 (en) * 1998-11-17 2001-01-09 Rockwell Technologies, Llc Programmable logic controller module assembly and locking system
DE10020075C5 (de) * 2000-04-22 2011-06-22 Pilz GmbH & Co. KG, 73760 Sicherheitsschaltgeräte-Modulanordnung

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4114921A1 (de) * 1991-05-07 1992-11-12 Ahlborn Mess Und Regelungstech Elektrische steckverbindung
EP0592712A1 (de) * 1992-10-14 1994-04-20 Siemens Aktiengesellschaft Steckanschlusssystem für eine elektronische Baugruppe

Also Published As

Publication number Publication date
EP2093845A1 (de) 2009-08-26

Similar Documents

Publication Publication Date Title
EP2315088B1 (de) Sicherheitssteuerung
EP0875810B1 (de) Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
EP3069202B1 (de) Sicherheitssteuerung mit konfigurierbaren eingängen
EP2317410B1 (de) Sicherheitssteuerung
EP2363770B1 (de) Sicherheitsvorrichtung mit einer konfigurierbaren Sicherheitssteuerung
EP1174781B1 (de) Einrichtung zur Signalübertragung
EP2356527B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage mit einer vielzahl von anlagenhardwarekomponenten
EP3100121B1 (de) Verfahren und vorrichtung zum sicheren abschalten einer elektrischen last
EP2012201A1 (de) Verfahren zum Programmieren einer Sicherheitssteuerung
EP2367083A1 (de) Vorrichtung zur Erstellung eines Programms für eine speicherprogrammierbare Steuerung, Programmiereinrichtung und Verfahren zur Programmierung einer speicherprogrammierbaren Steuerung
EP2098924B1 (de) Verfahren und Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP2683227B1 (de) Elektronikmodul zum Einstecken in eine Trägereinheit
EP3491787B1 (de) Reihenmodul, funktionsmodulanordnung und modular ausgebildete steuerungsanordnung
EP2587512B1 (de) Sicherheitsgerichtetes Schaltgerät
DE202008017893U1 (de) Vorrichtung zum Programmieren und/oder Konfigurieren einer Sicherheitssteuerung
EP3470939B1 (de) Verfahren und system zum überwachen der sicherheitsintegrität einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP2835699A1 (de) Vorrichtung und Verfahren zum Konfigurieren und/oder Programmieren einer Sicherheitssteuerung
EP1128241B1 (de) Verfahren und Vorrichtung zur Sicherheitsüberwachung einer Steuereinrichtung
EP2093845B1 (de) Modulare Sicherheitssteuerung
EP3470937B1 (de) Verfahren und vorrichtungen zum überwachen der reaktionszeit einer durch ein sicherheitssystem bereitgestellten sicherheitsfunktion
EP2042955A1 (de) Unterstützung von Servicehandlungen an einer speicherprogrammierbaren Steuerung (SPS)
DE102010038459A1 (de) Sicherheitssystem
EP3726313B1 (de) Sicherheitsschaltvorrichtung
EP3660597B1 (de) Schaltgerät zum fehlersicheren ein- oder ausschalten einer gefährlichen maschinenanlage
EP4321949A1 (de) Modulare steuerungseinrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

AX Request for extension of the european patent

Extension state: AL BA MK RS

17P Request for examination filed

Effective date: 20100204

AKX Designation fees paid

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20110103

GRAP Despatch of communication of intention to grant a patent

Free format text: ORIGINAL CODE: EPIDOSNIGR1

GRAS Grant fee paid

Free format text: ORIGINAL CODE: EPIDOSNIGR3

GRAA (expected) grant

Free format text: ORIGINAL CODE: 0009210

AK Designated contracting states

Kind code of ref document: B1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR

REG Reference to a national code

Ref country code: GB

Ref legal event code: FG4D

Free format text: NOT ENGLISH

REG Reference to a national code

Ref country code: CH

Ref legal event code: EP

Ref country code: AT

Ref legal event code: REF

Ref document number: 578362

Country of ref document: AT

Kind code of ref document: T

Effective date: 20121015

REG Reference to a national code

Ref country code: IE

Ref legal event code: FG4D

Free format text: LANGUAGE OF EP DOCUMENT: GERMAN

REG Reference to a national code

Ref country code: DE

Ref legal event code: R096

Ref document number: 502008008291

Country of ref document: DE

Effective date: 20121129

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: SI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

REG Reference to a national code

Ref country code: NL

Ref legal event code: VDEP

Effective date: 20121003

REG Reference to a national code

Ref country code: LT

Ref legal event code: MG4D

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: NL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: IS

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130203

Ref country code: SE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: NO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130103

Ref country code: LT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: HR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: FI

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: ES

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130114

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130104

Ref country code: CY

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: PL

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: LV

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: PT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130204

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: BG

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20130103

Ref country code: EE

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: CZ

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: SK

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

PLBE No opposition filed within time limit

Free format text: ORIGINAL CODE: 0009261

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: IT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

Ref country code: RO

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

BERE Be: lapsed

Owner name: SICK A.G.

Effective date: 20130228

26N No opposition filed

Effective date: 20130704

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MC

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130228

REG Reference to a national code

Ref country code: DE

Ref legal event code: R097

Ref document number: 502008008291

Country of ref document: DE

Effective date: 20130704

REG Reference to a national code

Ref country code: IE

Ref legal event code: MM4A

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: BE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130228

Ref country code: IE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130222

REG Reference to a national code

Ref country code: AT

Ref legal event code: MM01

Ref document number: 578362

Country of ref document: AT

Kind code of ref document: T

Effective date: 20130222

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: AT

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130222

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: MT

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

REG Reference to a national code

Ref country code: FR

Ref legal event code: PLFP

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: CH

Payment date: 20150223

Year of fee payment: 8

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: GB

Payment date: 20150223

Year of fee payment: 8

Ref country code: FR

Payment date: 20150217

Year of fee payment: 8

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: TR

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT

Effective date: 20121003

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LU

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20130222

Ref country code: HU

Free format text: LAPSE BECAUSE OF FAILURE TO SUBMIT A TRANSLATION OF THE DESCRIPTION OR TO PAY THE FEE WITHIN THE PRESCRIBED TIME-LIMIT; INVALID AB INITIO

Effective date: 20080222

REG Reference to a national code

Ref country code: CH

Ref legal event code: PL

GBPC Gb: european patent ceased through non-payment of renewal fee

Effective date: 20160222

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: LI

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160229

Ref country code: CH

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160229

REG Reference to a national code

Ref country code: FR

Ref legal event code: ST

Effective date: 20161028

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: GB

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160222

Ref country code: FR

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20160229

PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

Ref country code: DE

Payment date: 20190219

Year of fee payment: 12

REG Reference to a national code

Ref country code: DE

Ref legal event code: R119

Ref document number: 502008008291

Country of ref document: DE

PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

Ref country code: DE

Free format text: LAPSE BECAUSE OF NON-PAYMENT OF DUE FEES

Effective date: 20200901