[0001] Die Erfindung betrifft eine modulare Sicherheitssteuerung nach dem Oberbegriff von
Anspruch 1 sowie ein Verfahren zum Herstellen und Überprüfen einer solchen modularen
Sicherheitssteuerung.
[0002] Eine Sicherheitssteuerung ist eine Vorrichtung, die von Signalgeber, wie Not-Aus-Taster,
Schutztürschalter, Lichtschranken oder Lichtgitter, gelieferte Eingangssignale aufnimmt
und daraus durch logische Verknüpfungen Ausgangssignale erzeugt. Die Ausgangssignale
können dann Aktuatoren zugeführt werden, die dann in Abhängigkeit von den Eingangssignalen
gezielte Aktionen oder Reaktionen in der Umgebung bewirken, z. B. um eine Maschine,
wie eine Presse oder einen Schweißroboter, von der im Betrieb eine Gefahr für Menschen
ausgeht, abzusichern. Beim Ansprechen eines Signalgebers, z. B. beim Öffnen der Schutztür,
Betätigen des Not-Aus-Tasters oder beim Ansprechen eines Sensors wird jeweils ein
Signal erzeugt, das der Sicherheitssteuerung als Eingangssignal zugeführt ist. In
Reaktion darauf schaltet die Sicherheitssteuerung dann beispielsweise mit Hilfe eines
Aktuators den gefahrbringenden Teil der Maschine ab bzw. setzt die Maschine in einen
gefahrlosen Zustand.
[0003] Charakteristisch an einer Sicherheitssteuerung ist im Gegensatz zu einer "normalen"
Steuerung, dass die Sicherheitssteuerung selbst dann, wenn bei ihr oder einem mit
ihr verbundenen Gerät eine Fehlfunktion auftritt, stets einen sicheren Zustand der
gefahrbringenden Anlage oder Maschine gewährleisten muss. Daher werden bei Sicherheitssteuerungen
extrem hohe Anforderungen an die eigene Fehlersicherheit gestellt, was einen erheblichen
Aufwand bei der Entwicklung und Herstellung zur Folge hat. In der Regel benötigen
nicht nur die Sicherheitssteuerungen alleine eine besondere Zulassung durch zuständige
Aufsichtsbehörden, wie Berufsgenossenschaften oder TÜV, sondern zusätzlich in Kombination
mit einer mit der Sicherheitssteuerung ausgerüsteten Maschine. Die Sicherheitssteuerung
muss dabei vorgegebene Sicherheitsstandards einhalten, die beispielsweise in der europäischen
Norm EN 954-1 bzw. ISO 13849 (performance level) definiert sind. Die möglichen Sicherheitsstufen
und die weiteren Sicherheitsanforderungen an eine Anwendung sind in der Norm EN 61508
bzw. EN 62061 definiert.
[0004] Aus der
DE 100 20 075 C2 ist eine solche Sicherheitssteuerung bekannt. Danach ist eine Reihe von Eingangs-
und Ausgangsmodulen vorgesehen, wobei jedes Eingangsmodul Eingangsignale von einem
Signalgeber erhält und jedes Ausgangsmodul einen Aktor betätigen kann, der eine Gefahrenquelle
ausschaltet. Mit einer fest implementierten Logikverschaltung erfolgt die Zuordnung
der Eingangssignale zu einem Aktor dadurch, dass die Positionen, an denen die Module
in der Modulreihe angeordnet sind, eine eindeutige Zuordnung eines Eingangssignals
zu einem Ausgangsignal bestimmen. Die Positionen innerhalb der Modulreihe geben also
die Schaltregeln vor und durch Einsetzen der Module kann ausgewählt werden, welche
Sensoren auf welche Weise mit diesen Schaltregeln mit einem Aktor verbunden werden.
Das erspart einerseits eine Programmierung und ist andererseits aber flexibler als
eine feste Verdrahtung. Der Vorteil der einfachen Festlegung von Schaltregeln durch
einfaches Positionieren der Eingangsmodule birgt aber auch ein Sicherheitsrisiko,
denn im Falle eines Gerätetausches, beispielsweise aufgrund eines defekten Moduls
oder aufgrund gewünschter Erweiterung der Modulreihe kann sehr leicht der Sicherheitsabschaltpfad
ungewollt verändert werden. Wenn beispielsweise der Anwender ein Eingangsmodul aus
dem System entfernt und es ungewollt oder unwissend an eine andere Position in der
Modulreihe positioniert, hat er bereits den Abschaltpfad geändert. Diese Veränderung
des Sicherheitsabschaltpfades kann die Wirkrichtung eines Sicherheitslichtgitters
auf den Aktor verändern, das heißt im schlimmsten Fall, dass durch einen Eingriff
in das Lichtgitter nicht die ge fahrbringende Bewegung der Presse gestoppt, sondern
möglicherweise nur eine Materialzuführung gestoppt wird. Um dennoch die Sicherheit
zu gewährleisten, müsste eine Positionsänderung von Eingangsmodulen jedes Mal durch
eine erneute aufwändige Inbetriebnahme des Sicherheitsschaltgerätes mit vollständiger
Überprüfung aller Sicherheitsfunktionen auf korrekte Installation geprüft werden.
Zumindest müsste eine Fehleranzeige erfolgen, was nicht nur aufwändig ist, sondern
auch zusätzliche Komponenten erfordert. Womöglich muss die gesamte Anlage mit der
Sicherheitssteuerung neu zertifiziert werden.
[0005] Davon ausgehend ist es Aufgabe der Erfindung, eine kostengünstige und leistungsfähige
Sicherheitssteuerung bereitzustellen, welche auch im Falle der Wartung und Reparatur
dem Anwender eine möglichst hohe Sicherheit bei gleichbleibend einfacher Bedienung
ermöglicht.
[0006] Diese Aufgabe wird gelöst durch eine modulare Sicherheitssteuerung, mit wenigstens
einem Ausgangsmodul zur Ansteuerung eines Aktors, wenigstens einem Eingangsmodul zur
Aufnahme von Signalgeberinformation und wenigstens einem weiteren Modul, wobei die
Module über elektrische Steckverbindungen zu einer Modulreihe miteinander verbindbar
sind. Erfindungsgemäß ist eine mechanische Codierung zwischen benachbarten Modulen
vorgesehen, die ein Zusammenstecken der Module nur entsprechend der Codierung erlaubt.
[0007] Die Erfindung ermöglicht eine eindeutige Zuordnung der Eingangsmodule zu Ausgangsmodulen
und verhindert durch die mechanische Codierung einen Vertauschungsschutz der Sicherheitsabschaltpfade.
Dies erhöht die Anlagenverfügbarkeit, verringert das Sicherheitsrisiko bei Inbetriebnahme,
Wartung und Reparatur und senkt die Kosten, da die zwingende Sicherheitsüberprüfung
nach Änderungen der Anlagen stark vereinfacht werden kann.
[0008] Weiterhin ist die Realisierung sehr kostengünstig für den Gerätehersteller, da keine
Software und Elektronikhardware hierfür vorgesehen werden muss.
[0009] Ebenfalls ist die Lösung für den Anwender sehr vorteilhaft, da er eine Vertauschung
sofort und offensichtlich durch mechanische Inkompatibilität erkennt.
[0010] Ein weiterer wesentlicher Vorteil besteht darin, dass durch die mechanische Codierung
sichergestellt ist, dass ein ausreichender Vertauschungsschutz gegeben ist, beispielsweise
bei einer gewünschten Systemerweiterung. In diesem Fall muss dem Anwender vom Hersteller
nur das richtig codierte Eingangsmodul bereitgestellt werden und der Anwender kann
ohne besondere Vorkenntnisse das erhaltene Modul in die Modulreihe einstecken und
dabei sicher sein, dass keine falschen Sicherheitsabschaltpfade erzeugt wurden. Auf
diese Weise lässt sich die erfindungsgemäße modulare Sicherheitssteuerung in einfachster
Weise durch Zusammenfügen, beispielsweise Stecken, weiterer Module zum Anschluss weiterer
Sensoren erweitern, ohne dass die bisherigen Sicherheitsabschaltpfade erneut geprüft
werden müssen.
[0011] Ebenfalls hat der Anwender die Möglichkeit, eine spätere Erweiterung des System durch
z. B. Anlagenerweiterungen durch die mechanische Codierung bewusst zuzulassen oder
auch zu verhindern.
[0012] Mit der Erfindung ist es dem Anwender möglich, beim Tausch von Modulen, beispielsweise
beim Austausch defekter Module, eine fehlerhafte Positionierung des Eingangsmoduls
sofort zu erkennen ohne hierzu eine Diagnosesoftware nutzen oder eine Fehleranzeige
auf dem Gerätedisplay interpretieren zu müssen. Dieses wird durch die mechanische
Codierung sichergestellt, indem von vornherein die mechanische Codierung eine falsche
Positionierung nicht zulässt.
[0013] Die Erfindung kann mit weiteren Merkmalen fortgebildet werden, wie sie beispielhaft,
aber nicht abschließend, in den sich anschließenden Unteransprüchen angegeben sind
und zeigt dabei weitere Vorteile.
[0014] Eine einfach zu realisierende Möglichkeit der mechanischen Codierung besteht darin,
eine Codier-Steckverbindung vorzusehen. Alternativ könnte die mechanische Codierung
auch in verschiedenen, zueinander passenden Gehäuseformen realisiert sein, so dass
beispielsweise nach Art von zueinander passenden Bausteinen eine Modulreihe aufgebaut
sein kann. Das hätte gegenüber einer einfachen Codier-Steckverbindung allerdings den
Nachteil, dass eine Vielzahl verschiedener Gehäuseformen entsprechend der Codierung
vorhanden sein müssten.
[0015] Bei bekannten Modulreihen besteht bereits eine mechanische Verbindung zwischen den
einzelnen Modulen durch die typische Realisierung eines so genannten "backplane" mittels
Stecker/Buchse zwischen den einzelnen Modulen. Deshalb ist es vorteilhaft, wenn die
Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen
sind. Alternativ können aber auch zusätzliche mechanische Codier-Steckverbindungen
zwischen den Modulen durch beispielsweise Nuten/Stift-Kombinationen realisiert werden.
[0016] Eine vorteilhaft einfache Codiermöglichkeit ergibt sich, wenn die Codier-Steckverbindung
aus einem mehrpoligen Stecker und dazu korrespondierender Buchse besteht, wobei jeder
Pol durch einen Steckerstift gebildet ist und die Codierung dadurch gebildet ist,
dass im kodierten Stecker wenigstens einer der Steckerstifte verändert, insbesondere
im Querschnitt verkleinert, bzw. ganz entfernt ist und in der korrespondierenden Buchse
die zugehörige Steckerstiftaufnahme entsprechend angepasst bzw. verschlossen ist.
Eine solche Codier-Steckverbindung lässt sich dann aus im Handel erhältlichen elektrischen
Steckverbindungen aufbauen.
[0017] Der Austausch von Modulen oder die Erweiterung der Modulreihe ist erleichtert, wenn
die Module gleichartige Gehäuse aufweisen und jeweils einen Stecker und eine Buchse
für die Codier-Steckverbindung auf gegenüberliegenden Seiten des Gehäuses in gleichartiger
Anordnung aufweisen. Vorzugsweise ist das Gehäuse als Standard IP20 Gehäuse ausgebildet.
[0018] Wenn ausgewählte Module, beispielsweise Ausgangsmodule, neutral codierte Stecker
der Codier-Steckverbindung aufweisen, so kann das Ausgangsmodul zur einen Seite hin
jedem anderen Modul benachbart sein. Dadurch ist eine Erweiterung der Modulreihe durch
Anstecken eines weiteren Ausgangsmoduls an ein Ende der Modulreihe wesentlich erleichtert,
unabhängig von der Codierung des letzten, am Ende der Modulreihe gelegenen Moduls.
Dies ist besonders dann von Vorteil, wenn jeweils eine Gruppe von Modulen gleiche
Codierung aufweist, so dass die Modulreihe aufgeteilt ist in Subsysteme, wobei innerhalb
eines Subsystems eine gleiche Kodierung vorliegt, so dass innerhalb des Subsystems
die Module beliebig vertauscht werden können, ohne die Sicherheitsabschaltpfade zu
beeinflussen. Mit Hilfe eines Ausgangsmodules mit neutral codiertem Stecker kann eine
solche Modulreihe durch einfaches Anstecken um ein Subsystems erweitert werden.
[0019] Vorteilhafterweise weist ein solches Subsystem eine Gruppe von Modulen gleicher Codierung
mit jeweils wenigstens einem Ausgangsmodul und wenigstens einem zugeordneten Eingangsmodul
auf. Zur Erhöhung der Sicherheit ist es vorteilhaft, wenn das Subsystem jeweils nur
genau ein Ausgangsmodul und zugeordnete Eingangsmodule aufweist. Ergebnis dieser Lösung
ist es, dass Eingangsmodule nur noch innerhalb eines Subsystems beliebig tauschbar
sind, was nicht sicherheitskritisch ist und der Anwender Eingangsmodule zwischen den
Subsystemen durch die mechanische Inkompatibilität nicht vertauschen kann und dies
sofort ohne aufwändige Diagnose erkennt.
[0020] Bevorzugt kann innerhalb eines Subsystems das Eingangsmodul über ein Bedienelement
konfiguriert werden zur Zuordnung von Eingängen des Eingangsmoduls zu Ausgängen des
Ausgangsmoduls gleicher Codierung. Das Bedienelement, beispielsweise ein Drehschalter,
kann am Gehäuse angebracht sein, so dass dieses kompakt und einfach herzustellen und
zugleich dem Benutzer einfach zugänglich ist. Das Bedienelement bietet eine weitere
Unterstützung der sicheren Systemkonfiguration sowie des Vertauschungsschutzes. Mittels
des Bedienelementes kann die Konfiguration der sicherheitstechnischen Eingangsauswertung
erfolgen, beispielsweise ob die angeschlossenen Signalgeber einkanalig oder zweikanalig
auszuwerten sind und/oder ob es sich um Not-Aus-Schalter, Lichtgitter, Sicherheitsschalter
oder Zweihandfunktion etc. handelt. Diese mechanisch sichtbare Konfiguration ermöglicht
dem Anwender ebenfalls die schnelle Wahrnehmung, dass gegebenenfalls beim Austausch
defekter Module sich zwar der Sicherheitsabschaltpfad nicht verändert hat, aber die
Auswertung der Sensorik falsch eingestellt ist. Ebenfalls kann das Bedienelement als
Konfigurationsselektionsschalter auf dem Ausgangsmodul die logische Verknüpfung der
zugeordneten Eingangsmodule des Subsystems (Und/ Oder/ Reihenfolge) konfigurieren
und auch hier erkennt der Anwender bei Austausch von Ausgangsmodulen eine falsch eingestellte
Konfiguration visuell sofort.
[0021] Eine weitere Ausgestaltung der Erfindung kann darin bestehen, feste Logikfunktionen
in einem Subsystem vorzusehen. So können beispielsweise in einem Subsystem alle Eingangssignale
logisch UND verknüpft werden und das Ergebnis auf den am Ausgangsmodul angeschlossenen
Aktor geführt sein. Wird nun das Subsystem um ein Eingangsmodul durch Anlagenerweiterung
erweitert, dann wirken die angeschlossenen Sensoren automatisch ebenfalls UND verknüpft
auf den Aktor. Durch die erfindungsgemäße mechanische Codierung kann eine spätere
Erweiterbarkeit des Systems bewusst zugelassen werden.
[0022] In ähnlicher Weise ließe sich auch eine spätere Erweiterung bewusst verhindern, indem
z. B. das letzte Modul der Modulreihe an seinem freien Ende eine Codierung enthält,
auf die keines der Module der Modulreihe passt, indem beispielsweise alle Steckerstiftaufnahmen
der Buchse der Codier-Steckverbindung verschlossen sind. Da kein passendes Eingangsmodul
verfügbar ist, kann es nicht zur unbewussten Erweiterung des Systems kommen.
[0023] In einer Ausführungsform der Erfindung bildet eines der Module ein zentrales Steuerungsmodul,
mit dem eine Zuordnung von an den Eingangsmodulen anliegenden Signalgeberinformationen
zu den an den zugehörigen Ausgangsmodulen auszugebenden Aktorsignalen erfolgen kann.
Des Weiteren kann das zentrale Steuerungsmodul eine Auswerteeinheit umfassen, mit
der eine Überprüfung durchführbar ist, ob die angeschlossenen Module korrekt, entsprechend
der Codierung zusammengesteckt wurden. Eine solche Überprüfbarkeit erhöht weiter die
Sicherheit und kann die Zertifizierung erleichtern.
[0024] Zur Erfüllung der Sicherheitsanforderungen nach den Normen ist es vorteilhaft, wenn
die Module zweikanalig ausgeführt sind und die Signale redundant und/oder diversitär
fehlersicher verarbeiten.
[0025] Durch ein Verfahren zum Herstellen und Überprüfen der modularen Sicherheitssteuerung
wie sie vorstehend beschrieben ist und bei dem zunächst die Module bereitgestellt,
dann zusammengesteckt werden, wie es die Codierungen erlauben und weiter die gesteckte
Modulkonfiguration in eine Konfigurationssoftware eingegeben oder alternativ die Modulkonfiguration
durch die Konfigurationssoftware selbsttätig ausgelesen wird und daraufhin ein Konfigurationsreport
durch die Konfigurationssoftware erstellt wird, ist die Überprüfung, ob die Modulreihe
richtig zusammengestellt wurde, also die Sicherheitssteuerung nur zulässige Abschaltpfade
erlaubt, sowie eine Zertifizierung erheblich erleichtert. Der Konfigurationsreport
kann Teil der Zertifizierung sein.
[0026] Die Erfindung wird nachstehend auch hinsichtlich weiterer Merkmale und Vorteile beispielhaft
anhand eines Ausführungsbeispiels unter Bezug auf die Zeichnung näher erläutert. In
der Zeichnung zeigen:
- Fig. 1
- eine schematische Darstellung einer erfindungsgemäßen, modularen Sicherheitssteuerung;
- Fig. 2
- eine schematische Darstellung der Modulreihe aus Fig. 1 ohne Peripherie zur Darstellung
der Codier-Steckverbindungen.
[0027] Eine erfindungsgemäßen Sicherheitssteuerung 100 mit beispielhaft fünf Eingangsmodulen
und drei Ausgangsmodulen ist in Figur 1 dargestellt. Die Sicherheitssteuerung 100
besteht aus einer Modulreihe 102, die wiederum aus Subsystemen 110, 120 und 130 zusammengesetzt
ist. Ein Subsystem enthält jeweils ein Ausgangsmodul und zugeordnete Eingangsmodule.
Die Bezugszeichen wurden so gewählt, dass jedes Ausgangs- und Eingangsmodul jeweils
zwei mit einem Bindestrich verbundene Bezugszeichen enthält, wobei die Ziffer vor
dem Bindestrich das Subsystem bezeichnet und die Ziffer nach dem Bindestrich fortlaufend
ist.
[0028] Jedes Eingangsmodul hat wenigstens einen ein- oder mehrkanaligen Eingang beziehungsweise
eine Anschlussmöglichkeit für einen oder mehrere Signalgeber. Als Signalgeber kann
ein Überwachungssensor, wie eine Lichtschranke, ein Lichtgitter, ein Laserscanner
oder eine Sicherheitskamera, aber auch ein Schalter, wie ein Türpositionsschalter
oder ein Not-Aus-Schalter vorgesehen sein.
[0029] Entsprechend hat jedes Ausgangsmodul wenigstens einen ein- oder mehrkanaligen Ausgang
für einen Aktor. Dieser Aktor kann die Steuerung eines Roboters, ein Motor, eine Stromleitung,
ein Relais oder die Steuerung einer Maschine, z. B. eine Presse, sein. Allgemein ist
also der Aktor Teil einer Gefahr bringenden Maschine. Unter einem Betätigen des Aktors
soll hier nicht dessen normaler Betrieb verstanden werden, sondern eine besondere
Ansteuerung durch die Sicherheitssteuerung 100, um die Gefahr bringende Maschine in
einen sicheren Zustand zu bringen. Das kann ein einfaches Abschalten, aber auch eine
Warnung oder das gesteuerte Verbringen in eine sichere Parkposition sein. Wird der
Aktor nicht betätigt, so bedeutet dies demnach nicht Stillstand, sondern gewöhnlichen,
ungestörten Betrieb. Dieses Verständnis hindert nicht, dass auch andere Ansteuerungen
von dem oder über das Ausgangsmodul an den Aktor gehen können.
[0030] Um die von den eingangs genannten Normen geforderten Sicherheitsanforderungen bei
einer bestimmten Anwendung mit einer bestimmten, geforderten Sicherheitskategorie
zu erfüllen, können die Module zweikanalig aufgebaut sein, um die Signale redundant
und gegebenenfalls auch diversitär auswerten zu können.
[0031] Die Eingangsmodule sind jeweils mit bestimmten Ausgangsmodulen verbunden. Diese Zuordnung
hängt von der Anwendung ab, denn jeder Aktor soll abhängig von den Zuständen bestimmter
Signalgeber betätigt werden. In dem vorliegenden Ausführungsbeispiel soll eine gewisse
Zuordnung bereits standardmäßig vorhanden sein, nämlich die Eingangsmodule sind immer
dem jeweils links davon angeordneten Ausgangsmodul zugeordnet, was auch durch die
Pfeile 104 dargestellt ist. Ein Ausgangsmodul hat jedoch keine Auswirkung auf links
von ihm angeordnete, weitere Module. Selbstverständlich sind auch andere Kombinationen
denkbar, nämlich, dass beispielsweise die Eingangsmodule immer auf das rechts von
ihnen angeordnete Ausgangsmodul wirken und die Ausgangsmodule keine Wirkung auf rechts
von ihnen angeordnete weitere Module haben.
[0032] Das erste Subsystem 110 umfasst deshalb ein Ausgangsmodul 10-6 und zwei Eingangsmodule
10-4 und 10-5. An das Eingangsmodul 10-4 sind zwei Signalgeber, nämlich ein Not-Aus-Schalter
10-1 und ein Sensor 10-2, angeschlossen. Dazu weist das Eingangsmodul 10-4 zwei nicht
näher dargestellte Eingänge auf. An das Eingangsmodul 10-5 ist ein weiterer Sensor
10-3 angeschlossen. Die Verbindung von den Signalgebern zu dem jeweiligen Eingangsmodul
ist durch Pfeile 106 nur schematisch dargestellt und kann ein- oder mehrkanalig ausgebildet
sein. Die Signale des Not-Aus-Schalters 10-1 und der Sensoren 10-2 und 10-3 werden
in den Eingangsmodulen 10-4 und 10-5 fehlersicher vorausgewertet und an das Ausgangsmodul
10-6 über eine nicht näher dargestellte elektrische Steckverbindung gegeben. Eine
solche Steckverbindung, über die die Module miteinander verbunden sind, wird häufig
auch als "backplane" bezeichnet. Im Ausgangsmodul 10-6 werden die Signale gegebenenfalls
logisch miteinander verknüpft und das Ergebnis an den Aktor 10-7 über einen nicht
näher dargestellten Ausgang gegeben. Auch hier deuten die Pfeile 108 die Verbindung
zum Aktor nur schematisch an. In der tatsächlichen Anwendung kann die Verbindung ein-
oder mehrkanalig sein. Auch ist es denkbar, dass das Ausgangsmodul 10-7 mehrere nicht
dargestellte Ausgänge aufweist und dementsprechend verschiedene nicht weiter dargestellte
Aktoren betätigen kann, und zwar abhängig von den verschiedenen Signalen der an den
zugeordneten Eingangsmodulen des Subsystems 110 angeschlossenen Signalgebern 10-1,
10-2, 10-3.
[0033] In analoger Weise sind die beiden anderen Subsysteme 120 und 130 aufgebaut. Subsystem
120 weist ein Ausgangsmodul 20-6 und ein Eingangsmodul 20-4 auf, wobei an dem Eingangsmodul
ein Signalgeber 20-1 angeschlossen ist und das Ausgangsmodul 20-6 auf einen Aktor
20-7 wirkt. Subsystem 130 ist ähnlich aufgebaut wie das erste Subsystem 110 mit zwei
Eingangsmodulen 30-4 und 30-5, an denen ein Not-Aus-Schalter 30-1 und Sensoren 30-2
und 30-3 angeschlossen sind, sowie mit einem Ausgangsmodul 30-6, das auf einen Aktor
30-7 wirkt.
[0034] Zur Anpassung an eine Anwendung sind nun zwei Konfigurationsschritte notwendig: Es
müssen erstens die Subsysteme zusammengestellt werden, also welche Ausgangsmodule
mit welchen Eingangsmodulen verschaltet sind, bzw. welche Signalgeber bei der Entscheidung
über das Schalten welchen Aktors zu berücksichtigen sind, und zweitens welche Auswertungsregeln
jedes Ausgangsmodul innerhalb eines Subsystems bei der Auswertung der Signale verwendet,
also in welcher Weise die Signale eines Subsystems logisch miteinander verknüpft werden
sollen.
[0035] Für den ersten Schritt müssen lediglich ein Ausgangsmodul und rechts davon eine ausreichende
Anzahl von Einzelmodulen gesteckt werden. Für den zweiten Schritt weisen die Ausgangsmodule
ein Bedienelement 103 und die Eingangsmodule ein Bedienelement 105 auf, die als einfache
Drehschalter ausgebildet sein können und über die festgelegt werden kann, welche Eingänge,
also Signale welcher Signalgeber, auf einen angeschlossenen Aktor wirken sollen. Eine
solche Konfiguration kann gegebenenfalls auch einfache Logik, die über die Drehschalter
dann aus wählbar ist, enthalten.
[0036] Da ein derart konfiguriertes Subsystem eine in sich geschlossene Einheit bildet,
jedenfalls was die Sicherheitsabschaltpfade betrifft, sind die Positionen der Eingangsmodule
in der Modulreihe 102 innerhalb eines Subsystems, beispielsweise Eingangsmodule 10-4
und 10-5 des ersten Subsystems 110 oder die Eingangsmodule 30-4 und 30-5 des dritten
Subsystems 130, beliebig, mit der einzigen Beschränkung, dass das Ausgangsmodul immer
das am weitesten links positionierte sein muss.
[0037] Jedes Modul der Modulreihe 102 ist nach einer Ausführungsform in einem gleichartigen
Gehäuse untergebracht. Das Gehäuse kann dabei ein IP20-Gehäusesystem sein, bei dem
die einzelnen Module mit der "backplane" miteinander in Verbindung stehen. Alternativ
kann je nach Anforderung das Gehäuse auch in einer höheren Schutzklasse wie beispielsweise
IP65 ausgeführt sein.
[0038] Erfindungsgemäß sind des Weiteren mechanische Codierungen zwischen den Modulen vorgesehen.
In diesem Ausführungsbeispiel sind die mechanischen Codierungen in Form von Codier-Steckverbindungen
200 ausgebildet, wie sie in Fig. 2 schematisch dargestellt sind. Dabei zeigt Fig.2
die Modulreihe 102 aus Fig. 1, wobei die Module getrennt voneinander dargestellt sind,
um die erfindungsgemäße Codier-Steckverbindung 200 zu zeigen. Die Codier-Steckverbindungen
200 stellen eine mechanische Codierung zwischen benachbarten Modulen der Modulreihe
102 dar.
[0039] Die Codier-Steckverbindung 200 wird im Folgenden beispielhaft anhand der Verbindung
zwischen dem Ausgangsmodule 20-6 und dem Eingangsmodul 20-4 der Modulreihe 102 erläutert.
In diesem Ausführungsbeispiel besteht die Codier-Steckverbindung 200 aus einem Stecker
202, der linksseitig an dem Eingangsmodul 20-4 angeordnet ist und einer korrespondierenden
Buchse 204, die rechtsseitig an dem Ausgangsmodul 20-6 angeordnet ist. Der Stecker
202 weist Steckerstifte 206 auf und die Buchse 204 entsprechende Steckerstiftaufnahmen
208. Zur mechanischen Codierung ist der zweite Steckerstift 206' (von unten gezählt)
entfernt, was durch ein helles Feld angedeutet ist, und die korrespondierende, zweitunterste
Steckerstiftaufnahme 208' ist verschlossen, beispielsweise durch einen passenden Stift.
Die verschlossene Steckerstiftaufnahme 208' ist durch ein dunkles Feld dargestellt.
Alle anderen Steckerstifte 206 und Steckerstiftaufnahmen 208 sind unverändert. Alle
Module des zweiten Subsystems 120 weisen diese Codierung auf, so dass nur Ausgangs-
und Eingangsmodule mit dieser Codierung zu einem Subsys tem zusammengesteckt werden
können. Analoges gilt für das erste Subsystem 110, bei dem die Codierung dadurch erfolgt
ist, dass hier der erste Steckerstift (von unten gezählt) entfernt und dementsprechend
die erste Steckerstiftaufnahme verschlossen ist, sowie auch für das dritte Subsystem
31, bei dem die Codierung dadurch erfolgt ist, dass nur der dritte Steckerstift fehlt
und die entsprechende dritte Steckerstiftaufnahme verschlossen ist.
[0040] Anstatt einen der neun Steckerstifte 206 zur Codierung zu entfernen und die entsprechende
Steckerstiftaufnahme 208 zu verschließen, könnte auch lediglich eine Veränderung des
entsprechenden Steckerstiftes in seinem Querschnitt, beispielsweise Verkleinerung
und eine entsprechende Anpassung der Steckerstiftaufnahme genügen.
[0041] Anstelle des hier gewählten Codes 1 aus n (n=9) sind auch beliebig andere eindeutige
Binärcodes denkbar (z. B. 2 aus n oder 3 aus n). Vorteilhafterweise erfolgt die Codierung
bereits beim Hersteller, um zur Erhöhung der Sicherheit dem Anwender somit bereits
Subsysteme vorgegeben zu haben.
[0042] Da die Module bereits über elektrische Steckverbindungen miteinander verbunden sind,
ist es aus Kostengründen vorteilhaft, dass die Codier-Steckverbindungen integraler
Bestandteil der elektrischen Steckverbindungen sind.
[0043] Des Weiteren ist es vorteilhaft, wenn die Module gleichartige Gehäuse 210 aufweisen
und jeweils den Stecker 206 auf der einen Seite (in diesem Ausführungsbeispiel links)
und die Buchse 208 auf der gegenüberliegenden Seite des Gehäuses 210 in gleichartiger
Anordnung aufweisen. Dann kann die Modulreihe 102 durch Einfügen zusätzlicher Module
in Subsysteme entsprechend der Codierung oder Herausnehmen von Modulen erweitert oder
verkleinert werden.
[0044] Wie bereits erläutert enthält jedes Modul eines Subsystems die gleiche Codierung.
Damit kann ein Eingangsmodul innerhalb eines Subsystems beliebig positioniert, aber
nicht in anderen Subsystemen eingesetzt werden, wodurch die Sicherheitsabschaltpfade
somit nicht geändert werden können.
[0045] Da wie bereits oben erwähnt die Subsysteme bezüglich der Sicherheitsabschaltpfade
unabhängig voneinander sind, ist es vorteilhaft, wenn ein Subsystem, bestehend aus
einem linksseitig angeordneten Ausgangsmodul und rechts davon angeordneten weiteren
Eingangsmodulen, an beliebiger Stelle in der Modulreihe eingesetzt werden kann. Dazu
ist es notwendig, dass der linksseitige Stecker 203 eines Ausgangsmoduls 20-6 oder
30-6 eine neutrale Codierung aufweist, wie dies in dem Ausführungsbeispiel dadurch
realisiert ist, dass sämtliche Steckerstifte 206 so ausgebildet sind, dass sie in
jede Art Steckerstiftaufnahme 208 oder 208' passen, was in Fig. 2 durch helle Felder
für alle Steckerstifte 206 des neutral codierten Steckers 203 angedeutet ist. Auf
diese Weise könnte die Modulreihe 102 aus Fig. 2 auch so aufgebaut sein, dass rechts
vom ersten Subsystem 110 das dritte Subsystem 130 und rechts davon das zweite Subsystem
120 angeordnet ist. Dadurch ist dem Endanwender eine gewisse Flexibilität beim Aufbau
der Modulreihe 102 gelassen, ohne die Sicherheit zu beeinträchtigen.
[0046] Häufig werden in einer Sicherheitssteuerung Module gefordert, die keine sicherheitstechnische
Funktion haben, beispielsweise Kommunikationsgateways zum Anschluss der Modulreihe
102 an ein Bussystem oder passive Buskomponenten. Ein solches Modul ist als die Modulreihe
102 rechts abschließendes Modul 212 in Fig. 2 dargestellt. Das Modul 212 kann an ein
Subsystem beliebiger Codierung angesteckt werden und weist deshalb ebenfalls eine
neutrale Codierung auf der Steckerseite 203 auf. Damit ist mit einem solchen Modul
212 die Modulreihe immer abschließbar, unabhängig davon welches Subsystem sich am
weitesten rechts befindet oder mit anderen Worten, unabhängig davon wie lang die Modulreihe
ist bzw. wie viele Subsysteme die Modulreihe umfasst.
[0047] Des Weiteren betrifft die Erfindung ein Verfahren zum Überprüfen der modularen Sicherheitssteuerung,
also zum Überprüfen der Modulreihe 102, ob aus sicherheitstechnischen Gesichtspunkten
der getätigte Aufbau, wie er beispielsweise in Fig. 1 gezeigt ist, korrekt ist. Dieses
Verfahren ist in einer Software implementiert, die entweder separat oder beispielsweise
in dem Modul 212 vorgesehen sein kann und mittels derer ein Report über die vorhandene
Konfiguration erstellt wird, indem die gesteckte Modulkonfiguration in die Software
entweder von Hand eingegeben, z. B. durch manuelle Positionierung von Abbildungen
der Module auf einem Bildschirm des PC in der Weise wie tatsächlich gesteckt wurde,
oder indem die Modulkonfiguration selbsttätig von dem Modul 22 ausgelesen wird. Die
Konfiguration der Modulreihe automatisch auszulesen hat den Vorteil, dass dann der
Anwender nicht nochmals manuell alles auf dem PC anordnen muss, jedoch weiterhin die
Software eine saubere Anlagendokumentation für die Abnahme erzeugt. Denn der Report,
z. B. ein Ausdruck, liefert archivierbare, nachweisbare Information darüber, welche
Module wo in der Reihe anzuordnen sind, welche Codierung die Module aufweisen müssen
und welche Gerätebestellnummern, also Gerätetypen, eingesetzt werden müssen. Anhand
diesen Ausdrucks erfolgt dann die sicherheitstechnische Verifikation mit dem installierten
System. So kann der Report für Abnahme- und Zertifizierungszwecke verwendet werden.
1. Modulare Sicherheitssteuerung, mit wenigstens einem Ausgangsmodul zur Ansteuerung
eines Aktors, wenigstens einem Eingangsmodul zur Aufnahme von Signalgeberinformation,
wenigstens einem weiteren Modul, wobei die Module über elektrische Steckverbindungen
zu einer Modulreihe miteinander verbindbar sind, dadurch gekennzeichnet, dass eine mechanische Codierung zwischen benachbarten Modulen vorgesehen ist, die ein
Zusammenstecken der Module nur entsprechend der Codierung erlaubt.
2. Sicherheitssteuerung nach Anspruch 1, dadurch gekennzeichnet, dass die mechanische Codierung mittels Codier-Steckverbindungen gebildet ist.
3. Sicherheitssteuerung nach Anspruch 2, dadurch gekennzeichnet, dass die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen
sind.
4. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 2 oder 3, dadurch gekennzeichnet, dass die Codier-Steckverbindung aus einem mehrpoligen Stecker und dazu korrespondierender
Buchse besteht, wobei jeder Pol durch einen Steckerstift gebildet ist und die Codierung
dadurch gebildet ist, dass im kodierten Stecker wenigstens einer der Steckerstifte verändert,
insbesondere im Querschnitt verkleinert, bzw. ganz entfernt ist und in der korrespondierenden
Buchse die zugehörige Steckerstiftaufnahme entsprechend angepasst bzw. verschlossen
ist.
5. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 2 bis 4, dadurch gekennzeichnet, dass Module gleichartige Gehäuse aufweisen und jeweils einen Stecker und eine Buchse für
die Codier-Steckverbindung auf gegenüberliegenden Seiten des Gehäuses in gleichartiger
Anordnung aufweisen.
6. Sicherheitssteuerung nach Anspruch 5, dadurch gekennzeichnet, dass ausgewählte Module, insbesondere die Ausgangsmodule, neutral codierte Stecker der
Codier-Steckverbindung aufweisen, so dass jedes Ausgangsmodul zur einen Seite hin
jedem anderen Modul benachbart sein kann.
7. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Module jeweils einer Gruppe gleiche Codierung aufweisen.
8. Sicherheitssteuerung nach Anspruch 7, dadurch gekennzeichnet, dass eine Gruppe von Modulen gleicher Codierung jeweils wenigstens ein Ausgangsmodul und
wenigstens ein zugeordnetes Eingangsmodul aufweist.
9. Sicherheitssteuerung nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass eine Gruppe von Modulen gleicher Codierung jeweils genau ein Ausgangsmodul und wenigstens
ein zugeordnetes Eingangsmodul aufweist.
10. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 7 bis 9, dadurch gekennzeichnet, dass das Eingangsmodul über ein Bedienelement konfiguriert werden kann zur Zuordnung von
Eingängen des Eingangsmoduls zu Ausgängen des Ausgangsmoduls gleicher Codierung.
11. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eines der Module ein zentrales Steuerungsmodul bildet, mit dem eine Zuordnung von
an den Eingangsmodulen anliegenden Signalgeberinformationen zu den an den Ausgangsmodulen
auszugebenden Aktorsignalen erfolgt und/oder das eine Auswerteeinheit umfasst, mit
der eine Überprüfung durchführbar ist, ob die angeschlossenen Module korrekt, entsprechend
der Codierung zusammengesteckt wurden.
12. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Module zweikanalig ausgeführt sind und die Signale redundant und/oder diversitär
fehlersicher verarbeiten.
13. Eingangs- oder Ausgangsmodul für eine Sicherheitssteuerung nach einem der vorhergehenden
Ansprüche mit einer elektrischen Steckverbindung zur Verbindung mehrerer der Module
zu einer Modulreihe, dadurch gekennzeichnet, dass eine mechanische Codierung vorgesehen ist für eine Codierung zwischen benachbarten
Modulen, die ein Zusammenfügen der Module nur entsprechend der Codierung erlaubt.
14. Eingangs- oder Ausgangsmodul nach Anspruch 13, dadurch gekennzeichnet, dass die mechanische Codierung durch eine Codier-Steckverbindung gebildet ist.
15. Eingangs- oder Ausgangsmodul nach Anspruch 14, dadurch gekennzeichnet, dass die Codier-Steckverbindung integraler Bestandteil der elektrischen Steckverbindung
ist.
16. Verfahren zum Herstellen und Überprüfen einer modularen Sicherheitssteuerung bestehend
aus wenigstens einem Ausgangsmodul, wenigstens einem Eingangsmodul und wenigstens
einem weiteren Modul mit folgenden Schritten:
- Bereitstellen der Module,
- Zusammenstecken der Module, wie es die Codierungen erlauben,
- Eingeben der gesteckten Modulkonfiguration in eine Konfigurationssoftware oder selbsttätiges
Auslesen der Modulkonfiguration durch die Konfigurationssoftware,
- Erstellen eines Konfigurationsreports durch die Konfigurationssoftware.