(19)
(11) EP 2 093 845 A1

(12) EUROPÄISCHE PATENTANMELDUNG

(43) Veröffentlichungstag:
26.08.2009  Patentblatt  2009/35

(21) Anmeldenummer: 08101866.5

(22) Anmeldetag:  22.02.2008
(51) Internationale Patentklassifikation (IPC): 
H01R 13/642(2006.01)
(84) Benannte Vertragsstaaten:
AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MT NL NO PL PT RO SE SI SK TR
Benannte Erstreckungsstaaten:
AL BA MK RS

(71) Anmelder: SICK AG
79183 Waldkirch (DE)

(72) Erfinder:
  • Kremp, Rainer
    79104 Freiburg (DE)
  • Dold, Franz Josef
    78120 Furtwangen (DE)
  • Bornstein, Patrick
    79117 Freiburg (DE)

(74) Vertreter: Ludewigt, Christoph 
Sick AG Patentabteilung Erwin-Sick-Strasse 1
79183 Waldkirch
79183 Waldkirch (DE)

   


(54) Modulare Sicherheitssteuerung


(57) Die Erfindung betrifft eine modulare Sicherheitssteuerung, mit wenigstens einem Ausgangsmodul zur Ansteuerung eines Aktors, wenigstens einem Eingangsmodul zur Aufnahme von Signalgeberinformation, wenigstens einem weiteren Modul, wobei die Module über elektrische Steckverbindungen zu einer Modulreihe miteinander verbindbar sind. Um eine kostengünstige und leistungsfähige Sicherheitssteuerung bereitzustellen, welche auch im Falle der Wartung und Reparatur dem Anwender eine möglichst hohe Sicherheit bei gleichbleibend einfacher Bedienung ermöglicht, wird vorgeschlagen, dass mittels Codier-Steckverbindungen eine mechanische Codierung zwischen benachbarten Modulen vorgesehen ist, die ein Zusammenstecken der Module nur entsprechend der Codierung erlaubt.




Beschreibung


[0001] Die Erfindung betrifft eine modulare Sicherheitssteuerung nach dem Oberbegriff von Anspruch 1 sowie ein Verfahren zum Herstellen und Überprüfen einer solchen modularen Sicherheitssteuerung.

[0002] Eine Sicherheitssteuerung ist eine Vorrichtung, die von Signalgeber, wie Not-Aus-Taster, Schutztürschalter, Lichtschranken oder Lichtgitter, gelieferte Eingangssignale aufnimmt und daraus durch logische Verknüpfungen Ausgangssignale erzeugt. Die Ausgangssignale können dann Aktuatoren zugeführt werden, die dann in Abhängigkeit von den Eingangssignalen gezielte Aktionen oder Reaktionen in der Umgebung bewirken, z. B. um eine Maschine, wie eine Presse oder einen Schweißroboter, von der im Betrieb eine Gefahr für Menschen ausgeht, abzusichern. Beim Ansprechen eines Signalgebers, z. B. beim Öffnen der Schutztür, Betätigen des Not-Aus-Tasters oder beim Ansprechen eines Sensors wird jeweils ein Signal erzeugt, das der Sicherheitssteuerung als Eingangssignal zugeführt ist. In Reaktion darauf schaltet die Sicherheitssteuerung dann beispielsweise mit Hilfe eines Aktuators den gefahrbringenden Teil der Maschine ab bzw. setzt die Maschine in einen gefahrlosen Zustand.

[0003] Charakteristisch an einer Sicherheitssteuerung ist im Gegensatz zu einer "normalen" Steuerung, dass die Sicherheitssteuerung selbst dann, wenn bei ihr oder einem mit ihr verbundenen Gerät eine Fehlfunktion auftritt, stets einen sicheren Zustand der gefahrbringenden Anlage oder Maschine gewährleisten muss. Daher werden bei Sicherheitssteuerungen extrem hohe Anforderungen an die eigene Fehlersicherheit gestellt, was einen erheblichen Aufwand bei der Entwicklung und Herstellung zur Folge hat. In der Regel benötigen nicht nur die Sicherheitssteuerungen alleine eine besondere Zulassung durch zuständige Aufsichtsbehörden, wie Berufsgenossenschaften oder TÜV, sondern zusätzlich in Kombination mit einer mit der Sicherheitssteuerung ausgerüsteten Maschine. Die Sicherheitssteuerung muss dabei vorgegebene Sicherheitsstandards einhalten, die beispielsweise in der europäischen Norm EN 954-1 bzw. ISO 13849 (performance level) definiert sind. Die möglichen Sicherheitsstufen und die weiteren Sicherheitsanforderungen an eine Anwendung sind in der Norm EN 61508 bzw. EN 62061 definiert.

[0004] Aus der DE 100 20 075 C2 ist eine solche Sicherheitssteuerung bekannt. Danach ist eine Reihe von Eingangs- und Ausgangsmodulen vorgesehen, wobei jedes Eingangsmodul Eingangsignale von einem Signalgeber erhält und jedes Ausgangsmodul einen Aktor betätigen kann, der eine Gefahrenquelle ausschaltet. Mit einer fest implementierten Logikverschaltung erfolgt die Zuordnung der Eingangssignale zu einem Aktor dadurch, dass die Positionen, an denen die Module in der Modulreihe angeordnet sind, eine eindeutige Zuordnung eines Eingangssignals zu einem Ausgangsignal bestimmen. Die Positionen innerhalb der Modulreihe geben also die Schaltregeln vor und durch Einsetzen der Module kann ausgewählt werden, welche Sensoren auf welche Weise mit diesen Schaltregeln mit einem Aktor verbunden werden. Das erspart einerseits eine Programmierung und ist andererseits aber flexibler als eine feste Verdrahtung. Der Vorteil der einfachen Festlegung von Schaltregeln durch einfaches Positionieren der Eingangsmodule birgt aber auch ein Sicherheitsrisiko, denn im Falle eines Gerätetausches, beispielsweise aufgrund eines defekten Moduls oder aufgrund gewünschter Erweiterung der Modulreihe kann sehr leicht der Sicherheitsabschaltpfad ungewollt verändert werden. Wenn beispielsweise der Anwender ein Eingangsmodul aus dem System entfernt und es ungewollt oder unwissend an eine andere Position in der Modulreihe positioniert, hat er bereits den Abschaltpfad geändert. Diese Veränderung des Sicherheitsabschaltpfades kann die Wirkrichtung eines Sicherheitslichtgitters auf den Aktor verändern, das heißt im schlimmsten Fall, dass durch einen Eingriff in das Lichtgitter nicht die ge fahrbringende Bewegung der Presse gestoppt, sondern möglicherweise nur eine Materialzuführung gestoppt wird. Um dennoch die Sicherheit zu gewährleisten, müsste eine Positionsänderung von Eingangsmodulen jedes Mal durch eine erneute aufwändige Inbetriebnahme des Sicherheitsschaltgerätes mit vollständiger Überprüfung aller Sicherheitsfunktionen auf korrekte Installation geprüft werden. Zumindest müsste eine Fehleranzeige erfolgen, was nicht nur aufwändig ist, sondern auch zusätzliche Komponenten erfordert. Womöglich muss die gesamte Anlage mit der Sicherheitssteuerung neu zertifiziert werden.

[0005] Davon ausgehend ist es Aufgabe der Erfindung, eine kostengünstige und leistungsfähige Sicherheitssteuerung bereitzustellen, welche auch im Falle der Wartung und Reparatur dem Anwender eine möglichst hohe Sicherheit bei gleichbleibend einfacher Bedienung ermöglicht.

[0006] Diese Aufgabe wird gelöst durch eine modulare Sicherheitssteuerung, mit wenigstens einem Ausgangsmodul zur Ansteuerung eines Aktors, wenigstens einem Eingangsmodul zur Aufnahme von Signalgeberinformation und wenigstens einem weiteren Modul, wobei die Module über elektrische Steckverbindungen zu einer Modulreihe miteinander verbindbar sind. Erfindungsgemäß ist eine mechanische Codierung zwischen benachbarten Modulen vorgesehen, die ein Zusammenstecken der Module nur entsprechend der Codierung erlaubt.

[0007] Die Erfindung ermöglicht eine eindeutige Zuordnung der Eingangsmodule zu Ausgangsmodulen und verhindert durch die mechanische Codierung einen Vertauschungsschutz der Sicherheitsabschaltpfade. Dies erhöht die Anlagenverfügbarkeit, verringert das Sicherheitsrisiko bei Inbetriebnahme, Wartung und Reparatur und senkt die Kosten, da die zwingende Sicherheitsüberprüfung nach Änderungen der Anlagen stark vereinfacht werden kann.

[0008] Weiterhin ist die Realisierung sehr kostengünstig für den Gerätehersteller, da keine Software und Elektronikhardware hierfür vorgesehen werden muss.

[0009] Ebenfalls ist die Lösung für den Anwender sehr vorteilhaft, da er eine Vertauschung sofort und offensichtlich durch mechanische Inkompatibilität erkennt.

[0010] Ein weiterer wesentlicher Vorteil besteht darin, dass durch die mechanische Codierung sichergestellt ist, dass ein ausreichender Vertauschungsschutz gegeben ist, beispielsweise bei einer gewünschten Systemerweiterung. In diesem Fall muss dem Anwender vom Hersteller nur das richtig codierte Eingangsmodul bereitgestellt werden und der Anwender kann ohne besondere Vorkenntnisse das erhaltene Modul in die Modulreihe einstecken und dabei sicher sein, dass keine falschen Sicherheitsabschaltpfade erzeugt wurden. Auf diese Weise lässt sich die erfindungsgemäße modulare Sicherheitssteuerung in einfachster Weise durch Zusammenfügen, beispielsweise Stecken, weiterer Module zum Anschluss weiterer Sensoren erweitern, ohne dass die bisherigen Sicherheitsabschaltpfade erneut geprüft werden müssen.

[0011] Ebenfalls hat der Anwender die Möglichkeit, eine spätere Erweiterung des System durch z. B. Anlagenerweiterungen durch die mechanische Codierung bewusst zuzulassen oder auch zu verhindern.

[0012] Mit der Erfindung ist es dem Anwender möglich, beim Tausch von Modulen, beispielsweise beim Austausch defekter Module, eine fehlerhafte Positionierung des Eingangsmoduls sofort zu erkennen ohne hierzu eine Diagnosesoftware nutzen oder eine Fehleranzeige auf dem Gerätedisplay interpretieren zu müssen. Dieses wird durch die mechanische Codierung sichergestellt, indem von vornherein die mechanische Codierung eine falsche Positionierung nicht zulässt.

[0013] Die Erfindung kann mit weiteren Merkmalen fortgebildet werden, wie sie beispielhaft, aber nicht abschließend, in den sich anschließenden Unteransprüchen angegeben sind und zeigt dabei weitere Vorteile.

[0014] Eine einfach zu realisierende Möglichkeit der mechanischen Codierung besteht darin, eine Codier-Steckverbindung vorzusehen. Alternativ könnte die mechanische Codierung auch in verschiedenen, zueinander passenden Gehäuseformen realisiert sein, so dass beispielsweise nach Art von zueinander passenden Bausteinen eine Modulreihe aufgebaut sein kann. Das hätte gegenüber einer einfachen Codier-Steckverbindung allerdings den Nachteil, dass eine Vielzahl verschiedener Gehäuseformen entsprechend der Codierung vorhanden sein müssten.

[0015] Bei bekannten Modulreihen besteht bereits eine mechanische Verbindung zwischen den einzelnen Modulen durch die typische Realisierung eines so genannten "backplane" mittels Stecker/Buchse zwischen den einzelnen Modulen. Deshalb ist es vorteilhaft, wenn die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen sind. Alternativ können aber auch zusätzliche mechanische Codier-Steckverbindungen zwischen den Modulen durch beispielsweise Nuten/Stift-Kombinationen realisiert werden.

[0016] Eine vorteilhaft einfache Codiermöglichkeit ergibt sich, wenn die Codier-Steckverbindung aus einem mehrpoligen Stecker und dazu korrespondierender Buchse besteht, wobei jeder Pol durch einen Steckerstift gebildet ist und die Codierung dadurch gebildet ist, dass im kodierten Stecker wenigstens einer der Steckerstifte verändert, insbesondere im Querschnitt verkleinert, bzw. ganz entfernt ist und in der korrespondierenden Buchse die zugehörige Steckerstiftaufnahme entsprechend angepasst bzw. verschlossen ist. Eine solche Codier-Steckverbindung lässt sich dann aus im Handel erhältlichen elektrischen Steckverbindungen aufbauen.

[0017] Der Austausch von Modulen oder die Erweiterung der Modulreihe ist erleichtert, wenn die Module gleichartige Gehäuse aufweisen und jeweils einen Stecker und eine Buchse für die Codier-Steckverbindung auf gegenüberliegenden Seiten des Gehäuses in gleichartiger Anordnung aufweisen. Vorzugsweise ist das Gehäuse als Standard IP20 Gehäuse ausgebildet.

[0018] Wenn ausgewählte Module, beispielsweise Ausgangsmodule, neutral codierte Stecker der Codier-Steckverbindung aufweisen, so kann das Ausgangsmodul zur einen Seite hin jedem anderen Modul benachbart sein. Dadurch ist eine Erweiterung der Modulreihe durch Anstecken eines weiteren Ausgangsmoduls an ein Ende der Modulreihe wesentlich erleichtert, unabhängig von der Codierung des letzten, am Ende der Modulreihe gelegenen Moduls. Dies ist besonders dann von Vorteil, wenn jeweils eine Gruppe von Modulen gleiche Codierung aufweist, so dass die Modulreihe aufgeteilt ist in Subsysteme, wobei innerhalb eines Subsystems eine gleiche Kodierung vorliegt, so dass innerhalb des Subsystems die Module beliebig vertauscht werden können, ohne die Sicherheitsabschaltpfade zu beeinflussen. Mit Hilfe eines Ausgangsmodules mit neutral codiertem Stecker kann eine solche Modulreihe durch einfaches Anstecken um ein Subsystems erweitert werden.

[0019] Vorteilhafterweise weist ein solches Subsystem eine Gruppe von Modulen gleicher Codierung mit jeweils wenigstens einem Ausgangsmodul und wenigstens einem zugeordneten Eingangsmodul auf. Zur Erhöhung der Sicherheit ist es vorteilhaft, wenn das Subsystem jeweils nur genau ein Ausgangsmodul und zugeordnete Eingangsmodule aufweist. Ergebnis dieser Lösung ist es, dass Eingangsmodule nur noch innerhalb eines Subsystems beliebig tauschbar sind, was nicht sicherheitskritisch ist und der Anwender Eingangsmodule zwischen den Subsystemen durch die mechanische Inkompatibilität nicht vertauschen kann und dies sofort ohne aufwändige Diagnose erkennt.

[0020] Bevorzugt kann innerhalb eines Subsystems das Eingangsmodul über ein Bedienelement konfiguriert werden zur Zuordnung von Eingängen des Eingangsmoduls zu Ausgängen des Ausgangsmoduls gleicher Codierung. Das Bedienelement, beispielsweise ein Drehschalter, kann am Gehäuse angebracht sein, so dass dieses kompakt und einfach herzustellen und zugleich dem Benutzer einfach zugänglich ist. Das Bedienelement bietet eine weitere Unterstützung der sicheren Systemkonfiguration sowie des Vertauschungsschutzes. Mittels des Bedienelementes kann die Konfiguration der sicherheitstechnischen Eingangsauswertung erfolgen, beispielsweise ob die angeschlossenen Signalgeber einkanalig oder zweikanalig auszuwerten sind und/oder ob es sich um Not-Aus-Schalter, Lichtgitter, Sicherheitsschalter oder Zweihandfunktion etc. handelt. Diese mechanisch sichtbare Konfiguration ermöglicht dem Anwender ebenfalls die schnelle Wahrnehmung, dass gegebenenfalls beim Austausch defekter Module sich zwar der Sicherheitsabschaltpfad nicht verändert hat, aber die Auswertung der Sensorik falsch eingestellt ist. Ebenfalls kann das Bedienelement als Konfigurationsselektionsschalter auf dem Ausgangsmodul die logische Verknüpfung der zugeordneten Eingangsmodule des Subsystems (Und/ Oder/ Reihenfolge) konfigurieren und auch hier erkennt der Anwender bei Austausch von Ausgangsmodulen eine falsch eingestellte Konfiguration visuell sofort.

[0021] Eine weitere Ausgestaltung der Erfindung kann darin bestehen, feste Logikfunktionen in einem Subsystem vorzusehen. So können beispielsweise in einem Subsystem alle Eingangssignale logisch UND verknüpft werden und das Ergebnis auf den am Ausgangsmodul angeschlossenen Aktor geführt sein. Wird nun das Subsystem um ein Eingangsmodul durch Anlagenerweiterung erweitert, dann wirken die angeschlossenen Sensoren automatisch ebenfalls UND verknüpft auf den Aktor. Durch die erfindungsgemäße mechanische Codierung kann eine spätere Erweiterbarkeit des Systems bewusst zugelassen werden.

[0022] In ähnlicher Weise ließe sich auch eine spätere Erweiterung bewusst verhindern, indem z. B. das letzte Modul der Modulreihe an seinem freien Ende eine Codierung enthält, auf die keines der Module der Modulreihe passt, indem beispielsweise alle Steckerstiftaufnahmen der Buchse der Codier-Steckverbindung verschlossen sind. Da kein passendes Eingangsmodul verfügbar ist, kann es nicht zur unbewussten Erweiterung des Systems kommen.

[0023] In einer Ausführungsform der Erfindung bildet eines der Module ein zentrales Steuerungsmodul, mit dem eine Zuordnung von an den Eingangsmodulen anliegenden Signalgeberinformationen zu den an den zugehörigen Ausgangsmodulen auszugebenden Aktorsignalen erfolgen kann. Des Weiteren kann das zentrale Steuerungsmodul eine Auswerteeinheit umfassen, mit der eine Überprüfung durchführbar ist, ob die angeschlossenen Module korrekt, entsprechend der Codierung zusammengesteckt wurden. Eine solche Überprüfbarkeit erhöht weiter die Sicherheit und kann die Zertifizierung erleichtern.

[0024] Zur Erfüllung der Sicherheitsanforderungen nach den Normen ist es vorteilhaft, wenn die Module zweikanalig ausgeführt sind und die Signale redundant und/oder diversitär fehlersicher verarbeiten.

[0025] Durch ein Verfahren zum Herstellen und Überprüfen der modularen Sicherheitssteuerung wie sie vorstehend beschrieben ist und bei dem zunächst die Module bereitgestellt, dann zusammengesteckt werden, wie es die Codierungen erlauben und weiter die gesteckte Modulkonfiguration in eine Konfigurationssoftware eingegeben oder alternativ die Modulkonfiguration durch die Konfigurationssoftware selbsttätig ausgelesen wird und daraufhin ein Konfigurationsreport durch die Konfigurationssoftware erstellt wird, ist die Überprüfung, ob die Modulreihe richtig zusammengestellt wurde, also die Sicherheitssteuerung nur zulässige Abschaltpfade erlaubt, sowie eine Zertifizierung erheblich erleichtert. Der Konfigurationsreport kann Teil der Zertifizierung sein.

[0026] Die Erfindung wird nachstehend auch hinsichtlich weiterer Merkmale und Vorteile beispielhaft anhand eines Ausführungsbeispiels unter Bezug auf die Zeichnung näher erläutert. In der Zeichnung zeigen:
Fig. 1
eine schematische Darstellung einer erfindungsgemäßen, modularen Sicherheitssteuerung;
Fig. 2
eine schematische Darstellung der Modulreihe aus Fig. 1 ohne Peripherie zur Darstellung der Codier-Steckverbindungen.


[0027] Eine erfindungsgemäßen Sicherheitssteuerung 100 mit beispielhaft fünf Eingangsmodulen und drei Ausgangsmodulen ist in Figur 1 dargestellt. Die Sicherheitssteuerung 100 besteht aus einer Modulreihe 102, die wiederum aus Subsystemen 110, 120 und 130 zusammengesetzt ist. Ein Subsystem enthält jeweils ein Ausgangsmodul und zugeordnete Eingangsmodule. Die Bezugszeichen wurden so gewählt, dass jedes Ausgangs- und Eingangsmodul jeweils zwei mit einem Bindestrich verbundene Bezugszeichen enthält, wobei die Ziffer vor dem Bindestrich das Subsystem bezeichnet und die Ziffer nach dem Bindestrich fortlaufend ist.

[0028] Jedes Eingangsmodul hat wenigstens einen ein- oder mehrkanaligen Eingang beziehungsweise eine Anschlussmöglichkeit für einen oder mehrere Signalgeber. Als Signalgeber kann ein Überwachungssensor, wie eine Lichtschranke, ein Lichtgitter, ein Laserscanner oder eine Sicherheitskamera, aber auch ein Schalter, wie ein Türpositionsschalter oder ein Not-Aus-Schalter vorgesehen sein.

[0029] Entsprechend hat jedes Ausgangsmodul wenigstens einen ein- oder mehrkanaligen Ausgang für einen Aktor. Dieser Aktor kann die Steuerung eines Roboters, ein Motor, eine Stromleitung, ein Relais oder die Steuerung einer Maschine, z. B. eine Presse, sein. Allgemein ist also der Aktor Teil einer Gefahr bringenden Maschine. Unter einem Betätigen des Aktors soll hier nicht dessen normaler Betrieb verstanden werden, sondern eine besondere Ansteuerung durch die Sicherheitssteuerung 100, um die Gefahr bringende Maschine in einen sicheren Zustand zu bringen. Das kann ein einfaches Abschalten, aber auch eine Warnung oder das gesteuerte Verbringen in eine sichere Parkposition sein. Wird der Aktor nicht betätigt, so bedeutet dies demnach nicht Stillstand, sondern gewöhnlichen, ungestörten Betrieb. Dieses Verständnis hindert nicht, dass auch andere Ansteuerungen von dem oder über das Ausgangsmodul an den Aktor gehen können.

[0030] Um die von den eingangs genannten Normen geforderten Sicherheitsanforderungen bei einer bestimmten Anwendung mit einer bestimmten, geforderten Sicherheitskategorie zu erfüllen, können die Module zweikanalig aufgebaut sein, um die Signale redundant und gegebenenfalls auch diversitär auswerten zu können.

[0031] Die Eingangsmodule sind jeweils mit bestimmten Ausgangsmodulen verbunden. Diese Zuordnung hängt von der Anwendung ab, denn jeder Aktor soll abhängig von den Zuständen bestimmter Signalgeber betätigt werden. In dem vorliegenden Ausführungsbeispiel soll eine gewisse Zuordnung bereits standardmäßig vorhanden sein, nämlich die Eingangsmodule sind immer dem jeweils links davon angeordneten Ausgangsmodul zugeordnet, was auch durch die Pfeile 104 dargestellt ist. Ein Ausgangsmodul hat jedoch keine Auswirkung auf links von ihm angeordnete, weitere Module. Selbstverständlich sind auch andere Kombinationen denkbar, nämlich, dass beispielsweise die Eingangsmodule immer auf das rechts von ihnen angeordnete Ausgangsmodul wirken und die Ausgangsmodule keine Wirkung auf rechts von ihnen angeordnete weitere Module haben.

[0032] Das erste Subsystem 110 umfasst deshalb ein Ausgangsmodul 10-6 und zwei Eingangsmodule 10-4 und 10-5. An das Eingangsmodul 10-4 sind zwei Signalgeber, nämlich ein Not-Aus-Schalter 10-1 und ein Sensor 10-2, angeschlossen. Dazu weist das Eingangsmodul 10-4 zwei nicht näher dargestellte Eingänge auf. An das Eingangsmodul 10-5 ist ein weiterer Sensor 10-3 angeschlossen. Die Verbindung von den Signalgebern zu dem jeweiligen Eingangsmodul ist durch Pfeile 106 nur schematisch dargestellt und kann ein- oder mehrkanalig ausgebildet sein. Die Signale des Not-Aus-Schalters 10-1 und der Sensoren 10-2 und 10-3 werden in den Eingangsmodulen 10-4 und 10-5 fehlersicher vorausgewertet und an das Ausgangsmodul 10-6 über eine nicht näher dargestellte elektrische Steckverbindung gegeben. Eine solche Steckverbindung, über die die Module miteinander verbunden sind, wird häufig auch als "backplane" bezeichnet. Im Ausgangsmodul 10-6 werden die Signale gegebenenfalls logisch miteinander verknüpft und das Ergebnis an den Aktor 10-7 über einen nicht näher dargestellten Ausgang gegeben. Auch hier deuten die Pfeile 108 die Verbindung zum Aktor nur schematisch an. In der tatsächlichen Anwendung kann die Verbindung ein- oder mehrkanalig sein. Auch ist es denkbar, dass das Ausgangsmodul 10-7 mehrere nicht dargestellte Ausgänge aufweist und dementsprechend verschiedene nicht weiter dargestellte Aktoren betätigen kann, und zwar abhängig von den verschiedenen Signalen der an den zugeordneten Eingangsmodulen des Subsystems 110 angeschlossenen Signalgebern 10-1, 10-2, 10-3.

[0033] In analoger Weise sind die beiden anderen Subsysteme 120 und 130 aufgebaut. Subsystem 120 weist ein Ausgangsmodul 20-6 und ein Eingangsmodul 20-4 auf, wobei an dem Eingangsmodul ein Signalgeber 20-1 angeschlossen ist und das Ausgangsmodul 20-6 auf einen Aktor 20-7 wirkt. Subsystem 130 ist ähnlich aufgebaut wie das erste Subsystem 110 mit zwei Eingangsmodulen 30-4 und 30-5, an denen ein Not-Aus-Schalter 30-1 und Sensoren 30-2 und 30-3 angeschlossen sind, sowie mit einem Ausgangsmodul 30-6, das auf einen Aktor 30-7 wirkt.

[0034] Zur Anpassung an eine Anwendung sind nun zwei Konfigurationsschritte notwendig: Es müssen erstens die Subsysteme zusammengestellt werden, also welche Ausgangsmodule mit welchen Eingangsmodulen verschaltet sind, bzw. welche Signalgeber bei der Entscheidung über das Schalten welchen Aktors zu berücksichtigen sind, und zweitens welche Auswertungsregeln jedes Ausgangsmodul innerhalb eines Subsystems bei der Auswertung der Signale verwendet, also in welcher Weise die Signale eines Subsystems logisch miteinander verknüpft werden sollen.

[0035] Für den ersten Schritt müssen lediglich ein Ausgangsmodul und rechts davon eine ausreichende Anzahl von Einzelmodulen gesteckt werden. Für den zweiten Schritt weisen die Ausgangsmodule ein Bedienelement 103 und die Eingangsmodule ein Bedienelement 105 auf, die als einfache Drehschalter ausgebildet sein können und über die festgelegt werden kann, welche Eingänge, also Signale welcher Signalgeber, auf einen angeschlossenen Aktor wirken sollen. Eine solche Konfiguration kann gegebenenfalls auch einfache Logik, die über die Drehschalter dann aus wählbar ist, enthalten.

[0036] Da ein derart konfiguriertes Subsystem eine in sich geschlossene Einheit bildet, jedenfalls was die Sicherheitsabschaltpfade betrifft, sind die Positionen der Eingangsmodule in der Modulreihe 102 innerhalb eines Subsystems, beispielsweise Eingangsmodule 10-4 und 10-5 des ersten Subsystems 110 oder die Eingangsmodule 30-4 und 30-5 des dritten Subsystems 130, beliebig, mit der einzigen Beschränkung, dass das Ausgangsmodul immer das am weitesten links positionierte sein muss.

[0037] Jedes Modul der Modulreihe 102 ist nach einer Ausführungsform in einem gleichartigen Gehäuse untergebracht. Das Gehäuse kann dabei ein IP20-Gehäusesystem sein, bei dem die einzelnen Module mit der "backplane" miteinander in Verbindung stehen. Alternativ kann je nach Anforderung das Gehäuse auch in einer höheren Schutzklasse wie beispielsweise IP65 ausgeführt sein.

[0038] Erfindungsgemäß sind des Weiteren mechanische Codierungen zwischen den Modulen vorgesehen. In diesem Ausführungsbeispiel sind die mechanischen Codierungen in Form von Codier-Steckverbindungen 200 ausgebildet, wie sie in Fig. 2 schematisch dargestellt sind. Dabei zeigt Fig.2 die Modulreihe 102 aus Fig. 1, wobei die Module getrennt voneinander dargestellt sind, um die erfindungsgemäße Codier-Steckverbindung 200 zu zeigen. Die Codier-Steckverbindungen 200 stellen eine mechanische Codierung zwischen benachbarten Modulen der Modulreihe 102 dar.

[0039] Die Codier-Steckverbindung 200 wird im Folgenden beispielhaft anhand der Verbindung zwischen dem Ausgangsmodule 20-6 und dem Eingangsmodul 20-4 der Modulreihe 102 erläutert. In diesem Ausführungsbeispiel besteht die Codier-Steckverbindung 200 aus einem Stecker 202, der linksseitig an dem Eingangsmodul 20-4 angeordnet ist und einer korrespondierenden Buchse 204, die rechtsseitig an dem Ausgangsmodul 20-6 angeordnet ist. Der Stecker 202 weist Steckerstifte 206 auf und die Buchse 204 entsprechende Steckerstiftaufnahmen 208. Zur mechanischen Codierung ist der zweite Steckerstift 206' (von unten gezählt) entfernt, was durch ein helles Feld angedeutet ist, und die korrespondierende, zweitunterste Steckerstiftaufnahme 208' ist verschlossen, beispielsweise durch einen passenden Stift. Die verschlossene Steckerstiftaufnahme 208' ist durch ein dunkles Feld dargestellt. Alle anderen Steckerstifte 206 und Steckerstiftaufnahmen 208 sind unverändert. Alle Module des zweiten Subsystems 120 weisen diese Codierung auf, so dass nur Ausgangs- und Eingangsmodule mit dieser Codierung zu einem Subsys tem zusammengesteckt werden können. Analoges gilt für das erste Subsystem 110, bei dem die Codierung dadurch erfolgt ist, dass hier der erste Steckerstift (von unten gezählt) entfernt und dementsprechend die erste Steckerstiftaufnahme verschlossen ist, sowie auch für das dritte Subsystem 31, bei dem die Codierung dadurch erfolgt ist, dass nur der dritte Steckerstift fehlt und die entsprechende dritte Steckerstiftaufnahme verschlossen ist.

[0040] Anstatt einen der neun Steckerstifte 206 zur Codierung zu entfernen und die entsprechende Steckerstiftaufnahme 208 zu verschließen, könnte auch lediglich eine Veränderung des entsprechenden Steckerstiftes in seinem Querschnitt, beispielsweise Verkleinerung und eine entsprechende Anpassung der Steckerstiftaufnahme genügen.

[0041] Anstelle des hier gewählten Codes 1 aus n (n=9) sind auch beliebig andere eindeutige Binärcodes denkbar (z. B. 2 aus n oder 3 aus n). Vorteilhafterweise erfolgt die Codierung bereits beim Hersteller, um zur Erhöhung der Sicherheit dem Anwender somit bereits Subsysteme vorgegeben zu haben.

[0042] Da die Module bereits über elektrische Steckverbindungen miteinander verbunden sind, ist es aus Kostengründen vorteilhaft, dass die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen sind.

[0043] Des Weiteren ist es vorteilhaft, wenn die Module gleichartige Gehäuse 210 aufweisen und jeweils den Stecker 206 auf der einen Seite (in diesem Ausführungsbeispiel links) und die Buchse 208 auf der gegenüberliegenden Seite des Gehäuses 210 in gleichartiger Anordnung aufweisen. Dann kann die Modulreihe 102 durch Einfügen zusätzlicher Module in Subsysteme entsprechend der Codierung oder Herausnehmen von Modulen erweitert oder verkleinert werden.

[0044] Wie bereits erläutert enthält jedes Modul eines Subsystems die gleiche Codierung. Damit kann ein Eingangsmodul innerhalb eines Subsystems beliebig positioniert, aber nicht in anderen Subsystemen eingesetzt werden, wodurch die Sicherheitsabschaltpfade somit nicht geändert werden können.

[0045] Da wie bereits oben erwähnt die Subsysteme bezüglich der Sicherheitsabschaltpfade unabhängig voneinander sind, ist es vorteilhaft, wenn ein Subsystem, bestehend aus einem linksseitig angeordneten Ausgangsmodul und rechts davon angeordneten weiteren Eingangsmodulen, an beliebiger Stelle in der Modulreihe eingesetzt werden kann. Dazu ist es notwendig, dass der linksseitige Stecker 203 eines Ausgangsmoduls 20-6 oder 30-6 eine neutrale Codierung aufweist, wie dies in dem Ausführungsbeispiel dadurch realisiert ist, dass sämtliche Steckerstifte 206 so ausgebildet sind, dass sie in jede Art Steckerstiftaufnahme 208 oder 208' passen, was in Fig. 2 durch helle Felder für alle Steckerstifte 206 des neutral codierten Steckers 203 angedeutet ist. Auf diese Weise könnte die Modulreihe 102 aus Fig. 2 auch so aufgebaut sein, dass rechts vom ersten Subsystem 110 das dritte Subsystem 130 und rechts davon das zweite Subsystem 120 angeordnet ist. Dadurch ist dem Endanwender eine gewisse Flexibilität beim Aufbau der Modulreihe 102 gelassen, ohne die Sicherheit zu beeinträchtigen.

[0046] Häufig werden in einer Sicherheitssteuerung Module gefordert, die keine sicherheitstechnische Funktion haben, beispielsweise Kommunikationsgateways zum Anschluss der Modulreihe 102 an ein Bussystem oder passive Buskomponenten. Ein solches Modul ist als die Modulreihe 102 rechts abschließendes Modul 212 in Fig. 2 dargestellt. Das Modul 212 kann an ein Subsystem beliebiger Codierung angesteckt werden und weist deshalb ebenfalls eine neutrale Codierung auf der Steckerseite 203 auf. Damit ist mit einem solchen Modul 212 die Modulreihe immer abschließbar, unabhängig davon welches Subsystem sich am weitesten rechts befindet oder mit anderen Worten, unabhängig davon wie lang die Modulreihe ist bzw. wie viele Subsysteme die Modulreihe umfasst.

[0047] Des Weiteren betrifft die Erfindung ein Verfahren zum Überprüfen der modularen Sicherheitssteuerung, also zum Überprüfen der Modulreihe 102, ob aus sicherheitstechnischen Gesichtspunkten der getätigte Aufbau, wie er beispielsweise in Fig. 1 gezeigt ist, korrekt ist. Dieses Verfahren ist in einer Software implementiert, die entweder separat oder beispielsweise in dem Modul 212 vorgesehen sein kann und mittels derer ein Report über die vorhandene Konfiguration erstellt wird, indem die gesteckte Modulkonfiguration in die Software entweder von Hand eingegeben, z. B. durch manuelle Positionierung von Abbildungen der Module auf einem Bildschirm des PC in der Weise wie tatsächlich gesteckt wurde, oder indem die Modulkonfiguration selbsttätig von dem Modul 22 ausgelesen wird. Die Konfiguration der Modulreihe automatisch auszulesen hat den Vorteil, dass dann der Anwender nicht nochmals manuell alles auf dem PC anordnen muss, jedoch weiterhin die Software eine saubere Anlagendokumentation für die Abnahme erzeugt. Denn der Report, z. B. ein Ausdruck, liefert archivierbare, nachweisbare Information darüber, welche Module wo in der Reihe anzuordnen sind, welche Codierung die Module aufweisen müssen und welche Gerätebestellnummern, also Gerätetypen, eingesetzt werden müssen. Anhand diesen Ausdrucks erfolgt dann die sicherheitstechnische Verifikation mit dem installierten System. So kann der Report für Abnahme- und Zertifizierungszwecke verwendet werden.


Ansprüche

1. Modulare Sicherheitssteuerung, mit wenigstens einem Ausgangsmodul zur Ansteuerung eines Aktors, wenigstens einem Eingangsmodul zur Aufnahme von Signalgeberinformation, wenigstens einem weiteren Modul, wobei die Module über elektrische Steckverbindungen zu einer Modulreihe miteinander verbindbar sind, dadurch gekennzeichnet, dass eine mechanische Codierung zwischen benachbarten Modulen vorgesehen ist, die ein Zusammenstecken der Module nur entsprechend der Codierung erlaubt.
 
2. Sicherheitssteuerung nach Anspruch 1, dadurch gekennzeichnet, dass die mechanische Codierung mittels Codier-Steckverbindungen gebildet ist.
 
3. Sicherheitssteuerung nach Anspruch 2, dadurch gekennzeichnet, dass die Codier-Steckverbindungen integraler Bestandteil der elektrischen Steckverbindungen sind.
 
4. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 2 oder 3, dadurch gekennzeichnet, dass die Codier-Steckverbindung aus einem mehrpoligen Stecker und dazu korrespondierender Buchse besteht, wobei jeder Pol durch einen Steckerstift gebildet ist und die Codierung dadurch gebildet ist, dass im kodierten Stecker wenigstens einer der Steckerstifte verändert, insbesondere im Querschnitt verkleinert, bzw. ganz entfernt ist und in der korrespondierenden Buchse die zugehörige Steckerstiftaufnahme entsprechend angepasst bzw. verschlossen ist.
 
5. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 2 bis 4, dadurch gekennzeichnet, dass Module gleichartige Gehäuse aufweisen und jeweils einen Stecker und eine Buchse für die Codier-Steckverbindung auf gegenüberliegenden Seiten des Gehäuses in gleichartiger Anordnung aufweisen.
 
6. Sicherheitssteuerung nach Anspruch 5, dadurch gekennzeichnet, dass ausgewählte Module, insbesondere die Ausgangsmodule, neutral codierte Stecker der Codier-Steckverbindung aufweisen, so dass jedes Ausgangsmodul zur einen Seite hin jedem anderen Modul benachbart sein kann.
 
7. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Module jeweils einer Gruppe gleiche Codierung aufweisen.
 
8. Sicherheitssteuerung nach Anspruch 7, dadurch gekennzeichnet, dass eine Gruppe von Modulen gleicher Codierung jeweils wenigstens ein Ausgangsmodul und wenigstens ein zugeordnetes Eingangsmodul aufweist.
 
9. Sicherheitssteuerung nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass eine Gruppe von Modulen gleicher Codierung jeweils genau ein Ausgangsmodul und wenigstens ein zugeordnetes Eingangsmodul aufweist.
 
10. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche 7 bis 9, dadurch gekennzeichnet, dass das Eingangsmodul über ein Bedienelement konfiguriert werden kann zur Zuordnung von Eingängen des Eingangsmoduls zu Ausgängen des Ausgangsmoduls gleicher Codierung.
 
11. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eines der Module ein zentrales Steuerungsmodul bildet, mit dem eine Zuordnung von an den Eingangsmodulen anliegenden Signalgeberinformationen zu den an den Ausgangsmodulen auszugebenden Aktorsignalen erfolgt und/oder das eine Auswerteeinheit umfasst, mit der eine Überprüfung durchführbar ist, ob die angeschlossenen Module korrekt, entsprechend der Codierung zusammengesteckt wurden.
 
12. Sicherheitssteuerung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Module zweikanalig ausgeführt sind und die Signale redundant und/oder diversitär fehlersicher verarbeiten.
 
13. Eingangs- oder Ausgangsmodul für eine Sicherheitssteuerung nach einem der vorhergehenden Ansprüche mit einer elektrischen Steckverbindung zur Verbindung mehrerer der Module zu einer Modulreihe, dadurch gekennzeichnet, dass eine mechanische Codierung vorgesehen ist für eine Codierung zwischen benachbarten Modulen, die ein Zusammenfügen der Module nur entsprechend der Codierung erlaubt.
 
14. Eingangs- oder Ausgangsmodul nach Anspruch 13, dadurch gekennzeichnet, dass die mechanische Codierung durch eine Codier-Steckverbindung gebildet ist.
 
15. Eingangs- oder Ausgangsmodul nach Anspruch 14, dadurch gekennzeichnet, dass die Codier-Steckverbindung integraler Bestandteil der elektrischen Steckverbindung ist.
 
16. Verfahren zum Herstellen und Überprüfen einer modularen Sicherheitssteuerung bestehend aus wenigstens einem Ausgangsmodul, wenigstens einem Eingangsmodul und wenigstens einem weiteren Modul mit folgenden Schritten:

- Bereitstellen der Module,

- Zusammenstecken der Module, wie es die Codierungen erlauben,

- Eingeben der gesteckten Modulkonfiguration in eine Konfigurationssoftware oder selbsttätiges Auslesen der Modulkonfiguration durch die Konfigurationssoftware,

- Erstellen eines Konfigurationsreports durch die Konfigurationssoftware.


 




Zeichnung










Recherchenbericht










Angeführte Verweise

IN DER BESCHREIBUNG AUFGEFÜHRTE DOKUMENTE



Diese Liste der vom Anmelder aufgeführten Dokumente wurde ausschließlich zur Information des Lesers aufgenommen und ist nicht Bestandteil des europäischen Patentdokumentes. Sie wurde mit größter Sorgfalt zusammengestellt; das EPA übernimmt jedoch keinerlei Haftung für etwaige Fehler oder Auslassungen.

In der Beschreibung aufgeführte Patentdokumente