[0001] Im Bereich des Maschinenbaus, insbesondere im Druckmaschinenbau ist es seitens der
Berufsgenossenschaften erforderlich, daß sicherheitsrelevante Vorgänge an den Maschinen
einfehlersicher laufen müssen. Das heißt, eine Steuerung oder ein Teil von ihr ist
einfehlersicher, wenn ein einzelner Fehler in der Steuerung zu keiner Gefahr führt.
Schaltungstechnisch bedeutet dies, daß bestimmte Funktionen doppelt, das heißt redundant
vorhanden sein müssen.
[0002] Bei der Steuerung der Fa. Heidelberger Druckmaschinen AG (CP-Tronic) erfolgt dieses
dadurch, daß in der Steuerung ein zentrales Sicherheitsmodul vorgesehen ist, in welches
Zustände von sicherheitsrelevanten Vorgängen parallel zu den Steuerungsmodulen eingelesen
werden. Dabei wird zur Betätigung eines sicherheitsrelevanten Vorgangs ein Schalter
mit jeweils einem Öffner und einem Schließer in zwei getrennte Systemen eingelesen
bzw. überwacht. Das heißt eine Leitung führt zu dem Steuerungsmodul und eine zweite
redundante Leitung führt zu einem zentralen Sicherheitsmodul. Der sicherheitsrelevante
Vorgang wird nur ausgelöst, wenn sowohl im Steuerungsmodul, als auch im Sicherheitsmodul
eine gleichzeitige Auslösung beider Kontakte erkannt wird.
[0003] Der Hauptantrieb der Maschine wird ebenso von zwei redundant aufgebauten Systemen
überwacht und im Falle einer Nichtübereinstimmung sicherheitsrelevanter Zustände erfolgt
eine Abschaltung des Antriebs. Zum redudanten Aufbau gehören zwei Rechner, von denen
einer die Steuerung des Hauptantriebs übernimmt und der andere die eigentliche Maschinensteuerung.
Bei Ausfall des eigentlichen Hauptantriebsrechners übernimmt der Rechner für die Maschinensteuerung
die Steuerungsfunktion des Antriebsrechners und führt den Hauptantrieb kontrolliert
zum Stillstand. Zusätzlich werden über ein Sicherheitsmodul verschiedene Schutzkontakte,
Notaustaster ect. eingelesen, die einerseits über eine Eingabekarte mittelbar dem
Antriebsrechner und redundant dazu über direkte Pin-Eingänge am Antriebsrechner ebenso
dem Antriebsrechner zugeleitet. Weiterhin werden die Ist-Werte des HauptAntriebselements
über zwei getrennte Inkrementalgeber eingelesen, von denen der eine am Motor direkt
und der andere an einem drehenden Teil der Druckmaschine, beispielsweise am Plattenzylinder
angebracht ist. Die Signale des ersten Inkrementalgebers am Motor werden über separate
Signalleitungen dem Antriebsrechner zugeführt und die Signale des Inkrementalgebers
am Plattenzylinder ebenfalls über separate Signalleitungen sowohl dem Antriebsrechner,
als auch dem Rechner für die Maschinensteuerung.
[0004] Nachteilig an dieser Technologie ist, daß von allen sicherheitsrelevanten Einrichtungen
jeweils eine Leitung an die eigentlichen Steuermodule und eine zusätzliche Leitung
zum zentralen Sicherheitsmodul geführt werden muß, um das Einlesen des Zustandes redundant
zu halten. Diese Lösung ist einerseits aufwendig und teuer und bietet andererseits
nur beschränkte Erweiterungsmöglichkeiten. Die Erweiterungsmöglichkeiten sind mit
ebenfalls hohen Aufwand an Leitungen verbunden und eine Erweiterung ist nur soweit
möglich, wie das zentrale Sicherheitsmodul freie Eingänge zum Einlesen des sicherheitrelevanten
Zustandes bietet.
[0005] Aus dem Stand der Technik ist weiterhin die DE 195 29 430 A1 bekannt, die zur Überwachung
von elektrischen Antriebssystemen insbesondere an Druckmaschinen mit Mehrfachantrieben
sogenannte Sicherheitsmodule vorschlägt. Diese Sicherheitsmodule bestehen daraus,
daß sie vorwiegend als Software realisiert sind und insgesamt drei Komponenten aufweisen.
Diese drei Komponenten sind, die Fehlererkennung und - diagnose, die Entscheidungsfindung
aufgrund Fehlerart und -größe und die Reaktions- bzw. Maßnahmeneinleitung. Diese Sicherheitsmodule
haben einen Zugriff auf Signale im Bereich der Funktionsteile, wie z.B. drehende Zylinder
der Druckmaschine, im Bereich der Elektromotoren, der Leistungselektronik, der Signalverarbeitungseinheit
und der Netzteile und sind zu deren Vergleich oder Auswertung auf Plausibilität ausgebildet.
[0006] Nachteilig an dem Stand der Technik gemäß der DE 195 29 430 A1 ist, daß neben den
Überwachungen der Antriebe keine weiteren Überwachungen für sonstige sicherheitsrelevante
Vorgänge berücksichtigt werden. Das heißt, es können keine sicherheitsrelevanten Eingänge
eingelesen und keine redundanten Sicherheitsausgänge gesetzt werden.
[0007] Ausgehend von diesem Stand der Technik ist die Aufgabe der Erfindung darin zu sehen,
eine kostengünstigere Lösung zu schaffen, mit der eine Erweiterung von sicherheitsrelevanten
Funktionen möglich ist, ohne zusätzlichen Kabelaufwand. Weiterhin besteht die Aufgabe
der Erfindung darin, daß bei der Vereinfachung gleichzeitig die durch die BG vorgeschriebenen
Bedingungen eingehalten werden.
[0008] Die Aufgabe wird erfindungsgemäß durch die Merkmale der Vorrichtungsbzw.Verfahrensansprüche
1 bzw. 8 gelöst. Vorteilhafte Ausgestaltungen ergeben sich durch die abhängigen Ansprüche
2-7 und 9-11
[0009] Der Vorteil der Erfindung besteht darin, daß das Einlesen der für die Sicherheit
relevanten Zustände nicht zentral an einer mittels Leitung erreichbaren Stelle stattfindet,
sondern dezentral unmittelbar an der Stelle, an der der Zustand erzeugt, bzw. verändert
wird. Das heißt, ein für die Übermittlung dieser Zustandssignale installiertes Bussystem,
wird entlang der Druckmaschine verlegt und verbindet mehrere vor Ort angebrachte Sicherheits
Ein-/Ausgabeeinrichtungen mit einer oder mehreren, für einen sicherheitskritischen
Bereich verantwortlichen Sicherheitsüberwachungssteuerungen. Die Verbindung zu dem
Bussystem erfolgt auf kürzestem Wege von dem Ort, an den der sicherheitsrelevante
Zustand eingelesen wird. Eine einfache Erweiterung auf die zusätzlichen Überwachung
weiterer sicherheitsrelevanter Zustände ist dadurch möglich, daß jeweils als modulbauweise
konzipierte Sicherheitsüberwachungssteuerungen und Sicherheitseinleseinrichtung überall
an das Bussystem angeschlossen werden können.
[0010] Die Sicherheits Ein-/Ausgabeeinrichtungen sind beispielsweise vor Ort da angebracht,
wo sich Notaustaster oder sogenannte Endschalter einer Schutzeinrichtung befinden.
Weiterhin fragt die Sicherheitseinlesevorrichtung auch analoge Signale ab wie beispielsweise
die Temperatur eines Trockners, welche bei Überschreiten eines Maximalwertes eine
Abschaltung bewirken kann. Die Sicherheits Ein-/Ausgabeeinrichtung liest die Zustandsände
der Notaustaster, Endschalter oder Temperaturfühler ein und übermittelt diese mittels
Bussystem an eine Sicherheitsüberwachungssteuerung. Die Sicherheitsüberwachungssteuerung
ist beispielsweise an einem Antriebselement vor Ort angebracht der eine kontinuierliche
oder diskontinuierliche sicherheitskritische Bewegung ausführt. Die Bewegung ist deshalb
sicherheitskritisch, weil eine Bedienperson in dessen Gefahrenbereich gelangen kann.
Zwischen Antriebselement und Sicherheitsüberwachungssteuerung ist ebenfalls eine Sicherheits
Ein-/Ausgabeeinrichtung geschaltet, welche die sicherheitsrelevanten Signale des Antriebselements
einliest und diese der Sicherheitsüberwachungssteuerung mitteilt. Die Sicherheits
Ein-/Ausgabeeinrichtung und die Sicherheitsüberwachungssteuerung kann in diesem Fall
in eine Einheit integriert sein.
[0011] Die Sicherheits Ein-/Ausgabeeinrichtung legt ihren eingelesenen Zustand auf das Bussystem
wodurch alle am Bussystem befindlichen Sicherheitsüberwachungssteuerungen auf die
gemeldete Nachricht Zugriff haben. Diesen Vorgang bezeichnet man als broadcast. Ob
eine Sicherheitsüberwachungssteuerung an der gemeldeten Nachricht interessiert ist,
entscheidet diese für sich selbst. Das heißt, die Nachricht wird ignoriert, wenn der
gemeldete sicherheitskritische Zustand für den von der Sicherheitsüberwachungssteuerung
überwachten Antrieb nicht relevant ist. Es werden aber entsprechende Maßnahmen durchgeführt,
wenn der gemeldete sicherheitskritische für den von der Sicherheitsüberwachungssteuerung
überwachten Antrieb relevant ist. Somit übernimmt jede Sicherheitsüberwachungssteuerung
abhängig von deren Verantwortung nur das wesentliche. Durch das gezielte Auswerten,
bzw. Verwerten von nur den wichtigen Nachrichten wird das Sicherheitssystem von Ballast
entlastet, weil nur die notwendigen Nachrichten bearbeitet werden.
[0012] Die o.g. Notaustaster und Endschalter werden der Redundanz wegen mit doppelten Kontakten
ausgestattet von denen der eine durch die Sicherheits Ein-/Ausgabeeinrichtung und
der andere über eine separate betriebsmäßige Ein-/Ausgabeeinrichtung eingelesen wird.
Es ist aber auch möglich, beide Kontakte mit derselben Sicherheits Ein-/Ausgabeeinrichtung
einzulesen, jedoch über getrennte Eingänge. Die betriebsmäßig vorgesehene Ein-/Ausgabeeinrichtung
meldet ihre Nachricht der eigentlichen Betriebssteuerung, welche die entsprechenden
Funktionen ausführt. Im Falle, daß die Sicherheits Ein-/Ausgabeeinrichtung beide Kontakte
einliest, wird der betriebsmäßig vorgesehene Vorgang auch von der Betriebssteuerung
vorgenommen. Das Sicherheitskonzept wird dadurch nicht verlassen, es wird lediglich
das Einlesen durch das gleiche Hardwaremittel vorgenommen. Die Sicherheitsüberwachungssteuerung
die auf die Nachricht der Sicherheits Ein-/Ausgabeerichtung Zugriff hat, ermittelt
daraus die erlaubten Betriebszustände und wird erst aktiv, wenn ein fehlerhafter Zustand
vorliegt. Ein fehlerhafter Zustand liegt beispielsweise dann vor, wenn sich ein Antrieb
außerhalb der Befehlsvorgabe der Betriebssteuerung befindet. Die Redundanz liegt in
der doppelten Ausführung der Kontakte der jeweiligen Schalter und Taster und der doppelten
Ausführung der Ein-/Ausgabeeinrichtungen ("normale" Ein-/Ausgabeeinrichtung und Sicherheits
Ein-/Ausgabeeinrichtung). Am Antrieb selbst, sind neben dem Encoder am Motor, entweder
ein zusätzlicher Encoder angebracht oder der Geber am Motor gilt als sicher, der dann
mit einer redundanten Auswertung versehen wird. Die in jedem Fall doppelten Signale
werden der Antriebssteuerung und der Sicherheitsüberwachungssteuerung zugeführt.
[0013] Neben der oben angeführten sogenannten Hardwareredundanz gibt es weiterhin eine Redundanz
in der Überwachung der Funktion. Das heißt die Sicherheitsüberwachungssteuerung ist
der Betriebssteuerung als Überwachungsorgan zugeteilt. Fällt die Betriebssteuerung
aus, bzw. liegt ein Fehlverhalten vor, werden sämtliche sicherheitsrelevanten Funktionen
durch die Sicherheitsüberwachungssteuerung in einen sicheren Zustand geführt. Dieses
ist deshalb möglich, weil sowohl die Betriebssteuerung, als auch die Sicherheitsüberwachungssteuerung
über die sicherheitsrelevanten Betriebszustände gleiche Informationen haben. Der Begriff
"gleiche Information" gilt solange, wie die redundante Überwachung der sicherheitsrelevanten
Betriebszustände identische Ergebnisse liefert. Ist dieses nicht der Fall, tritt die
Sicherheitsüberwachungssteuerung in Kraft. Ob eine Übereinstimmung der Informationen
in der Betriebssteuerung und der Sicherheitsüberwachungssteuerung besteht, wird mittels
eines Konsistenzchecks geprüft. Dieser Check kann in der Betriebssteuerung, oder in
der Sicherheitsüberwachungssteuerung stattfinden. Falls die verschiedenen Steuerungen
an separaten, mittels Buskoppler verbundenen Bussystemen hängen, kann der Kosistenzcheck
auch in dem Buskoppler vorgenommen werde. Der Konsistenzcheck bringt den Vorteil,
daß ein Wiederanlaufen der Maschine nach einem fehlerhaften Zustand erst dann möglich
ist, wenn der Fehler behoben ist.
[0014] Welche Steuerung (die eigentliche Betriebssteuerung, oder die redundante Sicherheitsüberwachungssteuerung)
letztendlich die Maßnahme bestimmt, wird folgendermaßen festgelegt:
Der Normalbetrieb wird immer durch die eigentlichen Betriebssteuerung vollzogen. Der
Normalbetrieb liegt dann vor, wenn die Sicherheitsüberwachungssteuerung keinen fehlerhaften
Zustand der Betriebssteuerung feststellt. Liegt ein fehlerhafter Zustand vor, greift
die Sicherheitsüberwachungssteuerung ein und führt das Stell-/Antriebselement entsprechend
der Vorgaben in den sicheren Zustand.
[0015] Das Bussystem muß nicht redundant aufgebaut sein, es ist vielmehr erforderlich daß
ein Ausfall des Bussystems sicher erkannt wird. Da die Sicherheitsüberwachungssteuerung
direkt dem Antrieb zugeordnet ist und bei Ausfall des Bussystems eine in der Sicherheitsüberwachungssteuerung
abgelegte Routine den Antrieb in den sicheren Zustand führt.
Das gleiche gilt für die Sicherheits Ein-/Ausgabeeinrichtung. Falls diese einen Ausfall
des Bussystems erkennt, werden ebenfalls Maßnahmen ausgeführt, die einen sicheren
Zustand der anzusteuernden Stellelemente bewirken. Diese Maßnahmen sind ebenso auf
der Sicherheits Ein-/Ausgabeeinrichtung hinterlegt.
[0016] Es ist jedoch denkbar, da ein Bussystem in der Übertragungsgeschwindigkeit beeinträchtigt
wird, wenn eine große Anzahl von Teilnehmern angeschlossen sind, bzw. wenn die Strecke
die ein Bussystem abdeckt sehr lang ist, daß beispielsweise für den Sicherheitsweg
und den Betriebsweg getrennte Bussysteme vorgesehen sind. In diesem Fall wird eine
Kopplung des einen Bussystems mit dem anderen mittels einer Buskopplung durchgeführt.
Denkbar ist auch, daß mehrere Bussysteme durch eine solche Buskopplung verbunden werden.
Daß ein Bussystem bezüglich der Übertragungsgeschwindigkeit nicht beeinträchtigt ist,
wird bei der Konzeption vermieden. Aber auch eine Beeinträchtigung der Übertragungsgeschwindigkeit
des Bussystems wird erkannt und die Maschine in den sicheren Zustand beführt.
[0017] Um zu erkennen, ob ein Bussystem ausgefallen ist gibt es die Möglichkeit, daß die
verschiedenen Teilnehmer sich in einem definierten Zeittakt Informationen zusenden.
Bleibt eine Information aus wird dieses als Ausfall des Bussystems gewertet und die
Sicherheitsüberwachungssteuerungen, für die der Ausfall des Bussystems relevant ist
aktivieren die Routinen, die zum sicheren Zustand führen. Diesen Überwachungsvorgang
bezeichnet man als Watch Dog. Anhand des zyklischen Sendens und Empfangens von Informationen
kann beim Ausfall eines lokalen Bussystems erkannt werden welches der lokalen Bussysteme
einen Defekt hat. Es ist dann auch denkbar, daß die Buskopplung eine Information auf
die noch intakten Bussysteme legt, wodurch der Defekt des gestörten Bussystems gemeldet
wird. Ob nun eine Sicherheitsüberwachungseinrichtung an einem noch intakten Bussystem
auf diese Meldung reagiert oder nicht obliegt der Sicherheitsüberwachungseinrichtung
selbst, da sie erkennt ob aus der Situation ein sicherheitskritischer Zustand entsteht
oder nicht.
[0018] Eine weitere Variante der Erfindung sieht vor, für verschiedene Betriebszustände
der Maschine unterschiedliche Überwachungskriterien zu definieren. Wird eine Maschine
bei offenem Schutzgitter in einem vom eigentlichen Betriebsfall abweichenden Schleichgang
betrieben, werden hierzu andere Sicherheitsanforderungen gestellt, die vom Bediener
durch entsprechende Eingaben definiert werden. Beispielsweise das Drücken eines separaten
Schalters oder Tasters kann diesen Schleichgang einleiten. Da dieser Schleichgang
sicherheitsrelevant ist und das geöffnete Schutzgitter von der Sicherheits Ein-/Ausgabeeinrichtung
erkannt wird, steht eine entsprechende Nachricht der Sicherheitsüberwachungssteuerung
zur Verfügung. Die Sicherheitsüberwachungssteuerung kann nun im Gegensatz zum normalen
Betriebsfall, bei dem ein geöffnetes Schutzgitter zum Stillstand der Maschine führen
würde, auch bei offenem Schutzgitter eine maximale Geschwindigkeit des Antriebselements
zulassen. Das heißt eine Freigabe zum Betrieb des Antriebs erteilen. Unterschiedliche
Überwachungskriterien können sich weiterhin auf die Überwachung der Winkelposition,
die Beschleunigung, das Drehmoment oder sonstiges beziehen. Somit können den verschiedenen
Betriebsarten unterschiedliche Sicherheitsbestimmungen zugeordnet werden.
[0019] Bezüglich der räumlichen Anordnung der Sicherheitsüberwachungssteuerung ist folgende
Variante möglich:
Das Stell-/ Antriebselement verfügt über eine direkt ihm zugeordnete Regelung, Stromrichter
und Leistungsteil. Diese Regelung empfängt seitens der Betriebssteuerung Befehle,
welche beispielsweise heißen:
- fahre mit einer konstanten Drehzahl 3000 Druck/h,
- bringe das Antriebselement bei der Winkelstellung 270 Grad zum Stillstand,
- usw.
[0020] Das heißt, die Aufgabe der Betriebssteuerung besteht darin, Befehle zu verwalten
und auszugeben. Die nun die Betriebssteuerung und die Antriebe überwachende Sicherheitsüberwachungssteuerung
wird deshalb auch dem Stell-/Antriebselement zugeordnet, weil im Falle eines Fehlers
ein Herunterführen in den sicheren Zustand direkt am Stell-/Antriebselement durchgeführt
werden kann, auch ohne daß Befehle über das Bussystem geschickt werden müssen. In
diesem Fall bringt die Sicherheitsüberwachungssteuerung über redundante Signale das
Stell-/Antriebselement in den sicheren Zustand. Die räumliche Zuordnung der Sicherheits
Ein-/Ausgabeeinrichtung ist ähnlich vorgesehen. Diese wird auch unmittelbar vor Ort
dort angebracht wo eine Einlesen bzw. eine Ausgabe erfolgt.
[0021] Da diese Sicherheits Ein-/Ausgabe Einrichtung einen universellen Aufbau mit mehreren
möglicherweise frei definierbaren Ein-Ausgängen hat, kann diese Einrichtung auch dazu
benutzt werden, nichtsicherheitserlevante Ein- oder Ausgänge zu verwalten. Damit kommt
der Sicherheits Ein-/Ausgabe Einrichtung eine Doppelfunktion zu. Nicht zuletzt wegen
der o.g: Doppelfunktion kann das System als aufwandssparende Redundanz bezeichnet
werden.
[0022] Die frei konfigurierbaren Ein-/Ausgängen der Sicherheits Ein-/Ausgabe Einrichtung
bieten den Vorteil, daß diese als Module in hoher Stückzahl gefertigt werden können
und deshalb kostengünstig sind.
[0023] Ein zusätzlicher Vorteil der Standardisierung ist darin zu sehen, daß der Servicetechniker
vor Ort nur eine geringe Anzahl von Varianten beachten muß, daß dadurch ein schneller
Austausch vorgenommen werden kann und die Verfügbarkeit der Maschine schnell wieder
hergestellt ist. Es ist auch denkbar eine Sicherheits Ein-/Ausgabeeinrichtung an einer
weniger oder für verschiedene Betriebsarten nicht benutzten Komponente zu entnehmen
und gegen eine defekte auszutauschen. Die Konfiguration des Moduls könnte durch eine
vom Betriebsrechner der Maschine vorgenommene Softwareeinspielung erfolgen. Um den
Vorschriften der Berufsgenossenschaft gerecht zu werden, wäre bei diesem Vorgang eine
abschließende Sicherheitsabnahme erforderlich, die beispielsweise so aussehen kann,
daß bei nicht sachgemäßer Konfiguration der Sicherheits Ein-/Ausgabeeinrichtungen
ein Anlaufen der Maschine verhindert wird.
[0024] In einer weiteren Variante ist vorgesehen, daß eine Maschine nicht nur aus einer
Komponente besteht, sondern wie in der Druckindustrie üblich aus einer Druckmaschine
die das Bebildern von Papier vornimmt und einer im Anschluß an diese Maschine befindlichen
Weiterverarbeitungsmaschine, beispielsweise aus einem Falzapparat. Für sich genommen
können beide Komponenten steuerungstechnisch separate Einheiten bilden, die jedoch
im Sicherheitskonzept als einheitlich zu betrachten sind. Für diesen Fall ist es vorgesehen,
die jeweils getrennten Bussysteme miteinander durch einen Buskoppler zu verbinden,
so daß die sicherheitsrelevanten Nachrichten von den Sicherheits Ein-/Ausgabeeinrichtungen
allen an den beiden Bussystemen angekoppelten Sicherheitsüberwachungssteuerungen zugänglich
sind. Die Vorgehensweise bezüglich dem Umgang mit der Nachricht ist identisch mit
der eingangs beschriebenen Art. Selbstverständlich ist auch eine Kopplung mehrerer
Bussysteme denkbar.
[0025] Die Erfindung soll nachträglich anhand von eines Ausführungsbeispiels näher erläutert
werden.
Es zeigt:
Fig. 1 ein Blockschaltbild des Sicherheitskonzepts,
Fig. 2 ein Blockschaltbild des Sicherheitskonzepts mit getrennten Bussystemen.
[0026] Fig. 1 zeigt eine Betriebssteuerung 1 für eine Anzahl von Antriebs und Stellvorgängen
an einer nicht dargestellten Maschine, vorzugsweise Druckmaschine. Diese Betriebssteuerung
1 ist mittels Bussystem 2 mit einer Anzahl von Ein-/Ausgabeeinrichtungen 3, mit Sicherheits
Ein-/Ausgabeeinrichtungen 4, mit einer Antriebssteuerung 5 und einer Sicherheitsüberwachungssteuerung
6 verbunden. Die Aufgabe der Betriebssteuerung 1 besteht darin die Koordination der
verschiedenen Antriebe 7, welche den Hauptantrieb der Maschine, Hilfsantriebe für
verschiedene Aufgaben wie z.B. Heben und Senken des Papierstapels, Antreiben des Farbduktors
oder ähnliches und auch Stellantriebe beispielsweise zum Verstellen von Registern
betrifft. Zusätzlich werden durch die Betriebssteuerung 1 auch das Zusammenspiel von
Stellelementen 8 das Einlesen von Schaltern 9,10 oder die Anzeigen 11 koordiniert.
Als Ein-/Ausgabeorgane dienen dazu die Ein-/Ausgabeeinrichtungen 3 und die Antriebssteuerung
5. Den sicherheitsrelevanten Verstellvorgängen ist eine Sicherheits Ein-/Ausgabeeinrichtung
4 zugeordnet, welche redundant diese Vorgänge steuert, bzw. einliest.
[0027] Der Antrieb 7, welcher wie bereits erwähnt ein Hauptantrieb, ein Hilfsantrieb oder
auch ein Stellantrieb sein kann, die wiederum durch Motoren verschiedenster Technologien
(Gleichstrommotor, Drehstrommotor, bürstenloser Motor etc.) ausgeführt sein können,
wird durch die Antriebssteuerung 5 mittels Leistungsteil 12 in Betrieb gesetzt. Die
Verbindung zwischen Antriebssteuerung 5 und Leistungsteil 12 ist bidirektional. Auf
das Leistungsteil 12 hat auch die Sicherheits Ein-/Ausgabeeinrichtung 4 bidirektionalen
Zugriff. An dem Antrieb 7 befinden sich je ein Encoder 13, 14 welcher aus einem Geber
und einer Auswerteschaltung besteht, wodurch die Position, möglicherweise auch die
Drehzahl des Antriebs 7 erfaßt wird. Diese Information wird von beiden Encodern 13,14
einerseits der Antriebssteuerung 5 und andererseits der Sicherheits Ein-/Augabeeinrichtung
4 zugeleitet. Weiterhin besteht jeweils von der Antriebssteuerung 5 und der Sicherheits
Ein-/Ausgabeeinrichtung eine Ansteuermöglichkeit zu einer Bremse 15, die in mechanischer
Wikverbindung zu dem Antrieb 7 steht und diesen im Notfall stillsetzen kann. Tritt
ein fehlerhaftes Verhalten der Antriebssteuerung 5 ein, wodurch der Antrieb 7 außerhalb
der vorgegebenen Drehzahl betrieben wird, greift die Sicherheitsüberwachungseinrichtung
6 direkt auf das Leistungsteil 12 zu, unterbricht die Stromzufuhr für den Antrieb
7 und läßt die Bremse 15 einfallen. Der Antrieb 7 ist somit in den sicheren Zustand
geführt.
[0028] Das Stellelement 8, welcher beispielsweise ein Pneumatikzylinder zum An- und Abstellen
von Farbwalzen sein kann, wird durch eine Ein-/Ausgabesteuerung 3 aktiviert. Redundant
dazu ist der Zugriff auch über eine Sicherheits Ein-/Ausgabeeinrichtung vorgesehen.
Falls hier ein fehlerhaftes Verhalten vorliegt, bringt die Sicherheits Ein-/Ausgabeeinrichtung
den Stellelement 8 in den sicheren Zustand.
[0029] Die Schalter 9, 10 sind sicherheitsrelevant, weil sie z.B. einen Notstop auslösen,
oder den geöffneten Zustand eines Schutzgitters darstellen. Beide Zustandsabfragen
werden als sicherheitsrelevante Eingaben bezeichnet, weshalb redundante Schalterkontakte
9a, 9b und 10a, 10b erforderlich sind. Diese werden auf getrenntem Weg durch die Ein-/Ausgabeeinrichtung
3 und die Sicherheits Ein-/Ausgabeeinrichtung 4 eingelesen. Die Sicherheits Ein-/Ausgabeeinrichtung
4 kann für alle Anwendungsfälle eine gemeinsame Einrichtung oder für jeden Anwendungsfall
getrennt vorhanden sein. Dieses ist abhängig von der Anzahl der zur Verfügung stehenden
Ein-/Ausgänge bzw. von der räumlichen Zuordnung. Bei fehlerloser Funktion der Schalter
9,10 haben die Schalterkontakte 9a,9b und 10a, 10b jeweils gleiche Zustände. Ist ein
Schalterkontakt 9a,9b oder 10a,10b fehlerhaft oder ist die Kabelverbindung zwischen
Schalterkontakt 9a,9b oder 10a, 10b fehlerhaft, werden in der Ein-/Ausgabeeinrichtung
3 und der Sicherheits Ein-/Ausgabeeinrichtung 4 unterschiedliche Zustände erkannt.
Die Sicherheitsüberwachungseinrichtung 6 bringt daraufhin den Antrieb 7 und den Stellelement
8 in den sicheren Zustand.
[0030] Durch die Betriebssteuerung 1kann auch ein Zugriff auf Ein- oder Ausgänge erfolgen
die durch die Sicherheits Ein- /Ausgabeeinrichtung 4 bedient werden. Diese Ein- oder
Ausgänge sind dann als gewöhnliche Ein- oder Ausgänge definiert, das heißt sie werden
nicht als sicherheitsrelevant betrachtet. Der Vorteil besteht darin, daß freie, nicht
benutzte Ein- oder Ausgänge auf der Sicherheits Ein-/Ausgabeeinrichtung genutzt werden
können. Diese sind zum Beispiel für die Anzeige 16 oder ähnliche Funktionen verwendbar.
[0031] Fig. 2 zeigt im wesentlichen die gleiche Anordnung der Sicherheitseinrichtungen wie
Fig. 1 jedoch mit getrennt aufgebauten Bussystemen. Hierbei wird das Bussystem 2 für
die Anbindung der Sicherheits Ein-/Ausgabeeinrichtung 4 und der Sicherheitsüberwachungseinrichtung
6 benutzt, während ein zusätzliches Bussystem 17 die Anbindung der eigentlichen Betriebseinrichtungen
Ein-/Ausgabeeinrichtung 3 und Antriebssteuerung 5 übernimmt. Diese Konstellation ist
dann vorteilhaft, wenn eine hohe Anzahl von Busteilnehmern (3,4,5,6) an dem Bussystem
hängt oder wenn die Leitungslänge des Bussystems eine bestimmte Länge überschreitet.
In Fig. 2 werden die Bussysteme 2, 17 durch einen Buskoppler 18 gekoppelt. Es ist
erkennbar, daß durch den Buskoppler 18 noch weitere Bussysteme 19 angebunden werden
können. Die Betriebssteuerung 1 ist durch ein weiteres Bussystem 20, welches beispielsweise
ein VME-Bussystem sein kann, mit dem Buskoppler 18 verbunden.
Bezugszeichenliste
[0032]
- 1
- Betriebssteuerung
- 2
- Bussystem
- 3
- Ein-/Ausgabeeinrichtung (Busteilnehmer)
- 4
- Sicherheits Ein-/Ausgabeeinrichtung (Busteilnehmer)
- 5
- Antriebssteuerug (Busteilnehmer)
- 6
- Sicherheitsüberwachungseinrichtung (Busteilnehmer)
- 7
- Antrieb
- 8
- Stellelement
- 9
- Schalter
- 9a,9b
- Schalterkontakt
- 10
- Schalter
- 10a, 10b
- Schalterkontakt
- 11
- Anzeige
- 12
- Leistungsteil
- 13
- Encoder
- 14
- Encoder
- 15
- Bremse
- 16
- Anzeige
- 17
- Bussystem
- 18
- Buskoppler
- 19
- Bussystem
- 20
- Bussystem
1. Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Stell-/ Antriebselementen
an einer Maschine insbesondere Druckmaschine mit einer Betriebssteuerung für eine
Anzahl von Antriebs- und Stellvorgänge und mindestens einer mit einer Anzahl von Sicherheits
Ein-/Ausgabeeinrichtungen in Verbindung stehenden Sicherheitsüberwachungssteuerung
dadurch gekennzeichnet,
dass die Signale der Stell-/ Antriebselemente durch die Sicherheits Ein-/Ausgabeeinrichtung
(4) einlesbar sind, dass ein Bussystem (2) zur Übermittlung der Signale zu der Sicherheitsüberwachungssteuerung
(6) vorgesehen ist,
und dass die Stell-/ Antriebselemente beim Erkennen eines fehlerhaften Zustandes durch die
Sicherheitsüberwachungssteuerung (6) mittels der Sicherheits Ein-/Ausgabeeinrichtung
(4) in den sicheren Zustand bringbar sind.
2. Vorrichtung nach Anspruch 1,
dadurch gekennzeichnet,
dass das Bussystem (2) als VME-Bussystem ausgeführt ist.
3. Vorrichtung nach Anspruch 1,
dadurch gekennzeichnet,
dass das Bussystem (2) mehrere Sicherheits Ein-/Ausgabeeinrichtungen (4) mit einer oder
mehreren für einen sicherheitskritischen Bereich verantwortlichen Sicherheitsüberwachungssteuerungen
(6) verbindet.
4. Vorrichtung nach Anspruch 1,
dadurch gekennzeichnet,
dass die Sicherheitsüberwachungssteuerung (6) als Modulbauweise konzipiert ist.
5. Verfahren zur Überwachung von sicherheitsrelevanten Vorgängen an Stell-/Antriebselementen
an einer Maschine, vorzugsweise Druckmaschine,
dadurch gekennzeichnet,
dass von einer Sicherheits Ein-/Ausgabeeinrichtung (4) Signale von den sicherheitsrelevanten
Vorgängen dezentral eingelesen und mittels Bussystem (2) einer Sicherheitsüberwachungssteuerung
(6) zugeführt werden,
dass bei Erkennen eines sicherheitsrelevanten Zustandes entsprechende Maßnahmen mittels
des Bussystems (2) der Sicherheits Ein-/Ausgabeeinrichtung (4) zugeführt und dort
ausgeführt werden.
6. Verfahren nach Anspruch 5,
dadurch gekennzeichnet,
dass die Sicherheits Ein-/Ausgabeeinrichtung (4) entsprechend einem Broadcast-Verfahren
ihren eingelesenen Zustand auf das Bussystem (2) legt.
7. Verfahren nach Anspruch 5,
dadurch gekennzeichnet,
dass zur Überprüfung des Bussystems (2) von den verschiedenen Busteilnehmern (3,4,5,6,)
in einem definierten Zeittakt Informationen zugesendet werden.
8. Verfahren nach Anspruch 7,
dadurch gekennzeichnet,
dass bei Ausfall des Bussystems (2) eine in der Sicherheits Ein-/Ausgabeeinrichtung (4)
abgelegte Routine das Stell-/Antriebselement in den sicheren Zustand führt.