用于安全锁定装置的操作设备的制作方法

用于安全锁定装置的操作设备
1.本发明涉及一种根据权利要求1的前序部分的操作设备，其用于防护机器的可移动分离式保护装置的安全锁定装置(sicherheitszuhaltung)。
2.安全技术的中心任务是保护驻留在危险源(例如，机器)周围的人员的生命和健康。在这里存在由安全标准指定的、关于传感器和执行器须如何工作的严格规定，从而不会因错误或不期望的行为而发生事故。这包括冗余的，特别是双通道的结构和测试，其中具体措施取决于应用和待达到的安全级别。在整个说明书中，术语“安全性”和“安全”应在针对机器安全或人员保护的此类安全标准的意义上来理解。
3.图1a示出了机器100，例如机器人或例如在工厂自动化中使用的其他机器，其工作移动危及其周围的人员。因此，机器100被机械屏障102或防护栅栏围住。然而，有时为了维护等原因需要使人员接近机器100。因此，在屏障102中设置了所谓的可移动分离式保护装置104，通常是门或挡板形式的可移动分离式保护装置。
4.为了能够更好地认识用于可移动分离式保护装置104的防护的元件106的细节，这些元件在图1b中再次放大示出。在一些应用中安全开关就足够了，该安全开关在可移动分离式保护装置104打开时使机器100停止运转。然而，如果不能确保在打开可移动分离式保护装置之后、在人员过于靠近机器100之前及时地停止机器100的带有危险性的移动，安全开关就不再满足了。于是使用安全锁定装置108，其在机器100的带有危险性的移动停止之后才开放通道。
5.安全锁定装置108包括锁闩110，该锁闩选择性地使可移动分离式保护装置104闭锁(verriegeln)或解锁。多个按键装配在安全锁定装置108的旁边以用于操作该安全锁定装置，即停止请求按键112、复位按键114和重启按键116。安全锁定装置108本身和按键112、114、116都连接到安全控制器118。安全控制器118又经由安全继电器120或其他机器接口与机器100连接，以便在发生危险的情况下以安全为本的方式使机器停止运转。
6.安全控制器118的任务在于，处理来自按键112、114、116的信号以及操控安全锁定装置108和安全继电器120。为了接近机器100，停止请求按键112被致动，紧接着安全控制器118经由安全继电器120发起机器100的停止。为了确保机器100真正处于停止状态，安全控制器118随后等待规定的等待时间，该等待时间例如已经通过停止时间测量被事先确定。可替代地，等待机器100的停止信号，该停止信号例如通过停止状态监测器或安全速度监测装置来检测。在机器100处于停止状态后，安全控制器118向安全锁定装置108发送打开命令，安全锁定装置108随后打开锁闩110。现在可以打开可移动分离式保护装置104，并且可以进入机器100的区域。
7.如果要使机器100再次投入运行，例如在机器100上的工作已经完成之后，则首先可移动分离式保护装置104被再次关闭。安全锁定装置108识别到关闭状态，并且将其指示给安全控制器118，紧接着安全控制器118开启安全部件的复位，并且这还可以通过闪烁或类似方式在复位按键114处发出信号。随着复位按键114被致动，规定状态得到确认并且机器被允许重启。安全控制器118检测复位按键114的复位信号，并且向安全锁定装置108发出闭锁命令。只有当安全锁定装置108在其安全输出端处已经安全地反馈已经完成对锁定装
置的激活时，安全控制器118才开启机器100的重启。重启自动进行，或者可替代地只有经由重启按键116的进一步操作命令才进行。
8.因此，传统的安全解决方案由安全锁定装置108、按键112、114、116和协作的安全控制器118组成。在现有技术中已知子系统的多种组合。在此，按键112、114、116被集成到安全锁定装置108中，并且在某些情况下也被集成到可编程的安全控制器118中。
9.传统的解决方案通常适用于更大型或更复杂的系统和机器100，因为在这些系统和机器中无论如何都需要可编程的安全控制器118来控制和协调其他安全功能。然而，在简单的机器100中，所需的安全传感器(例如，安全开关或安全光栏栅(sicherheitslichtgitter))可以直接连接到安全继电器。然而如果因为带来危险性的移动不能足够快速地停止而有必要添加安全锁定装置108，那么又需要使用安全控制器118。这导致成本高，特别是由于通常不适于简单的控制任务的安全控制器118。此外，在与安全锁定装置108相关的安全控制器118的编程中可能出现错误，这些错误可能会导致危险状况并且其后果导致严重伤害。
10.从de 10 2008 060 004 a1及其申请人的相应产品中，已知一种用于根据可移动的防护门的位置来产生系统开启信号的安全开关。操作功能被集成到锁定装置中并且不能改造。无法设置例如等待时间的配置，并且只能经由连接的安全控制器来实现。在一个实施方式中设置了应答器，人员经由该应答器证明操作权限，并且该应答器作为按键的替代方案能够实现非接触式的门开启。
11.因此，本发明的任务在于改善可移动分离式保护装置的防护。
12.该任务通过根据权利要求1所述的操作设备来实现，该操作设备用于防护机器的可移动分离式保护装置的安全锁定装置。操作设备具有：第一安全端口，其用于与安全锁定装置连接；以及第二安全端口，其用于与安全开关设备连接。优选地，安全开关设备是非常简单且不可编程的，例如仅是安全继电器或者甚至是机器本身的停止输入端。原则上，安全控制器也可以充当安全开关设备，但不需要灵活的或任何意义上智能的控制功能，只需要以安全的方式向机器传输停止运转命令，为此，在施加适当的切断信号时使机器断电就足够了。操作设备还包括至少一个第一操作元件，该第一操作元件用于对机器的停止请求，因此同时请求解锁安全锁定装置，以便可以打开可移动分离式保护装置。
13.本发明基于以下基本思想，即将操作设备设计为一种按键逻辑模块，其中所需的安全逻辑被集成到具有至少第一操作元件的构件中。因此，组合的操作模块至少包括第一操作元件、两个安全端口和集成的安全控制单元，该安全控制单元具有用于实现安全逻辑的至少一个所需的逻辑模块。优选地，操作模块具有共同的外壳。集成的安全控制单元至少针对可移动分离式保护装置打开时的流程(ablauf)来进行设计或编程，并且相应地，当第一操作元件被致动时，在第二端口处输出停止请求，并且因此向通过安全开关设备连接在该第二端口处的机器输出停止命令，并且随后在第一端口处并且因此向安全锁定装置输出解锁命令。
14.本发明的优点在于提供了具有必要的操作元件的简单的安全逻辑，该安全逻辑使得安全控制器变得多余。装配成本是最小化的，因为截止到目前为止还是需要安装按键模块来操作安全锁定装置的。不需要额外的空间，而且布线成本也较低，因为安全逻辑是自主和分布式运行的。操作设备通常安装在安全锁定装置附近，并且可以直接连接，只需要与例
如位于控制柜中的安全开关设备的电缆。操作设备独立于安全锁定装置，因此可以任意组合或改造。由于复杂性降低和易用性，以简单且成本低廉的解决方案防止了错误和由此产生的危险。
15.优选地，操作设备具有用于复位请求的第二操作元件。如果不再需要接近机器，通过复位(reset)应可以使机器重新启动。在提出复位请求之前，要使负责人证实机器周围的规定状态。优选地，仅在安全锁定装置已经识别到可移动分离式保护装置关闭时才开启第二操作元件的致动。
16.优选地，安全控制单元被配置用于当第二操作元件被致动时在第一端口处输出闭锁命令，等待对安全锁定装置的闭锁的确认，并且随后在第二端口处开启机器。在该实施方式中，安全逻辑还包括复位安全部件以使机器可以重新启动的流程。在此，触发安全锁定装置的闭锁，并且等待其安全确认。因此，确保了可移动分离式保护装置现在是关闭的，并且不能再被打开。
17.优选地，操作设备具有用于重启请求的第三操作元件。因此，机器在复位后被手动地重启，第三操作元件发出对应的启动命令。可替代地，机器可以在复位后自动地启动。
18.优选地，安全控制单元是固定编程的。甚至更优选地，当操作元件被致动时，给定的流程不能被编程或不能重新编程。因此，安全逻辑自出厂起就是确定的，而且不能被改变。至少没有设置用于重新编程的接口，优选地，安全控制单元整体上是不可编程的，至少出厂之后是不再可编程的。因此，具有该安全控制单元的操作设备特别易于使用且防错。不可编程的集成的安全控制单元比例如以下安全控制器更加便宜，该安全控制器虽然由于其可变的编程而更加灵活，但是对于本文描述的应用而言过于复杂了。
19.优选地，安全控制单元被配置用于配置参数。为固定指定的参数设置值不是编程，因为安全逻辑没有发生改变。换种表达方式，安全逻辑可以被固定编程以设置或改变参数。可变的参数能够实现容易适用于应用。
20.优选地，安全控制单元使用停止请求与解锁命令之间的等待时间作为参数。停止请求有可能会没有任何延迟地发起机器的停止运转。然而，这需要一段时间，直到机器真正处于停止状态为止。延迟可以通过等待时间来配置。
21.优选地，操作设备具有用于设定参数，特别是等待时间的第四操作元件。例如，第四操作元件是dip开关或旋转开关。
22.优选地，操作设备具有用于通过io链路设定参数，特别是等待时间的io链路接口。这允许省去第四操作元件，并且通过io链路接入来改变参数，而无需直接访问。可以通过本来就存在的端口或插接连接器来接入io链路接口。
23.优选地，操作设备具有用于通过nfc(near field communication，近场通信)来设定参数的nfc接口。这是另一种方便的并且现在是无线的设定和改变参数的方式。可以设想组合所提到的多个配置可能性或者提供其他接口。
24.优选地，操作设备具有用于与停止状态监测器连接的第三端口，其中安全控制单元被配置用于在停止请求之后等待第三端口处的停止确认，随后在第一端口处输出解锁命令。这是指定或参数化等待时间的替代方案。停止状态监测器监测机器何时真正停止其危险性移动，并且以安全的方式反馈。这意味着，不需要确定适当的、还必须包含安全缓冲的等待时间，但停止状态监测器意味着装配时的额外成本和更多耗费。
25.在有利的改进方案中，提出一种安全设备，该安全设备具有：根据本发明的操作设备；安全锁定装置，其在第一端口处与操作设备连接，该安全锁定装置装配在可移动分离式保护装置上；以及安全开关设备，其在第二端口处与操作设备连接。操作设备在其操作元件被致动时借助其集成的安全逻辑来控制安全设备的流程。
附图说明
26.下面还基于实施例并参考附图示例性地进一步阐述本发明的其他特征和优点，在附图中：
27.图1a(现有技术)示出了利用由安全锁定装置闭锁的防护门对机器进行传统防护的图示；
28.图1b(现有技术)示出了图1a的安全锁定装置及其操作元件的详细视图；
29.图2a示出了根据本发明的一个实施方式、利用由安全锁定装置闭锁的防护门对机器进行防护的图示；
30.图2b示出了图2a的根据本发明的用于安全锁定装置的操作设备的详细视图；
31.图3a示出了根据本发明的另一实施方式、利用由安全锁定装置闭锁的防护门、借助附加的停止状态监测器的对机器进行防护的图示；以及
32.图3b示出了图3a的根据本发明的用于安全锁定装置的操作设备的详细视图，该操作设备具有用于停止状态监测器的端口。
33.在本发明的一个实施方式中，图2a示出了对机器100的防护。应用情况和流程与开篇描述的相似，因此请参考关于图1a至图1b的描述。机器100仅非常抽象地示出，并且代表要防护的任何危险位置，例如工厂自动化中的机器或小型系统。机械屏障102或防护栅栏防止人员接近机器100。然而，为了例如出于维护的原因而允许短暂进入，设置了通常被称为可移动分离式保护装置104的门或挡板，该门或挡板可以采取打开位置和关闭位置。
34.在机器运行期间，可移动分离式保护装置104须保持关闭，因此该保护装置由安全锁定装置108闭锁。安全锁定装置108使得可移动分离式保护装置104能够选择性地从打开位置转换到关闭位置或者不进行转换。此外，安全锁定装置108还识别可移动分离式保护装置104是否关闭，该保护装置可以以安全的方式接收和执行闭锁命令，并且能够提供关于采取闭锁状态的安全反馈。
35.优选地，用于安全锁定装置108的操作设备10装配在该安全锁定装置的附近，并且在图2b中再次放大示出。在所示的实施方式中，该操作设备具有三个操作元件或按键，即停止请求按键12、复位按键14和重启按键16。停止请求按键12发起机器100的停止运转和可移动分离式保护装置104的开放，并从而启动主安全功能。优选地，还设置了复位按键14，因为本来机器100在可移动分离式保护装置104打开后不能重新安全地投入运行。重启按键16是可选的，因为在复位之后机器100的重启也可以自动地进行。
36.操作设备10具有第一安全端口18和第二安全端口20。优选地，端口18、20是双通道的，并且每个都例如具有ossd(output signal switching device，输出信号切换设备)对。操作设备通过第一安全端口18与安全锁定装置108连接，以便以安全的方式使该安全锁定装置解锁和闭锁并且获得关于关闭和闭锁状态的安全反馈。机器100连接到第二安全端口20，以便能够使该机器停止运转，在此通过安全开关设备120间接实现，该安全开关设备120
优选为简单的安全继电器。
37.与根据图1a至图1b所示的传统解决方案不同，不需要安全控制器118。尽管安全开关设备120原则上也可以是安全控制器118，但是该安全控制器与安全开关设备120类似地仅仅充当安全继电器。安全开关设备120所需的唯一功能是响应于第二安全端口20处的相应信号而使机器100停止或断电。
38.根据本发明，传统上在外部的安全控制器118中实现的安全逻辑被布置在操作设备10的内部的安全控制单元22中。因此，操作设备10是组合的操作模块，其中除了按键12、14、16和端口18、20之外还集成了所需的安全逻辑，该安全逻辑已经可以自主地覆盖用于锁定控制和继电器控制所需的功能，而无需安全控制器118或者任何种类的智能或可编程的安全开关设备120的支持。优选地，操作设备10与所有上述部件一起布置在共同的外壳中。
39.优选地，内部的安全控制单元22中的安全逻辑是固定编程的。仅可以允许设置或更改参数。这与固定编程并不矛盾，因为固定编程提供了配置可能性。该配置可以限于单个参数的值，即停止请求按键12的致动与对安全锁定装置108的解锁命令之间的等待时间的可调节的时间常数。优选地，所有其他的逻辑功能被固定且不可改变地编程。
40.该配置可以通过操作设备10的(未示出的)操作元件来实现，例如dip开关或旋转开关。可替代地或附加地，可以通过io链路连接来进行配置，该io链路连接在端口18、20之一或插接连接器处可供使用。另一可能性是通过近场通信(nfc)来进行配置。
41.从用户的角度来看，存储在内部的安全逻辑中的流程优选地与针对图1a至图1b所阐述的传统解决方案中的流程没有区别，而且其描述也可以在这里补充使用。特别地，差别在于安全控制器118的省略、装配和投入运行的简化、已经完成的预定的编程以及参数或等待时间的配置可能性。
42.因此，如果维护技术人员或其他操作人员希望接近机器100，则停止请求按键12被致动。这在第二安全端口20处产生安全停止信号，利用该安全停止信号通过安全开关设备120来发起机器100的停止运转。内部的安全控制单元22的安全逻辑现在延迟了等待时间，并且随后在该内部的安全控制单元的第一安全端口18处向安全锁定装置108输出解锁命令。现在，操作人员可以打开可移动分离式保护装置104，因此可以接近机器100。
43.操作人员在完成工作后再次离开机器100的受保护的区域，并且关闭可移动分离式保护装置104。一旦安全锁定装置108将此通知给安全逻辑，复位按键14就被开启。操作人员再次确认一切都处于规定的状态，并且从他的角度来看机器100可以再次运行，并且随后致动复位按键14。安全逻辑检测复位信号，并且在第一安全端口18处向安全锁定装置108输出闭锁命令。一旦该安全锁定装置反馈以安全的方式完成了闭锁，安全逻辑就在第二端口20处开启机器100以进行重启。重启是自动进行的，或者可替代地通过致动重启按键16来实现。
44.图3a至图3b示出了另一实施方式。与根据图2a至图2b的实施方式不同，操作设备现在具有用于与停止状态监测器122连接的第三安全端口24。停止状态监测器122提供停止请求与解锁命令之间的等待时间的替代方案。因此，安全逻辑不考虑预定或配置的等待时间，而是对停止状态监测器的信号做出响应。因此，不必做出关于惯性时间(nahclaufzeit)等的假设并且可能地利用安全裕度(sicherheitszuschlag)来确定，而是由停止状态监测器122根据情况来确定机器100何时不再执行任何带有危险性的移动。