DE102015203250A1 - Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system - Google Patents

Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system Download PDF

Info

Publication number
DE102015203250A1
DE102015203250A1 DE102015203250.7A DE102015203250A DE102015203250A1 DE 102015203250 A1 DE102015203250 A1 DE 102015203250A1 DE 102015203250 A DE102015203250 A DE 102015203250A DE 102015203250 A1 DE102015203250 A1 DE 102015203250A1
Authority
DE
Germany
Prior art keywords
actuator
operating
safety
additional
control signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102015203250.7A
Other languages
German (de)
Inventor
Christian Meyne
Carolin Heller
Michael AMAN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZF Friedrichshafen AG
Original Assignee
ZF Friedrichshafen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZF Friedrichshafen AG filed Critical ZF Friedrichshafen AG
Priority to DE102015203250.7A priority Critical patent/DE102015203250A1/en
Publication of DE102015203250A1 publication Critical patent/DE102015203250A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Vorgestellt wird eine Sicherheitsvorrichtung (102) zum Überführen eines Aktorsystems (100) in einen sicheren Zustand, wobei das Aktorsystem (100) eine Betriebsvorrichtung (104) und einen Aktor (106) umfasst, wobei die Betriebsvorrichtung (104) über eine betriebsseitige Steuerleitung (114) mit einem Steueranschluss (119) des Aktors (106) gekoppelt und ausgebildet ist, um ein betriebsseitiges Steuersignal (122) zum Steuern des Aktors (106) und an einem Kommunikationsbus (120) ein Triggersignal (124) zum Anzeigen eines Betriebszustands der Betriebsvorrichtung (104) bereitzustellen. Die Sicherheitsvorrichtung (102) umfasst eine Kommunikationsschnittstelle (108), die ausgebildet ist, das Triggersignal (124) zu empfangen, wobei die Kommunikationsschnittstelle (108) über den Kommunikationsbus (120) mit der Betriebsvorrichtung (104) koppelbar ist. Die Sicherheitsvorrichtung (102) umfasst ferner eine Bereitstellungseinrichtung (110) zum Bereitstellen eines sicherheitsseitigen Steuersignals (126) zum Steuern des Aktors (106) unter Verwendung der Information des Triggersignals (124), um das Aktorsystem (100) in den sicheren Zustand zu überführen, wobei die Bereitstellungseinrichtung (110) über eine sicherheitsseitige Steuerleitung (116) mit dem Steueranschluss (119) des Aktors (106) koppelbar ist.The invention relates to a safety device (102) for transferring an actuator system (100) into a safe state, wherein the actuator system (100) comprises an operating device (104) and an actuator (106), wherein the operating device (104) is connected via an operating-side control line (114 ) is coupled to a control terminal (119) of the actuator (106) and configured to provide an operating-side control signal (122) for controlling the actuator (106) and a communication bus (120) a trigger signal (124) for indicating an operating state of the operating device ( 104). The security device (102) comprises a communication interface (108), which is configured to receive the trigger signal (124), wherein the communication interface (108) can be coupled to the operating device (104) via the communication bus (120). The safety device (102) further comprises a provision device (110) for providing a safety-related control signal (126) for controlling the actuator (106) using the information of the trigger signal (124) to bring the actuator system (100) into the safe state, wherein the providing device (110) can be coupled to the control connection (119) of the actuator (106) via a safety-side control line (116).

Description

Die vorliegende Erfindung bezieht sich auf eine Sicherheitsvorrichtung zum Überführen eines Aktorsystems in einen sicheren Zustand, auf ein Aktorsystem, auf ein Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand und auf ein Verfahren zum Betreiben eines Aktorsystems. The present invention relates to a safety device for transferring an actuator system to a safe state, to an actuator system, to a method for transferring an actuator system to a safe state, and to a method for operating an actuator system.

In sicherheitsrelevanten Systemen kann es erforderlich sein, Funktionen redundant auszulegen, um einen eigensicheren oder betriebssicheren Zustand abzusichern. In diesem Zusammenhang offenbart die DE 10 2007 046 731 B4 ein Verfahren zur Ansteuerung eines Aktors in einem Kraftfahrzeug, wobei eine mittels einer Ansteuerfunktion erzeugte Stellgröße für einen Aktor durch eine Sicherheitsfunktion überprüft wird. In safety-relevant systems, it may be necessary to configure functions redundantly in order to ensure an intrinsically safe or fail-safe state. In this context, the DE 10 2007 046 731 B4 a method for controlling an actuator in a motor vehicle, wherein a manipulated variable generated by means of a control function for an actuator is checked by a safety function.

Vor diesem Hintergrund schafft die vorliegende Erfindung eine neue Sicherheitsvorrichtung zum Überführen eines Aktorsystems in einen sicheren Zustand, ein neues Aktorsystem, ein neues Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand sowie ein verbessertes Verfahren zum Betreiben eines Aktorsystems gemäß den Hauptansprüchen. Vorteilhafte Ausgestaltungen ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung. Against this background, the present invention provides a new safety device for transferring an actuator system to a safe state, a new actuator system, a new method for transferring an actuator system to a safe state, and an improved method of operating an actuator system according to the main claims. Advantageous embodiments will become apparent from the dependent claims and the description below.

Eine Sicherheitsvorrichtung kann eine Redundanz bei einer Ansteuerung eines Aktors schaffen, um beispielsweise eine betriebssichere oder eigensichere Funktion eines durch den Aktor angesteuerten Systems zu erreichen. Beispielsweise kann bei Erkennen eines Fehlers innerhalb des Aktorsystems das Aktorsystem in einen sicheren Zustand überführt werden. Durch Versetzten des Aktors in einen vorbestimmten Betriebszustand kann das Aktorsystem in einen sicheren Zustand versetzt werden. Dabei kann der vorbestimmte Betriebszustand je nach Ausführungsform ein inaktiver oder ein aktiver Zustand des Aktors sein. Dabei kann der Aktor je nach Ausführungsform durch ein aktives oder inaktives Steuersignal in den vorbestimmten Betriebszustand versetzt werden. A safety device can provide redundancy in the activation of an actuator in order, for example, to achieve a reliable or intrinsically safe function of a system controlled by the actuator. For example, upon detection of a fault within the actuator system, the actuator system can be transferred to a safe state. By offsetting the actuator in a predetermined operating state, the actuator system can be placed in a safe state. In this case, depending on the embodiment, the predetermined operating state may be an inactive or an active state of the actuator. In this case, depending on the embodiment, the actuator can be put into the predetermined operating state by an active or inactive control signal.

Ein entsprechendes Aktorsystem umfasst eine Betriebsvorrichtung und einen Aktor, wobei die Betriebsvorrichtung über eine betriebsseitige Steuerleitung mit einem Steueranschluss des Aktors gekoppelt ist, und wobei die Betriebsvorrichtung ausgebildet ist, um ein betriebsseitiges Steuersignal zum Steuern des Aktors und an einem Kommunikationsbus ein Triggersignal zum Anzeigen eines Betriebszustands der Betriebsvorrichtung bereitzustellen. A corresponding actuator system comprises an operating device and an actuator, wherein the operating device is coupled to a control terminal of the actuator via an operating-side control line, and wherein the operating device is designed to generate an operating-side control signal for controlling the actuator and a communication signal for a triggering signal for indicating an operating state to provide the operating device.

Eine Sicherheitsvorrichtung zum Überführen eines solchen Aktorsystems in einen sicheren Zustand weist die folgenden Merkmale auf:
eine Kommunikationsschnittstelle, die ausgebildet ist, um ein Triggersignal zu empfangen, wobei die Kommunikationsschnittstelle über den Kommunikationsbus mit der Betriebsvorrichtung koppelbar ist; und
eine Bereitstellungseinrichtung, die ausgebildet ist, um zum Überführen des Aktorsystems in den sicheren Zustand ein sicherheitsseitiges Steuersignal zum Steuern des Aktors unter Verwendung der Information des Triggersignals bereitzustellen wobei die Bereitstellungseinrichtung über eine sicherheitsseitige Steuerleitung mit dem Steueranschluss des Aktors koppelbar ist. A safety device for transferring such an actuator system to a safe state has the following features:
a communication interface configured to receive a trigger signal, the communication interface being connectable to the operating device via the communication bus; and
a provision device which is designed to provide for the transfer of the actuator system in the safe state, a safety-side control signal for controlling the actuator using the information of the trigger signal wherein the provision device can be coupled via a safety-side control line to the control terminal of the actuator.

Das sicherheitsseitige Steuersignal kann ausgebildet sein, den Aktor derart anzusteuern, dass dieser in einen vorbestimmten Betriebszustand versetzt wird, durch den das Aktorsystem oder ein durch das Aktorsystem angesteuertes System wiederum in einen sicheren Zustand zu versetzt wird. The safety-side control signal can be designed to control the actuator in such a way that it is set in a predetermined operating state, by means of which the actuator system or a system controlled by the actuator system is again set to a safe state.

Bei dem Aktorsystem kann es sich beispielsweise um ein System aus den Bereichen des Maschinen-, Anlagen- oder Fahrzeugbaus handeln. Somit kann es sich bei dem Aktorsystem um ein in einem Fahrzeug eingesetztes System handeln. Ein Fahrzeug kann beispielsweise ein Landfahrzeug, ein Wasserfahrzeug oder ein Luftfahrzeug, also beispielsweise ein Kraftfahrzeug, eine Arbeitsmaschine, eine landwirtschaftliche Maschine, ein Boot, ein Schiff, ein Flugzeug oder ein Hubschrauber sein. Der Aktor kann beispielsweise ein Antrieb, ein Motor eine Maschine oder ein Stellglied sein. Der Aktor kann beispielsweise als ein elektrisch, hydraulisch oder pneumatisch betreibbarer Aktor ausgeführt sein. Der Aktor kann durch ein Steuersignal in zumindest zwei Betriebszustände versetzt werden. Dabei kann der Aktor durch das betriebsseitige Steuersignal oder durch das sicherheitsseitige Steuersignal angesteuert werden. Die Betriebsvorrichtung und die Sicherheitsvorrichtung können ausgebildet sein, um über die von ihnen bereitgestellten Steuersignale ein und denselben Aktor beziehungsweise ein und dieselbe Steuereinrichtung oder unterschiedliche Aktoren beziehungsweise unterschiedliche Steuereinrichtungen anzusteuern. Die Sicherheitsvorrichtung kann ausgebildet sein, um das sicherheitsseitige Steuersignal ansprechend auf einen vorbestimmten Zustand des Triggersignals bereitzustellen. Das Triggersignal kann ein ausschließlich zum Anzeigen des Zustands der Betriebsvorrichtung von der Betriebsvorrichtung bereitgestelltes Signal oder ein allgemeines Kommunikationssignal der Betriebsvorrichtung darstellen. The actuator system can be, for example, a system from the fields of mechanical engineering, plant engineering or vehicle construction. Thus, the actuator system may be a system used in a vehicle. A vehicle may be, for example, a land vehicle, a watercraft or an aircraft, such as a motor vehicle, a work machine, an agricultural machine, a boat, a ship, an aircraft or a helicopter. The actuator may be, for example, a drive, a motor, a machine or an actuator. The actuator may for example be designed as an electrically, hydraulically or pneumatically operable actuator. The actuator can be offset by a control signal in at least two operating states. In this case, the actuator can be controlled by the operating-side control signal or by the safety-side control signal. The operating device and the safety device can be designed to control one and the same actuator or the same control device or different actuators or different control devices via the control signals provided by them. The safety device may be configured to provide the safety-side control signal in response to a predetermined state of the trigger signal. The trigger signal may be a signal provided solely for indicating the state of the operating device from the operating device or a general communication signal of the operating device.

Gemäß einer Ausführungsform kann die Bereitstellungseinrichtung der Sicherheitsvorrichtung ausgebildet sein, um einen Ausfall des Triggersignals zu erkennen. Die Bereitstellungseinrichtung der Sicherheitsvorrichtung kann ausgebildet sein, ein unplausibles Triggersignal zu erkennen. Dabei kann die Bereitstellungseinrichtung der Sicherheitsvorrichtung ausgebildet sein, das sicherheitsseitige Steuersignal ansprechend auf den Ausfall und ergänzend oder alternativ das unplausible Triggersignal bereitzustellen. Wird das Triggersignal beispielsweise aktiv von der Betriebsvorrichtung getrieben, so führt ein Ausfall der Betriebsvorrichtung zu einem Ausfall des Triggersignals. Dies kann einfach erkannt werden und genutzt werden, um das Aktorsystem in den sicheren Zustand zu überführen. Wenn es sich bei dem Triggersignal um Nutzbotschaften oder ein Nutzsignal handelt, kann die Kommunikationsschnittstelle ausgebildet sein, unregelmäßige oder unplausible Nutzbotschaften oder Nutzsignale zu erkennen und als Triggerinformation beziehungsweise Triggersignal der Bereitstellungseinrichtung bereitzustellen. Vorteilhaft kann bei einem Ausfall des betriebsseitigen Steuersignals, welcher durch einen Ausfall des Triggersignals oder ein unplausibles Triggersignal erkannt werden kann, der Aktor über das sicherheitsseitige Steuersignal angesteuert, und das Aktorsystem in einen sicheren Zustand überführt werden. According to one embodiment, the provision device of the safety device can be designed to detect a failure of the trigger signal. The provision device of the security device can be designed to detect an implausible trigger signal. In this case, the provision device of the security device be configured to provide the safety-side control signal in response to the failure and, in addition or alternatively, the implausible trigger signal. For example, if the trigger signal is actively driven by the operating device, failure of the operating device results in failure of the trigger signal. This can be easily detected and used to bring the actuator system in the safe state. If the trigger signal is payload messages or a payload signal, the communication interface can be designed to recognize irregular or implausible payload messages or payload signals and to provide them as trigger information or trigger signal of the delivery device. Advantageously, in case of failure of the operating-side control signal, which can be detected by a failure of the trigger signal or an implausible trigger signal, the actuator is controlled via the safety-side control signal, and the actuator system are transferred to a safe state.

Gemäß einer Ausführungsform kann die Sicherheitsvorrichtung einen Pufferspeicher aufweisen, der ausgebildet ist, die Sicherheitsvorrichtung bei einem Ausfall einer Spannungsversorgung der Sicherheitsvorrichtung mit Energie zum Bereitstellen des sicherheitsseitigen Steuersignals zu versorgen. Bei dem Pufferspeicher kann es sich um einen Speicher zum Speichern elektrischer Energie, beispielsweise eine Batterie oder ein Akkumulator, handeln. Vorteilhaft kann der Pufferspeicher ausreichend Energie, insbesondere elektrische Energie, bereitstellen, um die Sicherheitsvorrichtung so lange mit Energie zu versorgen, bis das Aktorsystem in einen sicheren Zustand überführt ist. According to one embodiment, the safety device may comprise a buffer memory, which is designed to supply the safety device with energy for providing the safety-side control signal in the event of a power failure of the safety device. The buffer memory may be a memory for storing electrical energy, for example a battery or an accumulator. Advantageously, the buffer memory can provide sufficient energy, in particular electrical energy, to supply the safety device with energy until the actuator system is transferred to a safe state.

Ferner kann die Sicherheitsvorrichtung eine weitere Kommunikationsschnittstelle aufweisen, die über einen weiteren Kommunikationsbus mit der Betriebsvorrichtung koppelbar ist. Die weitere Kommunikationsschnittstelle kann ausgebildet sein, ein weiteres Triggersignal zu empfangen, wobei das weitere Triggersignal ein zum Anzeigen des Betriebszustands der Betriebsvorrichtung bereitgestelltes Signal repräsentiert. Die Bereitstellungseinrichtung kann ausgebildet sein, das sicherheitsseitige Steuersignal unter Verwendung des weiteren Triggersignals bereitzustellen. So kann die Bereitstellungseinrichtung ausgebildet sein, das sicherheitsseitige Steuersignal unter Verwendung des Triggersignals und ergänzend oder alternativ unter Verwendung des weiteren Triggersignals bereitzustellen. Vorteilhaft kann eine Redundanz bei dem Empfangen und ergänzend oder alternativ dem Verarbeiten des Triggersignals erzielt werden. So kann die funktionale Sicherheit erhöht werden. Furthermore, the security device can have a further communication interface, which can be coupled to the operating device via a further communication bus. The further communication interface can be configured to receive a further trigger signal, wherein the further trigger signal represents a signal provided for indicating the operating state of the operating device. The provision device can be designed to provide the safety-side control signal using the further trigger signal. Thus, the provision device can be designed to provide the safety-side control signal using the trigger signal and additionally or alternatively using the further trigger signal. Advantageously, a redundancy in the reception and additionally or alternatively the processing of the trigger signal can be achieved. So the functional safety can be increased.

Die Sicherheitsvorrichtung kann eine Logikeinrichtung aufweisen. Dabei können die betriebsseitige Steuerleitung und die sicherheitsseitige Steuerleitung über die Logikeinrichtung miteinander koppelbar sein. Die Logikeinrichtung kann über eine dritte Steuerleitung mit dem Steueranschluss des Aktors koppelbar sein. Dabei kann die Logikeinrichtung ausgebildet sein, das betriebsseitige Steuersignal und das sicherheitsseitige Steuersignal miteinander zu einem dritten Steuersignal zu verknüpfen und das dritte Steuersignal an den Steueranschluss des Aktors zu leiten. Dabei kann die Logikeinrichtung ausgebildet sein, das betriebsseitige Steuersignal und das sicherheitsseitige Steuersignal über ein logisches UND zu dem dritten Steuersignal zu verknüpfen. Alternativ kann die Logikeinrichtung ausgebildet sein, das betriebsseitige Steuersignal und das sicherheitsseitige Steuersignal über ein logisches ODER zu dem dritten Steuersignal zu verknüpfen und das dritte Steuersignal an den Steueranschluss des Aktors zu leiten. Ein Verknüpfen über ein logisches ODER bietet sich bei einem sogenannten Fail-Operational-System an, bei dem das Aktorsystem durch Aktiveren des Aktors in den sicheren Zustand überführt wird. Dabei kann es ausreichen, wenn entweder das sicherheitsseitige Steuersignal oder das betriebsseitige Steuersignal den Aktor aktivieren kann. Unter einem Fail-Operational-System kann ein betriebssicheres oder fehlertolerantes System verstanden werden. Ein Verknüpfen über ein logisches UND bietet sich bei einem sogenannten Fail-Safe-System an, bei dem das Aktorsystem durch Deaktivieren des Aktors in den sicheren Zustand überführt wird. Dabei kann es ausreichen, wenn entweder das sicherheitsseitige Steuersignal oder das betriebsseitige Steuersignal den Aktor deaktivieren kann. Unter einem Fail-Safe-System kann ein ausfallsicheres oder eigensicheres System verstanden werden. The security device may comprise a logic device. In this case, the operating-side control line and the safety-side control line can be coupled to one another via the logic device. The logic device can be coupled via a third control line to the control terminal of the actuator. In this case, the logic device may be formed, the Operational control signal and the safety-side control signal to link together to form a third control signal and to pass the third control signal to the control terminal of the actuator. In this case, the logic device can be designed to link the operating-side control signal and the safety-side control signal via a logical AND to the third control signal. Alternatively, the logic device can be designed to link the operating-side control signal and the safety-side control signal via a logical OR to the third control signal and to pass the third control signal to the control connection of the actuator. Linking via a logical OR is useful in a so-called fail-operational system, in which the actuator system is transferred to the safe state by activators of the actuator. It may be sufficient if either the safety-side control signal or the operating-side control signal can activate the actuator. A fail-operational system can be understood as a fail-safe or fault-tolerant system. Linking via a logical AND is useful in a so-called fail-safe system, in which the actuator system is transferred to the safe state by deactivating the actuator. It may be sufficient if either the safety-side control signal or the operating-side control signal can deactivate the actuator. A fail-safe system can be understood as a fail-safe or intrinsically safe system.

Die Sicherheitsvorrichtung kann ferner eine zusätzliche Logikeinrichtung aufweisen. Die Betriebsvorrichtung kann über eine zusätzliche betriebsseitige Steuerleitung mit der zusätzlichen Logikeinrichtung koppelbar sein. Ferner kann die Bereitstellungseinrichtung über eine zusätzliche sicherheitsseitige Steuerleitung mit der zusätzlichen Logikeinrichtung gekoppelt sein. Die Bereitstellungseinrichtung kann ausgebildet sein, ein zusätzliches sicherheitsseitiges Steuersignal zum Steuern eines zusätzlichen Aktors unter Verwendung der Information des Triggersignals bereitzustellen. Die zusätzliche Logikeinrichtung kann über eine zusätzliche dritte Steuerleitung mit dem Steueranschluss des zusätzlichen Aktors koppelbar sein. Ferner kann die zusätzliche Logikeinrichtung ausgebildet sein, das zusätzliche betriebsseitige Steuersignal und das zusätzliche sicherheitsseitige Steuersignal über ein logisches UND miteinander zu einem zusätzlichen dritten Steuersignal zu verknüpfen und das zusätzliche dritte Steuersignal an den zusätzlichen Steueranschluss des zusätzlichen Aktors zu leiten. Ergänzend kann die Logikeinrichtung ausgebildet sein, das betriebsseitige Steuersignal und das sicherheitsseitige Steuersignal über ein logisches ODER miteinander zu dem dritten Steuersignal zu verknüpfen. In einer alternativen Ausführungsform kann die Logikeinrichtung das betriebsseitige Steuersignal und das sicherheitsseitige Steuersignal über ein logisches UND miteinander zu einem zusätzlichen dritten Steuersignal zu verknüpfen und die zusätzliche Logikeinrichtung das zusätzliche betriebsseitige Steuersignal und das zusätzliche sicherheitsseitige Steuersignal über ein logisches ODER miteinander zu einem zusätzlichen dritten Steuersignal zu verknüpfen. Vorteilhaft können in einer Ausführungsform der Aktor und der zusätzliche Aktor in ihrer Kombination das angesteuerte System in den sicheren Zustand überführen. The security device may further comprise an additional logic device. The operating device can be coupled via an additional operating control line with the additional logic device. Furthermore, the provision device can be coupled via an additional safety-side control line with the additional logic device. The providing device may be configured to provide an additional safety-related control signal for controlling an additional actuator using the information of the trigger signal. The additional logic device can be coupled via an additional third control line to the control terminal of the additional actuator. Furthermore, the additional logic device can be designed to link the additional operating-side control signal and the additional safety-side control signal via a logical AND to one another to an additional third control signal and to pass the additional third control signal to the additional control connection of the additional actuator. In addition, the logic device can be designed to link the operating-side control signal and the safety-side control signal via a logical OR to one another to the third control signal. In an alternative embodiment, the logic device to the operating-side control signal and the safety-side control signal via a logical AND with each other to an additional third control signal to link and the additional logic device, the additional operating control signal and the additional safety-side control signal via a logical OR to each other to an additional third control signal link. Advantageously, in one embodiment, the actuator and the additional actuator in their combination to convert the controlled system in the safe state.

In einer Variante kann das zusätzliche sicherheitsseitige Steuersignal von einer zusätzlichen Bereitstellungseinrichtung der Sicherheitseinrichtung bereitgestellt werden. So kann die zusätzliche Bereitstellungseinrichtung vorteilhaft unabhängig von der Bereitstellungseinrichtung arbeiten. Vorteilhaft kann eine Betriebssicherheit oder eine Ausfallsicherheit erhöht werden. In a variant, the additional safety-related control signal can be provided by an additional provision device of the safety device. Thus, the additional provision device can advantageously operate independently of the provision device. Advantageously, a reliability or reliability can be increased.

Die Kommunikationsschnittstelle der Sicherheitsvorrichtung kann ausgebildet sein, um ein eine Bereitstellung des sicherheitsseitigen Steuersignals anzeigendes Statussignal bereitzustellen. Das Statussignal kann an die Betriebsvorrichtung bereitgestellt werden. Auf diese Weise kann die Betriebsvorrichtung über einen Zustand oder Betriebszustand des Aktors informiert werden. Dies kann beispielsweise nach einem Rücksetzen oder bei einer Inbetriebnahme der Betriebsvorrichtung von Bedeutung sein. The communication interface of the safety device can be designed to provide a status signal indicating a provision of the safety-side control signal. The status signal may be provided to the operating device. In this way, the operating device can be informed of a state or operating state of the actuator. This may be important, for example, after a reset or when starting up the operating device.

Ferner kann die Sicherheitsvorrichtung eine Schnittstelle zum Anschluss einer Spannungsversorgung aufweisen. Dabei kann die Spannungsversorgung unabhängig von einer die Betriebsvorrichtung versorgenden primären Spannungsversorgung sein. So kann die Sicherheitsvorrichtung mit Energie versorgt werden, insbesondere unabhängig von der Betriebsvorrichtung. Furthermore, the safety device may have an interface for connecting a power supply. In this case, the power supply can be independent of a primary power supply supplying the operating device. Thus, the safety device can be supplied with energy, in particular independent of the operating device.

Ein entsprechendes Aktorsystem weist die folgenden Merkmale auf:
einen Aktor mit einem Steueranschluss;
eine Betriebsvorrichtung, die über eine betriebsseitige Steuerleitung mit einem Steueranschluss des Aktors gekoppelt ist, und wobei die Betriebsvorrichtung ausgebildet ist, um ein betriebsseitiges Steuersignal zum Steuern des Aktors und an einem Kommunikationsbus ein Triggersignal zum Anzeigen eines Betriebszustands der Betriebsvorrichtung bereitzustellen; und
eine genannte Sicherheitsvorrichtung, die über die sicherheitsseitige Steuerleitung mit dem Steueranschluss gekoppelt ist und ausgebildet ist, das sicherheitsseitige Steuersignals zum Steuern des Aktors unter Verwendung des Triggersignals bereitzustellen, um das Aktorsystem in den sicheren Zustand zu überführen. A corresponding actuator system has the following features:
an actuator with a control terminal;
an operating device coupled to a control port of the actuator via an operating-side control line, and wherein the operating device is configured to provide an operating-side control signal for controlling the actuator and a communication signal for indicating an operating state of the operating device; and
a said safety device, which is coupled via the safety-side control line to the control terminal and is designed to provide the safety-side control signal for controlling the actuator using the trigger signal to bring the actuator system in the safe state.

Beispielsweise kann der Aktor ein mit elektrischer, hydraulischer oder pneumatischer Betriebsenergie betreibbarer Aktor sein. Somit kann der beschriebene Ansatz in unterschiedlichen Anwendungsgebieten genutzt werden. For example, the actuator may be an actuator operable with electrical, hydraulic or pneumatic operating energy. Thus, the described approach can be used in different fields of application.

Ferner kann das Aktorsystem eine Variante einer Sicherheitsvorrichtung mit einer Logikeinrichtung und einer zusätzlichen Logikeinrichtung aufweisen. Dabei kann der Aktor ausgebildet sein, ein eigensicheres System und ergänzend oder alternativ ein ausfallsicheres System anzusteuern, und der zusätzliche Aktor kann ausgebildet sein, ein betriebssicheres System und ergänzend oder alternativ fehlertolerantes System anzusteuern. Alternativ kann das Aktorsystem eine Variante einer Sicherheitsvorrichtung mit einer Logikeinrichtung und einer zusätzlichen Logikeinrichtung aufweisen, wobei der Aktor ausgebildet sein kann, ein betriebssicheres System und ergänzend oder alternativ fehlertolerantes System anzusteuern, und wobei der zusätzliche Aktor ausgebildet sein kann, ein eigensicheres System und ergänzend oder alternativ ein ausfallsicheres System anzusteuern. Furthermore, the actuator system may have a variant of a safety device with a logic device and an additional logic device. In this case, the actuator can be designed to control an intrinsically safe system and, in addition or alternatively, a fail-safe system, and the additional actuator can be designed to control a fail-safe system and additionally or alternatively fault-tolerant system. Alternatively, the actuator system may comprise a variant of a safety device with a logic device and an additional logic device, wherein the actuator may be designed to control a fail-safe system and additionally or alternatively fault-tolerant system, and wherein the additional actuator may be configured, an intrinsically safe system and additionally or Alternatively, a fail-safe system to control.

Ein Verfahren zum Überführen eines genannten Aktorsystems in einen sicheren Zustand umfasst die folgenden Schritte:
Empfangen des Triggersignals über eine Kommunikationsschnittstelle, wobei die Kommunikationsschnittstelle über den Kommunikationsbus mit der Betriebsvorrichtung koppelbar ist; und
Bereitstellen eines sicherheitsseitigen Steuersignals zum Steuern des Aktors unter Verwendung der Information des Triggersignals, um das Aktorsystem in den sicheren Zustand zu überführen, wobei die Bereitstellungseinrichtung über eine sicherheitsseitige Steuerleitung mit dem Steueranschluss des Aktors koppelbar ist. A method for transferring a named actuator system to a safe state comprises the following steps:
Receiving the trigger signal via a communication interface, wherein the communication interface can be coupled to the operating device via the communication bus; and
Providing a safety-side control signal for controlling the actuator using the information of the trigger signal to transfer the actuator system in the safe state, wherein the provision device can be coupled via a safety-side control line to the control terminal of the actuator.

Die Schritte des Verfahrens können vorteilhaft von Einrichtungen einer genannten Sicherheitsvorrichtung umgesetzt werden. The steps of the method can advantageously be implemented by means of a named safety device.

Ein Verfahren zum Betreiben eines genannten Aktorsystems umfasst die folgenden Schritte:
Bereitstellen eines betriebsseitigen Steuersignals zum Steuern des Aktors unter Verwendung der Betriebsvorrichtung;
Bereitstellen eines Triggersignals zum Anzeigen eines Betriebszustands der Betriebsvorrichtung unter Verwendung der Betriebsvorrichtung; und
Ausführen der Schritte eines Verfahrens zum Überführen des Aktorsystems in einen sicheren Zustand, um ansprechend auf einen Empfang des Triggersignals und anschließender Verarbeitung der Information des Triggersignals durch die Sicherheitsvorrichtung ein sicherheitsseitiges Steuersignal zum Steuern des Aktors oder eines weiteren Aktors bereitzustellen, um das Aktorsystem in den sicheren Zustand zu überführen. A method of operating such an actuator system comprises the following steps:
Providing an operating-side control signal for controlling the actuator using the operating device;
Providing a trigger signal for indicating an operating state of the operating device using the operating device; and
Performing the steps of a method of transitioning the actuator system to a safe state to respond to receipt of the trigger signal and subsequent processing of the Information of the trigger signal by the safety device to provide a safety-side control signal for controlling the actuator or another actuator to convert the actuator system in the safe state.

Eine genannte Vorrichtung kann ein elektrisches Gerät sein, das elektrische Signale, beispielsweise Sensorsignale verarbeitet und in Abhängigkeit davon Steuersignale ausgibt. Die Vorrichtung kann eine oder mehrere geeignete Schnittstellen aufweisen, die hard- und/oder softwaremäßig ausgebildet sein können. Bei einer hardwaremäßigen Ausbildung können die Schnittstellen beispielsweise Teil einer integrierten Schaltung sein, in der Funktionen der Vorrichtung umgesetzt sind. Die Schnittstellen können auch eigene, integrierte Schaltkreise sein oder zumindest teilweise aus diskreten Bauelementen bestehen. Bei einer softwaremäßigen Ausbildung können die Schnittstellen Softwaremodule sein, die beispielsweise auf einem Mikrocontroller neben anderen Softwaremodulen vorhanden sind. Said device may be an electrical device which processes electrical signals, for example sensor signals, and outputs control signals in dependence thereon. The device may have one or more suitable interfaces, which may be formed in hardware and / or software. For example, in a hardware configuration, the interfaces may be part of an integrated circuit in which functions of the device are implemented. The interfaces may also be their own integrated circuits or at least partially consist of discrete components. In a software training, the interfaces may be software modules that are present, for example, on a microcontroller in addition to other software modules.

Von Vorteil ist auch ein Computerprogrammprodukt mit Programmcode, der auf einem maschinenlesbaren Träger wie einem Halbleiterspeicher, einem Festplattenspeicher oder einem optischen Speicher gespeichert sein kann und zur Durchführung des Verfahrens nach einer der vorstehend beschriebenen Ausführungsformen verwendet wird, wenn das Programm auf einem Computer oder einer Vorrichtung ausgeführt wird. A computer program product with program code which can be stored on a machine-readable carrier such as a semiconductor memory, a hard disk memory or an optical memory and is used to carry out the method according to one of the embodiments described above if the program is installed on a computer or a device is also of advantage is performed.

Die Erfindung wird anhand der beigefügten Zeichnungen beispielhaft näher erläutert. Es zeigen: The invention will be described by way of example with reference to the accompanying drawings. Show it:

1 ein Blockschaltbild eines Aktorsystems mit einer Sicherheitsvorrichtung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; 1 a block diagram of an actuator system with a safety device according to an embodiment of the present invention;

2 bis 5 Blockschaltbilder mit Varianten eines Aktorsystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; 2 to 5 Block diagrams with variants of an actuator system according to an embodiment of the present invention;

6 schematische Darstellung eines Fahrzeugs mit einem Aktorsystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; 6 schematic representation of a vehicle with an actuator system according to an embodiment of the present invention;

7 ein Ablaufdiagramm eines Verfahrens zum Überführen eines Aktorsystems in einen sicheren Zustand gemäß einem Ausführungsbeispiel der vorliegenden Erfindung; und 7 a flowchart of a method for transferring an actuator system in a safe state according to an embodiment of the present invention; and

8 ein Ablaufdiagramm eines Verfahrens zum Betreiben eines Aktorsystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. 8th a flowchart of a method for operating an actuator system according to an embodiment of the present invention.

In der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele der vorliegenden Erfindung werden für die in den verschiedenen Figuren dargestellten und ähnlich wirkenden Elemente gleiche oder ähnliche Bezugszeichen verwendet, wobei auf eine wiederholte Beschreibung dieser Elemente verzichtet wird. In the following description of preferred embodiments of the present invention, the same or similar reference numerals are used for the elements shown in the various figures and similarly acting, wherein a repeated description of these elements is omitted.

1 zeigt ein Blockschaltbild eines Aktorsystems 100 mit einer Sicherheitsvorrichtung 102 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Aktorsystem 100 weist eine Betriebsvorrichtung 104 und einen Aktor 106 sowie die Sicherheitsvorrichtung 102 auf. Unter Verwendung der Sicherheitsvorrichtung 102 kann das Aktorsystem 100 in einen sicheren Zustand überführt werden. Das in 1 gezeigte Aktorsystem 100 kann beispielsweise als ein Fail-Safe-System realisiert werden. Alternativ kann das in 1 gezeigte Aktorsystem 100 beispielsweise als ein Fail-Operational-System realisiert werden. 1 shows a block diagram of an actuator system 100 with a safety device 102 according to an embodiment of the present invention. The actuator system 100 has an operating device 104 and an actor 106 as well as the security device 102 on. Using the safety device 102 can the actuator system 100 be transferred to a safe state. This in 1 shown actuator system 100 For example, it can be implemented as a fail-safe system. Alternatively, the in 1 shown actuator system 100 for example, as a fail-operational system.

Die Sicherheitsvorrichtung 102 weist eine Kommunikationsschnittstelle 108 sowie eine Bereitstellungseinrichtung 110 auf. The security device 102 has a communication interface 108 and a provisioning device 110 on.

In dem gezeigten Ausführungsbeispiel umfasst das Aktorsystem 100 weiterhin eine optionale Logikeinrichtung 112. Die Betriebsvorrichtung 104 ist über eine betriebsseitige Steuerleitung 114 mit der Logikeinrichtung 112 verbunden. Die Bereitstellungseinrichtung 110 der Sicherheitsvorrichtung 102 ist über eine sicherheitsseitige Steuerleitung 116 mit der Logikeinrichtung 112 verbunden. Die Logikeinrichtung 112 ist über eine dritte Steuerleitung 118 mit dem Aktor 106 verbunden. Der Aktor 106 weist einen Steueranschluss 119 auf. Die dritte Steuerleitung 118 ist über den Steueranschluss 119 mit dem Aktor 106 verbunden. In the embodiment shown, the actuator system comprises 100 furthermore an optional logic device 112 , The operating device 104 is via an operating control line 114 with the logic device 112 connected. The provisioning device 110 the safety device 102 is via a safety-related control line 116 with the logic device 112 connected. The logic device 112 is via a third control line 118 with the actor 106 connected. The actor 106 has a control connection 119 on. The third control line 118 is via the control terminal 119 with the actor 106 connected.

Die Betriebsvorrichtung 104 ist ausgebildet, ein betriebsseitiges Steuersignal 122 zum Steuern des Aktors 106 bereitzustellen. Das betriebsseitige Steuersignal 122 wird über die betriebsseitige Steuerleitung 114 bereitgestellt. Weiterhin ist die Betriebsvorrichtung 104 ausgebildet, an einem Kommunikationsbus 120 ein Triggersignal 124 zum Anzeigen eines Betriebszustands der Betriebsvorrichtung 104 bereitzustellen. Die Kommunikationsschnittstelle 108 der Sicherheitsvorrichtung 102 ist über den Kommunikationsbus 120 mit der Betriebsvorrichtung 104 verbunden. The operating device 104 is formed, an operating-side control signal 122 for controlling the actuator 106 provide. The operating control signal 122 is via the operating control line 114 provided. Furthermore, the operating device 104 trained on a communication bus 120 a trigger signal 124 for displaying an operating state of the operating device 104 provide. The communication interface 108 the safety device 102 is over the communication bus 120 with the operating device 104 connected.

Die Kommunikationsschnittstelle 108 ist ausgebildet, das von der Betriebsvorrichtung 104 über den Kommunikationsbus 120 bereitgestellte Triggersignal 124 zu empfangen. Die Bereitstellungseinrichtung 110 ist ausgebildet, ein sicherheitsseitiges Steuersignal 126 zum Steuern des Aktors 106 unter Verwendung der Information des Triggersignals 124 bereitzustellen, um das Aktorsystem 100 in den sicheren Zustand zu überführen. Die Bereitstellungseinrichtung 110 ist ausgebildet, um beispielsweise einen Ausfall des Triggersignals 124 und ergänzend oder alternativ ein unplausibles Triggersignal 124 zu erkennen und das sicherheitsseitige Steuersignal 126 ansprechend auf den Ausfall und ergänzend oder alternativ das unplausible Triggersignal 124 bereitzustellen. The communication interface 108 is formed, that of the operating device 104 over the communication bus 120 provided trigger signal 124 to recieve. The provisioning device 110 is formed, a safety-side control signal 126 for controlling the actuator 106 using the information of the trigger signal 124 provide to the actuator system 100 to transfer to the safe state. The provisioning device 110 is designed to, for example, a Failure of the trigger signal 124 and additionally or alternatively an implausible trigger signal 124 to recognize and the safety-side control signal 126 in response to the failure and, in addition or alternatively, the implausible trigger signal 124 provide.

Die Logikeinrichtung 112 ist gemäß diesem Ausführungsbeispiel ausgebildet, um die Steuersignale 122, 126 zu empfangen, miteinander zu kombinieren und als ein drittes Steuersignal an den Aktor 106 bereitzustellen. Die Logikeinrichtung 112 kann als ein separates Element oder als Teil der Sicherheitsvorrichtung 102 realisiert sein. The logic device 112 is formed according to this embodiment, the control signals 122 . 126 to receive, to combine with each other and as a third control signal to the actuator 106 provide. The logic device 112 Can be as a separate item or as part of the security device 102 be realized.

In dem in 1 gezeigten Ausführungsbeispiel weist die Betriebsvorrichtung 104 einen optionalen Anschluss 128 zum Anschluss einer Spannungsversorgung auf. Weiterhin weist die Sicherheitsvorrichtung 102 einen optionalen Anschluss 130 für eine Spannungsversorgung auf. Weiterhin weisen die Betriebsvorrichtung 104 sowie die Sicherheitsvorrichtung 102 je einen optionalen Masseanschluss 132, 134 auf. In the in 1 embodiment shown, the operating device 104 an optional connection 128 for connecting a power supply. Furthermore, the security device 102 an optional connection 130 for a power supply. Furthermore, the operating device 104 as well as the security device 102 one optional ground connection each 132 . 134 on.

Optional weist die Sicherheitsvorrichtung 102 einen in 1 gezeigten Spannungsregler 136 auf. Der Spannungsregler 136 ist mit dem optionalen Anschluss 130 für eine Spannungsversorgung verbunden. Weiterhin ist der Spannungsregler 136 mit der Kommunikationsschnittstelle 108, der Bereitstellungseinrichtung 110 sowie einer optionalen Verarbeitungseinrichtung 138 verbunden, um diese mit elektrischer Energie beziehungsweise Spannung zu versorgen. Die optionale Verarbeitungseinrichtung 138 ist in einem Ausführungsbeispiel eine Komponente der Bereitstellungseinrichtung 110. In einem alternativen Ausführungsbeispiel ist die optionale Verarbeitungseinrichtung 138 unabhängig von der Bereitstellungseinrichtung 110 angeordnet und ausgebildet, um unabhängig von der Bereitstellungseinrichtung 110 Informationen wie das Triggersignal 124 zu verarbeiten und entsprechende verarbeitete Signale auszugeben. In einem Ausführungsbeispiel ist die Verarbeitungseinrichtung 138 als ein Mikrocontroller ausgeführt. Optional assigns the safety device 102 one in 1 shown voltage regulator 136 on. The voltage regulator 136 is with the optional connector 130 connected to a power supply. Furthermore, the voltage regulator 136 with the communication interface 108 , the provisioning facility 110 and an optional processing device 138 connected to provide them with electrical energy or voltage. The optional processing device 138 In one embodiment, it is a component of the providing device 110 , In an alternative embodiment, the optional processing device is 138 regardless of the delivery facility 110 arranged and configured to be independent of the providing device 110 Information like the trigger signal 124 to process and output corresponding processed signals. In one embodiment, the processing device is 138 executed as a microcontroller.

Vorteilhaft kann in ein vorhandenes System 100 beziehungsweise Aktorsystem 100, bestehend aus einer Betriebsvorrichtung 104 und einem Aktor 106 ein Kommunikations-Watchdog eingebaut werden, um den sicheren Zustand des vorhandenen Systems über die Beeinflussung der elektrischen Versorgung des den Aktor ansteuernden Teilnehmers zu erreichen. Dabei bezeichnet der Kommunikations-Watchdog ein Triggersignal 124 oder ein Signal, aus welchem das Triggersignal 124 abgeleitet werden kann. Advantageously, in an existing system 100 or actuator system 100 consisting of an operating device 104 and an actor 106 a communication watchdog be installed to achieve the safe state of the existing system on the influence of the electrical supply of the actuator controlling the participant. In this case, the communication watchdog denotes a trigger signal 124 or a signal from which the trigger signal 124 can be derived.

Als ein Aspekt der vorgestellten Idee zeigt das in 1 beschriebene Ausführungsbeispiel, wie in einem sicherheitsrelevanten System 100 bestehend aus einer Betriebsvorrichtung 104 und einem Aktor 106 der sichere Zustand bei Bedarf herbeigeführt wird, wobei das Aktorsystem 100 um eine Sicherheitsvorrichtung 102 erweitert ist. Je nach Aktorsystem 100 kann dies durch Einschalten beziehungsweise Ausschalten von Ausgängen der Betriebsvorrichtung 104, die wiederum einen Aktor 106 schalten beziehungsweise ausschalten, geschehen. Einschalten wird bevorzugt bei sogenannten Fail-Operational-Systemen verwendet. Dabei wird das Aktorsystem 100 durch Aktivieren mindestens eines Aktors 106 in den sicheren Zustand überführt. Ausschalten wird bei Fail-Safe-Systemen verwendet. Dabei wird das Aktorsystem 100 durch Deaktivieren mindestens eines Aktors 106 in den sicheren Zustand überführt. As an aspect of the presented idea, the in 1 described embodiment, as in a safety-related system 100 consisting of an operating device 104 and an actor 106 the safe state is brought about when needed, the actuator system 100 a safety device 102 is extended. Depending on the actuator system 100 This can be done by switching on or off outputs of the operating device 104 , which in turn is an actor 106 switch on or off, done. Switching on is preferably used in so-called fail-operational systems. This is where the actuator system becomes 100 by activating at least one actuator 106 transferred to the safe state. Switching off is used in fail-safe systems. This is where the actuator system becomes 100 by deactivating at least one actuator 106 transferred to the safe state.

Von Vorteil ist, dass eine Betriebsvorrichtung 104, die keine oder nur teilweise Einrichtungen zum Herbeiführen des sicheren Zustands besitzt, mit einer Sicherheitsvorrichtung 102 ergänzt werden kann. Vorteilhaft kann so kostengünstig und auf wenig komplexe beziehungsweise einfache Weise eine nachträgliche Hardware-Änderung an einem vorhandenen Aktorsystem 100 realisiert werden. The advantage is that an operating device 104 having no or only partial means for bringing about the safe state with a safety device 102 can be supplemented. Advantageously, as a cost and in a less complex or simple way, a subsequent hardware change to an existing actuator system 100 will be realized.

Die beschriebene Sicherheitsvorrichtung 102 ist wiederverwendbar, günstig und technisch wenig komplex und wirkt direkt auf einen oder mehrere Aktoren 106, um den sicheren Zustand des sicherheitsrelevanten Gesamtsystems herbeizuführen. Die Sicherheitsvorrichtung 102 kann auch als Sicherheitsteilnehmer bezeichnet werden. Die Sicherheitsvorrichtung 102 ist gemäß einem Ausführungsbeispiel als ein zusätzliches Bauteil ausgeführt, welches in ein Gesamtsystem integriert wird. Die Sicherheitsvorrichtung 102 schafft eine Überwachung einer Kommunikation zwischen der Betriebsvorrichtung 104 und der Sicherheitsvorrichtung 102. Dabei verfügt die Sicherheitsvorrichtung 102 über einen direkten Zugriff auf das Ausgabegerät (Aktor 106) und Aus-/Einschaltung des Aktors 106 – abhängig davon, ob es sich um ein Fail-Safe-System oder um ein Fail-Operational-System handelt. The described safety device 102 is reusable, inexpensive and technically less complex and acts directly on one or more actuators 106 in order to bring about the safe state of the safety-relevant overall system. The security device 102 can also be referred to as a security participant. The security device 102 is executed according to an embodiment as an additional component, which is integrated into an overall system. The security device 102 provides monitoring of communication between the operating device 104 and the security device 102 , It has the safety device 102 via direct access to the output device (actuator 106 ) and off / on of the actuator 106 - depending on whether it is a fail-safe system or a fail-operational system.

Die Sicherheitsvorrichtung 102 oder die vorhandene Betriebsvorrichtung 104, sind jeweils ausgebildet, das Aktorsystem 100 über ein Aktivieren (oder Deaktivieren) eines Aktors 106 in den sicheren Zustand zu überführen. Die Sicherheitsvorrichtung 102 wirkt in einem Verbund aus einer vorhandenen Betriebsvorrichtung 104 – beispielsweise einem Getriebesteuergerät 104 – und einem Aktor 106 – beispielsweise einem Ventil 106. Gemäß einem Ausführungsbeispiel wird der Aktor 106 in Form eines Ventils angesteuert und aktuiert ansprechend auf die Ansteuerung einen Kupplungsausrückzylinder. Ein derartiges Ausführungsbeispiel wird in 6 detaillierter beschrieben. The security device 102 or the existing operating device 104 , are each formed, the actuator system 100 via activating (or deactivating) an actuator 106 to transfer to the safe state. The security device 102 acts in a combination of an existing operating device 104 - For example, a transmission control unit 104 - and an actor 106 - For example, a valve 106 , According to one embodiment, the actuator 106 controlled in the form of a valve and actuated in response to the control of a clutch release cylinder. One Such embodiment is shown in FIG 6 described in more detail.

Die Sicherheitsvorrichtung 102 ist permanent über den Kommunikationsbus 120 beziehungsweise der Kommunikationsschnittstelle 108 mit der Betriebsvorrichtung 104 verbunden. Dabei ist das Aktorsystem 100 so ausgebildet, dass beispielsweise zyklische Testbotschaften zwischen der Betriebsvorrichtung 104 und der Sicherheitsvorrichtung 102 ausgetauscht werden. Derartige zyklische Testbotschaften werden auch als Trägerbotschaften oder Triggerbotschaften bezeichnet. So stellen die zyklischen Testbotschaften das bereits beschriebene Triggersignal 124 dar. Setzt beispielsweise das Triggersignal der Betriebsvorrichtung 104 aus, überführt die Sicherheitsvorrichtung 102 das Aktorsystem 100 in den sicheren Zustand, in dem der Aktor 106 von der Sicherheitsvorrichtung 102 entsprechend angesteuert wird. Einrichtungen beziehungsweise Komponenten der Sicherheitsvorrichtung 102 werden durch eine Spannungsversorgung versorgt. In einem vorteilhaften Ausführungsbeispiel ist die Spannungsversorgung der Sicherheitsvorrichtung 102 unabhängig von einer Spannungsversorgung der Betriebsvorrichtung 104. Die separate Spannungsversorgung der Sicherheitsvorrichtung 102 kann auch entfallen. Im letzteren Ausführungsbeispiel ist es von Vorteil, wenn die Sicherheitsvorrichtung 102 einen, beispielsweise in 2 gezeigten Pufferspeicher aufweist, damit die Überführung des Gesamtsystems 100 in den sicheren Zustand auch bei Entfall der Spannungsversorgung funktioniert. Als Pufferspeicher ist beispielsweise ein Kondensator vorgesehen. The security device 102 is permanently via the communication bus 120 or the communication interface 108 with the operating device 104 connected. Here is the actuator system 100 designed so that, for example, cyclic test messages between the operating device 104 and the security device 102 be replaced. Such cyclic test messages are also referred to as carrier messages or trigger messages. Thus, the cyclic test messages provide the already described trigger signal 124 Sets, for example, the trigger signal of the operating device 104 out, convicted the security device 102 the actuator system 100 in the safe state in which the actor 106 from the safety device 102 is controlled accordingly. Facilities or components of the safety device 102 are powered by a power supply. In an advantageous embodiment, the power supply of the safety device 102 independent of a power supply of the operating device 104 , The separate power supply of the safety device 102 can also be omitted. In the latter embodiment, it is advantageous if the security device 102 one, for example in 2 has shown buffer memory, thus the transfer of the entire system 100 in the safe state even when power is removed. As a buffer memory, for example, a capacitor is provided.

Unter einer Kommunikationsschnittstelle 108 kann in einem Ausführungsbeispiel ein Treiberbaustein 108 verstanden werden. Weiterhin kann unter einer Betriebsvorrichtung 104 ein Steuergerät 104 verstanden werden. Wie bereits dargestellt kann die Sicherheitsvorrichtung 102 als Sicherheitsteilnehmer 102 bezeichnet werden. Under a communication interface 108 In one embodiment, a driver chip 108 be understood. Furthermore, under an operating device 104 a control unit 104 be understood. As already shown, the safety device 102 as a security participant 102 be designated.

Die 2 bis 5 zeigen Blockschaltbilder mit Varianten eines Aktorsystems 100 gemäß Ausführungsbeispielen der vorliegenden Erfindung. Bei dem Aktorsystem 100 kann es sich um ein Ausführungsbeispiel eines in 1 gezeigten Aktorsystems 100 handeln. The 2 to 5 show block diagrams with variants of an actuator system 100 according to embodiments of the present invention. In the actuator system 100 it may be an embodiment of an in 1 shown actuator system 100 act.

2 zeigt ein Blockschaltbild eines Aktorsystems 100 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Blockschaltbild in 2 entspricht weitgehend der Darstellung in 1, mit dem Unterschied, dass ein weiterer Kommunikationsbus 240 die Betriebsvorrichtung 104 mit der Sicherheitsvorrichtung 102 verbindet. Dabei weist die Sicherheitsvorrichtung 102 eine weitere Kommunikationsschnittstelle 242 auf, die mit dem weiteren Kommunikationsbus 240 verbunden ist. Die weitere Kommunikationsschnittstelle 242 ist ausgebildet, ein weiteres Triggersignal 244 zu empfangen. Dabei repräsentiert das weitere Triggersignal 244 ein Signal, welches einen Betriebszustand der Betriebsvorrichtung 104 anzeigt. In dem in 2 dargestellten Ausführungsbeispiel ist die Bereitstellungseinrichtung 110 ausgebildet, das sicherheitsseitige Steuersignal 126 unter Verwendung des Triggersignals 124 und ergänzend oder alternativ des weiteren Triggersignals 244 bereitzustellen. Das weitere Triggersignal 244 wird von der Betriebsvorrichtung 104 bereitgestellt. Die Triggersignale 120, 244 können zueinander redundante Signale darstellen. 2 shows a block diagram of an actuator system 100 according to an embodiment of the present invention. The block diagram in 2 corresponds largely to the representation in 1 , with the difference that another communication bus 240 the operating device 104 with the safety device 102 combines. In this case, the security device 102 another communication interface 242 on, with the other communication bus 240 connected is. The further communication interface 242 is formed, another trigger signal 244 to recieve. This represents the further trigger signal 244 a signal indicating an operating state of the operating device 104 displays. In the in 2 illustrated embodiment is the provision device 110 trained, the safety-side control signal 126 using the trigger signal 124 and additionally or alternatively the further trigger signal 244 provide. The further trigger signal 244 is from the operating device 104 provided. The trigger signals 120 . 244 can represent mutually redundant signals.

In dem in 2 gezeigten Ausführungsbeispiel weist die Sicherheitsvorrichtung 102 einen Pufferspeicher 246 auf, der ausgebildet ist, die Sicherheitsvorrichtung 102 bei einem Ausfall einer Spannungsversorgung der Sicherheitsvorrichtung 102 mit Energie zum Bereitstellen des sicherheitsseitigen Steuersignals 126 zu versorgen. Vorteilhaft schafft der Pufferspeicher 246 eine Überführung des Aktorsystems 100 in den sicheren Zustand auch bei Entfall der Spannungsversorgung. In dem in 2 dargestellten Ausführungsbeispiel ist als Pufferspeicher 246 ein Kondensator vorgesehen. Der hier gezeigte Pufferspeicher 246 ist als optionale Spannungsversorgung zu sehen und kann in gleicher Art und Weise auch in den Sicherheitsvorrichtungen 102 gemäß den 1 bzw. 3 bis 6 vorgesehen sein. In the in 2 embodiment shown, the safety device 102 a buffer memory 246 trained on the safety device 102 in case of failure of a power supply of the safety device 102 with energy for providing the safety-side control signal 126 to supply. Advantageously, the buffer memory creates 246 a transfer of the actuator system 100 in the safe state even when power is removed. In the in 2 illustrated embodiment is as a buffer memory 246 a capacitor is provided. The buffer shown here 246 is seen as an optional power supply and can be used in the same way in the safety devices 102 according to the 1 respectively. 3 to 6 be provided.

3 zeigt ein Blockschaltbild eines Aktorsystems 100 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Blockschaltbild in 3 entspricht weitgehend der Darstellung in 2, mit dem Unterschied, dass eine erste Spannungsversorgung 350 mit dem Anschluss 128 zum Anschluss einer Spannungsversorgung verbunden ist, und dass eine zweite Spannungsversorgung 352 mit dem Anschluss 130 zum Anschluss einer Spannungsversorgung verbunden ist. Der Aktor 106 ist hier beispielhaft mit einer Einrichtung 354 verbunden, welche je nach Variante des gezeigten Ausführungsbeispiels beispielsweise als ein Stellglied, eine Stelleinrichtung oder ein weiterer Aktor ausgebildet sein kann. So kann es sich beispielsweise bei der Einrichtung 354 um einen Ausrückzylinder handeln. 3 shows a block diagram of an actuator system 100 according to an embodiment of the present invention. The block diagram in 3 corresponds largely to the representation in 2 , with the difference that a first power supply 350 with the connection 128 for connecting a power supply is connected, and that a second power supply 352 with the connection 130 connected to connect a power supply. The actor 106 Here is an example with a device 354 connected depending on the variant of the embodiment shown, for example, as an actuator, an adjusting device or another actuator may be formed. For example, this may be the case with the device 354 to act a release cylinder.

In einem nicht gezeigten Ausführungsbeispiel ist die Spannungsversorgung 350 sowohl mit dem Anschluss 128 zum Anschluss einer Spannungsversorgung der Betriebsvorrichtung 104 als auch mit dem Anschluss 130 zum Anschluss einer Spannungsversorgung der Sicherheitsvorrichtung 102 verbunden. In dem Fall ist die Spannungsversorgung 350 ausgebildet, sowohl die Betriebsvorrichtung 104 als auch die Sicherheitsvorrichtung 102 mit Energie zu versorgen. Die Versorgung der Sicherheitsvorrichtung 102 und der Betriebsvorrichtung 104 mit einer Spannungsversorgung 350 schafft Kostenvorteile. Die Versorgung der Betriebsvorrichtung 104 mit der ersten Spannungsversorgung 350 und die Versorgung der Sicherheitsvorrichtung 102 mit der zweiten Spannungsversorgung 352, wie es in 3 gezeigt ist, schafft den Vorteil, dass eine unabhängige Energieversorgung der zwei Vorrichtungen 102, 104 eine erhöhte Betriebssicherheit schafft. In an embodiment, not shown, the power supply 350 both with the connection 128 for connecting a power supply of the operating device 104 as well as with the connection 130 for connecting a power supply of the safety device 102 connected. In that case the power supply is 350 trained, both the operating device 104 as well as the security device 102 to provide energy. The supply of the safety device 102 and the operating device 104 with a power supply 350 creates Cost advantages. The supply of the operating device 104 with the first power supply 350 and the supply of the safety device 102 with the second power supply 352 as it is in 3 shows the advantage that an independent power supply of the two devices 102 . 104 creates increased reliability.

4 zeigt ein Blockschaltbild eines Aktorsystems 100 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Blockschaltbild in 4 entspricht weitgehend der Darstellung in 1, mit dem Unterschied, dass ein zusätzlicher Aktor 460 angesteuert wird. Die Betriebsvorrichtung 104 ist mit einer zusätzlichen betriebsseitigen Steuerleitung 462 zum Steuern des zusätzlichen Aktors 460 verbunden. Die Sicherheitsvorrichtung 102 weist eine zusätzliche Bereitstellungseinrichtung 464 auf, welche mit einer zusätzlichen Logikeinrichtung 466 über eine zusätzliche sicherheitsseitige Steuerleitung 468 gekoppelt ist. Die zusätzliche betriebsseitige Steuerleitung 462 ist ebenfalls mit der zusätzlichen Logikeinrichtung 466 gekoppelt. Die zusätzliche Logikeinrichtung 466 ist über eine zusätzliche dritte Steuerleitung 470 mit dem zusätzlichen Aktor 460 gekoppelt. 4 shows a block diagram of an actuator system 100 according to an embodiment of the present invention. The block diagram in 4 corresponds largely to the representation in 1 , with the difference that an additional actor 460 is controlled. The operating device 104 is with an additional operating control line 462 for controlling the additional actuator 460 connected. The security device 102 has an additional provisioning device 464 on, which with an additional logic device 466 via an additional safety-related control line 468 is coupled. The additional operating control line 462 is also with the additional logic device 466 coupled. The additional logic device 466 is via an additional third control line 470 with the additional actuator 460 coupled.

In einem Ausführungsbeispiel ist die Bereitstellungseinrichtung 110 ausgebildet, unter Verwendung des Triggersignals das sicherheitsseitige Steuersignal 126 über die sicherheitsseitige Steuerleitung 116 sowie das zusätzliche sicherheitsseitige Steuersignal über die zusätzliche sicherheitsseitige Steuerleitung 470 bereitzustellen. In one embodiment, the providing device is 110 designed, using the trigger signal, the safety-side control signal 126 via the safety-side control line 116 and the additional safety-related control signal via the additional safety-side control line 470 provide.

Die zusätzliche Logikeinrichtung 466 ist ausgebildet, ein über die zusätzliche betriebsseitige Steuerleitung 462 bereitgestelltes zusätzliches betriebsseitiges Steuersignal mit einem über die zusätzliche sicherheitsseitige Steuerleitung 468 bereitgestelltes zusätzliches sicherheitsseitiges Steuersignal logisch zu verknüpfen. Analog gilt für die Logikeinrichtung 112, dass diese ausgebildet ist, ein über die betriebsseitige Steuerleitung 114 bereitgestelltes betriebsseitiges Steuersignal mit einem über die sicherheitsseitige Steuerleitung 116 bereitgestellten sicherheitsseitigen Steuersignal logisch zu verknüpfen. Unter einem logischen Verknüpfen kann in diesem Fall verstanden werden, dass die zwei anliegenden Signale mit einem booleschen Operator, das heißt, mit einem logischen UND (AND) beziehungsweise einem logischen ODER (OR) miteinander verknüpft werden. Welcher boolesche Operator gewählt wird, hängt von einem Verhalten der an den Aktoren 106, 460 angeschlossenen Einrichtungen ab. Bei den an den Aktoren 106, 460 angeschlossenen Einrichtungen kann es sich beispielsweise um ein Fail-Safe-System oder um ein Fail-Operational-System handeln. The additional logic device 466 is formed, one on the additional operating control line 462 provided additional operating control signal with a via the additional safety-side control line 468 Logically link provided additional safety-related control signal. Analog applies to the logic device 112 in that it is formed via the operating-side control line 114 provided operating control signal with a via the safety-side control line 116 logically link provided safety-side control signal. In this case, logical linking can be understood as meaning that the two adjacent signals are combined with a Boolean operator, that is to say with a logical AND (AND) or a logical OR (OR). Which Boolean operator is chosen depends on a behavior of the actors 106 . 460 connected facilities. At the on the actuators 106 . 460 Connected facilities may be, for example, a fail-safe system or a fail-operational system.

Bei einem Fail-Operational-System handelt es sich um ein System, welches durch Aktivieren eines Aktors 106, 460 in einen sicheren Zustand überführt wird. So wird unter einem Fail-Operational-System ein betriebssicheres oder fehlertolerantes System verstanden. Bei einem Fail-Safe-System handelt es sich um ein System, welches durch Deaktivieren eines Aktors 106, 460 in einen sicheren Zustand überführt wird. So wird unter einem Fail-Safe-System ein ausfallsicheres oder eigensicheres System verstanden. A fail-operational system is a system that activates an actor 106 . 460 is transferred to a safe state. Thus, a fail-operational system is understood as a fail-safe or fault-tolerant system. A fail-safe system is a system which can be deactivated by deactivating an actuator 106 . 460 is transferred to a safe state. Thus, a fail-safe system is understood to mean a fail-safe or intrinsically safe system.

In einer Variante des in 4 gezeigten Ausführungsbeispiels ist die Logikeinrichtung 112 ausgebildet, die anliegenden Signale mit einem logischen ODER zu verknüpfen. Ergänzend ist die zusätzliche Logikeinrichtung 466 ausgebildet, die anliegenden Signale mit einem logischen UND zu verknüpfen. Eine derartige Variante bietet den Vorteil, dass der Aktor 106 ein Fail-Operational-System und der zusätzliche Aktor 460 ein Fail-Safe-System ansteuern kann. In a variant of in 4 the embodiment shown is the logic device 112 designed to connect the applied signals with a logical OR. In addition, the additional logic device 466 designed to connect the applied signals with a logical AND. Such a variant has the advantage that the actuator 106 a fail-operational system and the additional actuator 460 a fail-safe system can control.

In einem alternativen nicht gezeigten Ausführungsbeispiel steuern der Aktor 106 sowie der zusätzliche Aktor 460 eine Einrichtung, wobei bei Ausfall einer Komponente das Gesamtsystem in den sicheren Zustand überführt wird. Die geschaffene Redundanz schafft dabei ein eigensicheres System, welches auf eine Vielzahl bedenklicher Fehler reagiert und das Gesamtsystem bei Auftreten eines Fehlers in einen sicheren Zustand überführt. In an alternative embodiment, not shown, the actuator control 106 as well as the additional actuator 460 a device, wherein in case of failure of a component, the entire system is transferred to the safe state. The redundancy created thereby creates an intrinsically safe system which reacts to a large number of critical errors and converts the entire system into a safe state when an error occurs.

Die einzelnen Komponenten der Sicherheitsvorrichtung 102 erhalten ihr individuelles Spannungsniveau über einen Spannungsregler 136, auch als ein Spannungsregelungsbaustein 136 bezeichnet. Die Ansteuerung des Aktors 106 erfolgt in einem Ausführungsbeispiel über eine hardwarenahe Schaltung, beispielsweise über eine MOSFET-Schaltung (Transistorschaltung). In 4 ist der Aktor 106 sowohl über die vorhandene Betriebsvorrichtung 104, als auch über die Sicherheitsvorrichtung 102 schaltbar, daher wird ein logisches ODER(OR)-Element als Logikbaustein 112 benötigt. Das ODER-Element kann auch in einem Ausführungsbeispiel in der Sicherheitsvorrichtung 102 integriert sein. Die gesamte Steuerung erfolgt beispielsweise über einen Mikrocontroller 138, welcher allgemein auch als Verarbeitungseinrichtung 138 bezeichnet wird. Die Verarbeitungseinrichtung 138 weist optional in 4 nicht dargestellte Rücklesekanäle auf, die eine Rückmeldung über den Systemzustand des Aktorsystems 100 beziehungsweise des Aktors 106 geben. Beispielsweise zeigt ein Signal auf den nicht dargestellten Rücklesekanälen an, ob beispielsweise der sichere Zustand eingeleitet wurde oder ob beispielsweise die Ansteuerung des Aktors 106 erfolgreich war. In Abweichung zu der hier in 4 dargestellten Variante kann der Kommunikationsbus 120 auch redundant ausgeführt sein, wie dies in 2 und 3 dargestellt ist. Dies hat den Vorteil, dass beispielsweise Nutzbotschaften und Triggerbotschaften getrennt voneinander transportiert werden können, was die Zuverlässigkeit beziehungsweise die Sicherheit des Aktorsystems 100 erhöht. The individual components of the safety device 102 get their individual voltage level via a voltage regulator 136 , also as a voltage regulation module 136 designated. The activation of the actuator 106 takes place in one embodiment via a hardware-related circuit, for example via a MOSFET circuit (transistor circuit). In 4 is the actor 106 both over the existing operating device 104 , as well as the security device 102 switchable, therefore becomes a logical OR (OR) element as a logic device 112 needed. The OR element may also be used in one embodiment in the security device 102 be integrated. The entire control is done for example via a microcontroller 138 , which is also generally used as a processing device 138 referred to as. The processing device 138 indicates optional in 4 not shown on readback channels, which provide feedback on the system state of the actuator system 100 or the actor 106 give. For example, indicates a signal on the read back channels, not shown, whether, for example, the safe state has been initiated or whether, for example, the control of the actuator 106 was successful. In deviation to the here in 4 variant shown, the communication bus 120 be redundant, as in 2 and 3 is shown. This has the advantage that, for example, useful messages and trigger messages can be transported separately from one another, which improves the reliability or safety of the actuator system 100 elevated.

Möglich ist auch, wie in 4 dargestellt, dass der Aktor 106 nicht nur ein physikalischer Aktor 106 ist, sondern aus mehreren Aktoren besteht, die in ihrer Kombination das System in den sicheren Zustand überführen, beispielsweise über gleichzeitiges Bestromen eines Ventils (beispielsweise Aktor 106) und Deaktivieren eines weiteren Ventils (beispielsweise Aktor 460). It is also possible, as in 4 shown that the actuator 106 not just a physical actuator 106 is, but consists of several actuators, which bring the system in their combination in the safe state, for example, via simultaneous energization of a valve (for example, actuator 106 ) and deactivating another valve (for example, actuator 460 ).

In einem Ausführungsbeispiel wird die Ansteuerung von dem Aktor 106 durch die Betriebsvorrichtung 104 mit der Ansteuerung durch die Sicherheitsvorrichtung 102 durch ein logisches ODER verknüpft. Dadurch können die vorhandene Betriebsvorrichtung 104 und die Sicherheitsvorrichtung 102 unabhängig voneinander den Aktor 106 bestromen. Bei Ausfall eines der beiden Geräte 102, 104 kann das andere Gerät 104, 102 den Aktor 106 weiterhin ansteuern. Die Ansteuerung des weiteren Aktors 460 durch die Betriebsvorrichtung 104 und die Sicherheitsvorrichtung 102 wird durch ein logisches UND verknüpft. Fällt eines der beiden Geräte 102, 104 aus, kann das Ventil 460 beziehungsweise allgemein der Aktor 460 nicht mehr aktiviert werden. Somit kann das Gesamtsystem bei Ausfall eines Geräts 102, 104 in den sicheren Zustand überführt werden. In one embodiment, the drive is controlled by the actuator 106 through the operating device 104 with the control by the safety device 102 linked by a logical OR. This allows the existing operating device 104 and the security device 102 independently of each other the actuator 106 energize. In case of failure of one of the two devices 102 . 104 can the other device 104 . 102 the actor 106 continue to drive. The activation of the further actuator 460 through the operating device 104 and the security device 102 is linked by a logical AND. If one of the two devices falls 102 . 104 out, the valve can 460 or generally the actor 460 no longer be activated. Thus, the entire system in case of failure of a device 102 . 104 be transferred to the safe state.

Die Sicherheitsvorrichtung 102 wird durch einen Teilnehmer des abzusichernden Systems 100 über eine Schnittstelle 108, das heißt die Kommunikationsschnittstelle 108, getriggert. Je nach Ausführungsbeispiel handelt es sich bei der Kommunikationsschnittstelle 108 um eine serielle oder parallele Schnittstelle oder ein Bussystem (beispielsweise Fahrzeug-CAN oder Getriebe-CAN). Bei aussetzender oder unplausibler Triggerung wird das zu überwachende System 100 von der Sicherheitsvorrichtung 102 in den sicheren Zustand überführt. The security device 102 is by a participant of the system to be protected 100 via an interface 108 that is the communication interface 108 , triggered. Depending on the embodiment, it is the communication interface 108 to a serial or parallel interface or a bus system (for example vehicle CAN or transmission CAN). Intermittent or implausible triggering becomes the system to be monitored 100 from the safety device 102 transferred to the safe state.

5 zeigt ein Blockschaltbild eines Aktorsystems 100 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Blockschaltbild in 5 entspricht weitgehend der Darstellung in 1 beziehungsweise 4. eine Sicherheitsvorrichtung 102 umfasst eine Kommunikationsschnittstelle 108, eine Bereitstellungseinrichtung 110 sowie eine zusätzliche Bereitstellungseinrichtung 464. Die Bereitstellungseinrichtung 110 ist mit einer Logikeinrichtung 112 gekoppelt. Die zusätzliche Bereitstellungseinrichtung 464 ist mit einer zusätzlichen Logikeinrichtung 466 gekoppelt. Die Kommunikationsschnittstelle 108 ist über einen Kommunikationsbus 120 mit einer Betriebsvorrichtung 104 gekoppelt. Weiterhin sind die Logikeinrichtung 112 über eine betriebsseitige Steuerleitung 114 und die zusätzliche Logikeinrichtung 466 über eine zusätzliche betriebsseitige Steuerleitung 462 mit der Betriebsvorrichtung 104 gekoppelt. Die Logikeinrichtung 112 ist über eine dritte Steuerleitung 118 mit einem Steueranschluss des Aktors 106 gekoppelt. Der Aktor 106 ist mit einer Einrichtung 354 verbunden. Der zusätzliche Aktor 460 ist mit einer zusätzlichen Einrichtung 570 verbunden. Die Bereitstellungseinrichtung 110 sowie die zusätzliche Bereitstellungseinrichtung 464 sind mit der Kommunikationsschnittstelle 108 verbunden. Die Bereitstellungseinrichtung 110 ist ausgebildet, ein sicherheitsseitiges Steuersignal unter Verwendung eines über die Kommunikationsschnittstelle 108 empfangenes Triggersignal bereitzustellen. Die zusätzliche Bereitstellung Einrichtung 464 ist ausgebildet, ein zusätzliches sicherheitsseitiges Steuersignal unter Verwendung des über die Kommunikationsschnittstelle 108 empfangenen Triggersignals bereitzustellen. 5 shows a block diagram of an actuator system 100 according to an embodiment of the present invention. The block diagram in 5 corresponds largely to the representation in 1 respectively 4 , a safety device 102 includes a communication interface 108 , a provisioning device 110 and an additional provision device 464 , The provisioning device 110 is with a logic device 112 coupled. The additional provisioning device 464 is with an additional logic device 466 coupled. The communication interface 108 is via a communication bus 120 with an operating device 104 coupled. Furthermore, the logic device 112 via an operating control line 114 and the additional logic device 466 via an additional operating control line 462 with the operating device 104 coupled. The logic device 112 is via a third control line 118 with a control connection of the actuator 106 coupled. The actor 106 is with a facility 354 connected. The additional actuator 460 is with an additional facility 570 connected. The provisioning device 110 as well as the additional providing device 464 are with the communication interface 108 connected. The provisioning device 110 is formed, a safety-side control signal using a via the communication interface 108 provide received trigger signal. The additional deployment facility 464 is configured, an additional safety-side control signal using the via the communication interface 108 to receive the received trigger signal.

Bei der zusätzlichen Einrichtung 570 handelt es sich je nach Variante wie bereits in 3 in Bezug auf die Einrichtung 354 beschrieben um ein Stellglied, eine Stelleinrichtung oder einen weiteren Aktor. At the additional facility 570 Depending on the variant, it is the same as in 3 in terms of the device 354 described by an actuator, an actuator or another actuator.

Die Ausführungen zur Logikeinrichtung 112 sowie zur zusätzlichen Logikeinrichtung 466 gelten in gleicher Weise für das in 5 gezeigte Ausführungsbeispiel. The comments on the logic device 112 as well as the additional logic device 466 apply in the same way for the in 5 shown embodiment.

6 zeigt schematische Darstellung eines Fahrzeugs 680 mit einem Aktorsystem 100 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Bei dem Aktorsystem 100 kann es sich um ein Ausführungsbeispiel eines in den vorangegangenen Figuren beschriebenen Aktorsystems 100 handeln. Das Aktorsystem 100 umfasst eine Betriebsvorrichtung 104, einen Aktor 106 sowie eine Sicherheitsvorrichtung 102 und eine Logikeinrichtung 112. Das Aktorsystem 100 ist mit einer Einrichtung 354 gekoppelt, wobei die Einrichtung 354 ihrerseits mit einer Vorrichtung 682 verbunden beziehungsweise gekoppelt ist. 6 shows a schematic representation of a vehicle 680 with an actuator system 100 according to an embodiment of the present invention. In the actuator system 100 it may be an embodiment of an actuator system described in the preceding figures 100 act. The actuator system 100 includes an operating device 104 , an actor 106 as well as a security device 102 and a logic device 112 , The actuator system 100 is with a facility 354 coupled, the device 354 in turn with a device 682 connected or coupled.

In einem besonderen Ausführungsbeispiel handelt es sich bei der Betriebsvorrichtung 104 um ein Steuergerät 104 beziehungsweise ein Getriebesteuergerät 104. Das Steuergerät 104 ist in dem besonderen Ausführungsbeispiel ausgebildet, einen Aktor 106 in Form eines Ventils 106 anzusteuern, wobei das Ventil 106 beispielsweise einen Kupplungsausrückzylinder 354 als Beispiel einer Einrichtung 354 ansteuert. Der Kupplungsausrückzylinder 354 ist mit einem Getriebe 682 des Fahrzeugs 100 verbunden. In a particular embodiment, the operating device is 104 to a control unit 104 or a transmission control unit 104 , The control unit 104 is formed in the particular embodiment, an actuator 106 in the form of a valve 106 to drive, with the valve 106 for example, a clutch release cylinder 354 as an example of a facility 354 controls. The clutch release cylinder 354 is with a gearbox 682 of the vehicle 100 connected.

7 zeigt ein Ablaufdiagramm eines Verfahrens 700 zum Überführen eines Aktorsystems in einen sicheren Zustand gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Verfahren kann verwendet werden, um ein Aktorsystem, wie es anhand der vorangegangenen Figuren beschrieben ist, in den sicheren Zustand zu überführen. 7 shows a flowchart of a method 700 for transferring an actuator system to a safe state according to an embodiment of the present invention. The method can be used to design an actuator system such as described with reference to the preceding figures to transfer to the safe state.

Das Verfahren umfasst einen Schritt 710, in dem ein Triggersignal über eine Kommunikationsschnittstelle empfangen wird, einen Schnitt 715, in dem die Information des empfangenen Triggersignals verarbeitet wird und einen Schritt 720, in dem ein sicherheitsseitiges Steuersignal zum Steuern des Aktors bereitgestellt wird. Mit dem im Schritt 720 bereitgestellten sicherheitsseitigen Steuersignal kann das Aktorsystem in den sicheren Zustand überführt werden. The method comprises a step 710 in which a trigger signal is received via a communication interface, a cut 715 in which the information of the received trigger signal is processed and a step 720 in which a safety-related control signal for controlling the actuator is provided. With the in step 720 provided safety-side control signal, the actuator system can be converted to the safe state.

Die Schritte 710, 715, 720 können beispielsweise unter Verwendung von Einrichtungen einer bereits beschriebenen Sicherheitsvorrichtung umgesetzt werden. The steps 710 . 715 . 720 can be implemented, for example, using means of a safety device already described.

8 zeigt ein Ablaufdiagramm eines Verfahrens 800 zum Betreiben eines Aktorsystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. Das Verfahren 800 kann verwendet werden, um ein Aktorsystem, wie es anhand der vorangegangenen Figuren beschrieben ist, zu betreiben und insbesondere bei Bedarf in einen sicheren Zustand zu überführen. 8th shows a flowchart of a method 800 for operating an actuator system according to an embodiment of the present invention. The procedure 800 can be used to operate an actuator system, as described with reference to the preceding figures, and in particular to convert to a safe state, if necessary.

Das Verfahren 800 umfasst einen Schritt 810, in dem ein betriebsseitiges Steuersignal zum Steuern des Aktors bereitgestellt wird, einen Schritt 820, in dem ein Triggersignal zum Anzeigen eines Betriebszustand der Betriebsvorrichtung bereitgestellt wird, sowie einen Schritt 830, in dem die in 7 beschriebenen Schritte eines Verfahrens 700 zum Überführen eines Aktorsystems in einen sicheren Zustand ausgeführt werden, um ansprechend auf einen Empfang der Information des Triggersignals durch die Sicherheitsvorrichtung ein sicherheitsseitiges Steuersignal zum Steuern des Aktors oder eines weiteren Aktors bereitzustellen, um das Aktorsystem in den sicheren Zustand zu überführen. The procedure 800 includes a step 810 in which an operation-side control signal for controlling the actuator is provided, a step 820 in which a trigger signal for indicating an operating state of the operating device is provided, and a step 830 in which the in 7 described steps of a method 700 for transferring an actuator system to a safe state to provide a safety-side control signal to control the actuator or another actuator in response to receiving the information of the trigger signal by the safety device to transition the actuator system to the safe state.

Die Schritte 810, 820 des Bereitstellens können unter Verwendung der Betriebsvorrichtung ausgeführt werden. Solange das Aktorsystem zuverlässig und ohne Fehler arbeitet, werden die Schritte 810, 820 wiederholt ausgeführt. Bei einem fehlerbehafteten Betrieb der Betriebsvorrichtung kann der Schritt 830 ausgeführt werden um ansprechend auf das Triggersignal, unter Verwendung der Information des Triggersignals, des ausbleibenden Triggersignals oder eines unplausiblen beziehungsweise von einer Norm abweichenden Triggersignals ein entsprechendes sicherheitsseitiges Steuersignal bereitzustellen. So kann ein fehlerbehafteter Betrieb der Betriebsvorrichtung beispielsweise durch ein fehlendes, unregelmäßiges oder unplausibles Triggersignal repräsentiert werden. The steps 810 . 820 of providing can be carried out using the operating device. As long as the actuator system works reliably and without errors, the steps become 810 . 820 repeatedly executed. In a faulty operation of the operating device, the step 830 be executed in response to the trigger signal, using the information of the trigger signal, the missing trigger signal or an implausible or deviating from a standard trigger signal to provide a corresponding safety-side control signal. Thus, faulty operation of the operating device can be represented for example by a missing, irregular or implausible trigger signal.

Durch das Ausführen der Schritte des Verfahrens 800 zum Betreiben des Aktorsystems wird bei einem fehlerbehafteten Betrieb der Betriebsvorrichtung ein sicherheitsseitiges Steuersignal bereitgestellt, durch das zumindest ein Aktor so angesteuert wird, dass das Aktorsystem oder eine daran angeschlossene Einrichtung in den sicheren Zustand überführt wird. By performing the steps of the procedure 800 in order to operate the actuator system, a safety-related control signal is provided in the case of erroneous operation of the operating device, by which at least one actuator is controlled such that the actuator system or a device connected thereto is transferred to the safe state.

Die beschriebenen und in den Figuren gezeigten Ausführungsbeispiele sind nur beispielhaft gewählt. Unterschiedliche Ausführungsbeispiele können vollständig oder in Bezug auf einzelne Merkmale miteinander kombiniert werden. Auch kann ein Ausführungsbeispiel durch Merkmale eines weiteren Ausführungsbeispiels ergänzt werden. The embodiments described and shown in the figures are chosen only by way of example. Different embodiments may be combined together or in relation to individual features. Also, an embodiment can be supplemented by features of another embodiment.

Ferner können erfindungsgemäße Verfahrensschritte wiederholt sowie in einer anderen als in der beschriebenen Reihenfolge ausgeführt werden. Furthermore, method steps according to the invention can be repeated as well as carried out in a sequence other than that described.

Umfasst ein Ausführungsbeispiel eine „und/oder“ Verknüpfung zwischen einem ersten Merkmal und einem zweiten Merkmal, so kann dies so gelesen werden, dass das Ausführungsbeispiel gemäß einer Ausführungsform sowohl das erste Merkmal als auch das zweite Merkmal und gemäß einer weiteren Ausführungsform entweder nur das erste Merkmal oder nur das zweite Merkmal aufweist. If an exemplary embodiment comprises a "and / or" link between a first feature and a second feature, this can be read so that the embodiment according to one embodiment, both the first feature and the second feature and according to another embodiment, either only the first Feature or only the second feature.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100 100
Aktorsystem actuator system
102 102
Sicherheitsvorrichtung safety device
104 104
Betriebsvorrichtung operating device
106 106
Aktor actuator
108 108
Kommunikationsschnittstelle Communication Interface
110 110
Bereitstellungseinrichtung Providing device
112 112
Logikeinrichtung logic device
114 114
betriebsseitige Steuerleitung operating control line
116 116
sicherheitsseitige Steuerleitung safety-side control line
118 118
dritte Steuerleitung third control line
119 119
Steueranschluss control connection
120 120
Kommunikationsbus communication
122 122
betriebsseitiges Steuersignal operating control signal
124 124
Triggersignal trigger signal
126 126
sicherheitsseitiges Steuersignal safety-related control signal
128 128
Anschluss connection
130 130
Anschluss connection
132 132
Masse, Masseanschluss Ground, ground connection
134 134
Masse, Masseanschluss Ground, ground connection
136 136
Spannungsregler voltage regulators
138 138
Verarbeitungseinrichtung processing device
240 240
weiterer Kommunikationsbus further communication bus
242 242
weitere Kommunikationsschnittstelle further communication interface
244 244
weiteres Triggersignal another trigger signal
246 246
Pufferspeicher buffer memory
350 350
erste Spannungsversorgung first power supply
352 352
zweite Spannungsversorgung second power supply
354 354
Einrichtung Facility
460 460
zusätzlicher Aktor additional actuator
462 462
zusätzliche betriebsseitige Steuerleitung additional operating control line
464 464
zusätzliche Bereitstellungseinrichtung additional provisioning device
466 466
zusätzliche Logikeinrichtung additional logic device
468 468
zusätzliche sicherheitsseitige Steuerleitung additional safety-related control line
470 470
zusätzliche dritte Steuerleitung additional third control line
572 572
zusätzliche Einrichtung additional facility
680 680
Fahrzeug vehicle
682 682
Getriebe transmission
700 700
Verfahren zum Überführen eines Aktorsystems in einen sicheren ZustandMethod for transferring an actuator system to a safe state
710 710
Schritt des Empfangenes Step of receiving
715 715
Schritt des Verarbeitens Step of processing
720 720
Schritt des Bereitstellens Step of providing
800 800
Verfahren zum Betreiben eines Aktorsystems Method for operating an actuator system
810 810
Schritt des Bereitstellens Step of providing
820 820
Schritt des Bereitstellens Step of providing
830 830
Schritt des Ausführens Step of performing

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 102007046731 B4 [0002] DE 102007046731 B4 [0002]

Claims (11)

Sicherheitsvorrichtung (102) zum Überführen eines Aktorsystems (100) in einen sicheren Zustand, wobei das Aktorsystem (100) eine Betriebsvorrichtung (104) und einen Aktor (106) umfasst, wobei die Betriebsvorrichtung (104) über eine betriebsseitige Steuerleitung (114) mit einem Steueranschluss (119) des Aktors (106) gekoppelt und ausgebildet ist, um ein betriebsseitiges Steuersignal (122) zum Steuern des Aktors (106) und an einem Kommunikationsbus (120) ein Triggersignal (124) zum Anzeigen eines Betriebszustands der Betriebsvorrichtung (104) bereitzustellen, dadurch gekennzeichnet, dass die Sicherheitsvorrichtung (102) die folgenden Merkmale aufweist: eine Kommunikationsschnittstelle (108), die ausgebildet ist, um das Triggersignal (124) zu empfangen, wobei die Kommunikationsschnittstelle (108) über den Kommunikationsbus (120) mit der Betriebsvorrichtung (104) koppelbar ist; und eine Bereitstellungseinrichtung (110), die ausgebildet ist, um zum Überführen des Aktorsystems (100) in den sicheren Zustand ein sicherheitsseitiges Steuersignal (126) zum Steuern des Aktors (106) unter Verwendung der Information des Triggersignals (124) bereitzustellen, wobei die Bereitstellungseinrichtung (110) über eine sicherheitsseitige Steuerleitung (116) mit dem Steueranschluss (119) des Aktors (106) koppelbar ist. Safety device ( 102 ) for transferring an actuator system ( 100 ) in a safe state, wherein the actuator system ( 100 ) an operating device ( 104 ) and an actor ( 106 ), wherein the operating device ( 104 ) via an operating control line ( 114 ) with a control connection ( 119 ) of the actuator ( 106 ) and is configured to generate an operating control signal ( 122 ) for controlling the actuator ( 106 ) and on a communication bus ( 120 ) a trigger signal ( 124 ) for displaying an operating state of the operating device ( 104 ), characterized in that the safety device ( 102 ) has the following features: a communication interface ( 108 ) which is designed to receive the trigger signal ( 124 ), the communication interface ( 108 ) via the communication bus ( 120 ) with the operating device ( 104 ) can be coupled; and a provisioning device ( 110 ), which is designed to transfer the actuator system ( 100 ) in the safe state, a safety-related control signal ( 126 ) for controlling the actuator ( 106 ) using the information of the trigger signal ( 124 ), the provisioning device ( 110 ) via a safety-related control line ( 116 ) with the control connection ( 119 ) of the actuator ( 106 ) can be coupled. Sicherheitsvorrichtung (102) gemäß Anspruch 1, dadurch gekennzeichnet, dass die Bereitstellungseinrichtung (110) ausgebildet ist, um einen Ausfall des Triggersignals (124) und/oder ein unplausibles Triggersignal (124) zu erkennen und das sicherheitsseitige Steuersignal (126) ansprechend auf den Ausfall und/oder das unplausible Triggersignal (124) bereitzustellen. Safety device ( 102 ) according to claim 1, characterized in that the provision device ( 110 ) is designed to prevent a failure of the trigger signal ( 124 ) and / or an implausible trigger signal ( 124 ) and the safety-related control signal ( 126 ) in response to the failure and / or the implausible trigger signal ( 124 ). Sicherheitsvorrichtung (102) gemäß einem der vorangegangenen Ansprüche, gekennzeichnet durch einen Pufferspeicher (246), der ausgebildet ist, die Sicherheitsvorrichtung (102) bei einem Ausfall einer Spannungsversorgung (352) der Sicherheitsvorrichtung (102) mit Energie zum Bereitstellen des sicherheitsseitigen Steuersignals (126) zu versorgen. Safety device ( 102 ) according to one of the preceding claims, characterized by a buffer memory ( 246 ), which is adapted to the safety device ( 102 ) in the event of a power failure ( 352 ) of the security device ( 102 ) with energy for providing the safety-related control signal ( 126 ) to supply. Sicherheitsvorrichtung (102) gemäß einem der vorangegangenen Ansprüche, gekennzeichnet durch eine weitere Kommunikationsschnittstelle (242), die über einen weiteren Kommunikationsbus (240) mit der Betriebsvorrichtung (104) koppelbar ist, wobei die weitere Kommunikationsschnittstelle (242) ausgebildet ist, ein weiteres Triggersignal (244) zu empfangen, wobei das weitere Triggersignal (244) ein zum Anzeigen des Betriebszustands der Betriebsvorrichtung (104) bereitgestelltes Signal repräsentiert, wobei die Bereitstellungseinrichtung (110) ausgebildet ist, das sicherheitsseitige Steuersignal (126) unter Verwendung der Information des weiteren Triggersignals (244) bereitzustellen. Safety device ( 102 ) according to one of the preceding claims, characterized by a further communication interface ( 242 ), which via another communication bus ( 240 ) with the operating device ( 104 ), whereby the further communication interface ( 242 ) is formed, another trigger signal ( 244 ), the further trigger signal ( 244 ) for displaying the operating state of the operating device ( 104 ) provided signal, wherein the provision device ( 110 ), the safety-side control signal ( 126 ) using the information of the further trigger signal ( 244 ). Sicherheitsvorrichtung (102) gemäß einem der vorangegangenen Ansprüche, gekennzeichnet durch eine Logikeinrichtung (112), wobei die betriebsseitige Steuerleitung (114) und die sicherheitsseitige Steuerleitung (116) über die Logikeinrichtung (112) miteinander koppelbar sind, wobei die Logikeinrichtung (112) über eine dritte Steuerleitung (118) mit dem Steueranschluss (119) des Aktors (106) koppelbar ist, und wobei die Logikeinrichtung (112) ausgebildet ist, das betriebsseitige Steuersignal (122) und das sicherheitsseitige Steuersignal (126) miteinander zu einem dritten Steuersignal zu verknüpfen und das dritte Steuersignal an den Steueranschluss (119) des Aktors (106) zu leiten. Safety device ( 102 ) according to one of the preceding claims, characterized by a logic device ( 112 ), wherein the operating control line ( 114 ) and the safety-side control line ( 116 ) via the logic device ( 112 ) are coupled together, wherein the logic device ( 112 ) via a third control line ( 118 ) with the control connection ( 119 ) of the actuator ( 106 ), and wherein the logic device ( 112 ), the operating-side control signal ( 122 ) and the safety-side control signal ( 126 ) to each other to a third control signal and the third control signal to the control terminal ( 119 ) of the actuator ( 106 ). Sicherheitsvorrichtung (102) gemäß Anspruch 5, gekennzeichnet durch eine zusätzliche Logikeinrichtung (466), wobei die Betriebsvorrichtung (104) über eine zusätzliche betriebsseitige Steuerleitung (462) mit der zusätzlichen Logikeinrichtung (466) koppelbar ist, wobei die Bereitstellungseinrichtung (110) über eine zusätzliche sicherheitsseitige Steuerleitung (468) mit der zusätzlichen Logikeinrichtung (466) gekoppelt ist, wobei die Bereitstellungseinrichtung (110) ausgebildet ist, ein zusätzliches sicherheitsseitiges Steuersignal zum Steuern eines zusätzlichen Aktors (460) unter Verwendung der Information des Triggersignals (124) bereitzustellen, wobei die zusätzliche Logikeinrichtung (466) über eine zusätzliche dritte Steuerleitung (470) mit dem Steueranschluss des zusätzlichen Aktors (460) koppelbar ist, wobei die zusätzliche Logikeinrichtung (466) ausgebildet ist, das zusätzliche betriebsseitige Steuersignal und das zusätzliche sicherheitsseitige Steuersignal über ein logisches UND miteinander zu einem zusätzlichen dritten Steuersignal zu verknüpfen und das zusätzliche dritte Steuersignal an den zusätzlichen Steueranschluss des zusätzlichen Aktors (460) zu leiten, und wobei die Logikeinrichtung (112) ausgebildet ist, das betriebsseitige Steuersignal (122) und das sicherheitsseitige Steuersignal (126) über ein logisches ODER miteinander zu dem dritten Steuersignal zu verknüpfen. Safety device ( 102 ) according to claim 5, characterized by an additional logic device ( 466 ), the operating device ( 104 ) via an additional operating control line ( 462 ) with the additional logic device ( 466 ), the provisioning device ( 110 ) via an additional safety-related control line ( 468 ) with the additional logic device ( 466 ), the provision device ( 110 ) is formed, an additional safety-side control signal for controlling an additional actuator ( 460 ) using the information of the trigger signal ( 124 ), the additional logic device ( 466 ) via an additional third control line ( 470 ) with the control connection of the additional actuator ( 460 ), the additional logic device ( 466 ) is formed, the additional operating-side control signal and the additional safety-side control signal via a logical AND with each other to an additional third control signal to link and the additional third control signal to the additional control terminal of the additional actuator ( 460 ) and the logic device ( 112 ), the operating-side control signal ( 122 ) and the safety-side control signal ( 126 ) via a logical OR to each other to the third control signal. Sicherheitsvorrichtung (102) gemäß einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Sicherheitsvorrichtung (102) eine Schnittstelle (130) zum Anschluss einer Spannungsversorgung (352) aufweist. Safety device ( 102 ) according to one of the preceding claims, characterized in that the safety device ( 102 ) an interface ( 130 ) for connecting a power supply ( 352 ) having. Aktorsystem (100) mit folgenden Merkmalen: einen Aktor (106) mit einem Steueranschluss (119); eine Betriebsvorrichtung (104), die über eine betriebsseitige Steuerleitung (114) mit dem Steueranschluss (119) des Aktors (106) gekoppelt und ausgebildet ist, um ein betriebsseitiges Steuersignal (122) zum Steuern des Aktors (106) und an einem Kommunikationsbus (120) ein Triggersignal (124) zum Anzeigen eines Betriebszustands der Betriebsvorrichtung (104) bereitzustellen; und eine Sicherheitsvorrichtung (102) gemäß einem der vorangegangenen Ansprüche, die über die sicherheitsseitige Steuerleitung (116) mit dem Steueranschluss (119) gekoppelt und ausgebildet ist, das sicherheitsseitige Steuersignal (126) zum Steuern des Aktors (106) unter Verwendung der Information des Triggersignals (124) bereitzustellen, um das Aktorsystem (100) in den sicheren Zustand zu überführen. Actuator system ( 100 ) having the following characteristics: an actuator ( 106 ) with a control connection ( 119 ); an operating device ( 104 ), which are connected via an operating control line ( 114 ) with the control connection ( 119 ) of the actuator ( 106 ) and is configured to generate an operating control signal ( 122 ) for controlling the actuator ( 106 ) and at one Communication bus ( 120 ) a trigger signal ( 124 ) for displaying an operating state of the operating device ( 104 ) to provide; and a security device ( 102 ) according to one of the preceding claims, which via the safety-side control line ( 116 ) with the control connection ( 119 ) is coupled and designed, the safety-side control signal ( 126 ) for controlling the actuator ( 106 ) using the information of the trigger signal ( 124 ) to provide the actuator system ( 100 ) into the safe state. Aktorsystem (100) gemäß Anspruch 8, bei dem die Sicherheitsvorrichtung (102) als eine Sicherheitsvorrichtung (102) gemäß Anspruch 6 ausgebildet ist, dadurch gekennzeichnet, dass der Aktor (106) ausgebildet ist, ein eigensicheres und/oder ausfallsicheres System (354) anzusteuern, und der zusätzliche Aktor (460) ausgebildet ist, ein betriebssicheres und/oder fehlertolerantes System (570) anzusteuern, oder umgekehrt. Actuator system ( 100 ) according to claim 8, wherein the security device ( 102 ) as a security device ( 102 ) according to claim 6, characterized in that the actuator ( 106 ), an intrinsically safe and / or fail-safe system ( 354 ), and the additional actuator ( 460 ), a fail-safe and / or fault-tolerant system ( 570 ) or vice versa. Verfahren (700) zum Überführen eines Aktorsystems (100) in einen sicheren Zustand, wobei das Aktorsystem (100) eine Betriebsvorrichtung (104) und einen Aktor (106) umfasst, wobei die Betriebsvorrichtung (104) über eine betriebsseitige Steuerleitung (114) mit einem Steueranschluss (119) des Aktors (106) gekoppelt und ausgebildet ist, um ein betriebsseitiges Steuersignal (122) zum Steuern des Aktors (106) und an einem Kommunikationsbus (120) ein Triggersignal (124) zum Anzeigen eines Betriebszustands der Betriebsvorrichtung (104) bereitzustellen, dadurch gekennzeichnet, dass das Verfahren (700) die folgenden Schritte umfasst: Empfangen (710) des Triggersignals (124) über eine Kommunikationsschnittstelle (108), wobei die Kommunikationsschnittstelle (108) über den Kommunikationsbus (120) mit der Betriebsvorrichtung (104) koppelbar ist; Verarbeiten (715) der Information des empfangenen Triggersignals; und Bereitstellen (720) eines sicherheitsseitigen Steuersignals (126) zum Steuern des Aktors (106) unter Verwendung des Triggersignals (124), um das Aktorsystem (100) in den sicheren Zustand zu überführen, wobei die Bereitstellungseinrichtung (110) über eine sicherheitsseitige Steuerleitung (116) mit dem Steueranschluss (119) des Aktors (106) koppelbar ist. Procedure ( 700 ) for transferring an actuator system ( 100 ) in a safe state, wherein the actuator system ( 100 ) an operating device ( 104 ) and an actor ( 106 ), wherein the operating device ( 104 ) via an operating control line ( 114 ) with a control connection ( 119 ) of the actuator ( 106 ) and is configured to generate an operating control signal ( 122 ) for controlling the actuator ( 106 ) and on a communication bus ( 120 ) a trigger signal ( 124 ) for displaying an operating state of the operating device ( 104 ), characterized in that the method ( 700 ) includes the following steps: receiving ( 710 ) of the trigger signal ( 124 ) via a communication interface ( 108 ), whereby the communication interface ( 108 ) via the communication bus ( 120 ) with the operating device ( 104 ) can be coupled; To process ( 715 ) the information of the received trigger signal; and deploy ( 720 ) a safety-related control signal ( 126 ) for controlling the actuator ( 106 ) using the trigger signal ( 124 ) to the actuator system ( 100 ) to the secure state, the provisioning device ( 110 ) via a safety-related control line ( 116 ) with the control connection ( 119 ) of the actuator ( 106 ) can be coupled. Verfahren (800) zum Betreiben eines Aktorsystems (100) gemäß Anspruch 8, wobei das Verfahren (800) die folgenden Schritte aufweist: Bereitstellen (810) eines betriebsseitigen Steuersignals (122) zum Steuern des Aktors (106) unter Verwendung der Betriebsvorrichtung (104); Bereitstellen (820) eines Triggersignals (124) zum Anzeigen eines Betriebszustands der Betriebsvorrichtung (104) unter Verwendung der Betriebsvorrichtung (104); und Ausführen (830) der Schritte des Verfahrens (700) gemäß Anspruch 10, um das Aktorsystem (100) in den sicheren Zustand zu überführen. Procedure ( 800 ) for operating an actuator system ( 100 ) according to claim 8, wherein the method ( 800 ) comprises the following steps: providing ( 810 ) an operating control signal ( 122 ) for controlling the actuator ( 106 ) using the operating device ( 104 ); Provide ( 820 ) of a trigger signal ( 124 ) for displaying an operating state of the operating device ( 104 ) using the operating device ( 104 ); and execute ( 830 ) the steps of the process ( 700 ) according to claim 10, to the actuator system ( 100 ) into the safe state.
DE102015203250.7A 2015-02-24 2015-02-24 Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system Pending DE102015203250A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015203250.7A DE102015203250A1 (en) 2015-02-24 2015-02-24 Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015203250.7A DE102015203250A1 (en) 2015-02-24 2015-02-24 Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system

Publications (1)

Publication Number Publication Date
DE102015203250A1 true DE102015203250A1 (en) 2016-08-25

Family

ID=56577624

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015203250.7A Pending DE102015203250A1 (en) 2015-02-24 2015-02-24 Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system

Country Status (1)

Country Link
DE (1) DE102015203250A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020239370A1 (en) * 2019-05-28 2020-12-03 Siemens Mobility GmbH Control system and method for operating a control system
CN112187847A (en) * 2019-07-03 2021-01-05 克利万工业-电子有限公司 Method and apparatus for monitoring a device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10032216A1 (en) * 2000-07-03 2002-01-24 Siemens Ag Vehicle safety system
DE102009054106A1 (en) * 2009-11-20 2011-05-26 Bayerische Motoren Werke Aktiengesellschaft Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system
DE102007046731B4 (en) 2007-09-28 2011-06-09 Bayerische Motoren Werke Aktiengesellschaft Method for controlling an actuator in a motor vehicle
DE102012002494A1 (en) * 2012-02-10 2013-08-14 Phoenix Contact Gmbh & Co. Kg Alternative synchronization connections between redundant controllers

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10032216A1 (en) * 2000-07-03 2002-01-24 Siemens Ag Vehicle safety system
DE102007046731B4 (en) 2007-09-28 2011-06-09 Bayerische Motoren Werke Aktiengesellschaft Method for controlling an actuator in a motor vehicle
DE102009054106A1 (en) * 2009-11-20 2011-05-26 Bayerische Motoren Werke Aktiengesellschaft Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system
DE102012002494A1 (en) * 2012-02-10 2013-08-14 Phoenix Contact Gmbh & Co. Kg Alternative synchronization connections between redundant controllers

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020239370A1 (en) * 2019-05-28 2020-12-03 Siemens Mobility GmbH Control system and method for operating a control system
CN112187847A (en) * 2019-07-03 2021-01-05 克利万工业-电子有限公司 Method and apparatus for monitoring a device
CN112187847B (en) * 2019-07-03 2024-04-05 克利万工业-电子有限公司 Method and apparatus for monitoring a device

Similar Documents

Publication Publication Date Title
EP2620820B1 (en) Module assembly
EP2171549B1 (en) Safety apparatus for the multichannel control of a safety device
DE102007021286A1 (en) Electromechanical braking system with a fail-safe power supply and method for fail-safe power supply in an electromechanical braking system for vehicles
EP3661819B1 (en) Control system for a motor vehicle, motor vehicle, method for controlling a motor vehicle, computer program product, and computer-readable medium
EP1989470B1 (en) Safety concept for a transmission actuator device
WO2020052951A1 (en) Device for decoupling and protection from compensating currents in a redundant system for autonomous driving
DE102015222544A1 (en) board network
DE102016221250A1 (en) Method for operating a vehicle electrical system
DE102018121957A1 (en) Protection device for decoupling electrical control circuits in a redundant system for autonomous driving
EP3187376B1 (en) Vehicle control for a mobile working machine
DE102016203974A1 (en) Method and device for supplying electrical energy to a device
DE102015203250A1 (en) Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
EP1962193A1 (en) Circuit device and corresponding method for controlling a load
DE102013221579A1 (en) Electronic device and method for operating an electronic device
EP2013731B1 (en) Circuit arrangement, and method for the operation of a circuit arrangement
DE102015203252A1 (en) Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102015203253A1 (en) Safety circuit unit
DE102012211987B4 (en) Method for communication between a master and a slave unit
DE102016222628A1 (en) Sensor arrangement with a sensor for redundantly detecting a measured variable and an electro-hydraulic brake system with such a sensor arrangement
DE102015119611B4 (en) Improving the diagnosability of fail-operational systems
DE102016117169B4 (en) System for energy and / or data transmission
EP3197726B1 (en) Vehicle electrical system
EP3026514B1 (en) Automation system and method for external control of a self-testing algorithm in a decentralised safety device
DE102015110230A1 (en) Device and method for driving an output stage for an actuator in a vehicle
DE102018220059A1 (en) Sensor arrangement for a vehicle system, operating method for such a sensor arrangement and corresponding brake system for a vehicle

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed