DE102006007264C5 - Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers - Google Patents

Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers Download PDF

Info

Publication number
DE102006007264C5
DE102006007264C5 DE102006007264.2A DE102006007264A DE102006007264C5 DE 102006007264 C5 DE102006007264 C5 DE 102006007264C5 DE 102006007264 A DE102006007264 A DE 102006007264A DE 102006007264 C5 DE102006007264 C5 DE 102006007264C5
Authority
DE
Germany
Prior art keywords
switching
trigger
switching device
safety
microcontroller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102006007264.2A
Other languages
English (en)
Other versions
DE102006007264B3 (de
Inventor
Thomas Nitsche
Udo Ratey
Christoph Zinser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=37905002&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE102006007264(C5) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Priority to DE102006007264.2A priority Critical patent/DE102006007264C5/de
Priority to JP2008553648A priority patent/JP5089611B2/ja
Priority to PCT/EP2007/000644 priority patent/WO2007090524A1/de
Priority to CN2007800086566A priority patent/CN101400939B/zh
Priority to EP07703034.4A priority patent/EP1982105B1/de
Priority to ES07703034.4T priority patent/ES2620403T3/es
Publication of DE102006007264B3 publication Critical patent/DE102006007264B3/de
Priority to US12/188,259 priority patent/US7898118B2/en
Publication of DE102006007264C5 publication Critical patent/DE102006007264C5/de
Application granted granted Critical
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits
    • H01H47/004Monitoring or fail-safe circuits using plural redundant serial connected relay operated contacts in controlled circuit
    • H01H47/005Safety control circuits therefor, e.g. chain of relays mutually monitoring each other
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H2300/00Orthogonal indexing scheme relating to electric switches, relays, selectors or emergency protective devices covered by H01H
    • H01H2300/054Application timeslot: duration of actuation or delay between or combination of subsequent actuations determines selected function

Abstract

Sicherheitsschaltvorrichtung (10) zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers (22), insbesondere einer automatisiert arbeitenden Anlage (16), mit einem ersten Port (32) für ein erstes Meldeelement (18), das einen ersten Schließer (S1a) aufweist, mit einem zweiten Port (34) für ein zweites Meldeelement (20), das einen zweiten Schließer (S2b) aufweist, mit einer ersten Schalteinrichtung (40), die mit einem ersten Schaltauslöser (36) gekoppelt ist, mit einer zweiten Schalteinrichtung (42), die mit einem zweiten Schaltauslöser (38) gekoppelt ist, ferner mit einer Zeitüberwachungsvorrichtung (60), die dafür ausgebildet ist, ein Durchschalten der ersten und der zweiten Schalteinrichtung (40, 42) durch Aktivieren des ersten und des zweiten Schaltauslösers (36, 38) dann zu bewirken, wenn zwischen einer Betätigung des ersten Meldeelements (18) und einer Betätigung des zweiten Meldeelements (20) eine vorgegebene Höchstzeitdauer (Tmax) unterschritten wird, wobei zum ersten Schaltauslöser (36) ein erstes Schaltelement (48) und zum zweiten Schaltauslöser (38) ein zweites Schaltelement (52) in Reihe geschaltet ist, wobei die Zeitüberwachungsvorrichtung (60) mindestens einen ersten Mikrokontroller (56) aufweist, der dafür ausgebildet ist, Betätigungen des ersten und des zweiten Meldeelements (18, 20) zu erfassen und bei Unterschreiten der Höchstzeitdauer (Tmax) das erste und das zweite Schaltelement (48, 52) durchzuschalten, und wobei ein erster Strompfad (62) zur Aktivierung des ersten Schaltauslösers (36) über den ersten Schließer (S1a), den ersten Port (32) und das erste Schaltelement (48) geführt ist, so dass ein Öffnen des ersten Schließers (S1a) unmittelbar den ersten Strompfad (62) unterbricht.

Description

  • Die Erfindung betrifft eine Sicherheitsschaltvorrichtung zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers, insbesondere einer automatisiert arbeitenden Anlage, mit einem ersten Port für ein erstes Meldeelement, einem zweiten Port für ein zweites Meldeelement, einer ersten Schalteinrichtung, die mit einem ersten Schaltauslöser gekoppelt ist, einer zweiten Schalteinrichtung, die mit einem zweiten Schaltauslöser gekoppelt ist, ferner mit einer Zeitüberwachungsvorrichtung, die dafür ausgebildet ist, ein Durchschalten der ersten und der zweiten Schalteinrichtung durch Aktivieren des ersten und des zweiten Schaltauslösers dann zu bewirken, wenn zwischen einer Betätigung des ersten Meldeelements und einer Betätigung des zweiten Meldeelements eine vorgegebene Höchstzeitdauer unterschritten wird, wobei zum ersten Schaltauslöser ein erstes Schaltelement und zum zweiten Schaltauslöser ein zweites Schaltelement in Reihe geschaltet ist.
  • Die Erfindung betrifft zudem ein Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers, insbesondere einer automatisiert arbeitenden Anlage, mit den Schritten
    • – Bereitstellen eines ersten Meldeelements,
    • – Bereitstellen eines zweiten Meldeelements,
    • – Bereitstellen einer ersten Schalteinrichtung, die mit einem ersten Schaltauslöser gekoppelt ist,
    • – Bereitstellen einer zweiten Schalteinrichtung, die mit einem zweiten Schaltauslöser gekoppelt ist,
    • – Bereitstellen eines ersten Schaltelements, das zum ersten Schaltauslöser in Reihe geschaltet ist,
    • – Bereitstellen eines zweiten Schaltelements, das zum zweiten Schaltauslöser in Reihe geschaltet ist, und
    • – Durchschalten der ersten und der zweiten Schalteinrichtung durch Aktivieren des ersten und des zweiten Schaltauslösers, wenn zwischen einer Betätigung des ersten Meldeelements und einer Betätigung des zweiten Meldeelements eine vorgegebene Höchstzeitdauer unterschritten wird.
  • Eine solche Sicherheitsschaltvorrichtung und ein solches Verfahren sind aus der DE 42 15 327 C2 bekannt.
  • Eine Sicherheitsschaltvorrichtung im Sinne der vorliegenden Erfindung ist jede Schaltvorrichtung, die zumindest die Kategorie 3, bevorzugt sogar die Kategorie 4, der europäischen Norm EN 954-1 oder einer vergleichbare Sicherheitsnorm erfüllt. Hierunter fallen insbesondere Schaltgeräte, Sicherheitssteuerungen sowie Sensor- und Aktormodule, die für die Steuerung und Durchführung von sicherheitskritischen Aufgaben im Bereich industrieller Produktionsumgebungen eingesetzt werden.
  • Dabei sind insbesondere Schaltgeräte bekannt, die die Betriebsstellung eines Betätigungstasters, eines Not-Aus-Schalters, einer Schutztür oder eines beliebigen anderen Meldegeräts überwachen und in Abhängigkeit davon eine Maschine oder einen Maschinenbereich abschalten.
  • Ein Versagen derartiger Sicherheitsschaltvorrichtungen kann für das Maschinenbedienpersonal lebensgefährliche Folgen haben, weshalb Sicherheitsschaltvorrichtungen üblicherweise nur verwendet werden, wenn sie durch die zuständigen Aufsichtsbehörden (in Deutschland beispielsweise die Berufsgenossenschaften) zugelassen sind.
  • Eine Anwendung einer solchen Sicherheitsschaltvorrichtung ist beispielsweise bei einem Zweihandschaltgerät gegeben. Die Aufgabe eines solches Geräts liegt regelmäßig darin, die Aktivierung einer Maschine oder eines Maschinenbereichs nur dann zuzulassen, wenn der Bediener zwei Taster niederdrückt. Die Taster sind dabei derart angeordnet, beispielsweise indem sie geeignet voneinander beabstandet sind, dass die Betätigung die linke und die rechte Hand des Bedieners erfordert. Dadurch soll verhindert werden, dass der Bediener die Maschine aktiviert, während sich eine seiner Hände noch im Gefahrenbereich der Maschine befindet.
  • Um die Möglichkeit einer Fehlfunktion oder einer Manipulation des Geräts zu reduzieren, sind Zweihandschaltgeräte oft mit einer Zeitüberwachungsvorrichtung ausgestattet. Sie stellt für das Aktivieren der Maschine eine weitere Bedingung auf, dass nämlich zwischen der Betätigung des ersten und des zweiten Tasters, allgemeiner des ersten und des zweiten Meldeelements, nur eine bestimmte Höchstzeitdauer verstreichen darf. Wird diese Höchstzeitdauer überschritten, so wird die Maschine selbst dann nicht aktiviert, wenn beide Taster niedergedrückt sind. Dadurch soll verhindert werden, dass der Bediener mit einer Hand den ersten Taster niederdrückt und unzulässig arretiert und dann mit derselben Hand den zweiten Taster betätigt.
  • In diesem Sinne wird in der DE 42 15 327 C2 eine Schaltung für eine Sicherheitsschaltvorrichtung vorgeschlagen. Das Prinzip der dort gezeigten Zweihandschaltung beruht darauf, dass in zwei Kanälen jeweils ein Kondensator geladen wird. Wird nun der erste Taster gedrückt, so schaltet ein erstes Relais durch. Gleichzeitig wird der Ladevorgang des zweiten Kondensators beendet, indem der Kondensator von dem einen Pol der Versorgungsspannung abgekoppelt und über ein einstellbares Potentiometer mit dem anderen Pol der Versorgungsspannung verbunden wird. Auf diese Weise setzt ein Entladeprozess des zweiten Kondensators ein. Wird nun der zweite Taster gedrückt, so wird die im zweiten Kondensator verbliebene Energie durch ein zweites Relais geleitet. Ist nur eine geringe Zeit vergangen, so reicht die Ladung im Kondensator aus, um das Relais anzuziehen. Ist hingegen zuviel Zeit vergangen, das heißt der Kondensator hat sich zu weit entladen, reicht die Energie nicht, um das zweite Relais anzuziehen. In diesem Fall kann der Verbraucher nicht eingeschaltet werden.
  • Bei der vorgeschlagenen Schaltung ist jedoch nachteilig, dass unter bestimmten Umständen ein unerwünschtes, kurzzeitiges Einschalten des Verbrauchers möglich ist. Dies ist beispielsweise dann der Fall, wenn der Kondensator über das Relais entladen wird, obwohl der Stromkreis zur Versorgung des Relais, zumindest temporär, nicht in der Lage ist, das Relais in der Wirkstellung zu halten. In diesem Fall wird der Verbraucher kurzzeitig ein- und ausgeschaltet, was sowohl vom sicherheitstechnischen als auch vom anlagentechnischen Aspekt her unerwünscht ist.
  • Ferner ist es nachteilig, dass aufgrund der indirekten Aktivierung des Relais mittels des Kondensators stets ein Abgleich von Kondensator, Relais und Potentiometer erforderlich ist. Bei Spannungs- und/oder Temperaturänderungen muss der Abgleich zudem regelmäßig wiederholt werden.
  • Am Markt sind auch elektronische Sicherheitsschaltgeräte bekannt, wie beispielsweise die Produkte PNOZ e2.1p und PNOZ e2.2p der hiesigen Anmelderin. Da diese Geräte vollelektronisch aufgebaut sind, können die Regelkreise sehr exakt definiert und die Notwendigkeit zum Abgleichen oder Nachjustieren vermieden werden. Da bei rein elektronischen Lösungen aber der Energiefluss und die Schaltinformationen getrennt verarbeitet werden, erfordern diese einen höheren Bauteil- und Softwareaufwand.
  • DE 199 20 340 A1 zeigt eine solche vollelektronische Steuerungsvorrichtung, wobei die Stellung einer Tür mittels wenigstens eines Sicherheitsschalters überwachbar ist, der ein Signal liefert, welches von einer Auswerteelektronik auswertbar ist. Die Vorrichtung soll den Sicherheitsschalter betreffende Reparaturkosten reduzieren und gleichzeitig eine höhere Flexibilität bei erforderlich werdenden Änderungen der Methodik zur Signalauswertung gewährleisten. Eine quasi gleichzeitige Betätigung einer Zweihandsteuerung wird mittels eines Prozessors überwacht, der Steuerausgänge freischaltet, wenn er bestimmte Signale empfängt.
  • Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, eine kostengünstige Sicherheitsschaltvorrichtung und ein Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers anzugeben, wobei die Gefahr eines fehlerhaften kurzzeitigen Einschaltens vermieden wird und die Zeitüberwachung direkter erfolgt und auch bei wechselnden Umgebungsbedingungen weniger Schwankungen unterworfen ist.
  • Diese Aufgabe wird nach einem Aspekt der Erfindung mit einer Sicherheitsschaltvorrichtung der eingangs genannten Art gelöst, wobei die Zeitüberwachungsvorrichtung mindestens einen ersten Mikrokontroller aufweist, der dafür ausgebildet ist, Betätigungen des ersten und des zweiten Meldeelements zu erfassen und bei Unterschreiten der Höchstzeitdauer das erste und das zweite Schaltelement durchzuschalten.
  • Die Aufgabe der Erfindung wird außerdem mit einem Verfahren der eingangs genannten Art gelöst, bei dem zusätzlich folgende Schritte durchgeführt werden:
    • – Erfassen der zeitlichen Differenz zwischen einer Betätigung des ersten Meldeelements und des zweiten Meldeelements mit einem ersten Mikrokontroller, und
    • – Aktivieren des ersten und des zweiten Schaltauslösers, indem ein Steuersignal vom ersten Mikrokontroller an das erste und das zweite Schaltelement gesendet wird.
  • Die Besonderheit der Erfindung liegt darin, dass hier elektrische und elektronische Komponenten in vorteilhafter Weise kombiniert werden. Zum einen finden der Energiefluss und die Verarbeitung der Eingangsinformationen, zum Beispiel „Sicherheitskreis geschlossen” kombiniert statt. Dies bedeutet, dass der Energiefluss prinzipbedingt stets auch einen geschlossenen Sicherheitskreis erfordert. Eine eigene Überwachung der Sicherheitskreise, die durch die Meldeelemente geführt sind, ist daher nicht erforderlich.
  • Zum anderen wird das Aktivieren des Schaltauslösers, beispielsweise eines Relais, über denselben Strompfad realisiert, in dem auch das Meldeelement liegt. Dadurch wird vermieden, dass der Schaltauslöser ungewollt kurzzeitig einschalten kann.
  • Die sicherheitsrelevante Überwachung der Gleichzeitigkeit, also der Zeitüberwachung, dass zwischen den Betätigungen der Meldeelemente eine bestimmte Höchstzeitdauer nicht überschritten wird, wird im elektronischen Teil der Sicherheitsschaltvorrichtung mit Hilfe von zumindest einem Mikrokontroller durchgeführt. Daher kann die Zeitüberwachungsvorrichtung sehr präzise eingestellt werden und weist nur vernachlässigbare (oder leicht kompensierbare) Spannungs- und Temperaturabhängigkeiten auf. Ein Einschalten des Schaltauslösers hängt also einerseits davon ab, ob die Sicherheitskreise mittels der Meldeelemente geschlossen wurden, aber auch andererseits davon, dass über die Schaltelemente eine Freigabe durch den Mikrokontroller erfolgt.
  • Daher ist eine Vorrichtung und ein Verfahren gemäß der Erfindung sehr sicher.
  • Der Einsatz des Mikrokontrollers eröffnet zudem die Möglichkeit, weitere Bedingungen, die für ein Einschalten des elektrischen Verbrauchers erfüllt sein müssen, auf einfache Weise zu überprüfen. So kann der Mikrokontroller beispielsweise das Vorhandensein eines weiteren Signals abfragen, das für ein Aktivieren des ersten und des zweiten Schaltauslösers relevant sein soll.
  • Damit ist die oben genannte Aufgabe vollständig gelöst.
  • In einer Ausgestaltung der Erfindung ist ein erster Strompfad zur Aktivierung des ersten Schaltauslösers derart über den ersten Port geführt, dass der erste Port zur Aktivierung des ersten Schaltauslösers niederohmig geschaltet werden muss.
  • Dadurch ergibt sich eine weitere Bedingung, die erfüllt sein muss, um den Schaltauslöser zu aktivieren und damit zum Beispiel ein Relais einzuschalten. Anders formuliert bedeutet dies, dass der Stromfluss sowohl über den ersten Port als auch über den Schaltauslöser fließen muss, um ein Aktivieren des ersten Schaltauslösers zu ermöglichen.
  • Der Begriff „niederohmig” ist dabei so zu verstehen, dass der Eingangswiderstand, der von der Schaltung in Richtung des ersten Ports des ersten Meldegeräts wirkt, einen Strom ermöglicht, der groß genug ist, um den Schaltauslöser zu aktivieren. Ist der Widerstand zu hoch, so reicht der resultierende Stromfluss nicht aus, den Schaltauslöser zu aktivieren.
  • Es sei darauf hingewiesen, dass bei der Betrachtung des Eingangswiderstandes der Widerstand entlang des Strompfads über den ersten Port und durch den ersten Schaltauslöser zu berücksichtigen ist.
  • Alternativ oder zusätzlich kann die Erfindung auch vorsehen, dass der zweite Port zur Aktivierung des zweiten Schaltauslösers niederohmig geschaltet werden muss.
  • In einer weiteren Ausgestaltung der Erfindung weist das erste Meldeelement mindestens einen ersten Öffner und einen ersten Schließer auf, wobei im Ruhezustand der erste Schließer geöffnet und der erste Öffner geschlossen ist und im aktivierten Zustand der erste Strompfad über den ersten Schließer geführt ist. Unter dem Begriff des aktivierten Zustands soll der Zustand verstanden werden, wenn der jeweilige Schaltauslöser vom Ruhezustand in einen Wirkzustand überführt ist.
  • Eine derartige Ausführungsform ermöglicht weitere sicherheitsrelevante Überprüfungen. So kann beispielsweise im Ruhezustand überprüft werden, ob der Öffner geschlossen ist. Dies kann mittels einer Spannungsmessung erfolgen, da der erste Öffner bei einem vorgegebenen Aufbau an einer bestimmten Spannung angeschlossen sein muss. Ferner kann, sobald der Öffner öffnet, das Einleiten einer Betätigung des ersten Meldeelements erkannt werden und je nach gewünschter Implementierung die Zeiterfassung gestartet werden.
  • Der Stromfluss durch den Schaltauslöser wird aber erst dann möglich, wenn der erste Schließer schließt. Kommt es im Fehlerfall nicht zu einem Schließen des ersten Schließers, so kann der erste Schaltauslöser nicht aktiviert werden. Da der erste Öffner und der erste Schließer an unterschiedlichen Spannungspotentialen hängen, kann die Sicherheitsschaltvorrichtung mindestens drei verschiedene Zustände erkennen:
    Wird ein erstes Spannungspotential gemessen, beispielsweise 0 Volt, so ermöglicht dies den Schluss, dass der Öffner geschlossen ist. Fließt von der Sicherheitsschaltvorrichtung weder ein positiver noch ein negativer Strom in den ersten Port, so kann dies anzeigen, dass entweder kein erstes Meldeelement angeschlossen ist, oder dass sich ein Zwischenzustand eingestellt hat, bei dem der erste Öffner geöffnet hat, aber der erste Schließer noch nicht geschlossen hat. Wird hingegen ein zweites Spannungspotential detektiert, beispielsweise 24 Volt, so ermöglicht dies den Rückschluss, dass der erste Öffner geöffnet hat und der erste Schließer geschlossen hat.
  • Alternativ oder zusätzlich ist es möglich, das zweite Meldeelement in gleicher Weise mit mindestens einem zweiten Öffner und einem zweiten Schließer auszustatten.
  • In einer weiteren Ausgestaltung der Erfindung sind der ersten Schalteinrichtung ein erster Schaltindikator und der zweiten Schalteinrichtung ein zweiter Schaltindikator zugeordnet, deren jeweiliger Zustand von dem ersten Mikrokontroller überwacht wird, um eine Abweichung zwischen einem erwarteten Zustand einer Schalteinrichtung und einem tatsächlichen Zustand dieser Schalteinrichtung zu ermitteln.
  • Dadurch wird die Sicherheit weiter gesteigert. Die Schaltindikatoren werden dabei insbesondere zwangsgeführt zu der jeweiligen Schalteinrichtung angeordnet. Dies bedeutet, dass mittels der Schaltindikatoren der Zustand der jeweiligen Schalteinrichtung erfasst werden kann. Dies hat dahingehend sicherheitstechnische Bedeutung, dass ein unerwarteter Zustand an einer Schalteinrichtung erkannt werden kann.
  • Wird beispielsweise der erste Schaltauslöser deaktiviert, so sollte dies ein Öffnen der ersten Schalteinrichtung zur Folge haben. Wird aber mittels des ersten Schaltindikators festgestellt, dass die erste Schalteinrichtung immer noch geschlossen ist, so kann dies als Fehler erkannt und eine Abschaltung durchgeführt werden. Grundsätzlich ist es natürlich auch möglich, nur die erste oder nur die zweite Schalteinrichtung mit einem Schaltindikator zu versehen.
  • In einer weiteren Ausgestaltung der Erfindung weist der erste Mikrokontroller einen Überwachungseingang für die Signalisierung eines Zustands des Verbrauchers und die Erkennung eines Fehlerfalls im Verbraucher auf.
  • Mit dieser Maßnahme kann die Sicherheit weiter erhöht werden. Da nun Informationen über den Zustand des Verbrauchers vorliegen und ein Fehlerfall im Verbraucher erkannt werden kann, ist es möglich, das Durchschalten der ersten und der zweiten Schalteinrichtung zu unterdrücken, obwohl die Sicherheitsschaltvorrichtung an sich einwandfrei funktioniert.
  • Eine weitere Ausgestaltung der Erfindung beinhaltet einen redundanten, zweiten Mikrokontroller, der im Zusammenspiel mit dem ersten Mikrokontroller derart ausgebildet ist, dass das Aktivieren des ersten und des zweiten Schaltauslösers nur dann erfolgt, wenn auch der zweite Mikrokontroller ein Unterschreiten der Höchstzeitdauer festgestellt hat.
  • Auch mit dieser Maßnahme wird die Sicherheit der erfindungsgemäßen Vorrichtung bzw. des erfindungsgemäßen Verfahrens weiter verbessert. So könnte beispielsweise im ersten Mikrokontroller ein Defekt auftreten, der dazu führt, dass der erste und der zweite Schaltauslöser selbst dann aktiviert werden, wenn die Höchstzeitdauer überschritten wurde. Mittels des zweiten Mikrokontrollers kann ein solcher Defekt erkannt und abgefangen werden.
  • Dabei sind der erste und der zweite Mikrokontroller vorzugsweise derart ausgestaltet, dass sie sich gegenseitig überwachen und bei einer Abweichung im Auswerteergebnis ein Aktivieren des ersten und des zweiten Schaltauslösers unterdrückt wird. Wenn die beiden Mikrokontroller zudem mit den gleichen Signalen angesteuert werden, so kann auch ein Unterschied in der Erkennung des empfangenen Signals als Fehler erkannt und entsprechend behandelt werden.
  • Bei einer weiteren Ausgestaltung der Erfindung ist zum ersten Schaltauslöser ein drittes Schaltelement und zum zweiten Schaltauslöser ein viertes Schaltelement in Reihe geschaltet, die von dem zweiten Mikrokontroller angesteuert werden.
  • Dies ist ein weiterer Aspekt zur Erhöhung der Fehlersicherheit. Wenn nun beispielsweise ein Stromfluss durch den ersten Schaltauslöser erfolgen soll, müssen sowohl das erste als auch das dritte Schaltelement durchgeschaltet werden. Sofern nur eines dieser Elemente sperrt, kann der Schaltauslöser nicht aktiviert werden und ein Durchschalten der ersten Schalteinrichtung unterbleibt.
  • In einer weiteren Ausgestaltung der Erfindung weist das zweite Meldeelement mindestens einen zweiten Öffner und einen zweiten Schließer auf, wobei im Ruhezustand der zweite Öffner geschlossen und der zweite Schließer geöffnet ist, im aktivierten Zustand der zweite Strompfad über den zweiten Schließer geführt ist, der erste Schließer eine erste Verbindung zu einem ersten Spannungspotential ermöglicht und der zweite Schließer eine zweite Verbindung zu einem zweiten Spannungspotential ermöglicht.
  • Diese Ausgestaltung fügt dadurch einen weiteren sicherheitsrelevanten Aspekt hinzu, indem bei einem Querschluss ein Aktivieren der Schaltauslöser unterbleibt.
  • Eine weitere Ausgestaltung der Erfindung beinhaltet eine Moduswahleinrichtung zur Einstellung eines Betriebsmodus der Sicherheitsschaltvorrichtung in Abhängigkeit von der Bauart der Meldeelemente.
  • Bei einigen Anwendungen ist es ausreichend, dass die Meldegeräte als einfache Schließer ausgeführt sind. Vorteilhaft ist es jedoch unter Sicherheitsaspekten, wenn die Meldegeräte als Öffner-/Schließer-Kombination ausgeführt sind. Da unterschiedliche Meldegeräte eine unterschiedliche Abfolge von Zuständen durchlaufen können, müssen die entsprechenden Schaltungen an das verwendete Meldegerät angepasst werden. Mit der Ausgestaltung ergibt sich die vorteilhafte Möglichkeit, eine Moduswahleinrichtung zu integrieren, bevorzugt in dem ersten und/oder dem zweiten Mikrokontroller, um auf einfache Weise eine Anpassung an verschiedene Meldegeräte zu ermöglichen.
  • Wird ein Meldegerät des erstgenannten Typs (Nur-Schließer) verwendet, wird mittels der Moduswahleinrichtung bewirkt, dass der Mikrokontroller nur ein Schließen und Öffnen des Schließers überwacht. Wird dagegen ein Meldegerät des zweiten Typs (Öffner-/Schließer-Kombination) verwendet, so kann der Mikrokontroller diese Überwachung sowohl beim Öffner als auch beim Schließer des Meldeelements vornehmen. Dadurch können Fehler im Bedienablauf ermittelt und Plausibilitätsprüfungen durchgeführt werden.
  • In einer Ausgestaltung der Erfindung ist der erste Mikrokontroller zur Detektion der Bauart der Meldeelemente ausgebildet.
  • Auf diese Weise kann einerseits die Konfiguration der Moduswahleinrichtung auf einfache Weise vorgenommen werden. Andererseits ergibt sich aber auch die Möglichkeit, eine Plausibilitätsprüfung der vorgenommenen Einstellung durchzuführen. So könnte beispielsweise vor der erstmaligen Inbetriebnahme des elektrischen Verbrauchers ein Konfigurationsvorgang erforderlich sein, der ein Betätigen der Meldeelemente erfordert.
  • Ermittelt der Mikrokontroller beispielsweise die Zustände „hochohmig”, „Spannungspotential” und „hochohmig”, so erlaubt dies den Rückschluss, dass am überwachten Port ein Meldegerät des ersten Typs angeschlossen ist. Ergibt sich hingegen beispielsweise die Abfolge „erstes Spannungspotential”, „hochohmig”, und „zweites Spannungspotential”, so ist dies ein Hinweis darauf, dass ein Meldegerät des zweiten Typs niedergedrückt wurde. Anhand dieser Informationen kann nun der Betriebsmodus eingestellt werden oder, wenn der Betriebsmodus auf andere Weise vorgegeben wurde, überprüft werden.
  • Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Ausführungsbeispiele der Erfindung sind in der Zeichnung näher dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:
  • 1 ein Beispiel eines Aufbaus einer Vorrichtung mit einer Sicherheitsschaltvorrichtung,
  • 2 den prinzipiellen Aufbau einer Sicherheitsschaltvorrichtung mit zwei Meldegeräten,
  • 3 eine vereinfachte Darstellung der 2 als Blockschaltbild, und
  • 4 die alternative Verwendung von Meldegeräten anderer Bauart.
  • In 1 ist ein Aufbau mit der neuen Sicherheitsschaltvorrichtung 10 in seiner Gesamtheit mit der Bezugsziffer 12 bezeichnet. Der Aufbau 12 beinhaltet hier eine Stromversorgung 14, eine Maschine 16 und die Sicherheitsschaltvorrichtung 10, an die ein erstes Meldegerät 18 und ein zweites Meldegerät 20 angeschlossen sind.
  • Die Maschine 16 ist ein Verbraucher 22, der nur dann für einen Arbeitsvorgang eingeschaltet werden darf, wenn die Zeitspanne T zwischen einer Betätigung des ersten Meldeelements 18 und einer Betätigung des zweiten Meldeelements 20 unterhalb einer vorgegebenen Höchstzeitdauer Tmax liegt.
  • Zum Einschalten der Maschine 16 steuert die Sicherheitsschaltvorrichtung 10 zwei Schütze 24, 26 an, deren Arbeitskontakte 28, 30 in der Verbindung zwischen der Stromversorgung 14 und der Maschine 16 angeordnet sind. Die Maschine 16 kann den Arbeitsvorgang nur dann durchführen, wenn beide Schütze 24, 26 ihre Arbeitskontakte 28, 30 schließen.
  • Wird vor oder während der Betätigung der Meldeelemente 18, 20 ein Fehler erkannt, so zieht mindestens eines der Schütze 24, 26 nicht an. Dadurch bleibt die Maschine 16 stromlos. Wird nach dem Durchschalten der Arbeitskontakte 28, 30 ein Fehler erkannt, so kann die Stromversorgung der Maschine 16 durch das Abfallen mindestens eines der Schütze 24, 26 abgeschaltet werden.
  • Im Folgenden wird ein bevorzugtes Ausführungsbeispiel der Sicherheitsschaltvorrichtung 10 beschrieben. Dabei bezeichnen gleiche Bezugszeichen dieselben Elemente wie zuvor.
  • 2 zeigt den vereinfachten Schaltplan einer Sicherheitsschaltvorrichtung 10. An einem ersten Port 32 ist das erste Meldeelement 18 angeschlossen, welches einen ersten Schließer S1a und einen ersten Öffner S1b aufweist. Der erste Schließer S1a ist an seiner einen Seite am ersten Port 32 mit dem Öffner S1b verbunden. An seiner anderen Seite ist der erste Schließer S1a mit einem ersten Spannungspotential U1 einer ersten Klemme K1 verbunden. Der Öffner S1b hingegen ist mit einem zweiten Spannungspotential U2 einer zweiten Klemme K2 verbunden. An einem zweiten Port 34 ist das zweite Meldeelement 20 angeschlossen. Das zweite Element 20 weist einen zweiten Schließer S2b und einen zweiten Öffner S2a auf, die an ihrer jeweils einen Seite am zweiten Port 34 miteinander verbunden sind. An der jeweils verbleibenden Seite ist der zweite Schließer S2b mit dem zweiten Spannungspotential U2 der zweiten Klamme K2 verbunden und ist der zweite Öffner S2a mit dem ersten Spannungspotential U1 der ersten Klemme K1 verbunden.
  • Die Sicherheitsschaltvorrichtung 10 weist einen ersten Schaltauslöser 36 und einen zweiten Schaltauslöser 38 auf. Die Schaltauslöser 36, 38 sind bei diesem Ausführungsbeispiel jeweils als Spule eines Relais ausgeführt. Der erste Schaltauslöser 36 wirkt mit einer ersten Schalteinrichtung 40 zusammen, und der zweite Schaltauslöser 38 wirkt mit einer zweiten Schalteinrichtung 42 zusammen. Wird der erste Schaltauslöser 36 von einem ausreichend großen Strom durchflossen, so schließt die Schalteinrichtung 40. Wird der zweite Schaltauslöser 38 von einem ausreichend großen Strom durchflossen, so schließt die Schalteinrichtung 42. Nur wenn beide Schalteinrichtungen 40, 42 geschlossen sind, kann zwischen den Ausgangsklemmen 44, 46 ein Strom fließen.
  • Zum ersten Schaltauslöser 36 sind ein erstes Schaltelement 48 und ein drittes Schaltelement 50 in Reihe geschaltet. Für einen Stromfluss durch den ersten Schaltauslöser 36 ist es demnach zwingend erforderlich, dass sowohl erstes Schaltelement 48 als auch drittes Schaltelement 50 durchgeschaltet sind. Sinngemäß gilt dies entsprechend für ein zweites Schaltelement 52 und ein viertes Schaltelement 54, die zum zweiten Schaltauslöser 38 in Reihe geschaltet sind.
  • Die Schaltelemente 48, 50, 52, 54 sind hier als Transistoren ausgeführt. Dabei wird das erste Schaltelement 48 und das zweite Schaltelement 52 an der jeweiligen Basis von einem ersten Mikrokontroller 56 angesteuert. Das dritte Schaltelement 50 und das vierte Schaltelement 54 werden an ihrer jeweiligen Basis von einem zweiten Mikrokontroller 58 angesteuert. Die Mikrokontroller 56, 58, wie auch die Beschaltung der Mikrokontroller 56, 58 sind redundant ausgelegt, um Fehler erkennen zu können.
  • Die Mikrokontroller 56, 58 sind Teil einer Zeitüberwachungsvorrichtung 60, die dafür ausgebildet ist, ein Durchschalten der ersten und der zweiten Schalteinrichtung 40, 42 durch Aktivieren des ersten und des zweiten Schaltauslösers 36, 38 nur dann zu bewirken, wenn zwischen einer Betätigung des ersten Meldeelements 18 und einer Betätigung des zweiten Meldeelements 20 eine vorgegebene Höchstzeitdauer unterschritten wird.
  • Sind erstes und drittes Schaltelement 48, 50 durchgeschaltet, so kann sich über den ersten Schaltauslöser 36 ein erster Strompfad 62 einstellen. Damit ein solcher erster Strompfad 62 entstehen kann, ist es erforderlich, dass der erste Port 32 niederohmig geschaltet ist. Dies bedeutet, dass bei einer Betrachtungsweise vom ersten Schaltauslöser 36 in Richtung des ersten Ports 32 der erste Port 32 nicht offen (hochohmig) sein darf, da sich sonst kein oder kein ausreichender Stromfluss durch den Schaltauslöser 36 einstellen kann. Vielmehr muss am ersten Port 32 ein niederohmiges Element angeschlossen sein, hier der erste Schließer S1a. Ein alleiniges Durchschalten des ersten und dritten Schaltelements 48, 50 reicht demnach nicht aus, den ersten Strompfad 62 zu etablieren.
  • Die Besonderheit dieser Lösung erkennt man insbesondere dann, wenn man ein alternatives Szenario betrachtet, bei dem der zweite Schaltauslöser 36 nicht am ersten Port 32, sondern direkt am Spannungspotential der Klemme K1 angeschlossen ist. In diesem Fall würde sich ein erster Strompfad 62 immer dann einstellen, wenn erstes und drittes Schaltelement 48, 50 durchschalten. Der erste Strompfad 62 könnte sich also unabhängig von dem Zustand des ersten Ports 32 ergeben.
  • Sinngemäß ergibt sich die gleiche Situation auch für einen zweiten Strompfad 64, der nach dem Durchschalten des zweiten und vierten Schaltelements 52, 54 durch den zweiten Schaltauslöser 38 fließen könnte. In diesem Fall muss der zweite Port 34 niederohmig geschaltet werden, was hier mittels des zweiten Schließers S2b erfolgt.
  • Die Sicherheitsschaltvorrichtung 10 weist zudem einen ersten Schaltindikator 66 auf, der der ersten Schalteinrichtung 40 zugeordnet ist, und einen zweiten Schaltindikator 68, der der zweiten Schalteinrichtung 42 zugeordnet ist.
  • Die Aufgabe der Schaltindikatoren 66, 68 soll anhand des ersten Schaltindikators 66 erläutert werden.
  • Für den normalen Betrieb wird davon ausgegangen, dass die erste Schalteinrichtung 40 geschlossen ist, wenn der erste Strompfad 62 besteht, und dass die erste Schalteinrichtung 40 geöffnet ist, wenn der erste Strompfad 62 unterbrochen ist.
  • Tatsächlich können im Fehlerfall aber Situationen eintreten, wo die erste Schalteinrichtung 40 trotz des Bestehens eines ersten Strompfads 62 geöffnet bleibt oder aber, dass die erste Schalteinrichtung 40 trotz einer Unterbrechung des ersten Strompfads 62 geschlossen bleibt.
  • Eine Lösung zur Erkennung eines solchen Fehlerfalls bietet der erste Schaltindikator 66, der direkt mit der ersten Schalteinrichtung 40 gekoppelt ist. Damit kann über den Zustand des Schaltindikators 66 der Zustand der ersten Schalteinrichtung 40 bestimmt werden.
  • Im gezeigten Ausführungsbeispiel ist die Ausgestaltung derart gewählt, dass der erste Schaltindikator 66 nur dann geschlossen ist, wenn die erste Schalteinrichtung 40 tatsächlich geöffnet ist. Stellt mindestens einer der Mikrokontroller 56, 58 fest, dass der erwartete Schaltzustand der Schalteinrichtung 40 von dem Schaltzustand abweicht, der mittels des ersten Schaltindikators 66 ermittelt wurde, so würde dies als Fehlerfall erkannt und entsprechend behandelt.
  • Die vorherigen Ausführungen lassen sich sinngemäß auch auf den zweiten Schaltindikator 68 übertragen.
  • Zusätzlich zu den genannten Möglichkeiten, einen Fehler innerhalb der Sicherheitsschaltvorrichtung 10 zu ermitteln, verfügt die gezeigte Sicherheitsschaltvorrichtung 10 über einen weiteren Mechanismus der Fehlererkennung. Dafür weisen der erste und der zweite Mikrokontroller 56, 58 jeweils einen Überwachungseingang 70 auf. Die Überwachungseingänge 70 sind mit einem Kontrollanschluss 72 verbunden, an den ein Signalausgang des elektrischen Verbrauchers 22 angeschlossen werden kann. Der störungsfreie Betrieb des Verbrauchers 22 wird den Mikrokontrollern 56, 58 durch ein dediziertes Signal oder einen dedizierten Signalpegel angezeigt.
  • Im gezeigten Ausführungsbeispiel erwarten die Mikrokontroller 56, 58, dass der elektrische Verbraucher 22 am Kontrollanschluss 72 eine elektrische Verbindung bereitstellt, die am Überwachungseingang 70 einen Spannungspegel erzeugt, der auf das erste Spannungspotential U1 an der Klemme K1 zurückgeht. Fehlt der erwartete Spannungspegel, so ist von einem Fehler auszugehen und die Schalteinrichtungen 40, 42 bleiben bzw. werden geöffnet.
  • Eine weitere Besonderheit der gezeigten Sicherheitsschaltvorrichtung 10 sind die Moduswahleinrichtungen 74, die hier in den Mikrokontrollern 56, 58 integriert sind. Mittels der Moduswahleinrichtungen 74 ist es möglich, einen Betriebsmodus der Sicherheitsschaltvorrichtung 10 einzustellen. Die Einstellung des Betriebsmodus kann dabei insbesondere in Abhängigkeit von der Bauart der Meldeelemente 18, 20 durchgeführt werden.
  • Bevor die Funktionsweise der Moduswahleinrichtung 74 erläutert wird, soll zunächst die allgemeine Funktion der Sicherheitsschaltvorrichtung 10 beschrieben werden.
  • Im Ruhezustand zeigt sich die Sicherheitsschaltvorrichtung 10 wie in der 2 dargestellt. Die Schließer S1a, S2b und die Schalteinrichtungen 40, 42 sind geöffnet. Die Öffner S1b, S2a und die Schaltindikatoren 66, 68 sind geschlossen. Die Schaltelemente 48, 50, 52, 54 sperren. Zwischen den Klemmen K1 und K2 liegt eine Betriebsspannung UB an. Es sei hier beispielhaft angenommen, dass die Klemme K1 auf einem ersten Spannungspotential U1 von +24 Volt und die Klemme K2 auf einem zweiten Spannungspotential U2 von 0 Volt liegt. Ferner sei angenommen, dass der Verbraucher 22 keinen Fehler signalisiert und daher am Kontrollanschluss 72 eine leitende Verbindung bereitstellt.
  • Um den Verbraucher 22 einzuschalten, sei nun angenommen, dass der Bediener zunächst das Meldeelement 18 betätigt. Dies führt zunächst dazu, dass sich der erste Öffner S1b öffnet und daran anschließend der erste Schließer S1a schließt.
  • Aus der Sicht der Mikrokontroller 56, 58 bedeutet dies, dass der erste Port 32, an dem im Ruhezustand eine Spannung von 0 Volt anliegt, zunächst hochohmig wird, denn der erste Schließer S1a und der zweite Öffner S1b sind gleichzeitig geöffnet. Nach dem Schließen des ersten Schließers S1a liegt am ersten Port 32 dann eine Spannung von 24 Volt an.
  • Zugleich ist jetzt der erste Port 32 in Bezug auf den Strompfad 62 niederohmig geworden, da der erste Schließer S1a nur einen geringen Widerstand darstellt. Dieser Zustand des ersten Ports 32 tritt nicht ein, wenn nur der erste Öffner S1b geschlossen ist, da der erste Öffner S1b nicht im ersten Strompfad 62 liegt.
  • Diese Abfolge oder einen Teil dieser Abfolge erkennen die Mikrokontroller 56, 58 als die vollständige Betätigung des Meldeelements 18 und den Beginn der Zeitmessung. Zwar liegt am ersten Schaltauslöser 36 nun bereits eine Spannung von 24 Volt an, doch bleibt der erste Strompfad 62 unterbrochen, da das erste und das dritte Schaltelement 48, 50 noch sperren.
  • Die Betätigung des zweiten Meldeelements bewirkt, dass sich zunächst der zweite Öffner S2a öffnet und daran anschließend der zweite Schließer S2b schließt. Am zweiten Port 34 zeigt sich demnach die Abfolge 24 Volt, hochohmig, 0 Volt.
  • Zugleich ist jetzt der zweite Port 34 in Bezug auf den Strompfad 64 niederohmig geworden, da der zweite Schließer S2b nur einen geringen Widerstand darstellt. Dieser Zustand des ersten Ports 34 tritt nicht ein, wenn nur der zweite Öffner S2a geschlossen ist, da der zweite Öffner S2a nicht im zweiten Strompfad 64 liegt.
  • Diese Abfolge wird von den Mikrokontrollern 56, 58 als die vollständige Betätigung des zweiten Meldeelements 20 bekannt, und die Zeitmessung wird beendet. Liegt die Zeitdauer, die zwischen dem Beginn und dem Ende der Zeitmessung vergangen ist, unterhalb einer definierten Höchstzeitdauer, so schalten die Mikrokontroller 56, 58 die Schaltelemente 48, 50, 52, 54 durch.
  • Das Durchschalten der Schaltelemente 48, 50, 52, 54 hat zur Folge, dass der erste Strompfad 62 durch den ersten Schaltauslöser 36 und der zweite Strompfad 64 durch den zweiten Schaltauslöser 38 geschlossen werden. Das Aktivieren der Schaltauslöser 36, 38 bewirkt wiederum, dass sich die Schalteinrichtungen 40, 42 schließen und die Schaltindikatoren 66, 68 öffnen. Der Verbraucher 22 ist damit eingeschaltet und kann seinen Arbeitsvorgang durchführen.
  • Sobald der Bediener eines der Meldeelemente 18, 20 nicht mehr betätigt, öffnet sich der erste Schließer S1a und/oder der zweite Schließer S2b, was wiederum unmittelbar den ersten und/oder den zweiten Strompfad 62, 64 unterbricht. Dies wiederum führt zur Öffnung der Schalteinrichtungen 40, 42 und dem Abschalten des Verbrauchers 22.
  • Es sei darauf hingewiesen, dass dieses Ausschalten unabhängig von einer Reaktion der Mikrokontroller 56, 58 und unabhängig vom Zustand der Schaltelemente 48, 50, 52, 54 erfolgt. Da die Mikrokontroller 56, 58 aber die fehlende Betätigung mindestens eines Meldegeräts 18, 20 registrieren, werden die Schaltelemente 48, 50, 52, 54 wieder gesperrt. Des Weiteren können nun die Schaltindikatoren 66, 68 abgefragt werden und kann, sollte eine Schalteinrichtung 40, 42 noch geschlossen sein, ein Fehler signalisiert werden.
  • Zusammenfassend soll erneut auf zwei Besonderheiten der gezeigten Sicherheitsschaltvorrichtung 10 eingegangen werden.
  • Zum einen zeigt die Sicherheitsschaltvorrichtung 10 eine besonders vorteilhafte Kombination von elektrischen und elektronischen Komponenten. So wird der jeweilige Strompfad 62, 64 über einen Schaltauslöser 36, 38 und entsprechende Schaltelemente 48, 50, 52, 54 realisiert. Die Zeitüberwachungsvorrichtung 60 ist hingegen elektronisch aufgebaut und bietet damit eine hohe Präzision. Die Kombination des relativ preiswerten und zugleich sicheren elektrischen Aufbaus mit der elektronischen Zeitüberwachungsvorrichtung 60 ermöglicht eine Sicherheitsschaltvorrichtung 10 mit einem sehr guten Preis-/Leistungsverhältnis.
  • Zum anderen bietet die Sicherheitsschaltvorrichtung 10 dadurch eine besondere Sicherheit, dass ein Schließen der Schalteinrichtungen 40, 42 stets einen geschlossenen Strompfad 62, 64 über den ersten Schließer S1a bzw. den zweiten Schließer S2b erfordert. Dies bedeutet, dass selbst bei einem Freigabesignal an die Schaltelemente 48, 50, 52, 54 ein Einschalten des Verbrauchers 22 nicht erfolgen kann, sofern die Schließer S1a, S2b nicht geschlossen sind.
  • Zur Erläuterung der Moduswahleinrichtung 74 wird nun auf die 3 verwiesen. Gleiche Bezugszeichen bezeichnen nach wie vor dieselben Elemente.
  • Die Sicherheitsschaltvorrichtung 10 ist hier lediglich als Block dargestellt.
  • Wie bereits zuvor erläutert, ist am ersten Port 32 folgende Zustandsabfolge erkennbar, wenn das erste Meldeelement 18 vom unbetätigten in den betätigten Zustand überführt wird: 0 Volt, hochohmig, 24 Volt. Für das zweite Element 20 sieht diese Abfolge wie folgt aus: 24 Volt, hochohmig, 0 Volt. Bei einem Wechsel der Meldeelemente 18, 20 vom betätigten in den unbetätigten Zustand kehren diese Abfolgen sich jeweils um.
  • Betrachtet man nun die 4, in der die Meldeelemente 18, 20 jeweils nur mit einem Schließer S1a, S2b ausgestattet sind, so wechselt der erste Port 32 bei Betätigung des Meldeelements 18 von einem hochohmigen Zustand auf 24 Volt. Der zweite Port 34 wechselt entsprechend von hochohmig auf 0 Volt. Werden die Meldeelemente 18, 20 nicht mehr betätigt, so wechseln die beiden Ports 32, 34 zurück in den hochohmigen Zustand.
  • Mittels der Moduswahleinrichtung 74 kann nun vorab eingestellt werden, welche Bauart die Meldeelemente 18, 20 haben, die an die Sicherheitsschaltvorrichtung 10 angeschlossen werden. Damit erwarten die Mikrokontroller 56, 58 bei der Betätigung bzw. beim Loslassen der Meldeelemente 18, 20 eine bestimmte Abfolge. Weicht die tatsächlich ermittelte Abfolge von der erwarteten Abfolge ab, so kann dies als Fehler ausgegeben und ein Einschalten des Verbrauchers 22 unterdrückt werden. Wurde beispielsweise die Moduswahleinrichtung 74 so konfiguriert, dass als Meldeelement 18, 20 eine Öffner-/Schließer-Kombination erwartet wird, werden aber tatsächlich Meldeelemente 18, 20 gemäß der 4 angeschlossen, so zeigt sich an den Ports 32, 34 im Ruhezustand unerwartet ein hochohmiger Zustand. Die Sicherheitsschaltvorrichtung 10 kann dann darauf reagieren.
  • Die Moduswahleinrichtung 74 kann aber auch dazu verwendet werden, die Bauart der angeschlossenen Meldeelemente 18, 20 zu detektieren. Dazu kann beispielsweise ein erster Konfigurationsschritt vorgesehen werden, in dem der Bediener die Meldeelemente 18, 20 betätigt und wieder loslässt. Anhand der spezifischen Abfolge, die sich dabei ergibt, kann ermittelt werden, welche Bauart die Meldeelemente 18, 20 haben. Die im Konfigurationsschritt ermittelte Bauart kann dann derart verriegelt werden, dass spätere Änderungen an der Abfolge nicht als Neukonfiguration sondern als Fehlerfall erkannt werden. Die Moduswahleinrichtung 74 stellt also gleichzeitig einen weiteren Mechanismus zur Fehlererkennung bereit.

Claims (10)

  1. Sicherheitsschaltvorrichtung (10) zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers (22), insbesondere einer automatisiert arbeitenden Anlage (16), mit einem ersten Port (32) für ein erstes Meldeelement (18), das einen ersten Schließer (S1a) aufweist, mit einem zweiten Port (34) für ein zweites Meldeelement (20), das einen zweiten Schließer (S2b) aufweist, mit einer ersten Schalteinrichtung (40), die mit einem ersten Schaltauslöser (36) gekoppelt ist, mit einer zweiten Schalteinrichtung (42), die mit einem zweiten Schaltauslöser (38) gekoppelt ist, ferner mit einer Zeitüberwachungsvorrichtung (60), die dafür ausgebildet ist, ein Durchschalten der ersten und der zweiten Schalteinrichtung (40, 42) durch Aktivieren des ersten und des zweiten Schaltauslösers (36, 38) dann zu bewirken, wenn zwischen einer Betätigung des ersten Meldeelements (18) und einer Betätigung des zweiten Meldeelements (20) eine vorgegebene Höchstzeitdauer (Tmax) unterschritten wird, wobei zum ersten Schaltauslöser (36) ein erstes Schaltelement (48) und zum zweiten Schaltauslöser (38) ein zweites Schaltelement (52) in Reihe geschaltet ist, wobei die Zeitüberwachungsvorrichtung (60) mindestens einen ersten Mikrokontroller (56) aufweist, der dafür ausgebildet ist, Betätigungen des ersten und des zweiten Meldeelements (18, 20) zu erfassen und bei Unterschreiten der Höchstzeitdauer (Tmax) das erste und das zweite Schaltelement (48, 52) durchzuschalten, und wobei ein erster Strompfad (62) zur Aktivierung des ersten Schaltauslösers (36) über den ersten Schließer (S1a), den ersten Port (32) und das erste Schaltelement (48) geführt ist, so dass ein Öffnen des ersten Schließers (S1a) unmittelbar den ersten Strompfad (62) unterbricht.
  2. Sicherheitsschaltvorrichtung (10) nach Anspruch 1, dadurch gekennzeichnet, dass das erste Meldeelement (18) mindestens den ersten Schließer (S1a) und einen ersten Öffner (S1b) aufweist, wobei im Ruhezustand der erste Schließer (S1a) geöffnet, der erste Öffner (S1b) geschlossen und im aktivierten Zustand der erste Strompfad (62) über den ersten Schließer (S1a) geführt ist.
  3. Sicherheitsschaltvorrichtung (10) nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass der ersten Schalteinrichtung (40) ein erster Schaltindikator (66) und der zweiten Schalteinrichtung (42) ein zweiter Schaltindikator (68) zugeordnet sind, deren jeweiliger Zustand von dem ersten Mikrokontroller (56) überwacht wird, um eine Abweichung zwischen einem erwarteten Zustand einer Schalteinrichtung (40, 42) und einem tatsächlichen Zustand dieser Schalteinrichtung (40, 42) zu ermitteln.
  4. Sicherheitsschaltvorrichtung (10) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der erste Mikrokontroller (56) einen Überwachungseingang (70) aufweist für die Signalisierung eines Zustands des Verbrauchers (22) und die Erkennung eines Fehlerfalls im Verbraucher (22).
  5. Sicherheitsschaltvorrichtung (10) nach einem der Ansprüche 1 bis 4, gekennzeichnet durch einen redundanten, zweiten Mikrokontroller (58), der im Zusammenspiel mit dem ersten Mikrokontroller (56) derart ausgebildet ist, dass das Aktivieren des ersten und des zweiten Schaltauslösers (36, 38) nur dann erfolgt, wenn auch der zweite Mikrokontroller (58) ein Unterschreiten der Höchstzeitdauer (Tmax) festgestellt hat.
  6. Sicherheitsschaltvorrichtung (10) nach Anspruch 5, dadurch gekennzeichnet, dass zum ersten Schaltauslöser (36) ein drittes Schaltelement (50) und zum zweiten Schaltauslöser (38) ein viertes Schaltelement (54) in Reihe geschaltet ist, die von dem zweiten Mikrokontroller (58) angesteuert werden.
  7. Sicherheitsschaltvorrichtung (10) nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass das zweite Meldeelement (20) mindestens einen zweiten Öffner (S2a) und den zweiten Schließer (S2b) aufweist, wobei im Ruhezustand der zweite Öffner (S2a) geschlossen, der zweite Schließer (S2b) geöffnet und im aktivierten Zustand der zweite Strompfad (64) über den zweiten Schließer (S2b) geführt ist, wobei der erste Schließer (S1a) eine erste Verbindung zu einem ersten Spannungspotential (U1) ermöglicht und der zweite Schließer (S2b) eine zweite Verbindung zu einem zweiten Spannungspotential (U2) ermöglicht.
  8. Sicherheitsschaltvorrichtung (10) nach einem der Ansprüche 1 bis 7, gekennzeichnet durch eine Moduswahleinrichtung (74) zur Einstellung eines Betriebsmodus der Sicherheitsschaltvorrichtung (10) in Abhängigkeit von der Bauart der Meldeelemente (18, 20).
  9. Sicherheitsschaltvorrichtung (10) nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der erste Mikrokontroller (56) zur Detektion der Bauart der Meldeelemente (18, 20) ausgebildet ist.
  10. Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers (22), insbesondere einer automatisiert arbeitenden Anlage (16), mit den Schritten – Bereitstellen eines ersten Meldeelements (18), das einen ersten Schließer (S1a) aufweist, – Bereitstellen eines zweiten Meldeelements (20), das einen zweiten Schließer (S2b) aufweist, – Bereitstellen einer ersten Schalteinrichtung (40), die mit einem ersten Schaltauslöser (36) gekoppelt ist, – Bereitstellen einer zweiten Schalteinrichtung (42), die mit einem zweiten Schaltauslöser (38) gekoppelt ist, – Bereitstellen eines ersten Schaltelements (48), das zum ersten Schaltauslöser (36) in Reihe geschaltet ist, – Bereitstellen eines zweiten Schaltelements (52), das zum zweiten Schaltauslöser (38) in Reihe geschaltet ist, und – Durchschalten der ersten und der zweiten Schalteinrichtung (40, 42) durch Aktivieren des ersten und des zweiten Schaltauslösers (36, 38), wenn zwischen einer Betätigung des ersten Meldeelements (18) und einer Betätigung des zweiten Meldeelements (20) eine vorgegebene Höchstzeitdauer (Tmax) unterschritten wird, – wobei die zeitliche Differenz (T) zwischen einer Betätigung des ersten Meldeelements (18) und des zweiten Meldeelements (20) mit einem ersten Mikrokontroller (56) erfasst wird, und – wobei der erste und der zweite Schaltauslöser (36, 38) aktiviert werden, indem ein Steuersignal vom ersten Mikrokontroller (56) an das erste und das zweite Schaltelement (48, 52) gesendet wird, und – wobei ein erster Strompfad (62) zur Aktivierung des ersten Schaltauslösers (36) über den ersten Schließer (S1a), den ersten Port (32) und das erste Schaltelement (48) geführt wird, so dass ein Öffnen des ersten Schließers (S1a) unmittelbar den ersten Strompfad (62) unterbricht.
DE102006007264.2A 2006-02-10 2006-02-10 Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers Active DE102006007264C5 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE102006007264.2A DE102006007264C5 (de) 2006-02-10 2006-02-10 Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers
EP07703034.4A EP1982105B1 (de) 2006-02-10 2007-01-25 Sicherheitsschaltvorrichtung und verfahren zum sicheren ein- und ausschalten eines elektrischen verbrauchers mit einem mikrokontroller
PCT/EP2007/000644 WO2007090524A1 (de) 2006-02-10 2007-01-25 Sicherheitsschaltvorrichtung und verfahren zum sicheren ein- und ausschalten eines elektrischen verbrauchers mit einem mikrokontroller
CN2007800086566A CN101400939B (zh) 2006-02-10 2007-01-25 安全地接通和断开包括微控制器的用电器的设备和方法
JP2008553648A JP5089611B2 (ja) 2006-02-10 2007-01-25 安全スイッチング装置および電気負荷のスイッチを安全に開閉する方法
ES07703034.4T ES2620403T3 (es) 2006-02-10 2007-01-25 Dispositivo y procedimiento de conmutación de seguridad para la conexión y desconexión de un consumidor eléctrico con un microcontrolador
US12/188,259 US7898118B2 (en) 2006-02-10 2008-08-08 Safety switching apparatus and method for safely switching an electrical load on and off

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006007264.2A DE102006007264C5 (de) 2006-02-10 2006-02-10 Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers

Publications (2)

Publication Number Publication Date
DE102006007264B3 DE102006007264B3 (de) 2007-10-25
DE102006007264C5 true DE102006007264C5 (de) 2014-06-18

Family

ID=37905002

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006007264.2A Active DE102006007264C5 (de) 2006-02-10 2006-02-10 Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers

Country Status (7)

Country Link
US (1) US7898118B2 (de)
EP (1) EP1982105B1 (de)
JP (1) JP5089611B2 (de)
CN (1) CN101400939B (de)
DE (1) DE102006007264C5 (de)
ES (1) ES2620403T3 (de)
WO (1) WO2007090524A1 (de)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007052512B3 (de) * 2007-10-26 2009-04-09 Pilz Gmbh & Co. Kg Steuereinrichtung für eine Sicherheitsschaltvorrichtung, Sicherheitsschaltvorrichtung, Verwendung einer Steuereinrichtung und Verfahren zum Steuern einer Sicherheitsschaltvorrichtung
DE102008060004B4 (de) * 2008-11-25 2021-09-02 Pilz Gmbh & Co. Kg Sicherheitsschalter zum Erzeugen eines Anlagenfreigabesignals in Abhängigkeit von der Position einer beweglichen Schutztür
DE102011052251A1 (de) * 2011-07-28 2013-01-31 Phoenix Contact Gmbh & Co. Kg Elektrische Relaisansteuerschaltung
EP2671690B1 (de) * 2012-06-06 2019-02-20 Keba Ag Auswerteeinheit für ein Sicherheitsschaltgerät und Sicherheitsschaltgerät
US9214797B2 (en) 2013-02-13 2015-12-15 General Electric Company Apparatus, systems, and methods for operation of a trip unit in a circuit protection device
DK2782112T3 (en) * 2013-03-22 2018-09-03 Alstom Transp Tech Monitoring and control system comprising a security switch and method for managing a security switch
DE102013106739A1 (de) * 2013-06-27 2014-12-31 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung mit fehlersicheren Eingängen
EP2887163B1 (de) * 2013-12-18 2018-01-17 Festo AG & Co. KG Überwachungsvorrichtung, Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
DE102015104211A1 (de) * 2015-03-20 2016-09-22 Pilz Gmbh & Co. Kg Sicherheitsschaltgerät zum fehlersicheren Abschalten einer elektrischen Last
US10106042B2 (en) * 2015-11-24 2018-10-23 GM Global Technology Operations LLC Methods of operating contactors in high voltage circuits of vehicles
US10360790B2 (en) 2016-04-22 2019-07-23 Banner Engineering Corp. Safety touch button system having an intercommunications link
DE102016109915A1 (de) * 2016-05-30 2017-11-30 Pilz Gmbh & Co. Kg Vorrichtung zum fehlersicheren Abschalten eines Verbrauchers
CH714313A1 (de) * 2017-11-09 2019-05-15 Elesta Gmbh Ostfildern De Zweigniederlassung Bad Ragaz Vorrichtung mit einem Sensor und einem Betätiger, insbesondere zur Verwendung als Türkontaktschalter, und Verfahren zum Testen der Vorrichtung.
DE102018101642B4 (de) * 2018-01-25 2024-04-18 Dr. Ing. H.C. F. Porsche Aktiengesellschaft Kommunikationseinheit für ein Fahrzeug
DE102018129899A1 (de) * 2018-11-27 2020-05-28 Pilz Gmbh & Co. Kg Schaltgerät zum gezielten Einschalten und/oder Ausschalten eines elektrischen Verbrauchers, insbesondere zum fehlersicheren Abschalten einer gefährlichen Maschinenanlage

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4939358A (en) * 1986-10-08 1990-07-03 Jeffries, Inc. Switch apparatus including a pair of beam-type switches
DE3303791C2 (de) * 1982-02-11 1992-04-16 ZF-Herion-Systemtechnik GmbH, 7990 Friedrichshafen Elektronische Steuerung mit Sicherheitseinrichtungen
US5168173A (en) * 1990-05-04 1992-12-01 Control Devices, Inc. Pushless two-hand run bar apparatus
DE4332614A1 (de) * 1992-09-25 1994-03-31 Ge Medical Systems Buc Vorrichtung zur Manipulation eines Röntgengeräts
DE4427759A1 (de) * 1994-08-05 1996-02-15 Manfred Bauer Vorrichtung zur Zweihandbedienung
US5880954A (en) * 1995-12-04 1999-03-09 Thomson; Robert Continous real time safety-related control system
DE4215327C2 (de) * 1992-05-09 1999-11-04 Rohr Manfred Zweikanalige, mit Gleichstrom betriebene Zweihandschaltung insbesondere für kraftbetriebene Pressen
DE19920340A1 (de) * 1999-05-03 2000-11-09 Hsm Pressen Gmbh & Co Kg Steuerungsvorrichtung und Verfahren zur Steuerung sicherheitsrelevanter Funktionen einer gefahrbringenden Maschine
DE20309132U1 (de) * 2003-06-12 2003-08-21 Topseed Technology Corp Elektrisches Schaltbauteil mit Fehlbedienungsverhinderung

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2449725C3 (de) * 1974-10-19 1980-03-13 Ernst Tesch Kg, 5600 Wuppertal Zweihand-Sicherheitsschal tungsanordnung zum Einschalten einer Arbeitsmaschine und zur Auslösung eines hin- und hergehenden Arbeitshubes
JPS5733275Y2 (de) * 1977-02-08 1982-07-22
DE3028196C2 (de) * 1980-07-25 1984-03-08 Pilz Apparatebau Gmbh & Co, 7302 Ostfildern Zweikanalige Zweihandschaltung für kraftbetriebene Pressen
DE3600173A1 (de) * 1986-01-07 1987-07-09 Rohr Manfred Zweikanalige, mit gleichstrom betriebene zweihandschaltung fuer kraftbetriebene pressen od.dgl.
US7610119B2 (en) * 2003-07-08 2009-10-27 Omron Corporation Safety controller and system using same
DE10334653B4 (de) * 2003-07-21 2005-06-09 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum sicheren Überwachen einer Schließposition zweier relativ zueinander beweglicher Teile
WO2005096465A1 (en) * 2004-04-01 2005-10-13 System Consult Pty Ltd Safety switching module
DE102005014125A1 (de) * 2005-03-22 2006-09-28 Pilz Gmbh & Co. Kg Sicherheitsschaltvorrichtung zum sicheren Abschalten eines elektrischen Verbrauchers

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3303791C2 (de) * 1982-02-11 1992-04-16 ZF-Herion-Systemtechnik GmbH, 7990 Friedrichshafen Elektronische Steuerung mit Sicherheitseinrichtungen
US4939358A (en) * 1986-10-08 1990-07-03 Jeffries, Inc. Switch apparatus including a pair of beam-type switches
US5168173A (en) * 1990-05-04 1992-12-01 Control Devices, Inc. Pushless two-hand run bar apparatus
DE4215327C2 (de) * 1992-05-09 1999-11-04 Rohr Manfred Zweikanalige, mit Gleichstrom betriebene Zweihandschaltung insbesondere für kraftbetriebene Pressen
DE4332614A1 (de) * 1992-09-25 1994-03-31 Ge Medical Systems Buc Vorrichtung zur Manipulation eines Röntgengeräts
DE4427759A1 (de) * 1994-08-05 1996-02-15 Manfred Bauer Vorrichtung zur Zweihandbedienung
US5880954A (en) * 1995-12-04 1999-03-09 Thomson; Robert Continous real time safety-related control system
DE19920340A1 (de) * 1999-05-03 2000-11-09 Hsm Pressen Gmbh & Co Kg Steuerungsvorrichtung und Verfahren zur Steuerung sicherheitsrelevanter Funktionen einer gefahrbringenden Maschine
DE20309132U1 (de) * 2003-06-12 2003-08-21 Topseed Technology Corp Elektrisches Schaltbauteil mit Fehlbedienungsverhinderung

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Norm DIN EN 574 : 1996: Februar 1997. Zweihandschaltung. [Seiten 1, 4, 6] *
Wieland Electric GmbH: Samos, Handbuch - Multifunktions-Sicherheitsschaltgerät. 12/05. Bamberg, 2005 (BA000255 12.2005). 1 - 72. - Firmenschrift *

Also Published As

Publication number Publication date
ES2620403T3 (es) 2017-06-28
JP2009526509A (ja) 2009-07-16
US20090058197A1 (en) 2009-03-05
JP5089611B2 (ja) 2012-12-05
DE102006007264B3 (de) 2007-10-25
CN101400939A (zh) 2009-04-01
EP1982105A1 (de) 2008-10-22
US7898118B2 (en) 2011-03-01
EP1982105B1 (de) 2017-03-08
CN101400939B (zh) 2013-05-22
WO2007090524A1 (de) 2007-08-16

Similar Documents

Publication Publication Date Title
DE102006007264C5 (de) Sicherheitsschaltvorrichtung und Verfahren zum sicheren Ein- und Ausschalten eines elektrischen Verbrauchers
EP1493064B1 (de) Vorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers, insbesondere in industriellen produktionsanlagen
EP1269274B1 (de) Sicherheitsschaltgerät und verfahren zur einstellung eines betriebsmodus eines sicherheitsschaltgeräts
EP1946349B1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers
EP1989720B1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers
EP1932007B1 (de) Vorrichtung und verfahren zum fehlersicheren auswerten eines stellungsgebers, insbesondere eines potentiometers
EP2649496B1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten eines elektrischen verbrauchers
DE102012103015B4 (de) Sicherheitsschaltvorrichtung mit Schaltelement im Hilfskontaktstrompfad
EP1869687A1 (de) Sicherheitsschaltvorrichtung zum sicheren abschalten eines elektrischen verbrauchers
WO2016038078A1 (de) Überwachter adaptierbarer notausschalter
EP2171549A1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
WO2013164041A1 (de) Schaltgerät
EP1680848A2 (de) Vorrichtung und verfahren zum fehlersicheren abschalten eines induktiven verbrauchers
EP2215533B1 (de) Steuereinrichtung für eine sicherheitsschaltvorrichtung mit integrierter überwachung der versorgungsspannung
EP3410458B1 (de) Modulare sicherheitsrelaisschaltung zum sicheren ein- und/oder ausschalten zumindest einer maschine
EP1460666B1 (de) Taste für sicherheitsgerichtete Schaltprozesse
EP2682834B1 (de) Verfahren und Vorrichtung zur Überwachung eines Sicherheitsschaltgeräts
DD274072A1 (de) Schaltungsanordnung fuer eine pressensicherheitssteuerung
EP2769273B1 (de) Erweiterungsmodul für ein sicherheitssystem
DE102022108193A1 (de) Schaltverstärker für Sicherheitsanwendungen und Verfahren zum Betreiben eines Schaltverstärkers für Sicherheitsanwendungen
DE202017103354U1 (de) Modulare Sicherheitsrelaisschaltung zum sicheren Ein- und/oder Ausschalten zumindest einer Maschine
EP2053624B1 (de) Vorkonfektioniertes Schaltgerät zum sicheren und unsicheren Schalten von Ausgängen
EP0565745A1 (de) Überwachung eines Signalwechsels, insbesondere in selbstkontrollierenden Steuerungssystemen
EP0482437A2 (de) Selbstinitialisierendes Not-Aus-Gerät
CH682111A5 (en) Safety circuit for automatic machine programme control - verifies function outputs of programme control via diversity stage channels to prevent dangerous operation of machine

Legal Events

Date Code Title Description
8363 Opposition against the patent
R034 Decision of examining division/federal patent court maintaining patent in limited form now final

Effective date: 20140312

R206 Amended patent specification

Effective date: 20140618