DE19508841C2 - Sicherheitsschalteranordnung - Google Patents

Sicherheitsschalteranordnung

Info

Publication number
DE19508841C2
DE19508841C2 DE19508841A DE19508841A DE19508841C2 DE 19508841 C2 DE19508841 C2 DE 19508841C2 DE 19508841 A DE19508841 A DE 19508841A DE 19508841 A DE19508841 A DE 19508841A DE 19508841 C2 DE19508841 C2 DE 19508841C2
Authority
DE
Germany
Prior art keywords
switching
actuator
safety switch
computer units
switch arrangement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE19508841A
Other languages
English (en)
Other versions
DE19508841A1 (de
Inventor
Paul Hartl
Hermann Haberer
Werner Lehner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Leuze Electronic GmbH and Co KG
Original Assignee
Leuze Electronic GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE4441070A external-priority patent/DE4441070C2/de
Priority to DE4441070A priority Critical patent/DE4441070C2/de
Application filed by Leuze Electronic GmbH and Co KG filed Critical Leuze Electronic GmbH and Co KG
Priority to DE19508841A priority patent/DE19508841C2/de
Priority to PCT/EP1996/000769 priority patent/WO1996028769A1/de
Priority to AT96905792T priority patent/ATE192859T1/de
Priority to US08/732,456 priority patent/US5777834A/en
Priority to DE59605178T priority patent/DE59605178D1/de
Priority to EP96905792A priority patent/EP0775332B1/de
Publication of DE19508841A1 publication Critical patent/DE19508841A1/de
Publication of DE19508841C2 publication Critical patent/DE19508841C2/de
Application granted granted Critical
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0423Input/output
    • G05B19/0425Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23454Execute program in fast mode, real system has no time to respond
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24184Redundant I-O, software comparison of both channels
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24188Redundant processors run different programs
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25458Opto isolation, optical separation

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing Electric Properties And Detecting Electric Faults (AREA)

Description

Die Erfindung betrifft eine Sicherheitsschalteranordnung gemäß Hauptpatent DE 44 41 070 C2.
Die dort beschriebene zweikanalige Sicherheitsschalteranordnung mit den Merkmalen des Oberbegriffs des vorliegenden Anspruchs 1 weist somit Aktoren mit aus Halbleiterelementen bestehenden Schaltelementen auf. Diese Halbleiterelemente weisen im Gegensatz zu Relais keine verschleißanfälligen Kontakte auf.
Zur Durchführung der Funktionsüberprüfung der Aktoren ist in jedem Auswertekanal eine Rechnereinheit vorgesehen, wobei jede Rechnereinheit über zwei bidirektionale Zuleitungen mit dem entsprechenden Aktor verbunden ist. Die Rechnereinheiten, die vorzugsweise als Controller ausgebildet sind, können als Standardprodukte kostengünstig ohne zusätzlichen Schaltungsaufwand den Aktoren vorgeschaltet werden. In einer Vielzahl von Sensoren sind bereits Rechnereinheiten zur Steuerung der Sensorfunktionen integriert. In diesem Fall können diese Rechnereinheiten die für die Sicherheitsschalteranordnung notwendigen Funktionen zusätzlich abarbeiten, so dass der Schaltungsaufwand des Sensors weiter reduziert wird.
Zur Überwachung der Rechnereinheiten sind diese über eine bidirektionale Zuleitung verbunden.
Die komplette Ansteuerung und Funktionsüberwachung der Aktoren erfolgt zentral in den Rechnereinheiten. Damit die Funktionsüberwachung von der Übermittlung der Sensorsignale physikalisch getrennt ist, sind zur Übermittlung der Schaltimpulse des Sensors und zur Übermittlung von Testimpulsen zur Funktionsüberprüfung von der Rechnereinheit an den Aktor separate bidirektionale Zuleitungen vorgesehen, was die Funktionssicherheit der Anordnung erhöht. Die bidirektionalen Zuleitungen übertragen die Schaltimpulse und Testimpulse nicht nur an den Aktor, sondern erhalten von diesem auch eine Rückmeldung.
Aus dieser Rückmeldung werden zusätzlich Informationen gewonnen, ob die Funktionen des Aktors und der Zuleitungen fehlerfrei sind. Aufgrund der verschiedenen Rückmeldungen können eventuell auftretende Fehler schnell und sicher lokalisiert und klassifiziert werden.
Zur Funktionsüberprüfung der Sicherheitsschalteranordnung werden von den Rechnereinheiten kurzzeitig die Schaltzustände geändert und die Rückmeldungen in den Rechnereinheiten dahingehend überprüft, ob die Funktionen der Auswertekanäle und der Aktoren fehlerfrei sind. Diese Änderung der Schaltzustände erfolgt so kurzzeitig, dass sich der Betriebszustand des Arbeitsgerätes nicht ändert, d. h. der Betrieb des Arbeitsgerätes wird durch die Funktionsüberprüfung nicht beeinträchtigt. Ein weiterer Vorteil dieser Anordnung besteht darin, dass die Parameter der Funktionsüberprüfung über die Rechnereinheiten einfach einstellbar sind.
Eine Sicherheitsschalteranordnung ist in der DE 42 42 792 A1 beschrieben. Die Aktoren sind bei dieser Anordnung vorzugsweise von Relais gebildet. Jedem Relais ist ein steuerbarer Hilfs­ schalter und ein Hauptschalter vorgeschaltet. Bei Anle­ gen eines Sensorschließ-Signals ist der Hauptschalter bestimmungsgemäß ebenfalls geschlossen. Der Hilfs­ schalter wird von einem Testgenerator zur Schaffung einer Testpause in regelmäßigen Zeitabständen zeitver­ setzt zu dem anderen Hilfsschalter so kurzzeitig geöff­ net, daß die dadurch bewirkte kurzzeitige Öffnung des zugeordneten Hauptschalters aufgrund der Trägheit der Relais nicht ausreicht, das angeschlossene Arbeits­ mittel außer Betrieb zu setzen.
Mittels einer Testschaltung wird während der Test­ pause überprüft, ob bei Nichtöffnung eines Hauptschal­ ters der jeweils andere Hilfsschalter in den Öffnungszu­ stand gesetzt und dauerhaft in diesem gehalten wird. Mittels dieser Anordnung ist das Erkennen von Fehlern insbesondere in den beiden Hauptschaltern gewährlei­ stet.
Der zur Realisierung dieser Sicherheitsschalteranord­ nung erforderliche Schaltungsaufwand ist erheblich. Ferner ist die Anordnung hauptsächlich zur Funktions­ überprüfung von Relais konzipiert. Der Einsatz von Re­ lais ist mit dem Nachteil behaftet, daß deren Kontakte verschleißanfällig sind, was häufige Serviceeinsätze mit sich bringt.
Der Erfindung liegt in Weiterbildung des Gegenstands des Hauptpatents die Aufgabe zugrunde, den Umfang der Funktionsüberprüfung bei möglichst geringem Schaltungsaufwand zu erhöhen.
Zur Lösung dieser Aufgabe sind die Merkmale des Anspruchs 1 vorgesehen. Vorteilhafte Ausführungsformen und zweckmäßige Weiterbildungen sind in den Ansprüchen 2 bis 6 beschrieben.
Mittels der Spannungsüberwachungseinheit, die auf die Schalter in den Zuleitungen führt, welche auf die Aktoren führen, werden die Betriebsspannungen der Rechnereinheiten überprüft, so dass von den Rechnereinheiten ausgehende fehlerhafte Steuersignale aufgrund von Über- oder Unterspannungen, die zu einem gefährlichen Ausfall der Schalter führen können, aufgedeckt werden können.
Die Funktionsüberwachung kann vorteilhafterweise so durchgeführt werden, dass die Rückleseleitungen nicht mehr auf beide Rechnereinheiten zurückgeführt werden müssen, wodurch sich der Schaltungsaufwand verringert. Vorteilhafterweise ist der Sensor über eine zweikanalige Zuleitung mit jeder Rechnereinheit verbunden, wodurch die vom Sensor zu der Rechnereinheit gelangenden Signale überwacht werden können.
Die Erfindung wird im nachstehenden anhand der Zeichnung erläutert. Es zeigen:
Fig. 1 Ein Blockschaltbild der Sicherheitsschalteranordnung
Fig. 2 Ein Blockschaltbild des Aktors
Fig. 3 Ein Impulsdiagramm der Signalzustände der bidirektionalen Zulei­ tungen.
Fig. 1 zeigt eine Sicherheitsschalteranordnung 1 zum Ein- und Ausschalten der Stromversorgung eines nicht dargestellten Arbeitsgerätes. Das Ein- und Ausschalten des Arbeitsgerätes erfolgt mittels eines Sensorsignals S. Der Sensor ist vorzugsweise als Lichtschranke ausgebildet, in dessen Gehäuse die komplette Sicherheitsschalteranordnung 1 integriert ist.
Der Sensor kann beispielsweise zur Überwachung eines Schutzfeldes im Bereich des Arbeitsgerätes eingesetzt werden. Er weist zwei Signalzustände auf, nämlich Schutzfeld frei (Sensor aktiv) und Schutzfeld nicht frei (Sensor inaktiv).
Das binäre Sensorsignal S wird zwei redundanten Auswertekanälen 2 der Sicherheitsschalteranordnung 1 zugeführt. Jeder Auswertekanal 2 weist eine Zuleitung 2a bzw. 2b auf, welche den Sensor direkt mit einem Aktor 3 verbindet. Der Aktor 3 weist aus Halbleiterelementen bestehende Schaltelemente auf. Jedem Aktor 3 ist eine Rechnereinheit 4 vorgeschaltet, die als Controller, vorzugsweise als Microcontroller, ausgebildet ist. Jede Rechnereinheit 4 ist über die separate Zuleitung 2a bzw. 2b mit dem Sensor verbunden, wodurch das Sensorsignal S mittels der Rechnereinheiten 4 überwacht werden kann.
Die Rechnereinheiten 4 sind über eine bidirektionale Zuleitung 5 gekoppelt. Die Hardware der Controller 4 ist identisch aufgebaut, während deren Software unterschiedlich ausgebildet ist. Bezüglich der Hardware sind die Controller 4 demzufolge homogen redundant aufgebaut, während die Software diversitär ausgebildet ist. Die Rechnereinheiten 4 arbeiten im Master-Slave Betrieb, wobei der Master die Kommunikation der Rechnereinheiten 4 steuert. Die gegenseitige Kontrolle der Rechnereinheiten 4 erfolgt vorteilhafterweise in einem asynchronen Betrieb zeitversetzt.
Zur Funktionsüberprüfung des Aktors 3 ist dieser mit der Rechnereinheit 4 über zwei bidirektionale Zuleitungen 5a, 5b und 6a, 6b gekoppelt. Über die erste Zuleitung 5a, 5b werden rücklesbar die Schaltimpulse, die dem aktuellen Signalzustand des Sensors entsprechen, an den Aktor 3 übertragen. Über sämtliche Zuleitungen 5a, 5b, 6a, 6b werden Testimpulse an den Aktor 3 zu dessen Funktionsüberprüfung übertragen. Die bidirektionalen Zuleitungen 5a, 5b, 6a, 6b bestehen jeweils aus einer Signalleitung 5a, 6a zur Übertragung von Informationen an den Aktor 3 und einer Rückleseleitung 5b, 6b zur Rückmeldung vom Aktor 3 an die Rechnereinheit 4.
Jeder Aktor 3 weist einen Schaltausgang 7 auf. Nur wenn beide Schaltausgänge 7 aktiv sind, d. h. wenn beide Schaltausgänge 7 dem Signalzustand "Schutzfeld frei" des Sensors entsprechen, wird das Arbeitsgerät eingeschaltet.
Die Sicherheitsschalteranordnung 1 weist eine Spannungsüberwachungseinheit 8 auf, auf deren Eingänge Zuleitungen 9a von Ausgängen der Rechnereinheiten 4 geführt sind. Die Spannungsüberwachungseinheit 8 ist vorzugsweise von einem integrierten Schaltkreis (IC) gebildet. Eine weitere Zuleitung 9b ist von einem Eingang der Spannungüberwachungseinheit 8 auf ein Referenzspannungspotential Uref geführt. Von einem Ausgang der Spannungsüberwachungseinheit 8 ist eine Zuleitung 10 auf jeweils einen Schalter 11 in den Signalleitungen 5a geführt. Die Schalter 11 sind vorzugsweise als Transistoren ausgebildet.
Mittels der Spannungsüberwachungseinheit 8 wird überprüft, ob sich die Betriebsspannungen der Rechnereinheiten 4 in einem vorgegebenen Sollwertbereich befinden. Ist dies nicht der Fall, so werden über die Zuleitung 10 die beiden Schalter 11 geöffnet, das Arbeitsgerät demnach deaktiviert. Dadurch wird gewährleistet, dass von den Rechnereinheiten 4 keine fehlerhaften Steuersignale aufgrund von Über- bzw. Unterspannungen ausgehen.
In Fig. 2 ist ein Blockschaltbild eines Aktors 3 dargestellt. An der Ausgangsseite des Aktors 3 sind ein Varistor 12, ein Widerstand 13 und eine Supressordiode 14 zum Schutz von transienten Überspannungen vorgesehen. Der Widerstand 13 dient zur zeitlichen Verzögerung von Überspannungspulsen, so dass die schnellere Supressordiode 14 nicht vor dem Varistor 12 anspricht. Von diesem Überspannungsschutz führt über einen Widerstand 15 eine Zuleitung zu einem P- Kanal MOS-Feldeffekttransistor 16, der das Schaltelement bildet. Das Schaltelement 16 ist über einen Widerstand 17 auf den Schaltausgang 7 geführt. Desweiteren führt vom Widerstand 17 eine Zuleitung zu einem Transistor 19, der auf Massepotential GND geführt ist. Der Transistor 19 wird durch eine Supressordiode 18 vor Überspannungen geschützt.
Der Transistor 16 ist durch die Widerstände 15 und 20 als eine erste Konstantstromquelle beschaltet, wodurch bei Kurzschlusstests der Strom auf einen Maximalwert begrenzt ist.
Der Widerstand 20 ist ebenso wie eine Diode 21 und Widerstände 22, 23 auf das Schaltelement 16, Widerstände 24 und 25 sind auf den Schaltausgang 7 geführt. Widerstände 26 und 27 sind auf den Transistor 19 geführt. Widerstände 28 und 29 sind zwischen dem Widerstand 15 und einem Transistor 30 geschaltet. Der Transistor 30 regelt über die Diode 21 und den Widerstand 22 den Transistor 16, so dass sich eine zweite Konstantstromquelle ergibt, die über eine Diode 32 auf die Rückleseleitung 5b geführt ist.
Zur Messung der Spannung am Kollektor des Transistors 19 ist ein Transistor 31 vorgesehen. Zusätzlich stellt der Transistor 31 eine Anlaufstrombegrenzung für den Transistor 19 dar, d. h. er begrenzt den Stromfluss des Transistors 19, falls ein Kurzschluss des Schalterausgangs 7 gegen die Versorgungsspannung UB vorliegen würde. Dadurch wird der Transistor 19 vor Zerstörung geschützt.
Mittel einer Zenerdiode 33 und einer Diode 34 wird im Fehlerfall der Schaltausgang 7 auf Massepotential GND geschaltet.
Widerstände 36 und 37 sind den Sendeelementen für die Rückleseleitungen 5b, 6b vorgeschaltet. Den Empfangselementen der Signalleitungen 5a, 5b sind Widerstände 23, 38 nachgeschaltet.
Die Sendeelemente für die Rückleseleitungen 6b bzw. 5b sind von Optokopplern 39, 40, die Empfangselemente für die Signalleitungen 5a, 6a sind von Optokopplern 41 und 42 gebildet.
Die Signalleitungen 5a, 6a sind so geschaltet, dass im Reset-Zustand der Rechnereinheiten 4 die Transistoren 16 und 19 hochohmig sind. Somit kann keiner dieser Transistoren 16, 19 durch einen externen Kurzschluss zerstört werden, bevor die Rechnereinheiten 4 in Betrieb sind.
Die Funktionen der Sicherheitsschalteranordnung 1 werden im folgenden anhand von Fig. 3 erläutert.
Die Funktionsüberprüfung der Auswertekanäle 2 erfolgt unabhängig vom aktuellen Sensorzustand, d. h. unabhängig davon, ob der Sensor aktiv oder inaktiv ist. Dies ist durch die schraffierten Flächen in Fig. 3 angedeutet. Die Durchführung der Funktionsüberprüfung wird von den Rechnereinheiten 4 gesteuert.
Die Rechnereinheiten 4 arbeiten im Master-Slave Betrieb. Dies bedeutet, dass eine Rechnereinheit 4 als Master die Kommunikation über die bidirektionale Zuleitung 5 steuert. Die Kommunikation erfolgt in Form einer Zwei-Bit- Parallelkommunikation, d. h. jede Rechnereinheit 4 weist als bidirektionale Zuleitung 5 eine Sende- und Empfangsleitung auf.
Die Funktionskontrolle der Rechnereinheiten 4 erfolgt gegenseitig über eine time- out Funktion. Wenn eine Rechnereinheit 4 auf ein Signal der anderen Rechnereinheit 4 nicht rechtzeitig antwortet, so wird die fehlende Antwort als Fehler interpretiert.
Wie aus Fig. 3 ersichtlich ist, erfolgt die Funktionsüberprüfung in den beiden Auswertekanälen zeitversetzt. Zweckmäßigerweise erfolgt die Freigabe einer Rechnereinheit 4 zur Durchführung der Funktionsüberprüfung durch den Master. Der Übersichtlichkeit halber ist die Zeitverzögerung zwischen zwei Funktionsüberprüfungen in Fig. 3 nicht dargestellt.
Die Funktionsüberprüfung gliedert sich in Testabschnitte I, II, III, IV. Während der ersten drei Testabschnitte I, II, III wird überprüft, ob im Aktor 3 selbst eine Störung vorliegt. Im Testabschnitt IV wird die Funktion der Spannungsüberwachungseinheit 8 und der Schalter 11 überprüft.
Die in Fig. 3 dargestellten Signalfolgen stellen den fehlerfreien Fall dar.
Im Testabschnitt I werden die Signalleitungen 5a, 6a aktiviert. Bei diesem Kurzschlusstest muss im fehlerfreien Fall die Rückleseleitung 5b den Zustand aktiv und die Rückleseleitung 6b den Zustand inaktiv einnehmen.
Um den Stromfluss beim Kurzschlusstest zu begrenzen, ist der Transistor 16 durch die Widerstände 15 und 20 als erste Konstantstromquelle beschaltet. Zudem ist ein Kondensator 43 als Energiespeicher vorgesehen, so dass das versorgende Netzteil hiervon nicht belastet ist.
In den Testabschnitten II und III werden die Signalleitungen 5a, 6a zeitversetzt aktiviert. Im fehlerfreien Fall bleibt die Rückleseleitung 5b im inaktiven Zustand, während die Rückleseleitung 6b nur während des Testabschnitts III inaktiv ist, nicht jedoch während des Testabschnitts II.
Im Fehlerfall ergeben sich für die Rückleseleitungen 5b, 6b während der Testabschnitte I, II, III Schaltzustände, die von den in Fig. 3 dargestellten Zuständen abweichen.
In diesem Fall können die Transistoren 16 und 19 durchlegiert oder hochohmig sein. Ebenso kann ein Schluss gegen Massepotential GND oder die Versorgungsspannung UB vorliegen. Schließlich kann die Spannungsüberwachungseinheit 8 defekt sein oder ein Querschluss der Schaltausgänge 7 zueinander vorliegen.
Ist der Transistor 16 im Fehlerfall durchlegiert und lässt sich nicht mehr abschalten, so fließt beim Einschalten des Transistors 19 solange Strom, bis der eine Sicherung bildende Widerstand 17 anspricht und den Schaltausgang 7 von der Versorgungsspannung UB abtrennt. Vor Ansprechen der Sicherung 17 kann somit der gestörte Auswertekanal 2 noch in den sicheren Zustand übergehen, d. h. das Arbeitsgerät abschalten.
Um einen Kurzschluss des Schaltausgangs 7 nach UB von den anderen Fehlerfällen zu unterscheiden, kann ein weiterer, in Fig. 3 nicht dargestellter Testabschnitt angefügt werden. In diesem Testabschnitt werden die Transistoren 16 und 19 hochohmig geschaltet. Über den Optokoppler 39 wird geprüft, ob Spannung am Schaltausgang 7 anliegt.
Ist dies nicht der Fall, so liegt kein externer Kurzschluss vor und der Schaltausgang 7 wird über den Transistor 19 auf Massepotential GND geschaltet.
Im Testabschnitt IV wird die Spannungsüberwachung der Rechnereinheit 4 überprüft. Die Rechnereinheit 4 simuliert hierzu einen Überspannungsimpuls (Signalleitungen 5a, 6a aktiv), worauf die Zuleitung 9a im fehlerfreien Fall aktiviert wird.
Zur zyklischen Funktionsüberwachung werden die Schaltzustände der Signalleitungen 5a, 6a kurzzeitig geändert. Die einzelnen Zeitintervalle "1" bis "8" liegen im Bereich von 50-150 µs. Diese Zeitintervalle sind somit so kurz, dass die innerhalb dieser Intervalle durchgeführten Änderungen der Schaltzustände auf den Signalleitungen 5a, 6b aufgrund der Trägheit des Arbeitsgerätes keine Änderung dessen Betriebszustandes bewirken können. Die Wiederholdauer der zyklischen Funktionsüberwachung liegt im Bereich 5-15 ms, vorzugsweise beträgt sie 10 ms. Besonders vorteilhaft ist, dass die zyklische Funktionsüberwachung von den Rechnereinheiten 4 gesteuert wird. Über die Software in den Rechnereinheiten 4 kann die Wiederholdauer der zyklischen Funktionsüberwachung variiert werden, beispielsweise um eine Überlastung der Rechnereinheiten 4 zu vermeiden.

Claims (6)

1. Sicherheitsschalteranordnung (1) zum Ein- und Ausschalten der Stromversorgung eines Arbeitsgerätes mittels zweier identisch aufgebauter Aktoren (3) in Abhängigkeit von Schaltimpulsen, welche von einem Sensor erzeugt werden und jedem Aktor (3) über einen Auswertekanal (2) zuführbar sind, wobei zur Funktionsüberprüfung der Aktoren aus Halbleiterelementen bestehende und in den Aktoren (3) integrierte Schaltelemente vorgesehen sind, deren Schaltzustände so kurzzeitig änderbar sind, dass sich der Betriebszustand des Arbeitsgerätes aufgrund seiner Trägheit nicht ändert, wobei durch Aktivieren beider Schaltelemente in den Auswertekanälen (2) das Arbeitsgerät in Betrieb gesetzt wird, und wobei jedem Aktor (3) eine Rechnereinheit (4) vorgeschaltet ist, die mit dem jeweiligen Aktor (3) über zwei bidirektionale Zuleitungen (5a, 5b bzw. 6a, 6b), welche jeweils Bestandteil der beiden Auswertekanäle (2) sind, verbunden ist, wobei über die erste bidirektionale Zuleitung (5a, 5b) rücklesbar Schaltimpulse von der Rechnereinheit (4) zum Aktor (3) übertragbar sind und dort einen Schaltvorgang auslösen, d. h. das Schaltelement (8) aktivieren oder deaktivieren, und wobei wenigstens über die zweite bidirektionale Zuleitung (6a, 6b) rücklesbar Testimpulse von der Rechnereinheit (4) zum Aktor (3) zu dessen Funktionsüberprüfung übertragbar sind, wobei die bidirektionalen Zuleitungen (5a, 5b bzw. 6a, 6b) in beiden Auswertekanälen (2) identisch und die Rechnereinheiten (4) redundant aufgebaut sind, wobei eine bidirektionale Zuleitung (5) zwischen den beiden Rechnereinheiten (4) vorgesehen ist, über welche die in die Rechnereinheiten (4) rückgelesenen Daten der Aktoren (3) verglichen und die Schaltelemente von den Rechnereinheiten (4) geöffnet werden, falls diese Daten in den Rechnereinheiten (4) nicht übereinstimmen oder fehlerhaft sind, nach Patent 44 41 070, dadurch gekennzeichnet, dass die Zuleitungen (5a) jeweils einen Schalter (11) aufweisen, die mittels einer Spannungsüberwachungseinheit (8) geöffnet werden, sobald sich die Betriebspannung der Rechnereinheiten (4) außerhalb eines vorgegebenen Sollwertbereichs befinden.
2. Sicherheitsschalteranordnung nach Anspruch 1, dadurch gekennzeichnet, dass die Schalter (11) von jeweils einem Transistor gebildet sind.
3. Sicherheitsschalteranordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass von jeder Rechnereinheit (4) eine Zuleitung (2a, 2b) zum Sensor geführt ist.
4. Sicherheitsschalteranordnung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Rechnereinheiten (4) im Master-Slave Betrieb arbeiten.
5. Sicherheitsschalteranordnung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Funktionsüberprüfung unabhängig vom Signalzustand des Sensors erfolgt.
6. Sicherheitsschalteranordnung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Funktionsüberprüfung aus vier nacheinander ablaufenden Testabschnitten besteht, wobei die ersten drei Testabschnitte zur Überprüfung des Aktors (3) vorgesehen sind und der vierte Testabschnitt zur Überprüfung der Betriebsspannungen der Rechnereinheiten (4) vorgesehen ist.
DE19508841A 1994-11-18 1995-03-11 Sicherheitsschalteranordnung Expired - Lifetime DE19508841C2 (de)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DE4441070A DE4441070C2 (de) 1994-11-18 1994-11-18 Sicherheitsschalteranordnung
DE19508841A DE19508841C2 (de) 1994-11-18 1995-03-11 Sicherheitsschalteranordnung
US08/732,456 US5777834A (en) 1995-03-11 1996-02-24 Safety switch arrangement
AT96905792T ATE192859T1 (de) 1995-03-11 1996-02-24 Sicherheitsschalteranordnung
PCT/EP1996/000769 WO1996028769A1 (de) 1995-03-11 1996-02-24 Sicherheitsschalteranordnung
DE59605178T DE59605178D1 (de) 1995-03-11 1996-02-24 Sicherheitsschalteranordnung
EP96905792A EP0775332B1 (de) 1995-03-11 1996-02-24 Sicherheitsschalteranordnung

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE4441070A DE4441070C2 (de) 1994-11-18 1994-11-18 Sicherheitsschalteranordnung
DE19508841A DE19508841C2 (de) 1994-11-18 1995-03-11 Sicherheitsschalteranordnung

Publications (2)

Publication Number Publication Date
DE19508841A1 DE19508841A1 (de) 1996-09-12
DE19508841C2 true DE19508841C2 (de) 2002-03-28

Family

ID=6533554

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19508841A Expired - Lifetime DE19508841C2 (de) 1994-11-18 1995-03-11 Sicherheitsschalteranordnung

Country Status (1)

Country Link
DE (1) DE19508841C2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10155534A1 (de) * 2001-11-12 2003-05-28 Leuze Electronic Gmbh & Co Optoelektronische Vorrichtung

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
DE10011211B4 (de) 2000-03-08 2004-08-05 Pilz Gmbh & Co. Sicherheitsschaltgerät und Sicherheitsschaltgeräte-System
DE102007035248B4 (de) * 2007-07-27 2012-04-26 Leuze Lumiflex Gmbh + Co. Kg Sensor
DE102007055521C5 (de) * 2007-11-21 2015-12-24 Leuze Lumiflex Gmbh + Co. Kg Vorrichtung zur Überwachung eines Überwachungsbereichs
EP2149826B1 (de) * 2008-08-01 2011-11-30 Siemens Aktiengesellschaft Sicherheitsschaltanordnung zur Ausgabe eines Schaltsignals
DE102015200057A1 (de) 2015-01-07 2016-07-07 Wago Verwaltungsgesellschaft Mbh Vorrichtung und Verfahren zur Funktionsüberwachung eines Sicherheitsschaltmittels

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3024370C2 (de) * 1980-06-27 1987-01-02 Siemens AG, 1000 Berlin und 8000 München Redundantes Steuersystem
DE3639065A1 (de) * 1986-11-14 1988-05-19 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE3701714A1 (de) * 1987-01-22 1988-08-04 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE3812760A1 (de) * 1988-04-16 1989-10-26 Vdo Schindling Verfahren und anordnung zur ueberwachung eines sollwertgebers
GB2249229A (en) * 1990-10-09 1992-04-29 Christopher James Cook Mains overvoltage and undervoltage protection
DE4242792A1 (de) * 1992-12-17 1994-06-23 Sick Optik Elektronik Erwin Sicherheitsschalteranordnung zum Ein- und Ausschalten der Stromversorgung von Aktoren in Abhängigkeit von einem Sensorschaltsignal

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3024370C2 (de) * 1980-06-27 1987-01-02 Siemens AG, 1000 Berlin und 8000 München Redundantes Steuersystem
DE3639065A1 (de) * 1986-11-14 1988-05-19 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE3701714A1 (de) * 1987-01-22 1988-08-04 Bosch Gmbh Robert Verfahren und vorrichtung zur ueberwachung rechnergesteuerter stellglieder
DE3812760A1 (de) * 1988-04-16 1989-10-26 Vdo Schindling Verfahren und anordnung zur ueberwachung eines sollwertgebers
GB2249229A (en) * 1990-10-09 1992-04-29 Christopher James Cook Mains overvoltage and undervoltage protection
DE4242792A1 (de) * 1992-12-17 1994-06-23 Sick Optik Elektronik Erwin Sicherheitsschalteranordnung zum Ein- und Ausschalten der Stromversorgung von Aktoren in Abhängigkeit von einem Sensorschaltsignal

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Multiple-Input Over-Voltage, Under-Voltage Window Comparator for Computer Power Supplies In: IBM TBB, Bd.29, Nr.10, März 1987, S. 4516 u. 4517 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10155534A1 (de) * 2001-11-12 2003-05-28 Leuze Electronic Gmbh & Co Optoelektronische Vorrichtung
DE10155534B4 (de) * 2001-11-12 2006-04-20 Leuze Electronic Gmbh & Co Kg Optoelektronische Vorrichtung

Also Published As

Publication number Publication date
DE19508841A1 (de) 1996-09-12

Similar Documents

Publication Publication Date Title
DE4441070C2 (de) Sicherheitsschalteranordnung
EP0677830B1 (de) Überwachungseinrichtung
EP0775332B1 (de) Sicherheitsschalteranordnung
DE102013101050A1 (de) Sicherheitsschaltvorrichtung mit sicherem Netzteil
DE10359988A1 (de) Messeinrichtung, insbesondere Temperaturmessumformer
EP1873915B1 (de) Sichere Eingangsschaltung mit einkanaligem Peripherieanschluss für den Eingang eines Busteilnehmers
DE19508841C2 (de) Sicherheitsschalteranordnung
DE102007055521C5 (de) Vorrichtung zur Überwachung eines Überwachungsbereichs
EP0610711A1 (de) Elektronische Steuervorrichtung für einen elektromotorischen Antrieb, insbesondere Garagentorantrieb
DE102008032823A1 (de) Sichere Anschlussvorrichtung
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
DE102008018642B4 (de) Überwachungsschaltung und Verfahren zum Prüfen der Schaltung
EP2733556B1 (de) Sicherheitsbezogene Vorrichtung zum sicheren Schalten einer elektrischen Last
DE102005048239B3 (de) Anordnung zum Testen einer Schaltungsvorrichtung
EP1347388A1 (de) Kopplungsvorrichtung zum Anschliessen von Geräten an ein Bussystem
EP2876509B1 (de) Sicherheitssteuerung
DE4232720C1 (de) Anordnung zur Funktionsüberwachung und Meßwertauswertung von Füllstands-Sensoren, insbesondere Vibrations-Füllstands-Grenzschaltern
EP0763877B1 (de) Kommunikationssystem
DE102017126754B4 (de) Eingangsschaltung zum fehlersicheren Einlesen eines analogen Eingangssignals
DE102010021895B3 (de) Sicherheitssensoranordnung
EP1863675A2 (de) Sicherheitssystem
EP0908355B1 (de) Vorrichtung zum kontaktfreien Übertragen von Signalen zwischen Lenkrad und Lenksäule
DE4326942A1 (de) Einrichtung zur Überwachung eines Auslösekreises eines elektrischen Betriebsmittels
EP0927356B2 (de) Verfahren zur prüfung elektrischer bauteile und vorrichtung zur durchführung des verfahrens
EP3798751A1 (de) Sicherheitssystem

Legal Events

Date Code Title Description
AF Is addition to no.

Ref country code: DE

Ref document number: 4441070

Format of ref document f/p: P

OP8 Request for examination as to paragraph 44 patent law
AF Is addition to no.

Ref country code: DE

Ref document number: 4441070

Format of ref document f/p: P

AF Is addition to no.

Ref country code: DE

Ref document number: 4441070

Format of ref document f/p: P

D2 Grant after examination
8364 No opposition during term of opposition
R071 Expiry of right
R071 Expiry of right