DE4415541A1

DE4415541A1 - Fehlertolerante programmierbare Steuerung

Info

Publication number: DE4415541A1
Application number: DE19944415541
Authority: DE
Inventors: Joseph John Cieri
Original assignee: GE Fanuc Automation North America Inc
Current assignee: Intelligent Platforms LLC
Priority date: 1993-05-05
Filing date: 1994-05-03
Publication date: 1994-11-10
Also published as: GB2277814B; BR9401872A; CA2122384A1; GB9408968D0; GB2277814A; JPH0798601A

Description

Eine Prozeßsteuerung mit einer programmierbaren Steuerung (Regelung) beinhaltet die Gewinnung von Eingangssignalen aus verschiedenen Prozeßsensoren und die Lieferung von Aus gangssignalen an gesteuerte Elemente des Prozesses. Der Prozeß wird somit als eine Funktion von einem gespeicherten Programm unter Prozeßbedingungen gesteuert, die durch die Sensoren ermittelt werden. Selbstverständlich sind zahlrei che und verschiedene Prozesse Gegenstand einer derartigen Steuerung, und ein sequentieller Betrieb von industriellen Prozessen, Transportsystemen und chemischen, mit Öl in Ver bindung stehende und metallurgische Prozesse als Beispiele können alle in vorteilhafter Weise durch programmierbare Steuerungen gesteuert werden.

Programmierbare logische Steuerungen (nachfolgend "PLC" ge nannt) weisen eine zentrale Recheneinheit (CPU) die, kurz gesagt, als ein Datenprozessor zum Ausführen des gespei cherten Programms aufgebaut ist, eine Speichereinheit mit ausreichender Größe, um das Programm und die Daten zu spei chern, die mit dem Status der Eingänge und Ausgänge in Be ziehung stehen, und eine oder mehrere Leistungseinspeisun gen auf. Zusätzlich bildet ein Eingangs-/Ausgangs-Modul das interface zwischen der zentralen Recheneinheit und den Ein gangsvorrichtungen und den gesteuerten Elementen des Pro zessors, die gesteuert werden. Die US-PS 4293924 beschreibt einen derartigen Modul.

Wenn derartige PLCs mit empfindlichem Gerät, wie beispiels weise Off-Shore-Ölanlagen, medizinischen Geräten, Nuklear geräten und ähnlichem verwendet werden, sind zusätzliche Schaltungsanordnungen erforderlich, um sicherzustellen, daß das zugeordnete Gerät in Betrieb bleibt, wenn Fehler in ir gendeinem der den PLCs zugeordneten Moduln aufgetreten sind. Ein sog. "fehlertoleranter" Betrieb ist in den US- Patenten 4868826 und 4967347 beschrieben, wobei diskrete Schaltungskomponenten verwendet sind, um für den fehlerto leranten Betrieb zu sorgen. Das US-Patent 4926281 be schreibt die Verwendung von zwei redundanten Moduln, die durch Unterbrecherschalter und zusätzliche Verknüpfungs schaltungen miteinander verbunden sind, um ein ähnliches Ergebnis zu erzielen.

Das US-Patent 4752886 beschreibt ein Verfahren zum On-Line- Testen der einer PLC zugeordneten Moduln, um eine Betriebs fähigkeit der zugeordneten Last für den Fall sicherzustel len, daß in einem der Moduln ein Fehler aufgetreten ist. Da übliche "Lager"-Komponenten verwendet werden, ist diese Lö sung relativ billig zu implementieren.

Es ist demzufolge eine Aufgabe der Erfindung, für einen vollständigen fehlertoleranten Betrieb einer Last zu sor gen, die einer PLC zugeordnet ist, ohne daß zusätzliche Komponenten und zugeordnete kundenspezifische Schaltungen erforderlich sind, die in den bekannten fehlertoleranten Arbeitsgängen verwendet werden.

Gemäß der Erfindung ist eine programmierbare logische Steuerung (PLC) mit einer empfindlichen Last durch eine Vielzahl von üblichen lagermäßige I/O (E/A) Moduln verbun den, um für einen fehlertoleranten Betrieb bei wesentlichen Kosteneinsparungen zu sorgen. Ein Paar ähnlicher Moduln sind redundant zwischen der Leitung und der Last auf beiden Seiten des Gleichspannungs-Energieverteilungssystems ver bunden. Abtast-Algorithmen innerhalb der PLC testen die Mo duln kontinuierlich hinsichtlich des Auftretens eines Feh lers und trennen den fehlerhaften Modul ab, ohne daß die Energiezufuhr zur Last unterbrochen wird.

Die Erfindung wird nun mit weiteren Merkmalen und Vorteilen anhand der Beschreibung und von Zeichnungen von Ausfüh rungsbeispielen näher erläutert.

Fig. 1 ist ein vereinfachtes Blockdiagramm von einem PLC- System, das mehrere bekannte I/O Moduln aufweist.

Fig. 2 ist eine schematische Darstellung von der redundan ten Verbindung der Moduln gemäß Fig. 1 mit einer Energie quelle und einer Last gemäß der Erfindung.

Fig. 3 ist eine Fließbilddarstellung des Abtast-Algorith mus für die Last gemäß Fig. 2 in einem AUS-Zustand.

Fig. 4 ist eine Fließbilddarstellung des Abtast-Algorith mus für die Last gemäß Fig. 2 in einem EIN-Zustand.

Bevor die Erfindung im einzelnen beschrieben wird, wird es für hilfreich erachtet, den Betrieb einer programmierbaren logischen Steuerung (PLC), wie sie beispielsweise in der US-PS 4628397 beschrieben ist, zu betrachten. Die PLC 10 gemäß Fig. 1 enthält eine zentrale Prozessoreinheit (CPU) 11, einen I/O Controller 12, mehrere I/O Moduln 14A-14D und einen Datenbus 13, der jeden Modul mit dem I/O Controller verbindet. Diese Teile bilden, ausschließlich der CPU, im allgemeinen das I/O System des Controllers. Die CPU hat einen üblichen Aufbau und kann einen oder mehrere Mikropro zessoren für die Datenhandhabung und Steuerung, plus einem Speicher zur Speicherung des Betriebsprogrammes, Eingangs- /Ausgangsdaten und anderer berechneter, temporärer oder permanenter Daten zur Verwendung bei der Ausführung der ge speicherten Programme und zur Implementierung der Steuerung enthalten. Zusätzlich sind andere übliche Elemente, wie beispielsweise Leistungseinspeisungen, enthalten, wie sie erforderlich sind, damit die CPU vollständig arbeiten kann. Der I/O Controller 12 sorgt für die Steuerung von Informa tion, die zwischen den verschiedenen Moduln und der CPU ausgetauscht wird.

Jeder Modul kann getrennt angeordnet, entfernt von der CPU und dem I/O Controller und in großer Nähe zum gesteuerten Prozeß angeordnet sein, wie er beispielsweise als eine Last 21 gezeigt ist. Obwohl nur drei Moduln dargestellt sind, kann die tatsächliche Zahl auch wesentlich größer sein. Beispielsweise können 16 getrennte Moduln auf einfache Weise in dem zu beschreibenden System aufgenommen sein. Je der Modul ist unabhängig von dem anderen und kann die Funk tion haben, einen Prozeß getrennt von demjenigen zu steu ern, der durch alle anderen Moduln gesteuert wird. Der Da tenbus 13 ist vorzugsweise eine serielle Verbindung, obwohl auch eine parallele Übertragung von Signalen zwischen der CPU und den Moduln auf einfache Weise ausgeführt werden kann. In jedem Fall sind die Moduln mit dem Datenbus für eine Kommunikation mit der CPU verbunden. Der Datenbus kann ein verdrehtes Leiterpaar, ein Koaxialkabel oder ein Glas faserkabel enthalten; alle sind möglich, und die jeweilige Verwendung hängt von Überlegungen wie beispielsweise Kosten und Verfügbarkeit ab.

Jeder Modul enthält einen Microcontroller 19 mit einem In terfaceport zum Austausch von Information mit der CPU und einen zugeordneten Speicher (nicht dargestellt) zur Imple mentation von einem gespeicherten Betriebsprogramm, nach dem die verschiedenen Elemente der Moduln gesteuert und nach auftretenden Fehlern untersucht werden; mehrere ein zelne I/O Punkte 20, die jeweils selektiv entweder als ein Eingangspunkt oder als ein Ausgangspunkt betätigt werden können und die jeweils einzeln über Leiter direkt mit Ein gangs- oder Ausgangselementen des gesteuerten Prozesses in Verbindung stehen; und einen Datenbus 15 zum Verbinden der I/O Punkte mit dem Microcontroller. Die Anzahl der I/O Punkte hängt von praktischen Überlegungen, wie beispiels weise der Wärmeabfuhr, und den Einschränkungen des Micro controllers ab. Beispielsweise ist als recht praktisch und zweckmäßig gefunden worden, 16 I/O Punkte pro Modul vorzu sehen.

Zum Feststellen der Betriebs- und Funktionsfähigkeit der Eingangs- und Ausgangskomponenten und zur Wartung und Fehlersuche ist eine Monitoreinheit 16 vorgesehen. Der Mo nitor ist ein Handgerät, so daß er einfach und zweckmäßig von einem Modul zum anderen bewegt werden kann. Er ist für eine Verbindung mit jedem Modul durch ein Kabel 15 ge eignet, das einen Verbinder für ein Zusammenpassen mit ei nem anderen Verbinder aufweist, der an dem Modul befestigt ist. Der Monitor weist ein Tastenfeld 17 und ein Display 18 auf, damit die I/O Punkte des Moduls überwacht und gesteu ert werden können und eine Abbildung der diagnostischen In formation liefert, die sich auf den Modul bezieht.

Weiterhin ist jeder Modul mit einer schaltenden Schaltungs anordnung (nicht gezeigt) verbunden, die die I/O Punkte mit der zugeordneten Last 21 verbindet. Eine bevorzugte schal tende Schaltungsanordnung enthält in jedem Fall einen Shunt-Stromkreis mit Mitteln zur Lieferung eines Signals, das den Strom zur Last angibt. Bevorzugt ist die schaltende Schaltungsanordnung ein Oberflächen-Transistor (nachfolgend "IGT" genannt), der eine Leistungs-Halbleitervorrichtung ist, die sowohl in den leitenden als auch in den sperrenden Zustand gesteuert werden kann. D.h. der IGT kann durch sei nen Gate-Anschluß sowohl ein- als auch ausgeschaltet wer den. Einige Typen des IGT enthalten einen Stromemulations abschnitt, der ein Abschnitt des IGT ist, der einen propor tionalen Bruchteil des gesamten IGT-Stroms führt. Der Emu lationsabschnitt ist vorteilhaft, weil er verwendet werden kann, um den Gesamtstrom zu überwachen, ohne daß Mittel zur Abführung großer Ströme vorgesehen sein müssen. Ein einzi ges Gate-Signal steuert den Stromfluß in sowohl dem Haupt abschnitt des IGT als auch in seinem Emulationsabschnitt. Der oberflächen-Transistor ist in der eingangs genannten US-PS 4628397 näher beschrieben.

Die fehlertolerante Schaltungsanordnung 22 gemäß der Erfin dung ist in Fig. 2 gezeigt und enthält zwei Moduln 14A, 14B, die zwischen den positiven Leitungsbus 23 eines Gleichspannungs-Verteilungssystems und den positiven Last bus 27 geschaltet ist, der mit der einen Seite der zugeordneten Last 21 durch den positiven Leiter 25 verbun den ist. Ein ähnliches Paar von Moduln 14C, 14D ist zwi schen dem negativen Leitungsbus 24 des Gleichspannungssy stems und den negativen Lastbus 28 geschaltet, der mit der anderen Seite der Last durch den negativen Leiter 26 ver bunden ist. Jeder der Moduln enthält einen IGT, obwohl es nicht gezeigt ist, und arbeitet in der Weise, wie es in der eingangs genannten US-PS 4628397 beschrieben ist. Um die Zufuhr von Leistung zu den Moduln sicherzustellen, ist je der Modul, der mit der gleichen Seite der Last verbunden ist, mit einer anderen Betriebsleistungsquelle verbunden, die als Energiequelle A und Energiequelle B bezeichnet sind. Jede der beiden könnte einen Batteriesatz oder einen Gleichspannungs-Hilfsgenerator aufweisen. Falls eine der Energieversorgungen ausfallen sollte, würde wenigstens ein Modulpaar betriebsbereit sein, um die Energiezufuhr zur Last fortzusetzen. Es ist ein wichtiges Merkmal der Erfin dung, daß getrennte Energieversorgungen vorgesehen sind. Um zwischen dem positiven Leiter 25, der mit dem positiven Lastbus 27 verbunden ist, und dem negativen Leiter 26 zu unterscheiden, der mit dem negativen Lastbus 28 verbunden ist, ist der Datenbus 13, der die Moduln und die Steuerung zur Luft (Fig. 1) verbindet, in gestrichelten Linien ge zeigt, und der Datenbus 15, der die Moduln und die Last verbindet, ist strichpunktiert gezeichnet. Ein zusätzliches Merkmal ist die redundante Anordnung der Moduln auf beiden Seiten der Last, um sicherzustellen, daß die Last betriebs bereit bleibt, falls einer der Moduln auf jeder Seite der Last ausfallen sollte.

Weiterhin sind gemäß der Erfindung die Moduln jeweils sowohl mit Eingangs- als auch Ausgangsmoduln verbunden, die Informationen an die Last liefern und auch Informationen von den verschiedenen Sensoren empfangen, die der Last zu geordnet sind. In der in Fig. 2 gezeigten Anordnung sind die Moduln 14A und 14C in dem EIN-Zustand, wobei ihre zuge ordneten IGTs durchgeschaltet sind, und die Moduln 14B, 14D sind in ihrem AUS-Zustand, wobei ihre zugeordneten IGTs gesperrt sind, um die Betriebsfähigkeit der zugeordneten Last für den Fall sicherzustellen, daß einer der Moduln oder einer ihrer IGTs ausfallen sollte, wobei die Abtast- Algorithmen in den Fig. 3 und 4 innerhalb der CPU 11 der PLC 10 gemäß der Fig. 1 verwendet werden. Bevor die Last automatisch von der Leistungseinspeisung getrennt wird, müssen beide Moduln, die mit der gleichen Seite des Versor gungsbusses verbunden sind, einen Fehler anzeigen.

Die Algorithmen 29 in Fig. 3 und 95 in Fig. 4 ermitteln das Vorhandensein oder das Fehlen der Spannung V über den zugeordneten IGTs und auch das Vorhandensein des Stroms I durch die IGTs, um anzugeben, ob die IGTs in Betrieb sind. In den Algorithmen stellen "A","B","C", und "D" die IGTs dar, die den Moduln 14A, 14B, 14C bzw. 14D zugeordnet sind. Der Algorithmus 29 in Fig. 3 ist so ausgelegt, daß die zu geordneten IGTs getestet werden, wenn die Last 21 in Fig. 2 nicht gespeist ist, d. h. "AUS" ist, und der Algorithmus 95 in Figur ist so ausgelegt, daß er die zugeordneten IGTs testet, ob die Last gespeist ist, d. h. "EIN" ist. Das Ver fahren des Pulsens einer Last, um die Betriebsfähigkeit der Modulkomponenten zu ermitteln, ist in der eingangs genann ten US-PS 4752886 beschrieben.

Gemäß Fig. 3 wird eine Ermittlung bzw. Abfrage durchge führt, ob eine Spannung über A und B (30, 31) besteht, und wenn dies der Fall ist wird C geschlossen (33) und A wird gepulst (34). Wenn keine Spannung vorhanden ist, wird ein Fehler an die CPU (32) gemeldet und der Test wird gestoppt bzw. beendet (57). Es wird eine Ermittlung bzw. Abfrage durchgeführt, ob ein Strom durch A (35) vorhanden ist, und wenn dies nicht der Fall ist, wird A als fehlerhaft gemel det (36) und der Test wird gestoppt (57). Wenn ein Strom durch A fließt, wird die Spannung über A gemessen (37) und A wird als fehlerhaft gemeldet, wenn eine derartige Span nung vorhanden ist (38) und der Test wird gestoppt (57). Wenn keine Spannung über A anliegt, wird B gepulst (39) und der Strom durch B wird ermittelt (49). Wenn kein Strom vorhanden ist, wird B als fehlerhaft gemeldet (41) und der Test wird gestoppt (57). Wenn ein Strom durch B vorhanden ist, wird die Spannung über B gemessen (42) und B wird als fehlerhaft gemeldet, wenn eine Spannung über B vorhanden ist (43). Als nächstes wird die Spannung über C und D er mittelt (44), und wenn keine Spannung vorhanden ist, wird ein Fehler an die CPU (45) gemeldet und der Test gestoppt (57). Wenn keine Spannung über C und D vorhanden ist, wird A geschlossen (46) und C wird gepulst (47). Der Strom durch c wird gemessen (48), und wenn kein Stromfluß vorhanden ist, wird C als fehlerhaft gemeldet (49) und der Test wird gestoppt (57). Es wird die Spannung über C gemessen (50), und wenn eine Spannung anliegt, wird C als fehlerhaft ge meldet (51) und der Test wird gestoppt (57). D wird dann gepulst (52) und der Strom durch D wird gemessen (53), und wenn kein Stromfluß vorhanden ist, wird D als fehlerhaft gemeldet (54) und der Test wird gestoppt (57). Die Spannung über D wird gemessen (55) und wenn eine Spannung vorhanden ist, wird D als fehlerhaft gemeldet (56) und der Test wird gestoppt (57). Wenn keine Spannung über D anliegt, wird die Abtastung für einen Testzyklus abgeschlossen.

Der Algorithmus 95 für die Last in dem "EIN"-Zustand ist in Fig. 4 gezeigt und beginnt (58) mit einer Ermittlung bzw. Abfrage, ob ein Stromfluß durch entweder A oder B vor handen ist (59), und wenn dies nicht der Fall ist, wird ein Fehler an die CPU (60) gemeldet und der Test wird gestoppt (94). Wenn ein Strom fließt, wird A gepulst (61), die Span nung über A wird gemessen (62), und wenn eine Spannung an liegt, wird B als fehlerhaft gemeldet (63) und der Test wird gestoppt (94). Wenn keine Spannung anliegt, wird B ge pulst (64), die Spannung über B wird gemessen (65) und wenn eine Spannung vorhanden ist, wird A als fehlerhaft gemeldet (64) und der Test wird gestoppt (94). Wenn keine Spannung vorhanden ist, wird A geöffnet (67), B wird gepulst (68) und die Spannung über B wird gemessen (69). Keine Spannung über B hat zur Folge, daß A als fehlerhaft gemeldet (70) und der Test gestoppt wird (94). Wenn eine Spannung über B vorhanden ist, wird A geschlossen (71), B wird geöffnet (72) und A wird gepulst (73). Die Spannung über A wird ge messen (74), und wenn keine Spannung vorhanden ist, wird B als fehlerhaft gemeldet (75) und der Test wird gestoppt (94). Es wird der Strom durch C oder D gemessen (77), und wenn kein Strom fließt, wird ein Fehler an die CPU gemeldet (78) und der Test wird gestoppt (94). Wenn ein Strom fließt, wird C gepulst (79) und die Spannung über C wird gemessen (80). Wenn eine Spannung anliegt, wird D als feh lerhaft gemeldet (81) und der Test wird gestoppt (94). Wenn keine Spannung anliegt, wird D gepulst (82) und die Span nung über D wird gemessen (83). Wenn eine Spannung anliegt, wird C als fehlerhaft gemeldet (84) und der Test wird ge stoppt (94). Wenn keine Spannung anliegt, wird C geöffnet (85) und D wird gepulst (86). Die Spannung über D wird ge messen (87), und wenn keine Spannung anliegt (88), wird C als fehlerhaft gemeldet und der Test wird gestoppt (94). Wenn eine Spannung anliegt, wird C geschlossen (89), D wird geöffnet (90) und C wird gepulst (91). Es wird die Spannung über C gemessen (92), und wenn keine Spannung vorhanden ist, wird D als fehlerhaft gemeldet (93) und der Test wird gestoppt (94). Wenn eine Spannung anliegt, ist der Test beendet.

Eine programmierbare logische Steuerung (PLC), wie sie hier beschrieben ist, sorgt für einen fehlertoleranten Betrieb für eine zugeordnete Last.

Die PLC ist mit der Last durch mehrere I/O Moduln verbun den, wobei ein Paar der Moduln die Last mit dem positiven Leitungsbus verbindet, und ein getrenntes Paar der Moduln verbindet die Last mit dem negativen Leitungsbus. In der PLC gespeicherte Abtast-Algorithmen testen die Moduln kon tinuierlich, um zu ermitteln, ob einer der Moduln fehlerhaft geworden ist.

Claims

1. Fehlertolerante programmierbare logische Steuerung, enthaltend:
Eine zentrale Prozessoreinheit (11),
eine Steuerungseinheit (12), die mit der Prozessoreinheit verbunden ist und Ausgangssteuerungssignale liefert,
ein Paar erster I/O Moduln (14A, 14B), die mit der Steuerung verbunden sind und die Ausgangssteuersignale empfangen, wobei die ersten Moduln zwischen einen positiven Leitungsbus (23) und eine Last (21) geschaltet sind, und
ein Paar zweiter Moduln I/O Moduln (14C, 14D), die mit der Steuerung verbunden sind und die Ausgangssteuersignale empfangen, wobei die zweiten Moduln zwischen einen negativen Leitungsbus (24) und die Last (21) geschaltet sind, wodurch die Last beim Versagen von einem der ersten oder zweiten I/O Moduln betriebsfähig bleibt.

2. Steuerung nach Anspruch 1, wobei die ersten und zweiten Moduln einen elektronischen Schalter enthalten.

3. Steuerung nach Anspruch 2, wobei der elektronische Schalter Mittel zum Messen von Spannung und Strom enthält.

4. Steuerung nach Anspruch 1, wobei der elektronische Schalter einen Transistor aufweist.

5. Steuerung nach Anspruch 4, wobei der elektronische Schalter einen Oberflächen-Transistor aufweist.

6. Steuerung nach Anspruch 1, wobei die zentrale Prozessoreinheit durch einen ersten Datenbus mit den Moduln verbunden ist.

7. Steuerung nach Anspruch 1, wobei die Moduln durch einen zweiten Datenbus miteinander und mit der Last verbunden sind.

8. Steuerung nach Anspruch 1, wobei die ersten Moduln parallel zueinander geschaltet sind.

9. Steuerung nach Anspruch 1, wobei die zweiten Moduln parallel zueinander geschaltet sind.

10. Steuerung nach Anspruch 1, wobei der eine der ersten Moduln mit einer ersten Leistungsversorgung und der andere der ersten Moduln mit einer zweiten Leistungsversorgung verbunden sind, die von der ersten Leistungsversorgung elektrisch getrennt ist.

11. Steuerung nach Anspruch 1, wobei der erste der zweiten Moduln mit einer ersten Leistungsversorgung und der andere der zweiten Moduln mit einer zweiten Leistungsversorgung verbunden ist, die elektrisch von der ersten Leistungsversorgung getrennt ist.

12. Verfahren zum Ausführen eines fehlertoleranten Betriebs einer elektrischen Last, enthaltend die Schritte:
Bereitstellen einer programmierbaren logischen Steuerung mit einer zentralen Prozessoreinheit und einer Steuereinheit,
Schalten mehrerer I/O Moduln zwischen die Steuereinheit und eine Last, wobei jeder Modul einen elektronischen Schalter aufweist,
Schalten eines ersten Paares der I/O Moduln zwischen einen positiven Leitungsbus und einen positiven Eingang zu der Last und
Schalten eines zweiten Paares der I/O Moduln zwischen einen negativen Leitungsbus und einen negativen Eingang zu der Last.

13. Verfahren nach Anspruch 12, wobei der eine Modul aus dem ersten Paar und der eine Modul aus dem zweiten Paar mit einer ersten gemeinsamen Leistungsversorgung verbunden werden.

14. Verfahren nach Anspruch 13, wobei der andere Modul aus dem ersten Paar und der andere Modul aus dem zweiten Paar mit einer zweiten gemeinsamen Leistungsversorgung verbunden werden, die elektrisch von der ersten Leistungsversorgung getrennt ist.

15. Verfahren nach Anspruch 12, wobei der Strom durch die elektronischen Schalter innerhalb des ersten Modulpaares gemessen und die Last abgetrennt wird, wenn in beiden elektronischen Schaltern innerhalb des ersten Paares kein Strom fließt.

16. Verfahren nach Anspruch 12, wobei der Strom durch das zweite Modulpaar gemessen und die Last abgetrennt wird, wenn durch beide elektronischen Schalter innerhalb des zweiten Paares kein Strom fließt.

17. Verfahren nach Anspruch 12, wobei ein Fehlerzustand an den zentralen Prozessor gemeldet wird, wenn einem der ersten elektronischen Schalter Strom zugeführt wird und eine Spannung über den ersten elektronischen Schalter ermittelt wird.

18. Verfahren nach Anspruch 12, wobei ein Fehlerzustand gemeldet wird, wenn einem der zweiten Schalter Strom zugeführt wird, und eine Spannung über dem zweiten elektronischen Schalter gemessen wird.

19. Verfahren nach Anspruch 17, wobei den ersten elektronischen Schaltern Strom zugeführt wird, wenn die Last gespeist ist.

20. Verfahren nach Anspruch 17, wobei den zweiten elektronischen Schaltern Strom zugeführt wird, wenn die Last nicht gespeist ist.