WO2011161158A1 - Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage - Google Patents

Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage Download PDF

Info

Publication number
WO2011161158A1
WO2011161158A1 PCT/EP2011/060444 EP2011060444W WO2011161158A1 WO 2011161158 A1 WO2011161158 A1 WO 2011161158A1 EP 2011060444 W EP2011060444 W EP 2011060444W WO 2011161158 A1 WO2011161158 A1 WO 2011161158A1
Authority
WO
WIPO (PCT)
Prior art keywords
signal
signaling device
wire
circuit arrangement
actuator
Prior art date
Application number
PCT/EP2011/060444
Other languages
English (en)
French (fr)
Inventor
Juergen Pullmann
Christoph Zinser
Michael Schlecht
Original Assignee
Pilz Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz Gmbh & Co. Kg filed Critical Pilz Gmbh & Co. Kg
Priority to EP11726815.1A priority Critical patent/EP2586051B1/de
Priority to JP2013515882A priority patent/JP5778268B2/ja
Priority to CN201180041121.5A priority patent/CN103081052B/zh
Publication of WO2011161158A1 publication Critical patent/WO2011161158A1/de
Priority to US13/721,620 priority patent/US9293285B2/en

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits
    • H01H47/004Monitoring or fail-safe circuits using plural redundant serial connected relay operated contacts in controlled circuit
    • H01H47/005Safety control circuits therefor, e.g. chain of relays mutually monitoring each other

Definitions

  • the present invention relates to a safety circuit arrangement for fail-safe switching on or off of a hazardous system, with a control device which is adapted to fail-safe to close or interrupt a power supply path to the system, and with a signaling device, which has a number of Lines connected to the controller, wherein the reporting device comprises an actuator which is changeable between a defined first state and a second state, and a pulse generator which is adapted to generate a defined pulse signal with a plurality of signal pulses on the lines, when the actuator is in the defined first state.
  • the invention further relates to a signaling device for such a safety circuit arrangement, with a number of terminals for connecting a multi-wire cable, via which the signaling device connected to the control unit with an actuator that is changeable between a defined first and a second state and with a pulse generator configured to generate a defined pulse signal having a plurality of signal pulses on the multi-wire line when the actuator is in the defined first State is.
  • a safety circuit arrangement and a signaling device of this type are known from DE 10 2004 020 997 AI.
  • a safety circuit arrangement in the context of the present invention is a circuit arrangement with at least two function-determining components that work together to hedge the dangerous operation of a technical system, ie to avoid accidents that endanger the health or life of people in the area of the system ,
  • the one component is a control unit that is specially designed to fail-safe interrupt a power supply path to the system to bring the system in a safe, de-energized state.
  • this function of the control unit can also be limited to parts or areas of the system, or different areas of a larger system with multiple control units are controlled separately. It is important that the controllers provide safe system operation even when faults occur, such as when electronic components fail, a line connection is damaged, or another fault occurs.
  • control devices are usually multichannel-redundant and they have internal monitoring functions to detect individual errors early and avoid an accumulation of errors.
  • Suitable control devices can be programmable safety controllers or simpler safety switching devices with a largely defined range of functions.
  • the control units are failsafe in the sense of category 3 or higher of the European standard EN 954-1, in the sense of SIL 2 of the international standard IEC 61508 or in the sense of comparable requirements.
  • the control units monitor the operating state of so-called signaling devices or sensors.
  • the signaling devices / sensors provide input signals that are evaluated by the control unit and possibly linked together to turn on or off depending on actuators of the system, such as an electric drive or a solenoid valve.
  • the signaling devices provide fairly simple binary information, such as whether a mechanical protective door is closed or not, whether an emergency stop button is actuated or not, whether a light barrier is interrupted or not.
  • signaling devices / sensors can also provide analog values, such as the temperature of a boiler or the speed of a drive.
  • the control unit of the safety circuit arrangement releases the operation of the system only if safe operation can be assumed on the basis of the signals from the signaling devices / sensors.
  • safety measures are deliberately disabled, for example, to allow a Einricht Mission with open protective door.
  • a special enabling button is used, which the plant operator must operate in such a case.
  • Such a confirmation button is also a safety-relevant signaling device.
  • DE 199 11 698 A1 describes another safety circuit arrangement with a control device and a multiplicity of signaling devices, which are connected in series to one another to the control device.
  • Each signaling device has a normally closed contact and is coupled to a code signal generator which provides a characteristic code signal to the controller when the contact has been opened.
  • a code signal generator which provides a characteristic code signal to the controller when the contact has been opened.
  • at least three wires are needed.
  • a cross-circuit between the line at the enable signal output of the control unit and the line at the enable signal input of the control unit can not be readily recognized, so that, if necessary, further redundant signal lines are required for a higher security category.
  • DE 100 11 211 A1 discloses a further safety circuit arrangement with signaling devices and a fail-safe control device.
  • the signaling devices are either single-channel connected via a connecting line or two-channel via two redundant connection lines with the control unit.
  • the single-channel connection does not in itself provide fault tolerance and is only proposed for a start button, which in such cases is typically located close to the hazardous installation.
  • two different clock signals are returned as enable signals from the fail-safe control unit via redundant contacts of an emergency stop button to the control unit.
  • DE 102 16 226 A1 describes a safety circuit arrangement with a plurality of signaling devices and control devices, wherein the control devices are connected in series to form a hierarchical control system with different Abschalt weakness.
  • the control units are coupled via a single-channel connection line, via which a potential-related switching signal with a static signal component and a dynamic signal component is transmitted.
  • the realization still requires a common ground for the connected control units.
  • each connected controller requires an operating voltage, which must also be supplied, so that the actual line number is higher.
  • a signaling device with an actuating element which is movable between a first and at least a second position.
  • a detector element for detecting the position of the actuating element includes a transponder with an individual transponder identification and a transponder identification reading unit.
  • the signaling device has a signal input for supplying a test signal, with the help of which the reading of the transponder identifier can be suppressed for test purposes.
  • connections are required for a supply voltage, ground and a signal output, via which the signaling device transmits the information of the detector element to a fail-safe control unit can. To connect the signaling device to a control unit so a total of at least four lines are needed.
  • Another signaling device is known from DE 100 23 199 AI. In a rest position of the signaling device, a switching element is open. In a certain operating position, the switching element is closed. Details for connecting the signaling device to a fail-safe control unit are not described.
  • ASI actuator sensor interface
  • ASI bus master sends requests to the sensors connected to the ASI bus at repeated intervals. These then transmit their sensor status to the ASI bus master.
  • ASI bus master sends requests to the sensors connected to the ASI bus at repeated intervals. These then transmit their sensor status to the ASI bus master.
  • ASI bus master sends requests to the sensors connected to the ASI bus at repeated intervals. These then transmit their sensor status to the ASI bus master.
  • ASI bus master sends requests to the sensors connected to the ASI bus at repeated intervals. These then transmit their sensor status to the ASI bus master.
  • this system can handle only two wires.
  • interface modules that are able to implement the bus protocol.
  • both the control unit and the signaling device must have an ASI bus-compatible interface module, which is too expensive and expensive for some applications.
  • this object is achieved by a safety circuit arrangement of the aforementioned type, wherein the signaling device is connected to the control unit via a two-wire line having a first and a second core, between which a predominantly constant voltage is applied when Actuator in the second state, and wherein the pulse generator is adapted to cause a voltage dip between the first wire and the second wire to produce the plurality of signal pulses.
  • the object is achieved according to a further aspect of the invention by a signaling device of the type mentioned above, wherein the multi-wire line is a two-wire line having a first core and a second core, between which a predominantly constant voltage is applied when the actuator in the second State, and wherein the pulse generator is adapted to cause a voltage dip between the first wire and the second wire to produce the plurality of signal pulses.
  • the new safety circuit arrangement thus uses a two-wire line, via which the signaling device is connected to the control unit. Compared to known safety circuit arrangements, the number of connecting lines is thus reduced to a minimum. Between the two wires of the two-wire line is a predominantly constant voltage, which is used in advantageous embodiments to supply the signaling device with an operating voltage.
  • the pulse generator of the signaling device generates, for example, by a simple short circuit between the two wires of the connecting line, a plurality of signal pulses that form a defined pulse signal.
  • the pulse generator generates the voltage dip in some embodiments by a complete short circuit between the two wires. The voltage between the two wires then drops to zero.
  • an electrical resistance between the two wires can be activated, resulting in a voltage dip, but leaves a residual voltage greater than zero.
  • the voltage between the two leads are about 24 volts when the actuator is in the second state and drop to about 5 volts when the pulse generator causes the voltage dip.
  • the signaling device thus generates a dynamic, i. temporally changing, signal and provides this dynamic signal as an input signal to the controller available.
  • the new safety circuit arrangement dispenses with a signal loop which originates from the control unit and is returned to the control unit via the signaling unit. Rather, only an expectation with respect to the defined pulse signal is stored in the control unit, i. the controller expects exactly the defined pulse signal from the signaling device when the actuator is in the defined first state. It is conceivable that the signaling device can generate a plurality of defined pulse signals which differ from each other, wherein each of the defined pulse signals from the set of defined pulse signals represents the information that the actuator is in the defined first state.
  • the signaling device can transmit further information to the control unit, which information can advantageously be used in the control unit to diagnose a plant operating situation.
  • the differently defined pulse signals may represent information as to whether both actuator channels are actually in the defined first state and if not, which actuator channel has failed, as the case may be.
  • Known safety circuit arrangements usually use a signal loop from the control unit to the reporting device and back. This entails the risk that a cross-circuit between the forward line and the return line of the signal loop bridges the signaling device and erroneously suggests a safe state to the control device.
  • the new safety circuit arrangement dispenses with the conductor loop and thus avoids a potential source of error of known safety circuit arrangements.
  • the new signaling device generates a dynamic signal with a plurality of signal pulses, so that a stuck-at error in the Signaling device or on the wires of the two-wire line is detected quickly.
  • the combination of the two features makes it possible to connect the signaling device and the control unit with one another in a fail-safe manner via a two-core cable only.
  • the new safety circuit arrangement is therefore particularly suitable for applications in which the number of available cable cores is limited. However, even if in principle more cable cores are available, the new safety circuit arrangement can be advantageously used because the wiring effort between the signaling device and the control unit is minimized.
  • the reporting device independently transmits the dynamic information signal, i. without a prior request from the controller to the controller.
  • the new safety circuit arrangement of bus-based systems, which usually have a bidirectional flow of information with which the control unit queries connected reporting devices.
  • the new safety circuit arrangement can therefore transmit the safety-relevant input or disconnection information without a bidirectional communication protocol to the control unit. It eliminates the need to use special and thus relatively expensive communication controller in the signaling device and / or control unit.
  • bus-based communication between the controller and the reporting device may of course be implemented in addition to the unidirectional information path described herein, if that is advantageous for other reasons.
  • the controller has a signal input terminal which is electrically connected to the first wire, and a ground terminal which is electrically connected to the second wire.
  • the defined pulse signal is a potential-related signal which is applied between the two wires in the form of voltage pulses.
  • the second wire carries the reference potential for the signal pulses on the first wire.
  • the ground connection is electrically connected to the device ground of the control unit or even equal to the device ground.
  • the first wire is further connected to an operating voltage source, which is arranged away from the signaling device.
  • the operating voltage source is arranged in the region of the control unit. It is particularly preferred if the first wire is connected via a pull-up resistor to a terminal which carries an operating voltage potential of the control unit.
  • the operating voltage source is a current source which is able to feed a defined, load-independent current into the two-wire line.
  • This embodiment is particularly advantageous in combination with the previous embodiment. However, it can also be realized separately.
  • the special feature is that the first wire both the input signal for the control unit (from the signaling device to the controller) leads, as well as an operating voltage in the opposite direction for the signaling device provides.
  • the first vein thus fulfills a dual function. This allows a particularly simple and cost-effective implementation, when the signaling device and the control unit are arranged spatially far away from each other.
  • this embodiment also has the advantage in itself that the signaling device can be supplied in a simple manner with an operating voltage, such as when a ground fault ensures the reference ground.
  • a power source also allows faster reloading of the two-wire line and thus a higher reaction speed of the new safety circuit arrangement.
  • the signaling device has a voltage regulator, which generates a substantially constant operating voltage for the signal generator based on the predominantly constant voltage between the first and second wire.
  • This design helps to ensure a stable and uninterrupted operation of the signaling device, even if the first wire is used in the dual function described above, so on the one hand to transmit the defined pulse signal and on the other hand to supply the signaling device with an operating voltage.
  • the voltage between the first and the second core breaks down as a matter of principle again and again.
  • a voltage regulator is able to compensate for these voltage dips so well that a stable operation of the signaling device is possible even if the signal generator is realized by means of a microcontroller or another, sensitive to voltage dips component.
  • the signal generator has a signal processing circuit and a switching element controlled by the signal processing circuit, which is arranged between the first and the second wire.
  • the signal processing circuit is a microcontroller, microprocessor, ASIC or FPGA, hence a programmable signal processing circuit.
  • the switching element that enables the short circuit between the first and the second wire, separated from the signal processing circuit which preferably determines the current state of the actuator.
  • the design makes it possible to effect the short circuit with a switching element, which is optimally dimensioned for receiving the currents and thermal stresses during the short circuit. The design therefore contributes to a long life and reliability of the new signaling device and the new safety circuit arrangement.
  • the signaling device on a first and a second signal generator, which are connected in parallel to each other with the first and the second wire.
  • the signaling device has at least two redundant signal generators.
  • each of the two signal generators is capable of generating a defined pulse signal.
  • the redundancy on the one hand enables an advantageous two-channel implementation and thus offers a higher level of fail-safety.
  • the redundancy also increases the availability, so that the new signaling device, for example, even a pulse signal can transmit to the control unit for diagnostic purposes, even if one of the signal generators fails.
  • the first and the second signal generator generate the defined pulse signal together.
  • each of the two signal generators generates part of the signal pulses, wherein only the combination of the signal pulses generated by the signal generators forms the defined pulse signal that corresponds to the expectation in the control unit.
  • the first signal generator has a master function with respect to the second signal generator in that the second signal generator generates signal pulses according to a defined pattern only when it has detected a number of signal pulses of the first signal generator on the first wire. Accordingly, it is also preferred if each signal generator has a read-back input, via which it can read in signal pulses on the lines to the control unit.
  • the embodiment enables a very simple generation of a "two-channel" pulse signal by means of two redundant signal generators.Thus, the new signaling device can be implemented quite cost-effectively even in the two-channel variant.A read-back input at the signal generator also allows easier diagnosis of error conditions, which is why this variant can also be advantageous for single-channel signaling devices.
  • the signaling device has a largely closed device housing, in which the actuator and the pulse generator are arranged.
  • the actuator is a mechanically moved actuator, in particular a manually operated actuator.
  • the essential components of the new signaling device are encapsulated in a device housing.
  • at least the electrical connection of the actuator and the pulse generator are arranged in the device housing.
  • the embodiment has the advantage that the actuator can not be separated from the pulse generator by unintentional incorrect operation, with the result that the defined pulse signal of the pulse generator does not represent the actual state of the actuator due to a cross-circuit or the like.
  • the design therefore offers increased fault tolerance.
  • control unit is designed to determine an error state of the signaling device based on the defined pulse signal.
  • control device is further configured to display the error state, for example on a display unit arranged in the control unit and / or by means of a diagnostic signal provided at a diagnostic output.
  • the error safety of the signaling device in the control unit is "made", ie the decision as to whether an error condition exists or not, and especially the reaction to a possible error of the signaling device takes place in the control unit.
  • the pulse signal itself is not necessarily a "safe" signal, but the interpretation of the pulse signal in the control unit, in particular the comparison with the expectation stored in the control unit, makes it possible to determine whether an error has occurred. since error detection mechanisms are required in the control unit anyway, the signaling device can be implemented more simply and thus more cost-effectively.
  • Fig. 1 is a simplified representation of an embodiment of the new
  • Fig. 2 is a simplified representation of an embodiment of the new
  • the safety circuit arrangement 10 includes a control unit 12 and a signaling device 14.
  • the control unit 12 is in this embodiment, a safety switching device with a largely defined range of functions. Suitable safety relays are offered by the applicant under the name PNOZ®.
  • the safety switching device 12 is configured to process input signals from signaling devices to turn on or off depending on an actuator, such as a contactor, a solenoid valve or an electric drive.
  • the controller 12 may be a programmable safety controller, as offered by the applicant under the name PSS® in different variants.
  • the controller 12 is multi-channel redundant and includes test functions configured to detect internal component failures and external faults in the circuitry to bring a monitored equipment to a safe condition upon the occurrence of an error.
  • the control unit 12 is failsafe in the sense of category 3 or higher according to the European standard EN 954-1, in the sense of SIL2 according to the international standard IEC 61508 or in terms of comparable requirements. Simplified here are two redundant signal processing channels in the form of two microcontrollers 16a, 16b, each of which controls a switching element 18a, 18b.
  • the controller 12 could have microprocessors, ASICs, FPGAs, or other signal and data processing circuitry.
  • the switching elements 18 are shown here as relays whose working contacts are arranged in series with each other.
  • the normally open contacts form a power supply path 20 between a power supply 22 and an electric drive 24, which symbolizes a machine system here.
  • the machinery may include a variety of electric drives and other actuators.
  • the invention is not limited to machinery in the strict sense of production machines. Rather, it can be used in all technical installations which pose a danger in operation and which in such a case must be brought to a safe condition, in particular by interrupting a power supply path 20.
  • the control unit 12 Have electronic switching elements, in particular power transistors.
  • the controller 12 has a plurality of redundant electronic switching elements on the output side, each providing a potential-related output signal, with which external contactors, solenoid valves or the like can be controlled.
  • the controller 12 has a device housing 26, in which the individual components, in particular the processors 16 and switching elements 18, are arranged. On the device housing terminals are arranged, some of which are designated here by the reference numerals 28, 30, 32, 34.
  • the terminal 30 is in this case a terminal for supplying an operating voltage U B for the controller 12.
  • the operating voltage U B is a 24-volt DC voltage, which is used to power the processors 16, switching elements 18 and other components of the control unit 12 is required.
  • the connection terminal 32 here is a ground connection, to which the supply voltage U B refers. Terminal 32 is in this case the device mass of the control unit 12th
  • connection terminal 34 forms a signal input of the control unit 12.
  • An input signal present at the connection terminal 34 is supplied redundantly to the microcontrollers 16 and is redundantly evaluated by the microcontrollers 16 in order to control the switching elements 18 in dependence thereon.
  • the control unit 12 here has a pull-up resistor 36, which connects the terminal 34 with the operating voltage U B at the terminal 30.
  • the potential at the connection terminal 34 is thus "pulled up" to the potential of the operating voltage U B , which is a particularly preferred realization in connection with the signaling device explained below.
  • the pull-up resistor 36 may be integrated with the terminals 30, 34. In other embodiments, the pull-up resistor 36 may be disposed outside of the controller 12.
  • the signaling device 14 has an actuator 40, which is here a manually operated button.
  • the actuator 40 is biased by a spring (not shown here) in a first operating position in which an electrical contact 41 is opened here. This is in the present embodiment, the inactive idle state (second State) of the actuator 40.
  • the actuator 40 can be brought against the spring force in a second operating position 40 ', in which the contact 41 is closed.
  • a pulse generator 42 is connected to the operating voltage U B.
  • the pulse generator 42 then generates a defined pulse signal 44 having a plurality of signal pulses 46.
  • the state 40 ' is thus a defined first state in the sense of the present invention.
  • the pulse generator 42 receives the operating voltage required for generating the signal pulses 46 only when the actuator 40 is activated. Otherwise, it is de-energized. In all presently preferred embodiments, the pulse generator 42 generates the pulse signal 44 only when the actuator 40 is in the defined state 40 '.
  • the actuator is a simple manual NO contact.
  • the actuator may be a normally closed contact or a combination of normally closed and normally closed contacts.
  • the actuator can be a transponder, a light barrier or a temperature, pressure, voltage u.a. be.
  • the signaling device 14 is used for safe switching on of the drive 24 for test and setup purposes.
  • the signaling device 14 can be arranged at a great distance from the drive 24 and the control unit 12.
  • the control unit 12 is arranged in a control cabinet in the vicinity of the drive 24, while the signaling device 14 is several hundred meters away from the control cabinet.
  • the signaling device 14 may be configured as an emergency stop button, protective door switch, proximity switch, light barrier, temperature monitor or the like.
  • the signaling device 14 is connected here via two conductor wires 50, 52 of a two-wire line 54 to the control unit 12.
  • the first line conductor 50 leads from a connection terminal 56 of the signaling device to the connection terminal 34 of the control unit.
  • the second line 52 leads from a terminal 58 of the signaling device to the terminal 32.
  • the terminals 56, 58 are on a device housing 60 which encloses the pulse generator 42 and the actuator 40 (where possible).
  • Characteristic of the new safety circuit arrangement 10 is the ability of the signaling device 14, solely in response to the actuation of the actuator 40 to generate a defined "own" pulse signal 44, which is supplied to the controller 12 via the two-wire line 54.
  • the signaling device 14 does not receive a release or request signal from the controller 12. It rather generates the pulse signal 44 autonomously once the actuator 40 is in the defined first state 40 ' a memory which is contained, for example, in the microcontrollers 16), the defined pulse signal 44 is stored as an expectation As soon as the microcontroller 16 recognizes the defined pulse signal 44 at the signal input 34, this is interpreted as an actuation of the actuator 40. In the illustrated embodiment The microcontractors 16 then switch on the drive 24 via the switching elements 18.
  • the idle state of the actuator 40 is preferably selected so that the pulse generator 42, the pulse signal 44 continuously generates and interrupts upon actuation of the emergency stop button.
  • the MikrocontroUer 16 detect the absence of the pulse signal 44 and turn off the drive 24 accordingly.
  • the safety circuit arrangement 10 may include further signaling devices 14 ', which are connected in parallel to the signaling device 14 to the terminals 32, 34.
  • another signaling device 14 ' generates another defined pulse signal 44', which differs from the pulse signal 44.
  • the control unit 12 can then recognize on the basis of the pulse signals, from which signaling device a pulse signal applied to the input 34 comes.
  • Fig. 2 another embodiment of the new signaling device is shown.
  • Like reference numerals designate the same elements as before.
  • the signaling device 14 has a microcontroller 70a and a switching element 72a, which is controlled by the microcontroller 70a.
  • the switching element 72a here is a field-effect transistor (FET) whose source and drain connections are arranged between the connection terminals 56, 58.
  • FET field-effect transistor
  • the FEt is thus able to cause a short circuit between the conductor wires 50, 52 of the two-wire line 54.
  • a bipolar transistor with its collector and emitter connection between the terminals 56, 58 may be arranged.
  • an electrical resistor 73 may be arranged, which forms a voltage divider with the pull-up resistor 36 in the control unit.
  • Such a resistance has the consequence that the voltage between the two conductor wires 50, 52 does not drop to zero in the event of a voltage drop which the signaling device generates, but to a voltage value which corresponds to the divider ratio of the voltage divider 36, 73.
  • This variant has the advantage that the operating voltage for the signaling device when generating the signal pulses 46 does not completely break away.
  • Reference numeral 74a designates a voltage regulator (DC / DC converter) which receives the voltage applied to the terminal 56 via a diode 76a.
  • the voltage regulator generates at its output 78a a regulated DC voltage of, for example, 5 volts, which serves as the operating voltage for the microcontroller 70a.
  • the voltage regulator 74a compensates, in particular, for those voltage drops on the line conductor 50 which arise as a result of the generation of the pulse signal 44.
  • the voltage regulator 74 also compensates for other voltage fluctuations, including those caused, for example, by the signaling device 14 '.
  • Reference numeral 40a designates the normally open contact of the actuator 40.
  • the contact 40a forms here with a resistor 80a a (further) voltage divider, at the middle tap an input of the microcontroller 70a is connected.
  • the microcontroller 70a can read in the actuation state of the actuator 40 and generate the pulse signal 44 in dependence thereon by causing a short circuit between the conductor leads 50, 52 with the aid of the switching element 42.
  • the reference numerals 82a, 84a designate two further resistors which form a second voltage divider which is arranged parallel to the connection terminals 56, 58.
  • a middle tap of the voltage divider 82a, 84a leads to a further input of the microcontroller 70a.
  • the microcontroller 70a can read back the signal pulses 46.
  • the signaling device 14 is single-channel. In preferred embodiments, however, the signaling device 14 has a redundant second channel, which is designated here in its entirety by the reference numeral 86b.
  • the channel 86b in the illustrated embodiment is constructed the same as the described first channel 86a, i. it has a microcontroller 70b, a switching element 72b and a voltage regulator 74b.
  • the switching element 72b is connected in parallel with the switching element 72a between the connection terminals 56, 58, so that the microcontroller 70b can also generate a voltage dip between the line conductors 50, 52.
  • the two micro-controllers 70, 70b jointly generate the defined pulse signal 44 as soon as the actuator 40 is in its activated state.
  • the microcontroller 70a first generates a first signal pulse 46a by bringing the switching element 72a into the conductive state for a defined period of time (pulse duration).
  • the microcontroller 70b can read the signal pulse 46a via the voltage divider 82b, 84b and generates it after a delay time set in the microcontroller 70b second signal pulse 46b, now bringing the switching element 72b in the conductive state.
  • the resulting short circuit is shown at reference numeral 88 in FIG.
  • the microcontractors 70a, 70b generate signal pulses 46a, 46b in a defined sequence by respectively short-circuiting the line conductors 50, 52, which then leads to the defined pulse signal 44.
  • Fig. 2 shows the pulse signal 44 resulting from the combination of the signal pulses 90 of the first channel 86a and the signal pulses 92 of the second channel 86b.
  • the second channel 86b may include a switching element 72b arranged serially with the switching element 72a between the terminals 56, 58.
  • the two channels 86a, 86b can be brought together via an AND gate (not shown here). The AND gate then preferably controls the switching element 72a.
  • the variant shown in FIG. 2 has the advantage that each microcontroller 70a, 70b can generate a defined pulse signal independently of the respective other channel. This can be used advantageously in the control unit 12 in order to determine which of the two channels 86a, 86b is the cause of a faulty pulse signal.

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Measuring Pulse, Heart Rate, Blood Pressure Or Blood Flow (AREA)
  • Keying Circuit Devices (AREA)

Abstract

Eine Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage (24) besitzt ein Steuergerät (12), das dazu ausgebildet ist, einen Stromversorgungspfad (20) zu der Anlage (24) fehlersicher zu schließen oder zu unterbrechen. Die Sicherheitsschaltungsanordnung besitzt ferner ein Meldegerät (14), das über eine Anzahl von Leitungen (50, 52) mit dem Steuergerät (12) verbunden ist. Das Meldegerät (14) besitzt einen Betätiger (40), der zwischen einem definierten ersten Zustand und einem zweiten Zustand (40') wechselbar ist. Ein Impulsgenerator (42) im Meldegerät (14) ist dazu ausgebildet, ein definiertes Pulssignal (44) mit einer Vielzahl von Signalpulsen (46) auf den Leitungen (50, 52) zu erzeugen, wenn der Betätiger (40) in dem definierten ersten Zustand ist. Gemäß einem Aspekt der Erfindung ist das Meldegerät (14) mit dem Steuergerät (12) über eine Zweidrahtleitung (54) mit einer ersten und einer zweiten Ader (50, 52) verbunden. Zwischen den beiden Adern (50, 52) liegt eine überwiegend konstante Spannung an, wenn der Betätiger (40) in dem zweiten Zustand ist. Der Impulsgenerator (42) ist dazu ausgebildet, einen Spannungseinbruch zwischen der ersten Ader (50) und der zweiten Ader (52) zu bewirken, um die Vielzahl von Signalpulsen (46) zu erzeugen.

Description

Sicherheitsschaltungsanordnung zum
fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage
[0001] Die vorliegende Erfindung betrifft eine Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage, mit einem Steuergerät, das dazu ausgebildet ist, einen Stromversorgungspfad zu der Anlage fehlersicher zu schließen oder zu unterbrechen, und mit einem Meldegerät, das über eine Anzahl von Leitungen mit dem Steuergerät verbunden ist, wobei das Meldegerät einen Betätiger aufweist, der zwischen einem definierten ersten Zustand und einem zweiten Zustand wechselbar ist, und einen Impulsgenerator, der dazu ausgebildet ist, ein definiertes Pulssignal mit einer Vielzahl von Signalpulsen auf den Leitungen zu erzeugen, wenn der Betätiger in dem definierten ersten Zustand ist.
[0002] Die Erfindung betrifft ferner ein Meldegerät für eine solche Sicherheitsschaltungsanordnung, mit einer Anzahl von Anschlüssen zum Anschließen einer Mehrdrahtleitung, über die das Meldegerät mit dem Steuergerät verbunden werden kann, mit einem Betätiger, der zwischen einem definierten ersten und einem zweiten Zustand wechselbar ist, und mit einem Impulsgenerator, der dazu ausgebildet ist, ein definiertes Pulssignal mit einer Vielzahl von Signalpulsen auf der Mehrdrahtleitung zu erzeugen, wenn der Betätiger in dem definierten ersten Zustand ist.
[0003] Eine Sicherheitsschaltungsanordnung und ein Meldegerät dieser Art sind aus DE 10 2004 020 997 AI bekannt.
[0004] Eine Sicherheitsschaltungsanordnung im Sinne der vorliegenden Erfindung ist eine Schaltungsanordnung mit zumindest zwei funktionsbestimmenden Komponenten, die zusammenwirken, um den gefährlichen Betrieb einer technischen Anlage abzusichern, d.h. um Unfälle zu vermeiden, die die Gesundheit oder das Leben von Personen im Bereich der Anlage gefährden. Die eine Komponente ist ein Steuergerät, das speziell dazu ausgebildet ist, einen Stromversorgungspfad zu der Anlage fehlersicher zu unterbrechen, um die Anlage in einen ungefährlichen, stromlosen Zustand zu bringen. Bei größeren Anlagen kann sich diese Funktion des Steuergerätes auch auf Teile oder Bereiche der Anlage beschränken, oder es werden verschiedene Bereiche einer größeren Anlage mit mehreren Steuergeräten getrennt gesteuert. Wichtig ist, dass die Steuergeräte selbst dann einen sicheren Anlagenbe- triebszustand gewährleisten, wenn Fehler auftreten, etwa wenn elektronische Bauteile versagen, eine Leitungsverbindung beschädigt wird oder ein anderes Fehlerereignis auftritt. Dementsprechend sind die Steuergeräte in aller Regel mehrkanalig- redundant aufgebaut und sie besitzen interne Überwachungsfunktionen, um einzelne Fehler frühzeitig zu erkennen und eine Anhäufung von Fehlern zu vermeiden. Geeignete Steuergeräte können programmierbare Sicherheitssteuerungen oder einfachere Sicherheitsschaltgeräte mit einem weitgehend festgelegten Funktionsumfang sein. Typischerweise sind die Steuergeräte einfehlersicher im Sinne der Kategorie 3 oder höher der Europäischen Norm EN 954-1, im Sinne von SIL 2 der Internationalen Norm IEC 61508 oder im Sinne vergleichbarer Anforderungen. [0005] Die Steuergeräte überwachen den Betriebszustand von so genannten Meldegeräten oder Sensoren. Die Meldegeräte/Sensoren liefern Eingangssignale, die von dem Steuergerät ausgewertet und ggf. miteinander verknüpft werden, um in Abhängigkeit davon Aktuatoren der Anlage, wie etwa einen elektrischen Antrieb oder ein Magnetventil, ein- oder abzuschalten. In vielen Fällen liefern die Meldegeräte recht einfache binäre Informationen, etwa ob eine mechanische Schutztür geschlossen ist oder nicht, ob ein Not-Aus-Taster betätigt ist oder nicht, ob eine Lichtschranke unterbrochen ist oder nicht. Darüber hinaus können Meldegeräte/Sensoren jedoch auch analoge Werte liefern, etwa die Temperatur eines Kessels oder die Drehzahl eines Antriebs. Üblicherweise gibt das Steuergerät der Sicherheitsschaltungsanord- nung den Betrieb der Anlage nur frei, wenn anhand der Signale von den Meldegeräten/Sensoren ein ungefährlicher Betrieb angenommen werden kann. Es gibt aber auch Fälle, in denen Absicherungsmaßnahmen bewusst außer Kraft gesetzt werden, bspw. um einen Einrichtbetrieb bei geöffneter Schutztür zu ermöglichen. Häufig wird in diesen Fällen ein spezieller Zustimmtaster verwendet, den der Anlagenbediener in einem solchen Fall betätigen muss. Auch ein solcher Zustimmtaster ist ein sicherheitsrelevantes Meldegerät.
[0006] In einer großen Anlage kann es eine Vielzahl von Meldegeräten/Sensoren geben, die sicherheitsrelevante Eingangssignale an die Sicherheitssteuerung liefern. Die einzelnen Meldegeräte/Sensoren können räumlich weit voneinander entfernt sein, was zu einem großen Installationsaufwand führt. Bei Leitungsverbindungen, die außerhalb eines geschlossenen Schaltschranks oder quetschungssicherer Rohre verlaufen, müssen Querschlüsse, die als Folge von Beschädigungen auftreten können, von der Sicherheitssteuerung erkannt werden. Daher sind auch die Verbindungsleitungen zwischen Meldegeräten/Sensoren und Steuergeräten einer Sicher- heitsschaltungsanordnung häufig redundant, was den Installationsaufwand zusätzlich erhöht.
[0007] Die eingangs genannte DE 10 2004 020 997 AI beschreibt eine Si- cherheitsschaltungsanordnung, bei der eine Vielzahl von Meldegeräten in Reihe an ein fehlersicheres Steuergerät angeschlossen sind. Das Steuergerät erzeugt zwei redundante Freigabesignale, die über zwei redundante Leitungen durch die Reihe der Meldegeräte an das Steuergerät zurückgeführt sind. Unterbricht ein Meldegerät der Reihe zumindest eines der redundanten Freigabesignale, wird dies in dem Steuergerät erkannt und der Stromversorgungspfad zu der Anlage wird unterbrochen. Durch eine geschickte Realisierung der Meldegeräte ist es außerdem möglich, Diagnoseinformationen auf den Sicherheitsleitungen zu dem Steuergerät zu übertragen. Die bekannte Schaltungsanordnung ermöglicht daher einen relativ kostengünstigen Aufbau mit flexiblen Diagnosemöglichkeiten. Allerdings erfordert die praktische Realisierung mindestens vier separate Leitungen oder Leitungsadern, um die Freigabesignale vom Steuergerät zu den Meldegeräten und zurück zu führen. Da die Meldegeräte für die Weiterleitung der redundanten Freigabesignale elektronische Bauteile verwenden, die eine Betriebsspannung benötigen, werden typischerweise zwei weitere Leitungen oder Aderpaare benötigt, um den Meldegeräten die Betriebsspannung und Betriebsmasse zuzuführen. Eine solche Realisierung ist daher trotz der bereits erreichten Vorteile noch aufwändig, insbesondere wenn zwischen einzelnen Meldegeräten und dem Steuergerät große Entfernungen überbrückt werden müssen. Bei der Steuerung von Skiliften können zwischen einem Meldegerät und dem Steuergerät beispielsweise Entfernungen von mehreren Kilometern liegen und es ist in solchen Fällen wünschenswert, bereits vorhandene Leitungen zu nutzen, wobei für eine Realisierung gemäß DE 10 2004 020 997 AI in der Regel nicht genügend Leitungsadern zur Verfügung stehen.
[0008] DE 199 11 698 AI beschreibt eine andere Sicherheitsschaltungsan- ordnung mit einem Steuergerät und einer Vielzahl von Meldegeräten, die in Reihe zueinander an das Steuergerät angeschlossen sind. Jedes Meldegerät besitzt einen Öffnerkontakt und ist mit einem Codesignalgenerator gekoppelt, der ein charakteristisches Codesignal an das Steuergerät liefert, wenn der Kontakt geöffnet wurde. Für die praktische Realisierung werden zumindest drei Leitungsadern benötigt. Ein Querschluss zwischen der Leitung am Freigabesignalausgang des Steuergerätes und der Leitung am Freigabesignaleingang des Steuergerätes kann allerdings nicht ohne Weiteres erkannt werden, so dass für eine höhere Sicherheitskategorie ggf. weitere redundante Signalleitungen benötigt werden. [0009] DE 100 11 211 AI offenbart eine weitere Sicherheitsschaltungsan- ordnung mit Meldegeräten und einem fehlersicheren Steuergerät. Die Meldegeräte sind entweder einkanalig über eine Verbindungsleitung oder zweikanalig über zwei redundante Verbindungsleitungen mit dem Steuergerät verbunden. Die einkanalige Verbindung bietet für sich genommen keine Fehlersicherheit und wird lediglich für einen Starttaster vorgeschlagen, der in solchen Fällen typischerweise nahe bei der gefährlichen Anlage angeordnet ist. In einem Ausführungsbeispiel ist beschrieben, dass zwei unterschiedliche Taktsignale als Freigabesignale von dem fehlersicheren Steuergerät über redundante Kontakte eines Not-Aus-Tasters zum Steuergerät zurückgeführt sind.
[0010] DE 102 16 226 AI beschreibt eine Sicherheitsschaltungsanordnung mit mehreren Meldegeräten und Steuergeräten, wobei die Steuergeräte in Reihe verbunden sind, um ein hierarchisches Steuerungssystem mit unterschiedlichen Abschaltgruppen zu bilden. In den Ausführungsbeispielen sind die Steuergeräte über eine einkanalige Verbindungsleitung gekoppelt, über die ein potenzialbezogenes Schaltsignal mit einem statischen Signalanteil und einem dynamischen Signalanteil übertragen wird. Die Realisierung setzt noch eine gemeinsame Masse für die verbundenen Steuergeräte voraus. Darüber hinaus benötigt jedes verbundene Steuergerät eine Betriebsspannung, die ebenfalls zugeführt werden muss, so dass die tatsächliche Leitungszahl doch höher ist.
[0011] Aus DE 103 48 884 AI ist ein Meldegerät mit einem Stellelement bekannt, das zwischen einer ersten und zumindest einer zweiten Position bewegbar ist. Ein Detektorelement zum Detektieren der Position des Stellelements beinhaltet einen Transponder mit einer individuellen Transponderkennung und eine Leseeinheit für die Transponderkennung. Das Meldegerät besitzt einen Signaleingang zum Zuführen eines Testsignals, mit dessen Hilfe das Auslesen der Transponderkennung zu Testzwecken unterdrückt werden kann. Zusätzlich werden Anschlüsse für eine Versorgungsspannung, Masse und einen Signalausgang benötigt, über den das Meldegerät die Information des Detektorelements zu einem fehlersicheren Steuergerät übertragen kann. Zum Anschließen des Meldegeräts an ein Steuergerät werden insgesamt also mindestens vier Leitungen benötigt.
[0012] Ein weiteres Meldegerät ist aus DE 100 23 199 AI bekannt. In einer Ruhelage des Meldegerätes ist ein Schaltelement geöffnet. In einer bestimmten Betätigungsposition wird das Schaltelement geschlossen. Details zum Anschluss des Meldegerätes an ein fehlersicheres Steuergerät sind nicht beschrieben.
[0013] Den Fachleuten ist ferner ein als ASI(Aktuator-Sensor-Interface)-Bus bezeichnetes Feldbussystem bekannt, das mit einem speziellen zweiadrigen Kabel realisiert werden kann und zum Vernetzen von Sensoren und Aktuatoren in der Feldebene einer automatisierten Anlage dient. Ein ASI-Busmaster sendet hier in wiederholten Zeitintervallen Anfragen an die an den ASI-Bus angeschlossenen Sensoren. Diese übermitteln daraufhin ihren Sensorzustand an den ASI-Busmaster. Dieses System kommt zwar mit lediglich zwei Leitungsadern aus. Es erfordert jedoch spezielle Interfacebausteine, die in der Lage sind, das Busprotokoll zu realisieren. Für eine Sicherheitsschaltungsanordnung der eingangs genannten Art müssen sowohl das Steuergerät als auch das Meldegerät einen ASI-Bus kompatiblen Interfacebaustein aufweisen, was für manchen Anwendungen zu aufwendig und teuer ist.
[0014] Aus DE 43 33 358 AI ist schließlich eine nicht-sichere Schaltungsanordnung bekannt, bei der über eine zweiadrige Verbindungsleitung sowohl eine Betriebsspannung als auch ein Steuersignal von einem Steuergerät an ein Magnetventil, also an einen Aktuator, übertragen wird.
[0015] Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, eine Sicherheitsschaltungsanordnung und ein Meldegerät der eingangs genannten Art anzugeben, die eine noch kostengünstigere und trotzdem fehlersichere Verbindung zwischen einem Meldegerät und einem Steuergerät ermöglichen, insbesondere wenn Meldegerät und Steuergerät räumlich weit voneinander entfernt sind. [0016] Gemäß einem ersten Aspekt der Erfindung wird diese Aufgabe durch eine Sicherheitsschaltungsanordnung der eingangs genannten Art gelöst, wobei das Meldegerät mit dem Steuergerät über eine Zweidrahtleitung mit einer ersten und einer zweiten Ader verbunden ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger in dem zweiten Zustand ist, und wobei der Impulsgenerator dazu ausgebildet ist, einen Spannungseinbruch zwischen der ersten Ader und der zweiten Ader zu bewirken, um die Vielzahl von Signalpulsen zu erzeugen.
[0017] Die Aufgabe wird gemäß einem weiteren Aspekt der Erfindung durch ein Meldegerät der eingangs genannten Art gelöst, wobei die Mehrdrahtleitung eine Zweidrahtleitung mit einer ersten Ader und einer zweiten Ader ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger in dem zweiten Zustand ist, und wobei der Impulsgenerator dazu ausgebildet ist, einen Spannungseinbruch zwischen der ersten Ader und der zweiten Ader zu bewirken, um die Vielzahl von Signalpulsen zu erzeugen.
[0018] Die neue Sicherheitsschaltungsanordnung verwendet also eine Zweidrahtleitung, über die das Meldegerät mit dem Steuergerät verbunden ist. Im Vergleich zu bekannten Sicherheitsschaltungsanordnungen ist die Zahl der Verbindungsleitungen damit auf ein Minimum reduziert. Zwischen den beiden Adern der Zweidrahtleitung liegt eine überwiegend konstante Spannung an, die in vorteilhaften Ausgestaltungen dazu verwendet wird, das Meldegerät mit einer Betriebsspannung zu versorgen. Ungeachtet dessen erzeugt der Impulsgenerator des Meldegerätes, beispielsweise durch einen simplen Kurzschluss zwischen den beiden Adern der Verbindungsleitung, eine Vielzahl von Signalpulsen, die ein definiertes Pulssignal bilden. Der Impulsgenerator erzeugt den Spannungseinbruch in einigen Ausführungsbeispielen durch einen vollständigen Kurzschluss zwischen den beiden Leitungsadern. Die Spannung zwischen den beiden Leitungsadern sinkt dann auf Null ab. In anderen Ausführungsbeispielen kann ein elektrischer Widerstand zwischen den beiden Leitungsadern aktiviert werden, was zu einem Spannungseinbruch führt, aber eine Restspannung größer Null belässt. Beispielsweise kann die Spannung zwischen den beiden Leitungsadern etwa 24 Volt betragen, wenn der Betätiger in dem zweiten Zustand ist, und auf etwa 5 Volt absinken, wenn der Impulsgenerator den Spannungseinbruch bewirkt.
[0019] Das Meldegerät erzeugt also ein dynamisches, d.h. zeitlich sich veränderndes, Signal und stellt dieses dynamische Signal als Eingangssignal dem Steuergerät zur Verfügung. Im Gegensatz zu den bekannten Sicherheitsschaltungsanord- nungen verzichtet die neue Sicherheitsschaltungsanordnung aber auf eine Signalschleife, die von dem Steuergerät ausgeht und über das Meldegerät zum Steuergerät zurückgeführt ist. Vielmehr ist im Steuergerät lediglich eine Erwartungshaltung in Bezug auf das definierte Pulssignal hinterlegt, d.h. das Steuergerät erwartet genau das definierte Pulssignal von dem Meldegerät, wenn sich der Betätiger in dem definierten ersten Zustand befindet. Es ist denkbar, dass das Meldegerät mehrere definierte Pulssignale erzeugen kann, die sich voneinander unterscheiden, wobei jedes der definierten Pulssignale aus der Menge definierter Pulssignale die Information repräsentiert, dass der Betätiger in dem definierten ersten Zustand ist. Mithilfe verschiedener Pulssignale kann das Meldegerät dem Steuergerät weitere Informationen übermitteln, die im Steuergerät vorteilhaft zur Diagnose einer Anlagenbetriebssituation verwendet werden können. In einem Ausführungsbeispiel, in dem der Betätiger zweikanalig ausgebildet ist, können die unterschiedlich definierten Pulssignale eine Information darüber repräsentieren, ob tatsächlich beide Betätigerkanäle in dem definierten ersten Zustand sind und wenn nicht, welcher Betätigerkanal ggf. versagt hat.
[0020] Bekannte Sicherheitsschaltungsanordnungen verwenden in der Regel eine Signalschleife vom Steuergerät zum Meldegerät und zurück. Dies birgt das Risiko, dass ein Querschluss zwischen der Hinleitung und der Rückleitung der Signalschleife das Meldegerät überbrückt und dem Steuergerät fälschlicherweise einen sicheren Zustand suggeriert. Die neue Sicherheitsschaltungsanordnung verzichtet auf die Leiterschleife und vermeidet so eine potenzielle Fehlerquelle bekannter Sicher- heitsschaltungsanordnungen. Andererseits erzeugt das neue Meldegerät ein dynamisches Signal mit einer Vielzahl von Signalpulsen, so dass ein Stuck-at Fehler im Meldegerät oder an den Adern der Zweidrahtleitung schnell erkannt wird. Die Kombination der beiden Merkmale ermöglicht es, Meldegerät und Steuergerät über eine lediglich zweiadrige Leitung fehlersicher miteinander zu verbinden. Die neue Sicher- heitsschaltungsanordnung eignet sich daher vor allem für Anwendungen, bei denen die Anzahl der zur Verfügung stehenden Leitungsadern begrenzt ist. Aber auch wenn prinzipiell mehr Leitungsadern zur Verfügung stehen, kann die neue Sicherheits- schaltungsanordnung vorteilhaft eingesetzt werden, da der Verdrahtungsaufwand zwischen Meldegerät und Steuergerät minimiert ist.
[0021] Andererseits überträgt das Meldegerät das dynamische Informationssignal eigenständig, d.h. ohne eine vorherige Aufforderung vom Steuergerät an das Steuergerät. Darin unterscheidet sich die neue Sicherheitsschaltungsanordnung von busbasierten Systemen, die in der Regel einen bidirektionalen Informationsfluss haben, mit dem das Steuergerät verbundene Meldegeräte abfragt. Die neue Sicherheitsschaltungsanordnung kann daher die sicherheitsrelevante Ein- oder Abschaltinformation ohne ein bidirektionales Kommunikationsprotokoll an das Steuergerät übertragen. Es entfällt die Notwendigkeit, spezielle und somit relativ teure Kommunikationscontroller im Meldegerät und/oder Steuergerät zu verwenden. Ungeachtet dessen kann eine busbasierte Kommunikation zwischen Steuergerät und Meldegerät natürlich zusätzlich zu dem hier beschriebenen unidirektionalen Informationsweg implementiert werden, wenn das aus anderen Gründen vorteilhaft ist.
[0022] Insgesamt ermöglichen die neue Sicherheitsschaltungsanordnung und das neue Meldegerät daher eine sehr kostengünstige und gleichwohl fehlersichere Realisierung. Die oben genannte Aufgabe ist vollständig gelöst.
[0023] In einer bevorzugten Ausgestaltung der Erfindung besitzt das Steuergerät einen Signaleingangsanschluss, der elektrisch mit der ersten Ader verbunden ist, und einen Masseanschluss, der elektrisch mit der zweiten Ader verbunden ist. [0024] In dieser Ausgestaltung ist das definierte Pulssignal ein potenzialbezogenes Signal, das zwischen den beiden Adern in Form von Spannungspulsen anliegt. Die zweite Ader führt das Referenzpotenzial für die Signalpulse auf der ersten Ader. In einer bevorzugten Variante dieser Ausgestaltung ist der Masseanschluss elektrisch mit der Gerätemasse des Steuergerätes verbunden oder sogar gleich der Gerätemasse. Die Ausgestaltung besitzt den Vorteil, dass das neue Meldegerät kompatibel zu bekannten Steuergeräten ist. Die neue Sicherheitsschaltungsanordnung kann daher sehr kostengünstig mit dem neuen Meldegerät realisiert werden.
[0025] In einer weiteren Ausgestaltung ist die erste Ader ferner mit einer Betriebsspannungsquelle verbunden, die entfernt von dem Meldegerät angeordnet ist. Vorzugsweise ist die Betriebsspannungsquelle im Bereich des Steuergerätes angeordnet. Besonders bevorzugt ist es, wenn die erste Ader über einen Pull-up-Widerstand mit einem Anschluss verbunden ist, der ein Betriebsspannungspotential des Steuergerätes führt. In einer anderen Variante ist die Betriebsspannungsquelle eine Stromquelle, die in der Lage ist, einen definierten, lastunabhängigen Strom in die Zweidrahtleitung einzuspeisen.
[0026] Diese Ausgestaltung ist besonders vorteilhaft in Kombination mit der vorhergehenden Ausgestaltung. Sie kann jedoch auch separat davon realisiert sein. Die Besonderheit liegt darin, dass die erste Ader sowohl das Eingangssignal für das Steuergerät (vom Meldegerät zum Steuergerät) führt, als auch eine Betriebsspannung in umgekehrter Richtung für das Meldegerät bereitstellt. Die erste Ader erfüllt also eine Doppelfunktion. Dies ermöglicht eine besonders einfache und kostengünstige Realisierung, wenn das Meldegerät und das Steuergerät räumlich weit entfernt voneinander angeordnet sind. Darüber hinaus besitzt diese Ausgestaltung auch für sich genommen den Vorteil, dass das Meldegerät auf einfache Weise mit einer Betriebsspannung versorgt werden kann, etwa wenn ein Erdschluss für die Bezugsmasse sorgt. Eine Stromquelle ermöglicht zudem ein schnelleres Umladen der Zweidrahtleitung und damit eine höhere Reaktionsgeschwindigkeit der neuen Sicherheitsschaltungsanordnung. [0027] In einer weiteren Ausgestaltung weist das Meldegerät einen Spannungsregler auf, der eine weitgehend konstante Betriebsspannung für den Signalgenerator anhand der überwiegend konstanten Spannung zwischen der ersten und zweiten Ader erzeugt.
[0028] Diese Ausgestaltung trägt dazu bei, einen stabilen und unterbrechungsfreien Betrieb des Meldegerätes zu gewährleisten, selbst wenn die erste Ader in der oben beschriebenen Doppelfunktion verwendet wird, also einerseits zur Übertragung des definierten Pulssignals und andererseits zur Versorgung des Meldegerätes mit einer Betriebsspannung. Allein schon aufgrund des Pulssignals bricht die Spannung zwischen der ersten und der zweiten Ader prinzipbedingt immer wieder ein. Ein Spannungsregler ist in der Lage, diese Spannungseinbrüche so gut auszugleichen, dass ein stabiler Betrieb des Meldegerätes selbst dann möglich ist, wenn der Signalgenerator mithilfe eines MikroControllers oder eines anderen, gegenüber Spannungseinbrüchen sensiblen Bauelements realisiert ist.
[0029] In einer weiteren Ausgestaltung weist der Signalgenerator einen Signalverarbeitungsschaltkreis und ein vom Signalverarbeitungsschaltkreis angesteuertes Schaltelement auf, das zwischen der ersten und der zweiten Ader angeordnet ist. In bevorzugten Ausführungsbeispielen ist der Signalverarbeitungsschaltkreis ein Mikro- controller, Mikroprozessor, ein ASIC oder ein FPGA, mithin also ein programmierbarer Signal Verarbeitungsschaltkreis .
[0030] In dieser Ausgestaltung ist das Schaltelement, das den Kurzschluss zwischen der ersten und der zweiten Ader ermöglicht, getrennt von dem Signalverarbeitungsschaltkreis, der vorzugsweise den jeweils aktuellen Zustand des Betätigers bestimmt. Die Ausgestaltung macht es möglich, den Kurzschluss mit einem Schaltelement zu bewirken, das zur Aufnahme der Ströme und thermischen Belastungen während des Kurzschlusses optimal dimensioniert ist. Die Ausgestaltung trägt daher zu einen hohen Lebensdauer und Betriebssicherheit des neuen Meldegerätes und der neuen Sicherheitsschaltungsanordnung bei. Andererseits bietet ein programmierbarer Signalverarbeitungsschaltkreis eine hohe Flexibilität bei der Auswahl und Erzeugung des definierten Pulssignals. Es ist leicht möglich, "komplizierte" Pulssignale mit einer definierten Abfolge von längeren und kürzeren Signalpulsen zu erzeugen. Je individueller und komplexer das definierte Pulssignal ist, desto individueller und sicherer kann das Steuergerät die Informationen des Meldegerätes auswerten.
[0031] In einer weiteren Ausgestaltung weist das Meldegerät einen ersten und einen zweiten Signalgenerator auf, die parallel zueinander mit der ersten und der zweiten Ader verbunden sind.
[0032] In dieser Ausgestaltung besitzt das Meldegerät zumindest zwei redundante Signalgeneratoren. In bevorzugten Ausführungsbeispielen ist jeder der zwei Signalgeneratoren in der Lage, ein definiertes Pulssignal zu erzeugen. Die Redundanz ermöglicht einerseits eine vorteilhafte zweikanalige Realisierung und bietet damit eine höhere Fehlersicherheit. Darüber hinaus erhöht die Redundanz auch die Verfügbarkeit, so dass das neue Meldegerät bspw. auch dann ein Pulssignal zu Diagnosezwecken an das Steuergerät übertragen kann, wenn einer der Signalgeneratoren versagt.
[0033] In einer weiteren Ausgestaltung erzeugen der erste und der zweite Signalgenerator das definierte Pulssignal gemeinsam. In bevorzugten Ausführungsbeispielen erzeugt jeder der beiden Signalgeneratoren einen Teil der Signalpulse, wobei erst die Kombination der von den Signalgeneratoren erzeugten Signalpulse das definierte Pulssignal bildet, das der Erwartungshaltung in dem Steuergerät entspricht. In einigen Varianten besitzt der erste Signalgenerator eine Masterfunktion gegenüber dem zweiten Signalgenerator, indem der zweite Signalgenerator Signalpulse nach einem definierten Muster erst dann erzeugt, wenn er eine Anzahl von Signalpulsen des ersten Signalgenerators auf der ersten Ader detektiert hat. Dementsprechend ist es auch bevorzugt, wenn jeder Signalgenerator einen Rückleseeingang aufweist, über den er Signalpulse auf den Leitungen zum Steuergerät einlesen kann. [0034] Die Ausgestaltung ermöglicht eine sehr einfache Erzeugung eines „zweikanaligen" Pulssignals mithilfe von zwei redundanten Signalgeneratoren. Das neue Meldegerät lässt sich daher auch in der zweikanaligen Variante recht kostengünstig realisieren. Ein Rückleseeingang am Signalgenerator ermöglicht darüber hinaus eine einfachere Diagnose von Fehlerzuständen, weshalb diese Variante auch bei einkanaligen Meldegeräten von Vorteil sein kann.
[0035] In einer weiteren Ausgestaltung weist das Meldegerät ein weitgehend geschlossenes Gerätegehäuse auf, in dem der Betätiger und der Impulsgenerator angeordnet sind. In bevorzugten Ausführungsbeispielen ist der Betätiger ein mechanisch bewegter Betätiger, insbesondere ein handbetätigtes Stellelement.
[0036] In dieser Ausgestaltung sind die wesentlichen Komponenten des neuen Meldegerätes in einem Gerätegehäuse gekapselt. Insbesondere sind zumindest der elektrische Anschluss des Betätigers und der Impulsgenerator in dem Gerätegehäuse angeordnet. Die Ausgestaltung besitzt den Vorteil, dass der Betätiger nicht durch unbeabsichtigte Fehlbedienung vom Impulsgenerator getrennt werden kann mit der Folge, dass das definierte Pulssignal des Impulsgenerators durch einen Quer- schluss oder Ähnliches nicht den tatsächlichen Zustand des Betätigers repräsentiert. Die Ausgestaltung bietet daher eine erhöhte Fehlersicherheit.
[0037] In einer weiteren Ausgestaltung ist das Steuergerät dazu ausgebildet, anhand des definierten Pulssignals einen Fehlerzustand des Meldegerätes zu bestimmen. In bevorzugten Varianten ist das Steuergerät ferner dazu ausgebildet, den Fehlerzustand anzuzeigen, bspw. auf einer im Steuergerät angeordneten Anzeigeeinheit und/oder mithilfe eines an einem Diagnoseausgang bereitgestellten Diagnosesignals.
[0038] In dieser Ausgestaltung wird die Fehlersicherheit des Meldegerätes im Steuergerät "gemacht", d.h. die Entscheidung, ob ein Fehlerzustand vorliegt oder nicht, und vor allem die Reaktion auf einen möglichen Fehler des Meldegerätes erfolgt im Steuergerät. Das Pulssignal ist für sich genommen also nicht unbedingt ein „sicheres" Signal. Erst die Interpretation des Pulssignals im Steuergerät, insbesondere der Vergleich mit der im Steuergerät hinterlegten Erwartungshaltung, ermöglicht die Aussage, ob ein Fehler vorliegt. Die Ausgestaltung ermöglicht eine sehr kostengünstige Realisierung, da Fehlerdetektionsmechanismen im Steuergerät ohnehin benötigt werden. Das Meldegerät kann einfacher und damit kostengünstiger realisiert sein.
[0039] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
[0040] Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Fig. 1 eine vereinfachte Darstellung eines Ausführungsbeispiels der neuen
Sicherheitsschaltungsanordnung, und
Fig. 2 eine vereinfachte Darstellung eines Ausführungsbeispiels des neuen
Meldegerätes, das in der Sicherheitsschaltungsanordnung gemäß Fig. 1 verwendet ist.
[0041] In Fig. 1 ist ein Ausführungsbeispiel der neuen Sicherheitsschaltungsanordnung in seiner Gesamtheit mit der Bezugsziffer 10 bezeichnet. Die Sicherheitsschaltungsanordnung 10 beinhaltet ein Steuergerät 12 und ein Meldegerät 14. Das Steuergerät 12 ist in diesem Ausführungsbeispiel ein Sicherheitsschaltgerät mit einem weitgehend festgelegten Funktionsumfang. Geeignete Sicherheitsschaltgeräte werden von der Anmelderin unter der Bezeichnung PNOZ® angeboten. Das Sicherheitsschaltgerät 12 ist dazu ausgebildet, Eingangssignale von Meldegeräten zu verarbeiten, um in Abhängigkeit davon einen Aktor, wie etwa einen Schütz, ein Magnetventil oder einen elektrischen Antrieb ein- oder auszuschalten. Alternativ zu einem Sicherheitsschaltgerät könnte das Steuergerät 12 eine programmierbare Sicherheitssteuerung sein, wie sie von der Anmelderin unter der Bezeichnung PSS® in verschiedenen Varianten angeboten wird.
[0042] Das Steuergerät 12 ist mehrkanalig-redundant und es beinhaltet Testfunktionen, die dazu ausgebildet sind, interne Bauteilversagen und externe Fehler in der Beschaltung zu erkennen, um eine überwachte Anlage bei Auftreten eines Fehlers in einen sicheren Zustand zu bringen. In den bevorzugten Ausführungsbeispielen ist das Steuergerät 12 fehlersicher im Sinne der Kategorie 3 oder höher gemäß der europäischen Norm EN 954-1, im Sinne von SIL2 gemäß der internationalen Norm IEC 61508 oder im Sinne vergleichbarer Anforderungen. Vereinfacht sind hier zwei redundante Signalverarbeitungskanäle in Form von zwei MikroControllern 16a, 16b dargestellt, die jeweils ein Schalt element 18a, 18b ansteuern. Anstelle von Mikro Controllern könnte das Steuergerät 12 Mikroprozessoren, ASICs, FPGAs oder andere Signal- und Datenverarbeitungsschaltkreise besitzen.
[0043] Die Schaltelemente 18 sind hier als Relais dargestellt, deren Arbeitskontakte in Reihe zueinander angeordnet sind. Die Arbeitskontakte bilden einen Stromversorgungspfad 20 zwischen einer Stromversorgung 22 und einem elektrischen Antrieb 24, der hier eine Maschinenanlage symbolisiert. Es versteht sich, dass die Maschinenanlage in realen Fällen eine Vielzahl von elektrischen Antrieben und anderen Aktuatoren beinhalten kann. Die Erfindung ist auch nicht auf Maschinenanlagen im engeren Sinne von Produktionsmaschinen beschränkt. Sie kann vielmehr bei allen technischen Anlagen eingesetzt werden, von denen im Betrieb eine Gefahr ausgeht und die in einem solchen Fall in einen sicheren Zustand gebracht werden müssen, insbesondere durch Unterbrechen eines Stromversorgungspfades 20. Anstelle oder in Ergänzung zu den Relais 18 kann das Steuergerät 12 elektronische Schaltelemente aufweisen, insbesondere Leistungstransistoren. In einigen Ausführungsbeispielen besitzt das Steuergerät 12 ausgangsseitig mehrere redundante elektronische Schaltelemente, die jeweils ein potenzialbezogenes Ausgangssignal bereitstellen, mit dem externe Schütze, Magnetventile oder dergleichen angesteuert werden können. [0044] In den bevorzugten Ausführungsbeispielen besitzt das Steuergerät 12 ein Gerätegehäuse 26, in dem die einzelnen Bauelemente, insbesondere die Prozessoren 16 und Schaltelemente 18, angeordnet sind. Am Gerätegehäuse sind Anschlussklemmen angeordnet, von denen einige hier mit den Bezugsziffern 28, 30, 32, 34 bezeichnet sind.
[0045] Die Anschlussklemme 30 ist im vorliegenden Fall eine Anschlussklemme zum Zuführen einer Betriebsspannung UB für das Steuergerät 12. In einigen Ausführungsbeispielen ist die Betriebsspannung UB eine 24-Volt-Gleichspannung, die zur Versorgung der Prozessoren 16, Schaltelemente 18 und weiteren Bauelementen des Steuergerätes 12 benötigt wird. Die Anschlussklemme 32 ist hier ein Massean- schluss, auf den sich die Versorgungsspannung UB bezieht. Anschluss 32 ist in diesem Fall also die Gerätemasse des Steuergerätes 12.
[0046] Die Anschlussklemme 34 bildet einen Signaleingang des Steuergerätes 12. Ein an der Anschlussklemme 34 anliegendes Eingangssignal ist den Mikro- controllern 16 redundant zugeführt und wird von den MikroControllern 16 redundant ausgewertet, um in Abhängigkeit davon die Schaltelemente 18 anzusteuern. Gemäß einem bevorzugten Ausführungsbeispiel besitzt das Steuergerät 12 hier einen Pull-up-Widerstand 36, der die Anschlussklemme 34 mit der Betriebsspannung UB an der Anschlussklemme 30 verbindet. Das Potenzial an der Anschlussklemme 34 wird also auf das Potenzial der Betriebsspannung UB "hochgezogen", was in Verbindung mit dem nachfolgend erläuterten Meldegerät eine besonders bevorzugte Realisierung ist. In einigen Ausführungsbeispielen kann der Pull-up-Widerstand 36 in die Anschlussklemmen 30, 34 integriert. In anderen Ausführungsbeispielen kann der Pull- up-Widerstand 36 außerhalb des Steuergerätes 12 angeordnet sein.
[0047] Das Meldegerät 14 besitzt einen Betätiger 40, der hier ein handbetätigter Taster ist. Der Betätiger 40 ist über eine Feder (hier nicht dargestellt) in einer ersten Betriebsposition vorgespannt, in der hier ein elektrischer Kontakt 41 geöffnet ist. Dies ist im vorliegenden Ausführungsbeispiel der inaktive Ruhezustand (zweite Zustand) des Betätigers 40. Der Betätiger 40 kann gegen die Federkraft in eine zweite Betriebsposition 40' gebracht werden, in der der Kontakt 41 geschlossen ist. Bei geschlossenem Kontakt 41 ist ein Impulsgenerator 42 mit der Betriebsspannung UB verbunden. Der Impulsgenerator 42 erzeugt dann ein definiertes Pulssignal 44 mit einer Vielzahl von Signalpulsen 46. Der Zustand 40' ist folglich ein definierter erster Zustand im Sinne der vorliegenden Erfindung. In einem Ausführungsbeispiel erhält der Impulsgenerator 42 die für das Erzeugen der Signalpulse 46 benötigte Betriebsspannung nur bei aktiviertem Betätiger 40. Andernfalls ist er spannungslos. In allen derzeit bevorzugten Ausführungsbeispielen erzeugt der Impulsgenerator 42 das Pulssignal 44 nur dann, wenn sich der Betätiger 40 in dem definierten Zustand 40' befindet.
[0048] Im dargestellten Ausführungsbeispiel ist der Betätiger ein einfacher handbetätigter Schließerkontakt. In anderen Ausführungsbeispielen kann der Betätiger ein Öffnerkontakt oder eine Kombination von Öffner- und Schließerkontakten sein. Des weiteren kann der Betätiger ein Transponder, eine Lichtschranke oder ein Messwertgeber für Temperatur, Druck, Spannung u.a. sein. In einem bevorzugten Ausführungsbeispiel dient das Meldegerät 14 zum sicheren Einschalten des Antriebs 24 zu test- und Einrichtzwecken. Das Meldegerät 14 kann dabei in einer großen Entfernung von dem Antrieb 24 und dem Steuergerät 12 angeordnet sein. In einem Ausführungsbeispiel ist das Steuergerät 12 in einem Schaltschrank in der Nähe des Antriebes 24 angeordnet, während das Meldegerät 14 mehrere einhundert Meter von dem Schaltschrank entfernt ist. In anderen Ausführungsbeispielen kann das Meldegerät 14 als Not- Aus-Taster, Schutztürschalter, Näherungsschalter, Lichtschranke, Temperaturwächter oder dergleichen ausgebildet sein.
[0049] Das Meldegerät 14 ist hier über zwei Leitungsadern 50, 52 einer Zweidrahtleitung 54 mit dem Steuergerät 12 verbunden. Die erste Leitungsader 50 führt von einer Anschlussklemme 56 des Meldegerätes zu der Anschlussklemme 34 des Steuergerätes. Die zweite Leitungsader 52 führt von einer Anschlussklemme 58 des Meldegerätes zu der Anschlussklemme 32. Die Anschlussklemmen 56, 58 sind an einem Gerätegehäuse 60 angeordnet, das den Impulsgenerator 42 und den Betätiger 40 (soweit möglich) umschließt.
[0050] Charakteristisch an der neuen Sicherheitsschaltungsanordnung 10 ist die Fähigkeit des Meldegerätes 14, allein in Abhängigkeit von der Betätigung des Betätigers 40 ein definiertes„eigenes" Pulssignal 44 zu erzeugen, das dem Steuergerät 12 über die Zweidrahtleitung 54 zugeführt ist. Im Gegensatz zu bekannten Sicher- heitsschaltungsanordnungen empfängt das Meldegerät 14 in den bevorzugten Ausführungsbeispielen kein Freigabe- oder Anforderungssignal von dem Steuergerät 12. Es erzeugt das Pulssignal 44 vielmehr selbstständig, sobald sich der Betätiger 40 in dem definierten ersten Zustand 40' befindet. Im Steuergerät 12 (genauer gesagt in einem Speicher, der beispielsweise in den MikroControllern 16 enthalten ist) ist das definierte Pulssignal 44 als Erwartungshaltung abgespeichert. Sobald die MikroController 16 das definierte Pulssignal 44 am Signaleingang 34 erkennen, wird dies als Betätigung des Betätigers 40 interpretiert. In dem dargestellten Ausführungsbeispiel schalten die MikrocontroUer 16 den Antrieb 24 dann über die Schaltelemente 18 ein.
[0051] Wenn das Meldegerät 14 hingegen als Not-Aus-Taster fungieren soll, ist der Ruhezustand des Betätigers 40 vorzugsweise so gewählt, dass der Impulsgenerator 42 das Pulssignal 44 kontinuierlich erzeugt und bei Betätigen des Not-AusTasters unterbricht. Die MikrocontroUer 16 erkennen das Fehlen des Pulssignals 44 und schalten den Antrieb 24 dementsprechend ab.
[0052] Wie in Fig. 1 dargestellt ist, kann die Sicherheitsschaltungsanordnung 10 weitere Meldegeräte 14' beinhalten, die parallel zu dem Meldegerät 14 an die Anschlussklemmen 32, 34 angeschlossen sind. Vorzugsweise erzeugt ein weiteres Meldegerät 14' ein anderes definiertes Pulssignal 44', das sich von dem Pulssignal 44 unterscheidet. Das Steuergerät 12 kann dann anhand der Pulssignale erkennen, von welchem Meldegerät ein am Eingang 34 anliegendes Pulssignal stammt. [0053] In Fig. 2 ist ein weiteres Ausführungsbeispiel des neuen Meldegerätes gezeigt. Gleiche Bezugszeichen bezeichnen dieselben Elemente wie zuvor.
[0054] Das Meldegerät 14 besitzt in diesem Ausführungsbeispiel einen Mik- rocontroller 70a und ein Schaltelement 72a, das von dem MikroController 70a angesteuert wird. Das Schaltelement 72a ist hier ein Feldeffekttransistor (FET), dessen Source- und Drainanschlüsse zwischen den Anschlussklemmen 56, 58 angeordnet sind. Der FEt ist somit in der Lage, einen Kurzschluss zwischen den Leitungsadern 50, 52 der Zweidrahtleitung 54 zu bewirken. Anstelle eines FET kann ein bipolarer Transistor mit seinem Kollektor- und Emitteranschluss zwischen den Anschlussklemmen 56, 58 angeordnet sein. In einem abgewandelten Ausführungsbeispiel kann zwischen dem Schaltelement und einer der beiden Anschlussklemmen 56, 58 ein elektrischer Widerstand 73 angeordnet sein, der mit dem Pull-up- Widerstand 36 im Steuergerät einen Spannungsteiler bildet. Ein solcher Widerstand hat zur Folge, dass die Spannung zwischen den beiden Leitungsadern 50, 52 bei einem Spannungseinbruch, den das Meldegerät erzeugt, nicht auf Null absinkt, sondern auf einen Spannungswert, der dem Teilerverhältnis des Spannungsteilers 36, 73 entspricht. Diese Variante besitzt den Vorteil, dass die Betriebsspannung für das Meldegerät beim Erzeugen der Signalpulse 46 nicht vollständig wegbricht.
[0055] Mit der Bezugsziffer 74a ist ein Spannungsregler (DC/DC-Wandler) bezeichnet, der die an der Anschlussklemme 56 anliegende Spannung über eine Diode 76a erhält. Der Spannungsregler erzeugt an seinem Ausgang 78a eine geregelte Gleichspannung von beispielsweise 5 Volt, die als Betriebsspannung für den Mikro- controller 70a dient. Der Spannungsregler 74a gleicht insbesondere diejenigen Spannungseinbrüche auf der Leitungsader 50 aus, die durch die Erzeugung des Pulssignals 44 entstehen. Darüber hinaus gleicht der Spannungsregler 74 auch andere Spannungsschwankungen aus, einschließlich solche, die bspw. von dem Meldegerät 14' hervorgerufen wurden. [0056] Mit der Bezugsziffer 40a ist hier der Schließerkontakt des Betätigers 40 bezeichnet. Der Kontakt 40a bildet hier mit einem Widerstand 80a einen (weiteren) Spannungsteiler, an dessen mittlerem Abgriff ein Eingang des MikroControllers 70a angeschlossen ist. Der MikroController 70a kann auf diese Weise den Betätigungszustand des Betätigers 40 einlesen und in Abhängigkeit davon das Pulssignal 44 erzeugen, indem er mithilfe des Schaltelements 42 einen Kurzschluss zwischen den Leitungsadern 50, 52 hervorruft.
[0057] Mit den Bezugsziffern 82a, 84a sind zwei weitere Widerstände bezeichnet, die einen zweiten Spannungsteiler bilden, der parallel zu den Anschlussklemmen 56, 58 angeordnet ist. Ein mittlerer Abgriff des Spannungsteilers 82a, 84a führt auf einen weiteren Eingang des MikroControllers 70a. Mithilfe des Spannungsteilers 82a, 84a kann der Mikro Controller 70a die Signalpulse 46 zurücklesen.
[0058] In einigen Ausführungsbeispielen ist das Meldegerät 14 einkanalig ausgebildet. In bevorzugten Ausführungsbeispielen besitzt das Meldegerät 14 jedoch einen redundanten zweiten Kanal, der hier in seiner Gesamtheit mit der Bezugsziffer 86b bezeichnet ist. Der Kanal 86b ist in dem dargestellten Ausführungsbeispiel genauso aufgebaut wie der beschriebene erste Kanal 86a, d.h. er besitzt einen Mikro- controller 70b, ein Schaltelement 72b und einen Spannungsregler 74b. Das Schaltelement 72b ist parallel zu dem Schaltelement 72a zwischen die Anschlussklemmen 56, 58 geschaltet, so dass auch der MikroController 70b einen Spannungseinbruch zwischen den Leitungsadern 50, 52 erzeugen kann.
[0059] In einem bevorzugten Ausführungsbeispiel erzeugen die beiden Mik- rocontroller 70, 70b das definierte Pulssignal 44 gemeinsam, sobald der Betätiger 40 in seinem aktivierten Zustand ist. Beispielsweise erzeugt der MikroController 70a zunächst einen ersten Signalpuls 46a, indem er das Schaltelement 72a für eine definierte Zeitspanne (Pulsdauer) in den leitenden Zustand bringt. Der Mikrocontrol- ler 70b kann den Signalpuls 46a über den Spannungsteiler 82b, 84b lesen und er erzeugt nach einer im MikroController 70b eingestellten Verzögerungszeit einen zweiten Signalpuls 46b, indem er nun das Schaltelement 72b in den leitenden Zustand bringt. Der resultierende Kurzschluss ist in Fig. 2 bei der Bezugsziffer 88 gezeigt. Im Folgenden erzeugen die MikrocontroUer 70a, 70b in einer definierten Sequenz Signalpulse 46a, 46b durch jeweiliges Kurzschließen der Leitungsadern 50, 52, was dann zu dem definierten Pulssignal 44 führt. Fig. 2 zeigt das Pulssignal 44, das sich aus der Kombination der Signalpulse 90 des ersten Kanals 86a und der Signalpulse 92 des zweiten Kanals 86b ergibt.
[0060] In weiteren Ausführungsbeispielen kann der zweite Kanal 86b ein Schaltelement 72b beinhalten, das seriell zu dem Schaltelement 72a zwischen den Anschlussklemmen 56, 58 angeordnet ist. Des weiteren können die beiden Kanäle 86a, 86b über ein UND-Glied (hier nicht dargestellt) zusammengeführt sein. Das UND-Glied steuert dann bevorzugt das Schaltelement 72a an. Die in Fig. 2 dargestellte Variante besitzt demgegenüber den Vorteil, dass jeder MikrocontroUer 70a, 70b ein definiertes Pulssignal unabhängig vom jeweils anderen Kanal erzeugen kann. Dies kann im Steuergerät 12 vorteilhaft genutzt werden, um zu bestimmen, welcher der beiden Kanäle 86a, 86b Ursache für ein fehlerhaftes Pulssignal ist.

Claims

Patentansprüche
1. Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage (24), mit einem Steuergerät (12), das dazu ausgebildet ist, einen Stromversorgungspfad (20) zu der Anlage (24) fehlersicher zu schließen oder zu unterbrechen, und mit einem Meldegerät (14), das über eine Anzahl von Leitungen (50, 52) mit dem Steuergerät (12) verbunden ist, wobei das Meldegerät (14) einen Betätiger (40) aufweist, der zwischen einem definierten ersten Zustand (40) und einem zweiten Zustand (40') wechselbar ist, und einen Impulsgenerator (42), der dazu ausgebildet ist, ein definiertes Pulssignal (44) mit einer Vielzahl von Signalpulsen (46) auf den Leitungen (50, 52) zu erzeugen, wenn der Betätiger (40) in dem definierten ersten Zustand ist, dadurch gekennzeichnet, dass das Meldegerät (14) mit dem Steuergerät (12) über eine Zweidrahtleitung (54) mit einer ersten und einer zweiten Ader (50, 52) verbunden ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger (40) in dem zweiten Zustand ist, und dass der Impulsgenerator (42) dazu ausgebildet ist, einen Spannungseinbruch (88) zwischen der ersten Ader (50) und der zweiten Ader (52) zu bewirken, um die Vielzahl von Signalpulsen (46) zu erzeugen.
2. Sicherheitsschaltungsanordnung nach Anspruch 1, dadurch gekennzeichnet, dass das Steuergerät (12) einen Signaleingangsanschluss (34) besitzt, der elektrisch mit der ersten Ader (50) verbunden ist, und einen Masseanschluss (32), der elektrisch mit der zweiten Ader (52) verbunden ist.
3. Sicherheitsschaltungsanordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Ader (50) ferner mit einer Betriebsspannungsquelle (UB) verbunden ist, die entfernt von dem Meldegerät (14) angeordnet ist.
4. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Meldegerät (14) einen Spannungsregler (74) auf- weist, der eine konstante Betriebsspannung für den Signalgenerator (42) anhand der überwiegend konstanten Spannung zwischen der ersten und zweiten Ader (50, 52) erzeugt.
5. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der Signalgenerator (42) einen Signalverarbeitungsschaltkreis (70) und ein vom Signalverarbeitungsschaltkreis (70) angesteuertes Schaltelement (72) aufweist, das zwischen der ersten und der zweiten Ader (50, 52) angeordnet ist.
6. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Meldegerät (14) einen ersten und einen zweiten Signalgenerator (70a, 72a; 70b, 72b) aufweist, die parallel zueinander mit der ersten und der zweiten Ader (50, 52) verbunden sind.
7. Sicherheitsschaltungsanordnung nach Anspruch 6, dadurch gekennzeichnet, dass der erste und der zweite Signalgenerator (70a, 72a; 70b, 72b) das definierte Pulssignal (44) gemeinsam erzeugen.
8. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Meldegerät (14) ein weitgehend geschlossenes Gerätegehäuse (60) aufweist, in dem der Betätiger (40) und der Impulsgenerator (42) angeordnet sind.
9. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Steuergerät (12) dazu ausgebildet ist, anhand des definierten Pulssignals (44) einen Fehlerzustand des Meldegerätes (14) zu bestimmen.
10. Meldegerät für eine Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 9, mit einer Anzahl von Anschlüssen (56, 58) zum Anschließen einer Mehrdrahtleitung (54), über die das Meldegerät (14) mit dem Steuergerät (12) verbunden werden kann, mit einem Betätiger (40), der zwischen einem definierten ersten und einem zweiten Zustand (40') wechselbar ist, und mit einem Impulsgenerator (42), der dazu ausgebildet ist, ein definiertes Pulssignal (44) mit einer Vielzahl von Signalpulsen (46) auf der Mehrdrahtleitung (54) zu erzeugen, wenn der Betätiger (40) in dem definierten ersten Zustand ist, dadurch gekennzeichnet, dass die Mehrdrahtleitung (54) eine Zweidrahtleitung mit einer ersten Ader (50) und einer zweiten Ader (52) ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger (40) in dem zweiten Zustand ist, und dass der Impulsgenerator (42) dazu ausgebildet ist, einen Kurzschluss (88) zwischen der ersten Ader (50) und der zweiten Ader (52) zu bewirken, um die Vielzahl von Signalpulsen (46) zu erzeugen.
PCT/EP2011/060444 2010-06-25 2011-06-22 Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage WO2011161158A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP11726815.1A EP2586051B1 (de) 2010-06-25 2011-06-22 Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
JP2013515882A JP5778268B2 (ja) 2010-06-25 2011-06-22 設備のフェールセーフな接続または接続解除のための安全回路
CN201180041121.5A CN103081052B (zh) 2010-06-25 2011-06-22 用于以故障安全的方式接通或断开危险的设备的安全电路装置
US13/721,620 US9293285B2 (en) 2010-06-25 2012-12-20 Safety circuit arrangement for connection or failsafe disconnection of a hazardous installation

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102010025675.7 2010-06-25
DE102010025675A DE102010025675B3 (de) 2010-06-25 2010-06-25 Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US13/721,620 Continuation US9293285B2 (en) 2010-06-25 2012-12-20 Safety circuit arrangement for connection or failsafe disconnection of a hazardous installation

Publications (1)

Publication Number Publication Date
WO2011161158A1 true WO2011161158A1 (de) 2011-12-29

Family

ID=44352158

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2011/060444 WO2011161158A1 (de) 2010-06-25 2011-06-22 Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage

Country Status (6)

Country Link
US (1) US9293285B2 (de)
EP (1) EP2586051B1 (de)
JP (1) JP5778268B2 (de)
CN (1) CN103081052B (de)
DE (1) DE102010025675B3 (de)
WO (1) WO2011161158A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3069202B1 (de) 2013-11-13 2019-07-24 Pilz GmbH & Co. KG Sicherheitssteuerung mit konfigurierbaren eingängen

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011016137A1 (de) 2011-03-30 2012-10-04 Pilz Gmbh & Co. Kg Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage
EP2720098B1 (de) 2012-10-10 2020-04-15 Sick Ag Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
EP2720051B1 (de) 2012-10-10 2015-01-21 Sick Ag Sicherheitssystem
EP2720094B1 (de) 2012-10-10 2015-05-20 Sick Ag Sicherheitssystem
EP2720414B1 (de) 2012-10-10 2014-12-10 Sick Ag Bussystem
EP2887163B1 (de) * 2013-12-18 2018-01-17 Festo AG & Co. KG Überwachungsvorrichtung, Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
DE102014100970A1 (de) * 2014-01-28 2015-07-30 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
EP2950174A1 (de) * 2014-05-26 2015-12-02 Sick Ag Verfahren und Vorrichtung zum sicheren Überprüfen eines Zustandes zweier Einrichtungen
ES2900820T3 (es) * 2015-08-06 2022-03-18 Euchner Gmbh Co Kg Interruptor de seguridad
US10360790B2 (en) 2016-04-22 2019-07-23 Banner Engineering Corp. Safety touch button system having an intercommunications link
DE102016125031A1 (de) * 2016-12-20 2018-06-21 Pilz Gmbh & Co. Kg Sicherheitsschaltanordnung zum fehlersicheren Abschalten einer elektrisch angetriebenen Anlage
DE102016125382A1 (de) * 2016-12-22 2018-06-28 Phoenix Contact Gmbh & Co. Kg Modulare Schaltschützanordnung
DE102017110484A1 (de) * 2017-05-15 2018-11-15 Rheinisch-Westfälische Technische Hochschule (Rwth) Aachen Verfahren zur Detektion von Störungen in einer Anordnung einer Mehrzahl von elektrischen Bauteilen
EP3557113A1 (de) 2018-04-20 2019-10-23 EUCHNER GmbH + Co. KG Sicherheitsschalter
JP6635238B1 (ja) * 2019-03-11 2020-01-22 三菱電機株式会社 安全制御装置および安全制御システム
CN110007663A (zh) * 2019-05-14 2019-07-12 中国核动力研究设计院 核安全级dcs的开关量输出动态诊断系统及方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4333358A1 (de) 1993-09-30 1995-04-06 Bosch Gmbh Robert Schaltungsanordnung zur Informationsübertragung auf einer Zweidrahtleitung
DE19911698A1 (de) 1999-03-16 2000-09-21 Sick Ag Sicherheitsschaltanordnung
DE10023199A1 (de) 1999-05-17 2001-01-18 Keba Gmbh & Co Sicherheitsschalteinrichtung für elektrische Maschinen bzw. Roboter sowie Handbediengerät und Verfahren hierfür
DE10011211A1 (de) 2000-03-08 2001-09-20 Pilz Gmbh & Co Sicherheitsschaltgerät und Sicherheitsschaltgeräte-System
DE10216226A1 (de) 2002-04-08 2003-10-30 Pilz Gmbh & Co Vorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers, insbesondere in industriellen Produktionsanlagen
EP1363306A2 (de) * 2002-05-18 2003-11-19 K.A. SCHMERSAL GmbH & Co. Sicherheitsschalter, Sicherheitskreis mit Sicherheitsschaltern und Verfahren zum Betrieb eines Sicherheitsschalters
DE10348884A1 (de) 2003-10-14 2005-05-25 Pilz Gmbh & Co. Kg Sicherheitsschalter, insbesondere Not-Aus-Schalter, zum sicheren Abschalten eines gefahrbringenden Gerätes
DE102004020997A1 (de) 2004-04-19 2005-11-03 Pilz Gmbh & Co. Kg Sicherheitsschalteinrichtung für eine Sicherheitsschaltung
DE102006027135B3 (de) * 2006-06-12 2007-09-06 K.A. Schmersal Holding Kg Verfahren zum Betrieb einer Vorrichtung, insbesondere eines Sicherheitsschalters, und die Vorrichtung

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
DE102004020995C5 (de) * 2004-04-19 2016-12-08 Pilz Gmbh & Co. Kg Meldegerät für eine Sicherheitsschaltung
WO2005101439A1 (de) 2004-04-19 2005-10-27 Pilz Gmbh & Co. Kg Meldegerät für eine sicherheitsschaltung
DE102011016137A1 (de) * 2011-03-30 2012-10-04 Pilz Gmbh & Co. Kg Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4333358A1 (de) 1993-09-30 1995-04-06 Bosch Gmbh Robert Schaltungsanordnung zur Informationsübertragung auf einer Zweidrahtleitung
DE19911698A1 (de) 1999-03-16 2000-09-21 Sick Ag Sicherheitsschaltanordnung
DE10023199A1 (de) 1999-05-17 2001-01-18 Keba Gmbh & Co Sicherheitsschalteinrichtung für elektrische Maschinen bzw. Roboter sowie Handbediengerät und Verfahren hierfür
DE10011211A1 (de) 2000-03-08 2001-09-20 Pilz Gmbh & Co Sicherheitsschaltgerät und Sicherheitsschaltgeräte-System
DE10216226A1 (de) 2002-04-08 2003-10-30 Pilz Gmbh & Co Vorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers, insbesondere in industriellen Produktionsanlagen
EP1363306A2 (de) * 2002-05-18 2003-11-19 K.A. SCHMERSAL GmbH & Co. Sicherheitsschalter, Sicherheitskreis mit Sicherheitsschaltern und Verfahren zum Betrieb eines Sicherheitsschalters
DE10348884A1 (de) 2003-10-14 2005-05-25 Pilz Gmbh & Co. Kg Sicherheitsschalter, insbesondere Not-Aus-Schalter, zum sicheren Abschalten eines gefahrbringenden Gerätes
DE102004020997A1 (de) 2004-04-19 2005-11-03 Pilz Gmbh & Co. Kg Sicherheitsschalteinrichtung für eine Sicherheitsschaltung
DE102006027135B3 (de) * 2006-06-12 2007-09-06 K.A. Schmersal Holding Kg Verfahren zum Betrieb einer Vorrichtung, insbesondere eines Sicherheitsschalters, und die Vorrichtung

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3069202B1 (de) 2013-11-13 2019-07-24 Pilz GmbH & Co. KG Sicherheitssteuerung mit konfigurierbaren eingängen

Also Published As

Publication number Publication date
JP2013529832A (ja) 2013-07-22
US9293285B2 (en) 2016-03-22
CN103081052B (zh) 2016-06-08
DE102010025675B3 (de) 2011-11-10
JP5778268B2 (ja) 2015-09-16
EP2586051B1 (de) 2019-01-09
CN103081052A (zh) 2013-05-01
EP2586051A1 (de) 2013-05-01
US20130113304A1 (en) 2013-05-09

Similar Documents

Publication Publication Date Title
EP2586051B1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
EP1738383B1 (de) Meldegerät für eine sicherheitsschaltung
EP2691969B1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
EP1738382B2 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
EP1946349B1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers
EP3271932B1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten einer elektrischen last
EP1493064B1 (de) Vorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers, insbesondere in industriellen produktionsanlagen
EP2649496B1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten eines elektrischen verbrauchers
EP3014365B1 (de) Sicherheitsschaltvorrichtung zur detektion von fehlerhaften eingängen
DE102004020995C5 (de) Meldegerät für eine Sicherheitsschaltung
DE102006010106A1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers
DE102016110641B3 (de) Feldbusmodul und Verfahren zum Betreiben eines Feldbussystems
EP2357484A1 (de) Verfahren zur Diagnose einer elektrischen Verbindung und Ausgabebaugruppe
EP0809361B1 (de) Elektronisches Schaltgerät und Schaltungsanordnung zur Überwachung einer Anlage
DE102014000283A1 (de) Sicherheitssteuermodul und Steuerungseinrichtung für eine fluidisch antreibbare Bearbeitungsmaschine
EP2682834B1 (de) Verfahren und Vorrichtung zur Überwachung eines Sicherheitsschaltgeräts
EP3660597B1 (de) Schaltgerät zum fehlersicheren ein- oder ausschalten einer gefährlichen maschinenanlage
DE102011088521B4 (de) Erweiterungsmodul für ein Sicherheitssystem
EP1353344A1 (de) Schaltvorrichtung zur Signalisierung einer binaeren information
DE102014116188A1 (de) System zum fehlersicheren Abschalten eines elektrischen Verbrauchers
DE1513297C (de)
DE102011013886A1 (de) Vorrichtung zum automatisierten Steuern einer technischen Anlage

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 201180041121.5

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11726815

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2013515882

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2011726815

Country of ref document: EP