[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE102006001805A1 - Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung - Google Patents

Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung Download PDF

Info

Publication number
DE102006001805A1
DE102006001805A1 DE200610001805 DE102006001805A DE102006001805A1 DE 102006001805 A1 DE102006001805 A1 DE 102006001805A1 DE 200610001805 DE200610001805 DE 200610001805 DE 102006001805 A DE102006001805 A DE 102006001805A DE 102006001805 A1 DE102006001805 A1 DE 102006001805A1
Authority
DE
Germany
Prior art keywords
signal
microprocessor
input
control device
safety
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200610001805
Other languages
English (en)
Inventor
Andre Korrek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact GmbH and Co KG
Original Assignee
Phoenix Contact GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Phoenix Contact GmbH and Co KG filed Critical Phoenix Contact GmbH and Co KG
Priority to DE200610001805 priority Critical patent/DE102006001805A1/de
Priority to CN201010610763XA priority patent/CN102013666A/zh
Priority to CN2010106107714A priority patent/CN102176114B/zh
Priority to PCT/EP2006/007518 priority patent/WO2007014725A1/de
Priority to CN200680028363XA priority patent/CN101238536B/zh
Priority to EP06762897A priority patent/EP1911058B1/de
Priority to DE502006002274T priority patent/DE502006002274D1/de
Priority to EP08017536.7A priority patent/EP2017868B1/de
Priority to EP08017535A priority patent/EP2017867B1/de
Priority to EP08017537A priority patent/EP2017869B1/de
Priority to DE502006007296T priority patent/DE502006007296D1/de
Priority to JP2008524412A priority patent/JP4589436B2/ja
Priority to DE502006007907T priority patent/DE502006007907D1/de
Priority to US11/915,326 priority patent/US8363371B2/en
Priority to DE102007032827A priority patent/DE102007032827A1/de
Publication of DE102006001805A1 publication Critical patent/DE102006001805A1/de
Priority to US13/555,286 priority patent/US8675330B2/en
Priority to US13/555,293 priority patent/US9239572B2/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft eine asymmetrische, mehrkanalige Sicherheitsvorrichtung (50, 110), mit der eine sicherheitstechnische Einrichtung, wie zum Beispiel eine Automatisierungsanlage, in einen gesicherten Zustand gefahren werden kann. Hierzu weist die Sicherheitsvorrichtung (50, 110) eine erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) auf, die eine Signalerzeugungseinrichtung (72; 122) zum Erzeugen eines Überwachungssignals aufweist. Ferner ist eine zweite Steuereinrichtung (80; 140) vorgesehen. Eine Eingangsstufe (60) ist ausgangsseitig mit der ersten, mikroprozessorgesteuerten Einrichtung (70; 120) und der zweiten Einrichtung (80; 140) verbunden und dient zum Modulieren eines Eingangssignals mit dem Überwachungssignal, welches von der ersten, mikroprozessorgesteuerten Steuereinrichtung (70; 120) kommt. Die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) und die zweite Steuereinrichtung (80; 140) steuern unter Ansprechen auf das modulierte Eingangssignal die sicherheitstechnische Einrichtung bei Auftritt eines Fehlers in einen vorbestimmten sicheren Zustand.

Description

  • Die Erfindung betrifft eine Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung, die insbesondere Bestandteil einer Automatisierungsanlage sein kann.
  • Automatisierungsanlagen umfassen in der Regel Feldbussysteme, an die Aktoren, Sensoren sowie über- und/oder untergeordnete Steuer- und Überwachungseinrichtungen angeschaltet sein können. Eine wichtige Anforderung an derartige Automatisierungsanlagen ist, dass insbesondere bei Auftritt eines Fehlers eine fehlerhafte sicherheitstechnische Komponente, z. B. ein Aktor, oder sogar die gesamte Automatisierungsanlage in einen gesicherten Zustand gefahren werden kann. Um ein sicheres Abschalten der Automatisierungsanlage oder eines fehlerhaften Aktors zu ermöglichen, muss sichergestellt sein, dass ein definiertes Eingangssignal, welches die Automatisierungsanlage in den sicheren Zustand fahren soll, immer als ein Ausschaltsignal interpretiert wird.
  • Bei Anlagen und Geräten, die zu einer bestimmten Sicherheitskategorie gehören, werden beispielsweise mehrkanalige Überwachungssysteme verwendet, die unabhängig voneinander arbeitende Subsysteme enthalten, die jeweils für sich die Anlage oder einzelne Geräte in einen gesicherten Zustand fahren können. Die mehrkanaligen oder redundant aufgebauten Überwachungssysteme sind weiterhin derart ausgebildet, dass die Subsysteme die Funktionsfähigkeit des jeweils anderen Subsystems überwachen können. Die gegenseitige Überwachung erfolgt in der Regel durch einen bidirektionalen Austausch von Statusdaten. Derartige bekannte mehrkanalige Überwachungssysteme sind symmetrisch aufgebaut. Das bedeutet, dass ein von einer Eingangsstufe geliefertes Eingangssignal, welches den Betriebszustand einer zu überwachenden Anlage steuert, unmittelbar an den Eingang jedes Subsystems des Überwachungssystems angelegt wird, wie dies in 1 gezeigt ist.
    •
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine neuartige Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung, insbesondere einer Automatisierungsanlage, bereitzustellen.
  • Ein Kerngedanke der Erfindung ist darin zu sehen, dass im Gegensatz zu bestehenden symmetrischen mehrkanaligen Überwachungssystemen, nachfolgend auch Sicherheitsvorrichtung genannt, bei denen das von einer Eingangsstufe bereitgestellte Eingangssignal unmittelbar an jedes Subsystem angelegt wird, das Eingangssignal in einer vorbestimmten Weise moduliert und anschließend den Subsystemen, nachfolgend auch Steuereinrichtungen genannt, zugeführt wird. Insbesondere erfolgt bei der erfindungsgemäßen Sicherheitsvorrichtung keine gegenseitige Überwachung der verschiedenen Steuereinrichtungen. Statt dessen fungiert eine mikroprozessorgesteuerte Steuereinrichtung als Master, welche die andere Steuereinrichtung, welche als Slave betrieben wird, überwacht.
  • Das oben genannte technische Problem löst die Erfindung mit den Merkmalen des Anspruchs 1.
  • Danach ist eine Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung vorgesehen. An dieser Stelle sei darauf hingewiesen, dass es sich bei einer sicherheitstechnischen Einrichtung um einen Aktor einer Automatisierungsanlage, eine ausführbare sicherheitstechnische Anwendung und/oder um eine Automatisierungsanlage selbst handeln.
  • Hierzu ist eine erste, mikroprozessorgesteuerte Steuereinrichtung vorgesehen, die einen ersten sogenannten Steuerkanal bildet. Die erste, mikroprozessorgesteuerte Steuereinrichtung weist eine Signalerzeugungseinrichtung zum Erzeugen eines Überwachungssignals auf. Ein zweiter Steuerkanal weist eine zweite Steuereinrichtung auf.
  • Das Überwachungssignal dient vor allem dazu, der Sicherheitsvorrichtung, insbesondere der zweiten Steuereinrichtung zu ermöglichen, die ordnungsgemäße Funktion der ersten, mikroprozessorgesteuerten Steuereinrichtung zu überwachen.
  • Mit der ersten, mikroprozessorgesteuerten Einrichtung und der zweiten Steuereinrichtung ist eine Eingangsstufe verbunden, die zum Modulieren eines Eingangssignals mit dem von der ersten mikroprozessorgesteuerten Steuereinrichtung kommenden Überwachungssignal ausgebildet ist. Die erste, mikroprozessorgesteuerte Steuereinrichtung und/oder die zweite Steuereinrichtung steuern unter Ansprechen auf das modulierte Eingangssignal die sicherheitstechnische Einrichtung bei Auftritt eines Fehlers in einen vorbestimmten sicheren Zustand.
  • Vorteilhafte Weiterbildungen sind Gegenstand der Unteransprüche.
  • Die erste, mikroprozessorgesteuerte Steuereinrichtung führt vorzugsweise sicherheitsrelevante Programme oder Programmteile durch, um das modulierte Eingangssignal beispielsweise unter sicherheitstechnischen Gesichtspunkten zu verarbeiten. So kann das modulierte Eingangssignal zum Beispiel in definierter Weise codiert werden.
  • Die Signalerzeugungseinrichtung ist derart ausgebildet, dass sie in Abhängigkeit von der Abarbeitung wenigstens eines sicherheitsrelevanten Programms durch die erste, mikroprozessorgesteuerte Steuereinrichtung das Überwachungssignal erzeugt. An dieser Stelle sei angemerkt, dass die Signalerzeugungseinrichtung vorzugsweise Bestandteil eines Mikroprozessors der ersten, mikroprozessorgesteuerten Steuereinrichtung ist.
  • Die erste, mikroprozessorgesteuerte Steuereinrichtung und die zweite Steuereinrichtung sind mit einer Ausgangsstufe verbunden. Die Steuereinrichtungen weisen jeweils eine Einrichtung zum Aktivieren oder Deaktivieren der Ausgangsstufe auf. Insbesondere enthält die Ausgangsstufe wenigstens eine Schalteinrichtung, die ein Relais sein kann. Allerdings kann die Ausgangsstufe auch mehrere Schalteinrichtungen aufweisen, die ein stufenweises oder sanftes Abschalten einer sicherheitstechnischen Einrichtung ermöglichen.
  • Die Aktivierungs-/Deaktivierungseinrichtung der ersten, mikroprozessorgesteuerten Steuereinrichtung weist einen mit Masse verbindbaren Schalter auf, während die zweite Steuereinrichtung einen mit einer Versorgungsspannung verbindbaren Schalter aufweist. Alternativ kann natürlich auch die erste Steuereinrichtung einen mit einer Versorgungsspannung verbindbaren Schalter und die zweite Steuereinrichtung einen mit Masse verbindbaren Schalter aufweisen. Auf diese Weise können die Steuereinrichtungen unabhängig voneinander die Ausgangsstufe ansteuern, um die sicherheitstechnische Einrichtung in den gesicherten Zustand zu versetzen. Je nach schaltungstechnischer Implementierung der Ausgangsstufe befindet sich eine sicherheitstechnische Einrichtung nur im Betriebszustand, wenn der durch die erste Steuereinrichtung definierte Massepfad zur Ausgangsstufe geschlossen und über die zweite Steuereinrichtung die Vorsorgungsspannung an die Ausgangsstufe angelegt ist. Die sicherheitstechnische Einrichtung kann dann über die Ausgangsstufe in einen sicheren Zustand gefahren werden, wenn entweder der Massepfad geöffnet und/oder die Versorgungsspannung von der Ausgangsstufe getrennt wird.
  • Vorzugsweise ist die erste, mikroprozessorgesteuerte Steuereinrichtung zum Überwachen der Eingangsstufe und/oder der zweiten Steuereinrichtung ausgebildet.
  • Die Modulation des Eingangssignals mit dem Überwachungssignal der ersten, mikroprozessorgesteuerten Steuereinrichtung kann mittels einer logischen Verknüpfungseinrichtung, insbesondere einem UND-Gatter durchgeführt werden. Alternativ kann auch ein gewöhnlicher Schalter, auch ein mechanischer Schalter verwendet werden, um das Überwachungssignal beim Öffnen und Schließen des Schalters zu modulieren.
  • Um eine Fehlfunktion der ersten und/oder zweiten Steuereinrichtung infolge eines fehlerhaften, unkontrollierten Oszillierens des Überwachungssignals zu vermeiden, muss die erste, mikroprozessorgesteuerte Steuereinrichtung eine geeignete Signalform liefern. Hierzu weist die erste, mikroprozessorgesteuerte Steuereinrichtung einen Modulator zum Modulieren des Überwachungssignals mit einem Signal auf, dessen Frequenz höher als die Frequenz des Überwachungssignals ist. Das höherfrequente Signal kann das Taktsignal des die erste Steuereinrichtung steuernden Mikroprozessors sein. In diesem Fall ist die Eingangsstufe zum Modulieren des modulierten Überwachungssignals und des Eingangssignals ausgebildet. Die zweite Steuereinrichtung muss in diesem Fall in der Lage sein, die unterschiedlichen Spektralanteile im modulierten Eingangssignal erfassen und auswerten zu können. Hierzu weist die zweite Steuereinrichtung einen Demodulator auf, der unter Ansprechen auf das von der Eingangsstufe kommende modulierte Eingangssignal und das von der ersten, mikroprozessorgesteuerten Steuereinrichtung kommende modulierte Überwachungssignal bei Auftritt eines Fehlers ein Steuersignal erzeugt, welches die sicherheitstechnische Einrichtung in den vorbestimmten sicheren Zustand steuert.
  • Hierzu fungiert der Demodulator zweckmäßigerweise als Bandsperre. In Verbindung mit wenigstens einer Schalteinrichtung, insbesondere einem Monoflop, liefert der Demodulator, wenn sich die Frequenz des Signals mit höherer Frequenz um einen vorbestimmten Betrag ändert, ein Steuersignal zum Steuern der sicherheitstechnischen Einrichtung in den sicheren Zustand.
  • Vorzugsweise weist der Demodulator ein Hochpassfilter und ein erstes Tiefpassfilter auf, dessen jeweiliger Eingang mit dem Ausgang der ersten, mikroprozessorgesteuerten Einrichtung verbunden ist. Ein erstes Monoflop ist vorgesehen, welches einen Reset-Eingang und einen Signaleingang aufweist, der mit dem Ausgang des Hochpassfilters verbunden ist. Ein zweites Tiefpassfilter ist vorgesehen, dessen Eingang mit dem negierten Ausgang des ersten Monoflops verbunden ist. Ferner ist ein zweites Monoflop vorgesehen, dessen Signaleingang mit dem Ausgang des ersten Tiefpassfilters und dessen Reset-Eingang mit dem Ausgang des zweiten Tiefpassfilters verbunden ist. Weiterhin ist ein drittes Monoflop vorgesehen, dessen Signaleingang mit dem Ausgang der Eingangsstufe und dessen Reset-Eingang mit dem negierten Ausgang des zweiten Monoflops verbunden ist.
  • Vorzugsweise ist die erste, mikroprozessorgesteuerte Steuereinrichtung softwarebasiert und die zweite Steuereinrichtung hardwarebasiert, d. h. schaltungstechnisch realisiert. Ferner kann auch die zweite Steuereinrichtung durch einen Mikroprozessor gesteuert werden.
  • Bei dem Eingangssignal kann es sich um ein binäres Prozesssignal handeln, welches zum Anfahren und gesicherten Abschalten einer sicherheitstechnischen Einrichtung dient.
  • Die Erfindung wird nachfolgend anhand zweier Ausführungsbeispiele in Verbindung mit den beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1 ein vereinfachtes Blockschaltbild einer zweikanaligen symmetrischen Sicherheitsvorrichtung gemäß dem Stand der Technik,
  • 2 ein vereinfachtes Blockschaltbild einer Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung gemäß einer ersten erfindungsgemäßen Ausführungsform,
  • 3 den zeitlichen Verlauf des Überwachungssignals, welches die erste, mikroprozessorgesteuerte Steuereinrichtung der in 2 gezeigten Sicherheitsvorrichtung erzeugt,
  • 4 den prinzipiellen Schaltungsaufbau der in 2 gezeigten zweiten Steuereinrichtung,
  • 5 eine alternative Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung gemäß der Erfindung,
  • 6 den prinzipiellen Schaltungsaufbau der in 5 gezeigten zweiten Steuereinrichtung,
  • 7a bis 7i verschiedene Signalverläufe innerhalb der in 6 gezeigten Schaltungsanordnung an vorbestimmten Punkten während eines fehlerfreien Betriebs,
  • 8a bis 8i verschiedene Signalverläufe innerhalb der in 6 gezeigten Schaltungsanordnung an vorbestimmten Punkten während eines fehlerhaften Betriebs, und
  • 9a bis 9i verschiedene Signalverläufe innerhalb der in 6 gezeigten Schaltungsanordnung an vorbestimmten Punkten während eines fehlerhaften Betriebs.
  • 1 zeigt schematisch den Aufbau eines bekannten Systems zur mikroprozessorgesteuerten Überwachung einer sicherheitstechnischen Einrichtung (nicht dargestellt). Das System weist eine Eingangsstufe 10 auf, die ein binäres Prozess- oder Sensorsignal als Eingangssignal an zwei unabhängig voneinander arbeitende Subsysteme 20 und 30 anlegt. Jedes Subsystem kann einen Mikroprozessor und eine separate Stromversorgungseinrichtung aufweisen. Jedes Subsystem ist ausgangsseitig mit einer Ausgangsstufe 40 verbunden, die beispielsweise einen Schütz oder eine Anordnung aus Schalteinrichtungen aufweist. Mittels der Ausgangsstufe 40 kann eine nicht näher dargestellte sicherheitstechnische Anwendung in einen definierten gesicherten Zustand gefahren werden. Wie in 1 angedeutet, sind beide Subsysteme 20 und 30 derart ausgebildet, dass sie die Funktionsfähigkeit des jeweils anderen Subsystems überwachen können. Die gegenseitige Überwachung der Subsysteme erfolgt in der Regel durch einen bidirektionalen Austausch von Statusdaten, wie dies durch die Pfeile in 1 angedeutet ist. Jedes Subsystem bildet einen eigenen Steuerkanal, über den die Ausgangsstufe 40 separat angesteuert werden kann. Demzufolge kann jeder Kanal, das heißt jedes Subsystem die Ausgangsstufe 40 unabhängig von dem anderen Subsystem in einen als sicher definierten Zustand versetzen.
  • Eine erfindungsgemäße mehrkanalige Sicherheitsvorrichtung zur Steuerung von sicherheitstechnischen Einrichtungen ist in 2 dargestellt. Bereits an dieser Stelle sei darauf hingewiesen, dass unter sicherheitstechnischer Einrichtung eine Automatisierungsanlage, einzelne Baugruppen der Automatisierungsanlage und/oder auch sicherheitstechnische Anwendungen in Form von Software verstanden werden kann.
  • Ähnlich der in 1 gezeigten Anordnung weist die in 2 dargestellte Sicherheitsvorrichtung 50 eine Eingangsstufe 60, eine erste, mikroprozessorgesteuerte Steuereinrichtung 70 und eine zweite Steuereinrichtung 80 auf. Der Ausgang der beiden Steuereinrichtungen 70 und 80 ist jeweils mit einem Eingang einer Ausgangsstufe 90 verbunden. Die Ausgangsstufe 90 weist beispielsweise ein Relais 95 auf.
  • Von einer mehrkanaligen Steuervorrichtung 50 spricht man, da die erste, mikroprozessorgesteuerte Steuereinrichtung 70 und die zweite Steuereinrichtung 80 jeweils einen eigenen Steuerkanal zum unabhängigen Steuern des Relais 95 bilden. Die erste, mikroprozessorgesteuerte Steuereinrichtung 70 enthält einen speicherprogrammierten Mikroprozessor 72 und einen Speicher 74, in dem die Steuersoftware abgelegt ist, auf die der Mikroprozessor 72 zugreifen kann. Ferner enthält die mikroprozessorgesteuerte Steuereinrichtung 70 einen beispielsweise als NPN-Bipolartransistor ausgebildeten Schalter 76, nachfolgend auch Schalttransistor genannt, über den das Relais 95 mit einem Masseanschluss 78 verbunden werden kann. Über den Masseanschluss 78, den Schalttransistor 76 und eine Verbindungsleitung 100, die den Ausgang der mikroprozessorgesteuerten Steuereinrichtung 70 mit dem Eingang der Ausgangsstufe 90 und somit mit dem Eingang des Relais 95 verbindet, wird ein Massepfad definiert. Je nach Betriebszustand kann der Mikroprozessor 72 über den Schalttransistor 76 den Massepfad öffnen oder schließen. Der Mikroprozessor 72 ist derart ausgebildet, dass er ein Überwachungssignal, im nachfolgenden auch Life-Signal genannt, erzeugen kann, dessen zeitlicher Verlauf in 3 dargestellt ist.
  • Der Mikroprozessor 72 führt vorzugsweise mit dem von der Eingangsstufe gelieferten Signal sicherheitsrelevante Programme durch, damit bei Auftritt eines Fehlers die sicherheitstechnische Einrichtung über die Ausgangsstufe 90 zuverlässig in einen gesicherten Zustand gefahren werden kann. Als Fehlerquelle können zum Beispiel der Mikroprozessor 72 selbst, die Eingangsstufe 60 oder die sicherheitstechnische Einrichtung in Frage kommen. Das vom Mikroprozessor 72 erzeugte Überwachungssignal spiegelt den ordnungsgemäßen oder fehlerhaften Betrieb der mikroprozessorgesteuerten Steuereinrichtung 70 wieder.
  • Das Überwachungssignal wird beispielsweise dadurch erzeugt, dass der Mikroprozessor 72 einen High-Pegel erzeugt, wenn der Mikroprozessor mit der Durchführung eines sicherheitsrelevanten Programmes beginnt. Sobald der Mikroprozessor 72 die Ausführung des sicherheitsrelevanten Programms beendet, erzeugt er einen Low- Pegel. In 3 ist der Verlauf des Überwachungssignals im fehlerfreien Zustand der Steuereinrichtung 70 dargestellt. Die in 3 eingezeichnete Periodendauer Tm entspricht beispielsweise der Zeitdauer einer in der Steuereinrichtung 80 implementierten monostabilen Kippstufe, nach deren Ablauf die Kippstufe wieder in ihren stabilen Zustand kippt. Eine solche monostabile Kippstufe ist als Monoflop 84 in 4 dargestellt. Die Zeitdauer Tm wird nachfolgend auch als Monozeit bezeichnet. Die Funktionsweise der Steuereinrichtung 80 wird weiter unten noch näher erläutert.
  • Das vom Mikroprozessor 72 erzeugte Life-Signal wird über einen Ausgang der mikroprozessorgesteuerten Steuereinrichtung 70 an einen Eingang der Eingangsstufe 60 angelegt. An einem weiteren Eingang der Eingangsstufe 60 liegt das binäre Prozesssignal an. Das Prozessignal und das Life-Signal werden beispielsweise eingangsseitig einem UND-Gatter 62 zugeführt. Das UND-Gatter 62 verknüpft oder moduliert beide Signale und liefert an seinem Ausgang ein sogenanntes moduliertes Eingangssignal für die Steuereinrichtungen 70 und 80. Alternativ kann an Stelle eines logischen UND-Gatters jede andere geeignete logische Verknüpfungseinrichtung oder ein mechanischer Schalter als Modulationseinrichtung verwendet werden. Entscheidend ist, dass bei der in 2 dargestellten Sicherheitsvorrichtung 50 das mit dem Überwachungssignal modulierte Prozesssignal und nicht das über die Eingangsstufe 60 kommende Prozesssignal unmittelbar an den Eingang der mikroprozessorgesteuerten Steuereinrichtung 70 und der Steuereinrichtung 80 angelegt wird.
  • Weiterhin ist zu beachten, dass die Steuereinrichtung 80 unabhängig von der mikroprozessorgesteuerten Steuereinrichtung 70 die Ausgangsstufe 90 ansteuern kann. Hierzu ist beispielsweise eine Versorgungsspannung Vcc vorgesehen, die über einen als Schalter fungierenden Transistor 82 an das Relais 95 der Ausgangsstufe 90 angelegt werden kann. An dieser Stelle sei bereits angemerkt, dass bei leitendem Zustand der Schalttransistoren 78 und 82 ein Strom durch das Relais 85 fließt.
  • Wie in 4 gezeigt, weist die Steuereinrichtung 80 neben dem Schalttransistor 82 das Monoflop 84 auf, welches einen mit Q - bezeichneten negativen Ausgang aufweist, der vorzugsweise über einen Widerstand 88 mit der Steuerelektrode des Schalttransistors 82 verbunden ist. Ferner weist das Monoflop 84 einen Eingang A auf, an den das von der Eingangsstufe 60 kommende modulierte Eingangssignal angelegt wird. Weiter ist eine Reihenschaltung aus einem Kondensator 81 und einem Widerstand 83 vorgesehen, über die im Einschaltzeitpunkt der Sicherheitsvorrichtung 50 ein vorbestimmtes Spannungspotential an einen mit MR gekennzeichneten Master-Reset-Eingang angelegt wird, das bewirkt, dass das Monoflop am Q-Ausgang einen High-Pegel erzeugt.
  • Damit die als Master fungierende mikroprozessorgesteuerte Steuereinrichtung 70 Fehler in der Eingangsstufe 60 und in der Steuereinrichtung 80 erkennen kann, sind der Ausgang des UND-Gatters 62 der Eingangsstufe 60 und der Ausgang der Steuereinrichtung 80 jeweils mit einem Eingang der mikroprozessorgesteuerten Steuereinrichtung 70 verbunden. Da die Eingangsgrößen und die Übertragungsfunktion der Steuereinrichtung 80 der mikroprozessorgesteuerten Steuereinrichtung 70 bekannt sind, kann ein ordnungsgemäßer Betrieb der Eingangsstufe 60 und der Steuereinrichtung 80 durch die rückgekoppelten Ausgangssignale verifiziert werden. Die Referenz-Parameter der Eingangsgrößen und der Übertragungsfunktion der Steuereinrichtung 80 können im Speicher 74 der Steuereinrichtung 70 abgelegt werden. Sollte ein Fehler auftreten, so kann sowohl die Steuereinrichtung 80 als auch die mikroprozessorgesteuerte Steuereinrichtung 70 die Ausgangsstufe 90 in einen sicheren Zustand überführen, indem entweder der über den Schalttransistor 76 und die Verbindungsleitung 100 gebildete Massepfad geöffnet und/oder die Versorgungsspannung mittels des Schalttransistors 82 der Steuereinrichtung 80 von dem Relais 95 der Ausgangsstufe 90 abgeschaltet wird.
  • Bei der Realisierung der in 2 dargestellten asymmetrischen zweikanaligen Sicherheitsvorrichtung 50 ist ein kritischer Aspekt darin zu sehen, dass ein fehlerhaftes, unkontrolliertes Oszillieren des Life-Signals auftreten kann, welches ein sicheres Abschalten einer sicherheitstechnischen Einrichtung verhindern kann.
  • Eine Sicherheitsvorrichtung zur Lösung dieses Problems ist in 5 dargestellt. Die Sicherheitsvorrichtung 110 weist ähnlich der in 2 gezeigten Sicherheitsvorrichtung 50 eine Eingangsstufe 60 auf, die wiederum eine logische Verknüpfungseinrichtung, beispielsweise ein UND-Gatter 62 aufweisen kann. An einem Eingang des UND-Gatters 62 ist das Eingangssignal, welches das Prozesssignal sein kann, angelegt. Wiederum ist eine Ausgangsstufe 90 vorgesehen, die mehrere zusammenwirkende Schaltelemente 95 aufweisen kann, die ein definiertes Abschalten der sicherheitstechnischen Einrichtung ermöglicht. Die Sicherheitsvorrichtung 110 ist wiederum mehrkanalig, im vorliegenden Beispiel zweikanalig ausgebildet, wobei eine erste, mikroprozessorgesteuerte Steuereinrichtung 120 als Master und eine zweite Steuereinrichtung 140 als Slave fungiert. Wiederum kann die Steuereinrichtung 120 als softwarebasiertes Subsystem betrachtet werden, während die Steuereinrichtung 140 als hardwarebasiertes Subsystem ausgebildet sein kann, welches in 6 näher dargestellt ist.
  • Die mikroprozessorgesteuerte Steuereinrichtung 120 weist wiederum einen Mikroprozessor 122 auf, der ein niederfrequentes Überwachungs- oder Life-Signal erzeugen kann. Wiederum kann der Mikroprozessor 122 bei Beginn der Durchführung eines sicherheitsrelevanten Programms eine steigende Flanke und beim Verlassen der Ausführung des sicherheitsrelevanten Programms eine fallende Flanke erzeugen. Der zeitliche Abstand aufeinanderfolgender Impulse, das heißt die Periodizität des Überwachungssignals ist wiederum durch die Monozeit Tm eines Monoflops definiert. Im Unterschied zur Sicherheitsvorrichtung 50 gemäß 2 wird das vom Mikroprozessor 122 erzeugte Überwachungssignal einem Modulator 124 zugeführt, der das niederfrequente Überwachungssignal mit einem hochfrequenten Modulationssignal, welches beispielsweise das Taktsignal des Mikroprozessors 122, ein aus dem Taktsignal abgeleitetes Signal oder ein anderes hochfrequentes Signal sein kann, moduliert. In diesem Fall wird das Taktsignal des Mikroprozessors 122 an einen zweiten Eingang des Modulators 124 angelegt. Das vom Modulator 124 erzeugte modulierte Überwachungssignal wird einem weiteren Eingang des UND-Gatters 62 der Eingangsstufe und einem ersten Eingang der Steuereinrichtung 130 zugeführt. Am Ausgang des UND-Gatters 62 erscheint ein moduliertes Prozesssignal, welches durch das von der mikroprozessorgesteuerten Steuereinrichtung 120 gelieferte modulierte Überwachungssignal moduliert wird. Das modulierte Ausgangssignal des UND-Gatters 62 wird jeweils als ein moduliertes Eingangssignal an einen Eingang der mikroprozessorgesteuerten Steuereinrichtung 120 und an einen weiteren Eingang der Steuereinrichtung 140 angelegt. Der Mikroprozessor 122 ist wiederum in der Lage, das vom UND-Gatter 62 kommende Ausgangssignal hinsichtlich eines Fehlers zu überwachen. In einem Speicher 126 können Eingangsgrößen, die die Eingangsstufe 60 betreffen, sowie die Übertragungsfunktion der Steuereinrichtung 130 abgelegt sein. Der Mikroprozessor 122 ist mit der Steuerelektrode, im vorliegenden Beispiel mit der Basis eines Schalttransistors 128 verbunden, der über eine Verbindungsleitung 100 die Ausgangsstufe 90 mit Masse verbinden kann. Der Schalttransistor 128 kann beispielsweise als Bipolartransistor vom NPN-Typ ausgebildet sein. Beispielsweise ist die Emitterelektrode des Schalttransistors 128 mit Masse und die Elektroelektrode des Schalttransistors 128 mit dem Eingang der Ausgangsstufe 90 verbunden. Erkennt der Mikroprozessor 122 einen Fehler, so kann er den über den Schalttransistor 128 und die Verbindungsleitung 100 gebildeten Massepfad auftrennen, indem er einen Low-Pegel an die Steuerelektrode des Schalttransistors 128 anlegt, so dass der Schalttransistor sperrt.
  • Das Ausgangssignal der Steuereinrichtung 140 ist eingangsseitig mit der mikroprozessorgesteuerten Steuereinrichtung 120 verbunden. Der Mikroprozessor 122 ist wiederum derart implementiert, dass er unter Berücksichtigung der abgelegten Übertragungsfunktion der Steuereinrichtung 140 ein Fehlverhalten der Steuereinrichtung 130 erkennen kann. Die Steuereinrichtung 140 weist einen Demodulator 140 auf, der in 6 detaillierter dargestellt ist.
  • Der Ausgang des Demodulators 130 kann mit der Steuerelektrode eines Schalttransistors 150 verbunden sein, über den eine Versorgungsspannung an die Ausgangsstufe 90 angelegt werden kann. Der Demodulator 130 weist ein Monoflop 131 auf, welches in seiner Funktion dem Monoflop 89 der in 4 gezeigten Steuereinrichtung 80 entspricht. Das Monoflop 131 weist einen mit A gekennzeichneten Eingang auf, an den das vom UND-Gatter 62 kommende modulierte Eingangssignal angelegt wird. Das vom Modulator 124 gelieferte modulierte Überwachungssignal wird einem Hochpassfilter 132 und einem mit TP2 bezeichneten Tiefpassfilter 133 zugeführt. Das Ausgangssignal des Hochpassfilters 132 wird einem weiteren Monoflop 134 zugeführt. Das Monoflop 134 weist einen Master-Reset-Eingang auf, an dem eine
    Versorgungsspannung Vcc über eine Reihenschaltung, die einen Kondensator 135 und einen Widerstand 136 aufweist, angelegt werden kann. Der negierte Ausgang des Monoflops 134 wird an den Eingang eines weiteren, mit TP1 bezeichneten Tiefpassfilters 137 angelegt. Der Ausgang des Tiefpassfilters 133 ist mit einem ersten, mit A bezeichneten Eingang eines weiteren Monoflops 138 verbunden, während der Ausgang des Tiefpassfilters 137 mit dem Master-Reset-Eingang des Monoflops 138 verbunden ist.
  • Der mit Q - bezeichnete negative Ausgang des Monoflops 138 ist schließlich mit dem Master-Reset-Eingang des Monoflops 131 verbunden. Der mit Q - bezeichnete negative Ausgang des Monoflops 131 ist mit der Steuerelektrode, im vorliegenden Beispiel mit der Basis des Schalttransistors 150 verbunden.
  • Die in den 7a bis 7i dargestellten Kurvenverläufe sind Eingangs- beziehungsweise Ausgangssignale an vorbestimmten Beobachtungspunkten innerhalb des Demodulators 130, welche mit den Nummern 1 bis 7 entsprechend gekennzeichnet sind. Die Spannungsverläufe treten bei einem ordnungsgemäßen Betrieb der Sicherheitsvorrichtung 110 auf. Bei einem fehlerhaften Betrieb der Steuereinrichtung 120 treten Spannungsverläufe auf, die in den 8a bis 8i bzw. 9a bis 9i gezeigt sind.
  • Nachfolgend wir die Funktionsweise der beiden in den 2 und 5 dargestellten Sicherheitsvorrichtungen 50 beziehungsweise 110 näher erläutert. Insbesondere wird die Funktionsweise der Steuereinrichtung 80 gemäß 2 und die Funktionsweise der in 5 gezeigten Steuereinrichtung 140 näher beschrieben.
  • Zunächst wird die Funktionsweise der in 2 gezeigten Steuereinrichtung 80 in Verbindung mit den 3 und 4 näher erläutert.
  • Es sei der Fall angenommen, dass eine sicherheitstechnische Automatisierungsanlage, zu der die Sicherheitsvorrichtung 50 gehört, in Betrieb genommen werden soll. Zu Beginn wird über den Kondensator 81 und den Widerstand 83 ein Spannungspotential an den Master-Reset-Eingang MR des Monoflops 84 angelegt, das bewirkt, dass der negative Ausgang Q - des Monoflops 84 auf einen High-Pegel gesetzt wird, wodurch der Schalttransistor 82 in den sperrenden Zustand versetzt wird. Dies wiederum bewirkt, dass die Versorgungsspannung Vcc über den Schalttransistor 82 nicht an die Ausgangsstufe 90 angelegt wird. Hierdurch wird sichergestellt, dass die Ausgangsstufe 90 erst in Betrieb genommen werden kann, wenn eine Versorgungsspannung angelegt wird und die Durchführung von Selbsttests abgeschlossen ist.
  • Nach einer durch den Widerstandswert des Widerstandes und der Kapazität des Kondensators definierten Zeit nimmt das Spannungspotential am Master-Reset-Eingang des Monoflops 84 ab, so dass der Ausgang Q - durch das am Eingang A anliegenden modulierten Eingangssignal, welches vom UND-Gatter 62 geliefert wird, abhängt. Angenommen sei, dass am UND-Gatter 62 der Eingangsstufe 60 ein Prozesssignal mit einem High-Pegel anliegt, so dass bei ordnungsgemäßer Funktion der Steuereinrichtung 70 das in 3 dargestellte Überwachungssignal als moduliertes Eingangssignal am Eingang A des Monoflops 84 anliegt. Mit der ersten positiven Flanke des modulierten Eingangssignals wird der Ausgang Q - des Monoflops 84 für die Monozeit Tm auf Low gesetzt. Während dieser Zeit wird auch der Schalttransistor 82 leitend gehalten. Tritt, wie dies in 3 dargestellt ist, vor Ablauf der Monozeit Tm eine weitere positive Flanke im Überwachungssignal auf, wird das Monoflop 84 erneut getriggert und der Ausgang Q - wird wiederum für die Monozeit Tm auf Low gesetzt. Solange der Mikroprozessor 72 der mikroprozessorgesteuerten Steuereinrichtung 70 ordnungsgemäß arbeitet, wird jeweils vor Ablauf der Monozeit Tm eine positive Flanke erzeugt. Solange die Automatisierungsanlage, die Steuereinrichtungen 70 und 80 sowie die Eingangsstufe 60 ordnungsgemäß arbeiten, wird der Schalttransistor 82 über das Monoflop 84 im leitenden Zustand gehalten. Ordnungsgemäßer Betrieb heißt, dass das Eingangssignal oder Prozesssignal am Eingang des UND-Gatters 62 der Eingangsstufe 60 einen High-Pegel aufweist und das modulierte Eingangssignal ein Wechselsignal ist, dessen Periodendauer kleiner oder gleich der Monozeit Tm ist.
  • Tritt nunmehr in der Steuereinrichtung 70 oder der Eingangsstufe 60 ein Fehler auf, sorgt das Monoflop 84 dafür, dass der Schalttransistor 82 in den sperrenden Zustand geschaltet und somit die Ausgangsstufe 90 von der Versorgungsspannung Vcc getrennt wird. Ein Fehler kann zum Beispiel auch dadurch signalisiert werden, dass ein Prozessignal mit einem Low-Pegel erzeugt wird, das dafür sorgt, dass der Ausgang des UND-Gatters 62 auf Null gesetzt wird. Demzufolge gelangt das Überwachungssignal nicht mehr an den Eingang A des Monoflops 82. Da am Eingang A des Monoflops innerhalb der Monozeit Tm keine positive Flanke mehr erscheint, wird der Ausgang Q des Monoflops 84 auf Null gesetzt. Dies führt dazu, dass der Schalttransistor 82 sperrt und somit die Versorgungsspannung von der Ausgangsstufe 90 getrennt wird. Die Automatisierungsanlage kann nunmehr in einen gesicherten Zustand gefahren werden.
  • Zudem kann ein Fehler in der Steuereinrichtung 70 auftreten, wenn beispielsweise der Mikroprozessor 72 aufgrund eines nicht vorhersehbaren Fehlers ein sicherheitsrelevantes Programm nicht startet. In diesem Fall bleibt das Überwachungssignal beispielsweise kontinuierlich auf einem Low-Pegel. Das wiederum dazu führt, dass über eine Zeitspanne, die Länger als die Monozeit Tm des Monoflops 84 ist, keine positive Flanke am Eingang A des Monoflops 84 auftritt, so dass der Schalttransistor 82 in den sperrenden Zustand versetzt wird. In ähnlicher Weise wird das Überwachungssignal auf einem High-Pegel verharren, wenn der Mikroprozessor 72 zwar ein sicherheitsrelevantes Programm gestartet hat, dieses aber aufgrund eines nicht vorhersehbaren Fehlers nicht mehr beenden kann. Auch dieser Zustand führt wiederum dazu, dass über eine Zeitspanne, die Länger als die Monozeit Tm des Monoflops 84 ist, keine positive Flanke am Eingang A des Monoflops 84 auftritt, so dass der Schalttransistor 82 in den sperrenden Zustand versetzt und die Ausgangsstufe 90 in einen gesicherten, vordefinierten Zustand gefahren wird. Angemerkt sei an dieser Stelle, dass je nach Realisierung der Steuereinrichtung 80 das Monoflop 84 auch durch fallende Flanken getriggert werden kann.
  • Dank der asymmetrischen, zweikanaligen Sicherheitsvorrichtung 50 ist es möglich, eine Automatisierungsanlage oder deren sicherheitstechnischen Komponenten bei Auftritt eines Fehlers, der seine Ursache zum Beispiel in der Eingangsstufe 60 oder der Sicherheitseinrichtung 70 hat, in einen sicheren Zustand zu gefahren.
  • Ein Fehler in der Steuereinrichtung 80 wird von der Steuereinrichtung 70 erkannt, indem das Ausgangssignal der Steuereinrichtung 80 über die Rückkopplungsleitung 105 zum Mikroprozessor 72 geführt wird. Denn die Steuereinrichtung 70 kennt die Übertragungsfunktion der Steuereinrichtung 80, die im Speicher 74 hinterlegt sein kann. Erkennt die Steuereinrichtung 70 einen Fehler im Ausgangssignal der Steuereinrichtung 80, sorgt der Mikroprozessor 72 dafür, dass der Schalttransistor 76 gesperrt und somit der Massepfad zur Ausgangsstufe 90 geöffnet wird.
  • Anzumerken sei noch, dass das Monoflop 84 ferner dazu dient, die Einschaltzeit des angelegten modulierten Eingangssignals um die Monozeit Tm zu verlängern, so dass auch nach dem Abschalten des Eingangssignals oder Prozesssignals die Ausgangsstufe 90 noch kontrolliert in einen gesicherten Zustand gesteuert werden kann. Um die Sicherheitsbedingungen, die zum gesicherten Abschalten einer Automatisierungsanlage erforderlich sind, einhalten zu können, darf die Monozeit Tm nicht länger als die Sicherheitsabschaltzeit der Ausgangsstufe 90 sein.
  • Nachfolgend wird die Funktionsweise der in 5 dargestellten asymmetrischen zweikanaligen Sicherheitsvorrichtung 110 in Verbindung mit den 6 bis 9i näher erläutert.
  • Der in 6 gezeigte Demodulator 130 der Steuereinrichtung 140 weist im Unterschied zu der in 4 gezeigten Schaltungsanordnung eine Tiefpass- und Hochpassanordnung auf, durch die quasi eine digitale Bandsperre realisiert wird. Bei korrekter Dimensionierung der Baukomponenten und ordnungsgemäßer Funktionsweise der Sicherheitsvorrichtung 110 verhält sich der Demodulator 130 ähnlich dem in 4 gezeigten Monoflop 84. Tritt jedoch in der Steuereinrichtung 120, beispielsweise im Mikroprozessor 122 ein Fehler auf, so wird je nach Fehlerfall der hochfrequente und niederfrequente Anteil des vom Modulator 124 kommenden modulierten Überwachungssignals zu höheren oder niedrigeren Frequenzen verschoben. Die Folge davon ist, dass entweder der hochfrequente oder niederfrequente Anteil des modulierten Überwachungssignals durch das Bandsperrverhalten des Demodulators 130 gesperrt wird. Dies führt dazu, dass das Monoflop 131 nach Ablauf der Monozeit den positiven Ausgang Q auf Low setzt, wodurch der Schalttransistor 150 in den sperrenden Zustand versetzt und somit die Ausgangsstufe 90 in einen sicheren Zustand gefahren wird. Angemerkt sei noch, dass die Steuereinrichtung 120 ein Softwaremodul aufweist, welches dafür sorgt, dass eine Veränderung des Taktes des Mikroprozessors 120 zu einer entsprechenden Frequenzverschiebung des Life-Signals führt.
  • Die Funktionsweise des Demodulators 130 wird anhand der 7 bis 9i detailliert beschrieben. Zunächst wird der fehlerfreie Betrieb der Steuereinrichtung 120 geschildert.
  • Bei einem fehlerfreien Betrieb der Sicherheitsvorrichtung 110 treten an den in 6 eingezeichneten Beobachtungspunkten die in den 7a bis 7i gezeigten Signalverläufe auf.
  • Wir betrachten zunächst den Zeitraum von T0 bis T1. Angenommen sei, dass bis zum Zeitpunkt T1 an das UND-Gatter 62 kein Prozessignal angelegt wird, wie dies in 7f gezeigt ist. Somit liegt bis zum Zeitpunkt T1 am Eingang A des Monoflops 131 kein Signal an, wie dies in 7g gezeigt ist. 7a zeigt schematisch das modulierte Überwachungssignal, welches eine Überlagerung des Taktsignals des Mikroprozessors 122 und des in 3 gezeigten Überwachungssignals ist. In dem dargestellten Kurvenverlauf, der bereits zum Zeitpunkt T0 beginnt, fällt die Periodendauer des Überwachungssignals etwa mit der Monozeit Tm des Monoflops 131 zusammen. Das vom Modulator 124 der Steuereeinrichtung 120 als Modulationssignal verwendete Taktsignal des Mikroprozessors 122 weist eine Periodendauer von Ts auf, die ebenfalls in 7a eingetragen ist. An dieser Stelle sei noch erwähnt, dass die Kapazität 135 und den Widerstand 136 aufweisende Reihenschaltung dazu dient, im Einschaltzeitpunkt der Automatisierungsanlage ein Spannungspotential an den Master-Reset-Eingang des Monoflops 134 anzulegen, der zum Zeitpunkt T0 für einen Low-Pegel am negierten Ausgang Q - des Monoflops 134 sorgt, wie dies in 7i gezeigt ist.
  • 7b zeigt den niederfrequenten Anteil des modulierten Überwachungssignal, welcher am Ausgang des Tiefpassfilters 133 anliegt. 7c zeigt den hochfrequenten Anteil des modulierten Überwachungssignals, welcher am Ausgang des Hochpassfilters 132 anliegt. 7i zeigt den am negierten Ausgang Q - des Monoflops 134 anliegenden Signalverlauf, der zum Zeitpunkt T0, wenn das modulierte Eingangssignal gemäß 7a an das Hochpassfilter 132 angelegt wird, auf Null geht, da positive Flanken des in 7c gezeigten hochfrequenten Signalanteils jeweils vor Ablauf der speziellen Monozeit des Monoflops 134 dieses triggern. 7d zeigt den am Ausgang des Tiefpassfilters 137 anliegenden Signalverlauf, der nach einer vorbestimmten Laufzeit den Wert des Signalverlaufs nach 7i, d. h. den Wert Null annimmt. 7e zeigt den am negierten Ausgang Q - des Monoflops 138 anliegenden Signalverlauf. 7h zeigt den Signalverlauf am Ausgang Q des Monoflops 131.
  • Zum Zeitpunkt T1 werde nunmehr ein Prozessignal, welches auch ein Sensorsignal sein kann, mit einem High-Pegel an das UND-Gatter 62 angelegt, wie in 7f gezeigt. Von diesem Zeitpunkt an liefert das UND-Gatter 62 das in 7g gezeigte Wechselsignal. Dieses Signal enthält im vorliegenden Beispiel aufgrund systembedingter Tiefpasseigenschaften keine Hochfrequenzanteile mehr. Vielmehr entspricht es dem Überwachungssignal mit einer Periodendauer von kleiner oder gleich Tm.
  • Da im ordnungsgemäßen Betrieb am negierten Ausgang Q - des Monoflops 138 ein Low-Pegel gemäß 7e anliegt,, der gleichzeit am Master-Reset-Eingang des Monoflops 131 anliegt, wird dessen Verhalten vom modulierten Eingangssignal nach 7g bestimmt. Da die Periodendauer des modulierten Eingangssignals, wie gesagt, kleiner der Monozeit Tm des Monoflops 131 ist, wird das Monoflop 131 regelmäßig getriggert. Demzufolge liefert der Ausgang Q des Monoflops 131 einen High-Pegel, wie in 7h dargestellt. Dies hat wiederum zur Folge, dass der Schalttransistor 150 im leitenden Zustand gehalten und die Ausgangsstufe mit Energie versorgt wird.
  • Nunmehr sei der Fehlerfall angenommen, dass die Frequenz des Taktes des Mikroprozessors 122 zum Zeitpunkt T2 sinkt. Dies ist in 8a für das modulierte Überwachungssignal, welches am Eingang des Hochpassfilters 132 und am Eingang des Tiefpassfilters 133 angelegt wird, dargestellt. Wie ersichtlich ist, ist der zeitliche Abstand der Taktimpulse nach dem Zeitpunkt T2 länger. Demzufolge zieht eine Verlängerung der Periodendauer des Taktsignals des Mikroprozessors 122 eine Verlängerung der Periodendauer des Überwachungssignals nach sich. Auch dieser Sachverhalt ist in 8a dargestellt. 8f zeigt, dass nach wie vor ein Prozesssignal mit High-Pegel am UND-Gatter 62 anliegt, welches normalen Betriebszustand der Anlage darstellt. 8b zeigt die Veränderung des Ausgangssignals am Tiefpassfilter 133 nach dem Zeitpunkt T2, nachdem die Frequenz des Taktsignals des Mikroprozessors 122 gesunken ist.
  • 8c zeigt die Änderung des Taktsignals des Mikroprozessors 122 zum Zeitpunkt T2. Da der zeitliche Abstand aufeinander folgender positiver Flanken im Taktsignal des Mikroprozessors 122 zum Zeitpunkt T2 länger als die Monoflopzeit des Monoflops 134 ist, erscheint am negierten Ausgang Q - des Monoflops 134 das in 8h dargestellte hochfrequente Taktsignal des Mikroprozessors 122. Das Tiefpassfilter 137 filtert die hochfrequenten Anteile aus dem Ausgangssignal am negierten Ausgang Q - des Monoflops 134 heraus, so dass am Ausgang des Tiefpassfilters 137 nach Ablauf der Monozeit des Monoflops 134 ein High-Pegel anliegt, wie er in 8d dargestellt ist. Der High-Pegel wird an den Master-Reset-Eingang des Monoflops 138 angelegt und sorgt dafür, dass am negierten Ausgang des Monoflops 138 ein High-Pegel erzeugt wird, der in 8e dargestellt ist. Demzufolge wird über den Master-Reset-Eingang des Monoflops 131 ein Ausgangssignal mit Low-Pegel erzeugt, wie in 8g gezeigt. Dieses Signal steuert den Schalttransistor 150 in den gesperrten Zustand. Demzufolge wird die Versorgungsspannung von der Ausgangsstufe 90 abgetrennt, so dass die Ausgangsstufe 90 eine sicherheitstechnische Einrichtung in einen sicheren Zustand fahren kann.
  • Die Signalverläufe in den 9a bis 9i treten bei einem Fehler in der Steuereinrichtung 120 auf, der sich in einer Erhöhung der Taktfrequenz des Mikroprozessorsignals äußert. 9a zeigt das an dem Eingang des Hochpassfilters 132 und an dem Eingang des Tiefpassfilters 133 ankommende modulierte Überwachungssignal, welches sich zu einem Zeitpunkt T3 wie dargestellt ändert. Immer noch sei angenommen, dass die Eingangsstufe 60 und die Automatisierungsanlage selbst fehlerfrei arbeiten, so dass am UND-Gatter 62 nach wie vor ein Prozesssignal mit einem High-Pegel anliegt, wie dies in 9f dargestellt ist. 9i zeigt die Veränderung des modulierten Eingangssignals nach dem Zeitpunkt T3, welches an den Eingang A des Monoflops 131 angelegt wird. 9c zeigt wiederum die Veränderung des Taktsignals am Ausgang des Tiefpassfilters 132 zum Zeitpunkt T3. Das in 9c gezeigte hochfrequente Eingangssignal bewirkt, dass am negierten Ausgang des Monoflops 134 dauerhaft ein Low-Pegel anliegt, der in 9h dargestellt ist. Der Low-Pegel wird über das Tiefpassfilter 137 an den Master-Reset-Eingang des Monoflops 138 angelegt. Das Tiefpassfilter 133 ist derart dimensioniert, dass es auch den niederfrequenten Anteil des fehlerbehafteten modulierten Überwachungssignals, welches in 9a dargestellt ist, ab dem Zeitpunkt T3 sperrt, wie dies durch den Spannungsverlauf in 9b dargestellt ist. Da am Eingang A des Monofloips 138 nur noch ein konstanter Pegel anliegt, wird nach Ablauf der Monozeit des Monoflops 138 der negierte Ausgang auf einen High-Pegel gesetzt, wie dies durch 9e dargestellt ist. Über den Master-Reset-Eingang MR wird nunmehr das Monoflop 131 rückgesetzt, wodurch der Ausgang des Monoflops 131 auf Null gesetzt wird, wie dies in 9g dargestellt ist. Wiederum wird der Schalttransistor 150 gesperrt und somit die Spannungsversorgung von der Ausgangsstufe 90 getrennt.
    •

Claims (13)

  1. Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung, mit einer ersten, mikroprozessorgesteuerten Steuereinrichtung (70; 120), die eine Signalerzeugungseinrichtung (72; 122) zum Erzeugen eines Überwachungssignals aufweist, einer zweiten Steuereinrichtung (80; 140), einer mit der ersten, mikroprozessorgesteuerten Einrichtung (70; 120) und der zweiten Steuereinrichtung (80; 140) verbundenen Eingangsstufe (60), die zum Modulieren eines Eingangssignals mit dem von der ersten, mikroprozessorgesteuerten Steuereinrichtung (70; 120) kommenden Überwachungssignal ausgebildet ist, wobei die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) und/oder die zweite Steuereinrichtung (80; 140) unter Ansprechen auf das modulierte Eingangssignal die sicherheitstechnische Einrichtung bei Auftritt eines Fehlers in einen vorbestimmten sicheren Zustand steuern.
  2. Sicherheitsvorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Signalerzeugungseinrichtung das Überwachungssignal in Abhängigkeit von der Abarbeitung wenigstens eines sicherheitsrelevanten Programms durch die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) erzeugt.
  3. Sicherheitsvorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) und die zweite Steuereinrichtung (80; 140) mit einer Ausgangsstufe (90) verbunden sind und jeweils eine Einrichtung zum Aktivieren oder Deaktivieren der Ausgangsstufe (90) aufweisen.
  4. Sicherheitsvorrichtung nach Anspruch 3, dadurch gekennzeichnet, dass die Aktivierungs-/Deaktivierungseinrichtung der ersten, mikroprozessorgesteuerten Steuereinrichtung (70; 120) einen mit Masse verbindbaren Schalter (76; 128) und die Aktivierungs-/Deaktivierungseinrichtung der zweiten Steuereinrichtung (80; 140) einen mit einer Versorgungsspannung verbindbaren Schalter 82; 150) aufweist.
  5. Sicherheitsvorrichtung nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die Ausgangsstufe (90) wenigstens eine Schalteinrichtung (95), insbesondere ein Relais ist.
  6. Sicherheitsvorrichtung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) eine Einrichtung zum Überwachen der Eingangsstufe und/oder der zweiten Steuereinrichtung und zum Erzeugen eines Fehlersignals aufweist, und dass die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) unter Ansprechen auf das Fehlersignal die sicherheitstechnische Einrichtung in einen vorbestimmten sicheren Zustand steuert.
  7. Sicherheitsvorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Eingangsstufe (60) eine logische Verknüpfungseinrichtung (62), insbesondere ein UND-Gatter zum Modulieren des Eingangssignals mit dem Überwachungssignal aufweist.
  8. Sicherheitsvorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die erste, mikroprozessorgesteuerte Steuereinrichtung (120) einen Modulator (124) zum Modulieren des Überwachungssignals mit einem Signal aufweist, dessen Frequenz höher als die Frequenz des Überwachungssignals ist, dass die Eingangsstufe (60) zum Modulieren des modulierten Überwachungssignals mit dem Eingangssignal ausgebildet ist, dass die zweite Steuereinrichtung (140) einen Demodulator (130) aufweist, der unter Ansprechen auf das von der Eingangsstufe (60) kommende modulierte Eingangssignal und das von der ersten, mikroprozessorgesteuerten Steuereinrichtung (120) kommende modulierte Überwachungssignal bei Auftritt eines Fehlers ein Steuersignal erzeugt, welches die sicherheitstechnische Einrichtung in den vorbestimmten sicheren Zustand steuert.
  9. Sicherheitsvorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass der Demodulator (130) ein Bandsperre und wenigstens eine Schalteinrichtung (131), insbesondere ein Monoflop, aufweist, die bei Veränderung der Frequenz des Signals mit höherer Frequenz um einen vorbestimmten Betrag ein Steuersignal zum Steuern der sicherheitstechnischen Einrichtung in den vorbestimmten sicheren Zustand liefert.
  10. Sicherheitsvorrichtung nach Anspruch 9, dadurch gekennzeichnet, dass der Demodulator (130) folgende Merkmale aufweist: ein Hochpassfilter (132) und ein erstes Tiefpassfilter (133), dessen jeweiliger Eingang mit dem Ausgang der ersten, mikroprozessorgesteuerten Einrichtung (120) verbunden ist, ein erstes Monoflop (134), welches einen Reset-Eingang und einen Signaleingang aufweist, der mit dem Ausgang des Hochpassfilters verbunden ist, ein zweites Tiefpassfilter (137), dessen Eingang mit dem negierten Ausgang des ersten Monoflops (134) verbunden ist, ein zweites Monoflop (138), dessen Signaleingang mit dem Ausgang des ersten Tiefpassfilters (133) und dessen Reset-Eingang mit dem Ausgang des zweiten Tiefpassfilters (137) verbunden ist, und ein drittes Monoflop (131), dessen Signaleingang mit dem Ausgang der Eingangsstufe (60) und dessen Reset-Eingang mit dem negierten Ausgang des zweiten Monoflops (138) verbunden ist.
  11. Sicherheitsvorrichtung nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die erste, mikroprozessorgesteuerte Steuereinrichtung (70; 120) softwarebasiert und die zweite Steuereinrichtung (80; 140) hardwarebasiert ist.
  12. Sicherheitsvorrichtung nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass das Eingangssignal ein binäres Prozesssignal ist.
  13. Sicherheitsvorrichtung nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass die zweite Steuereinrichtung (80; 140) einen Mikroprozessor aufweist.
DE200610001805 2005-08-02 2006-01-12 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung Withdrawn DE102006001805A1 (de)

Priority Applications (17)

Application Number Priority Date Filing Date Title
DE200610001805 DE102006001805A1 (de) 2006-01-12 2006-01-12 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP08017537A EP2017869B1 (de) 2005-08-02 2006-07-28 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE502006007296T DE502006007296D1 (de) 2005-08-02 2006-07-28 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
PCT/EP2006/007518 WO2007014725A1 (de) 2005-08-02 2006-07-28 Sicherheitsschaltgerät zum steuern einer sicherheitstechnischen einrichtung in einen sicheren zustand
CN200680028363XA CN101238536B (zh) 2005-08-02 2006-07-28 用于将安全装置控制到安全状态的安全切换装置
EP06762897A EP1911058B1 (de) 2005-08-02 2006-07-28 Sicherheitsschaltgerät zum steuern einer sicherheitstechnischen einrichtung in einen sicheren zustand
DE502006002274T DE502006002274D1 (de) 2005-08-02 2006-07-28 Sicherheitsschaltgerät zum steuern einer sicherheitstechnischen einrichtung in einen sicheren zustand
EP08017536.7A EP2017868B1 (de) 2005-08-02 2006-07-28 Dreiphasige Leistungsendstufe
EP08017535A EP2017867B1 (de) 2005-08-02 2006-07-28 Messvorrichtung zum Messen eines periodischen Analogsignals
CN201010610763XA CN102013666A (zh) 2005-08-02 2006-07-28 三相功率放大器及用于其的换向开关装置
CN2010106107714A CN102176114B (zh) 2005-08-02 2006-07-28 测量装置及测量周期模拟信号的方法
JP2008524412A JP4589436B2 (ja) 2005-08-02 2006-07-28 安全関連の装置を安全な状態に設定するための切り換え装置
DE502006007907T DE502006007907D1 (de) 2005-08-02 2006-07-28 Messvorrichtung zum Messen eines periodischen Analogsignals
US11/915,326 US8363371B2 (en) 2005-08-02 2006-07-28 Safety switching device for setting a safety-related device to a safe state
DE102007032827A DE102007032827A1 (de) 2006-01-12 2007-07-12 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
US13/555,286 US8675330B2 (en) 2005-08-02 2012-07-23 Safety switching device for setting a safety-related device to a safe state
US13/555,293 US9239572B2 (en) 2005-08-02 2012-07-23 Safety switching device for setting a safety-related device to a safe state

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610001805 DE102006001805A1 (de) 2006-01-12 2006-01-12 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung

Publications (1)

Publication Number Publication Date
DE102006001805A1 true DE102006001805A1 (de) 2007-07-19

Family

ID=38189978

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610001805 Withdrawn DE102006001805A1 (de) 2005-08-02 2006-01-12 Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung

Country Status (1)

Country Link
DE (1) DE102006001805A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009007104A1 (de) 2007-07-12 2009-01-15 Phoenix Contact Gmbh & Co. Kg Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
WO2009156122A1 (de) 2008-06-26 2009-12-30 Phoenix Contact Gmbh & Co. Kg Überwachungssystem
DE102012012521A1 (de) 2012-06-26 2014-01-02 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und Verfahren für eine sicherheitskritische Anwendung
DE102012108975A1 (de) 2012-09-24 2014-03-27 Firma IHI Charging Systems International GmbH Verstellbarer Leitapparat für einen Abgasturbolader und Abgasturbolader

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10216226A1 (de) * 2002-04-08 2003-10-30 Pilz Gmbh & Co Vorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers, insbesondere in industriellen Produktionsanlagen

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10216226A1 (de) * 2002-04-08 2003-10-30 Pilz Gmbh & Co Vorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers, insbesondere in industriellen Produktionsanlagen

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007032827A1 (de) * 2006-01-12 2009-01-15 Phoenix Contact Gmbh & Co. Kg Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP2202592A2 (de) 2007-07-12 2010-06-30 Phoenix Contact GmbH & Co. KG Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
WO2009007104A1 (de) 2007-07-12 2009-01-15 Phoenix Contact Gmbh & Co. Kg Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
US8744805B2 (en) 2008-06-26 2014-06-03 Phoenix Contact Gmbh & Co. Kg Monitoring system
CN102077148A (zh) * 2008-06-26 2011-05-25 菲尼克斯电气公司 监控系统
WO2009156122A1 (de) 2008-06-26 2009-12-30 Phoenix Contact Gmbh & Co. Kg Überwachungssystem
CN102077148B (zh) * 2008-06-26 2015-05-13 菲尼克斯电气公司 监控系统
DE102008029948B4 (de) 2008-06-26 2018-08-30 Phoenix Contact Gmbh & Co. Kg Überwachungssystem
DE102012012521A1 (de) 2012-06-26 2014-01-02 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und Verfahren für eine sicherheitskritische Anwendung
WO2014001370A2 (de) 2012-06-26 2014-01-03 Inter Control Hermann Köhler Elektrik GmbH & Co. KG Vorrichtung und verfahren für eine sicherheitskritische anwendung
DE202012013193U1 (de) 2012-06-26 2015-05-06 INTER CONTROL Hermann Köhler Elektrik GmbH & Co KG Vorrichtung für eine sicherheitskritische Anwendung
US10394212B2 (en) 2012-06-26 2019-08-27 Inter Control Hermann Kohler Elektrik Gmbh & Co. Kg Apparatus and method for a security-critical application
DE102012108975A1 (de) 2012-09-24 2014-03-27 Firma IHI Charging Systems International GmbH Verstellbarer Leitapparat für einen Abgasturbolader und Abgasturbolader
WO2014044364A1 (de) 2012-09-24 2014-03-27 Ihi Charging Systems International Gmbh Verstellbarer leitapparat für einen abgasturbolader und zugehöriger abgasturbolader

Similar Documents

Publication Publication Date Title
EP2017869B1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
EP2171549B1 (de) Sicherheitsvorrichtung zum mehrkanaligen steuern einer sicherheitstechnischen einrichtung
DE19927635B4 (de) Sicherheitsbezogenes Automatisierungsbussystem
EP0016218B1 (de) Einrichtung zum steuern von betriebsparameterabhängigen und sich wiederholenden vorgängen für brennkraftmaschinen
EP2356527B1 (de) Sicherheitssteuerung und verfahren zum steuern einer automatisierten anlage mit einer vielzahl von anlagenhardwarekomponenten
DE102015005198A1 (de) Bremsantriebssteuervorrichtung mit Regelwidrigkeitsdetektion
DE10234091A1 (de) Verfahren zur Überwachung von wenigstens zwei elektromagnetischen Ventilen einer Brennkraftmaschine, insbesondere eines Kraftfahrzeugs
DE102007063212A1 (de) Aktuatoranordnung für einen Kraftfahrzeugantriebsstrang sowie Verfahren zum Betreiben einer Aktuatoranordnung
DE102006001805A1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
DE3902037C1 (de)
WO2008046415A2 (de) Verfahren zum überwachen, ob die schaltschwelle eines schaltgebers innerhalb eines vorgegebenen toleranzbereichs liegt
DE4322472B4 (de) Schaltungsanordnung zur Überwachung eines Stellungsgebers
EP0470441A2 (de) Verfahren zum Übertragen eines Zustimmungssignals für den Betrieb eines Roboters
DE10134215A1 (de) Verfahren zum Umschalten von einem ersten Betriebszustand einer integrierten Schaltung zu einem zweiten Betriebszustand der integrierten Schaltung
EP1748299A1 (de) Elektronische Schaltung, System mit einer elektronischen Schaltung und Verfahren zum Testen einer elektronischen Schaltung
EP0270871A2 (de) System zur Ein- und/oder Ausgabe von Signalen eines digitalen Steuersystems
EP0596297A2 (de) Verfahren und Vorrichtung zur Überprufung einer Überwachungseinheit von Motorsteuersystem
DE102009050692A1 (de) Sicherheits-Kommunikationssystem zur Signalisierung von Systemzuständen
DE102004020538B4 (de) Elektronische Steuereinrichtung und Verfahren zur Steuerung des Betriebs von Kraftfahrzeugkomponenten
WO2020193282A1 (de) Schaltungsanordnung und verfahren zur überwachung eines wechselspannungsförmigen signals
DE3920696A1 (de) Mikroprozessor-schaltungsanordnung mit watchdog-schaltung
DD274072A1 (de) Schaltungsanordnung fuer eine pressensicherheitssteuerung
DE3322073C2 (de)
DE10321764A1 (de) Verfahren zur Ansteuerung eines Sicherheitsrelais in einem Feuerungsautomaten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R120 Application withdrawn or ip right abandoned

Effective date: 20110708