Sicherheitsschaltungsanordnung zum
fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage
[0001] Die vorliegende Erfindung betrifft eine Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage, mit einem Steuergerät, das dazu ausgebildet ist, einen Stromversorgungspfad zu der Anlage fehlersicher zu schließen oder zu unterbrechen, und mit einem Meldegerät, das über eine Anzahl von Leitungen mit dem Steuergerät verbunden ist, wobei das Meldegerät einen Betätiger aufweist, der zwischen einem definierten ersten Zustand und einem zweiten Zustand wechselbar ist, und einen Impulsgenerator, der dazu ausgebildet ist, ein definiertes Pulssignal mit einer Vielzahl von Signalpulsen auf den Leitungen zu erzeugen, wenn der Betätiger in dem definierten ersten Zustand ist.
[0002] Die Erfindung betrifft ferner ein Meldegerät für eine solche Sicherheitsschaltungsanordnung, mit einer Anzahl von Anschlüssen zum Anschließen einer Mehrdrahtleitung, über die das Meldegerät mit dem Steuergerät verbunden
werden kann, mit einem Betätiger, der zwischen einem definierten ersten und einem zweiten Zustand wechselbar ist, und mit einem Impulsgenerator, der dazu ausgebildet ist, ein definiertes Pulssignal mit einer Vielzahl von Signalpulsen auf der Mehrdrahtleitung zu erzeugen, wenn der Betätiger in dem definierten ersten Zustand ist.
[0003] Eine Sicherheitsschaltungsanordnung und ein Meldegerät dieser Art sind aus DE 10 2004 020 997 AI bekannt.
[0004] Eine Sicherheitsschaltungsanordnung im Sinne der vorliegenden Erfindung ist eine Schaltungsanordnung mit zumindest zwei funktionsbestimmenden Komponenten, die zusammenwirken, um den gefährlichen Betrieb einer technischen Anlage abzusichern, d.h. um Unfälle zu vermeiden, die die Gesundheit oder das Leben von Personen im Bereich der Anlage gefährden. Die eine Komponente ist ein Steuergerät, das speziell dazu ausgebildet ist, einen Stromversorgungspfad zu der Anlage fehlersicher zu unterbrechen, um die Anlage in einen ungefährlichen, stromlosen Zustand zu bringen. Bei größeren Anlagen kann sich diese Funktion des Steuergerätes auch auf Teile oder Bereiche der Anlage beschränken, oder es werden verschiedene Bereiche einer größeren Anlage mit mehreren Steuergeräten getrennt gesteuert. Wichtig ist, dass die Steuergeräte selbst dann einen sicheren Anlagenbe- triebszustand gewährleisten, wenn Fehler auftreten, etwa wenn elektronische Bauteile versagen, eine Leitungsverbindung beschädigt wird oder ein anderes Fehlerereignis auftritt. Dementsprechend sind die Steuergeräte in aller Regel mehrkanalig- redundant aufgebaut und sie besitzen interne Überwachungsfunktionen, um einzelne Fehler frühzeitig zu erkennen und eine Anhäufung von Fehlern zu vermeiden. Geeignete Steuergeräte können programmierbare Sicherheitssteuerungen oder einfachere Sicherheitsschaltgeräte mit einem weitgehend festgelegten Funktionsumfang sein. Typischerweise sind die Steuergeräte einfehlersicher im Sinne der Kategorie 3 oder höher der Europäischen Norm EN 954-1, im Sinne von SIL 2 der Internationalen Norm IEC 61508 oder im Sinne vergleichbarer Anforderungen.
[0005] Die Steuergeräte überwachen den Betriebszustand von so genannten Meldegeräten oder Sensoren. Die Meldegeräte/Sensoren liefern Eingangssignale, die von dem Steuergerät ausgewertet und ggf. miteinander verknüpft werden, um in Abhängigkeit davon Aktuatoren der Anlage, wie etwa einen elektrischen Antrieb oder ein Magnetventil, ein- oder abzuschalten. In vielen Fällen liefern die Meldegeräte recht einfache binäre Informationen, etwa ob eine mechanische Schutztür geschlossen ist oder nicht, ob ein Not-Aus-Taster betätigt ist oder nicht, ob eine Lichtschranke unterbrochen ist oder nicht. Darüber hinaus können Meldegeräte/Sensoren jedoch auch analoge Werte liefern, etwa die Temperatur eines Kessels oder die Drehzahl eines Antriebs. Üblicherweise gibt das Steuergerät der Sicherheitsschaltungsanord- nung den Betrieb der Anlage nur frei, wenn anhand der Signale von den Meldegeräten/Sensoren ein ungefährlicher Betrieb angenommen werden kann. Es gibt aber auch Fälle, in denen Absicherungsmaßnahmen bewusst außer Kraft gesetzt werden, bspw. um einen Einrichtbetrieb bei geöffneter Schutztür zu ermöglichen. Häufig wird in diesen Fällen ein spezieller Zustimmtaster verwendet, den der Anlagenbediener in einem solchen Fall betätigen muss. Auch ein solcher Zustimmtaster ist ein sicherheitsrelevantes Meldegerät.
[0006] In einer großen Anlage kann es eine Vielzahl von Meldegeräten/Sensoren geben, die sicherheitsrelevante Eingangssignale an die Sicherheitssteuerung liefern. Die einzelnen Meldegeräte/Sensoren können räumlich weit voneinander entfernt sein, was zu einem großen Installationsaufwand führt. Bei Leitungsverbindungen, die außerhalb eines geschlossenen Schaltschranks oder quetschungssicherer Rohre verlaufen, müssen Querschlüsse, die als Folge von Beschädigungen auftreten können, von der Sicherheitssteuerung erkannt werden. Daher sind auch die Verbindungsleitungen zwischen Meldegeräten/Sensoren und Steuergeräten einer Sicher- heitsschaltungsanordnung häufig redundant, was den Installationsaufwand zusätzlich erhöht.
[0007] Die eingangs genannte DE 10 2004 020 997 AI beschreibt eine Si- cherheitsschaltungsanordnung, bei der eine Vielzahl von Meldegeräten in Reihe an ein fehlersicheres Steuergerät angeschlossen sind. Das Steuergerät erzeugt zwei
redundante Freigabesignale, die über zwei redundante Leitungen durch die Reihe der Meldegeräte an das Steuergerät zurückgeführt sind. Unterbricht ein Meldegerät der Reihe zumindest eines der redundanten Freigabesignale, wird dies in dem Steuergerät erkannt und der Stromversorgungspfad zu der Anlage wird unterbrochen. Durch eine geschickte Realisierung der Meldegeräte ist es außerdem möglich, Diagnoseinformationen auf den Sicherheitsleitungen zu dem Steuergerät zu übertragen. Die bekannte Schaltungsanordnung ermöglicht daher einen relativ kostengünstigen Aufbau mit flexiblen Diagnosemöglichkeiten. Allerdings erfordert die praktische Realisierung mindestens vier separate Leitungen oder Leitungsadern, um die Freigabesignale vom Steuergerät zu den Meldegeräten und zurück zu führen. Da die Meldegeräte für die Weiterleitung der redundanten Freigabesignale elektronische Bauteile verwenden, die eine Betriebsspannung benötigen, werden typischerweise zwei weitere Leitungen oder Aderpaare benötigt, um den Meldegeräten die Betriebsspannung und Betriebsmasse zuzuführen. Eine solche Realisierung ist daher trotz der bereits erreichten Vorteile noch aufwändig, insbesondere wenn zwischen einzelnen Meldegeräten und dem Steuergerät große Entfernungen überbrückt werden müssen. Bei der Steuerung von Skiliften können zwischen einem Meldegerät und dem Steuergerät beispielsweise Entfernungen von mehreren Kilometern liegen und es ist in solchen Fällen wünschenswert, bereits vorhandene Leitungen zu nutzen, wobei für eine Realisierung gemäß DE 10 2004 020 997 AI in der Regel nicht genügend Leitungsadern zur Verfügung stehen.
[0008] DE 199 11 698 AI beschreibt eine andere Sicherheitsschaltungsan- ordnung mit einem Steuergerät und einer Vielzahl von Meldegeräten, die in Reihe zueinander an das Steuergerät angeschlossen sind. Jedes Meldegerät besitzt einen Öffnerkontakt und ist mit einem Codesignalgenerator gekoppelt, der ein charakteristisches Codesignal an das Steuergerät liefert, wenn der Kontakt geöffnet wurde. Für die praktische Realisierung werden zumindest drei Leitungsadern benötigt. Ein Querschluss zwischen der Leitung am Freigabesignalausgang des Steuergerätes und der Leitung am Freigabesignaleingang des Steuergerätes kann allerdings nicht ohne Weiteres erkannt werden, so dass für eine höhere Sicherheitskategorie ggf. weitere redundante Signalleitungen benötigt werden.
[0009] DE 100 11 211 AI offenbart eine weitere Sicherheitsschaltungsan- ordnung mit Meldegeräten und einem fehlersicheren Steuergerät. Die Meldegeräte sind entweder einkanalig über eine Verbindungsleitung oder zweikanalig über zwei redundante Verbindungsleitungen mit dem Steuergerät verbunden. Die einkanalige Verbindung bietet für sich genommen keine Fehlersicherheit und wird lediglich für einen Starttaster vorgeschlagen, der in solchen Fällen typischerweise nahe bei der gefährlichen Anlage angeordnet ist. In einem Ausführungsbeispiel ist beschrieben, dass zwei unterschiedliche Taktsignale als Freigabesignale von dem fehlersicheren Steuergerät über redundante Kontakte eines Not-Aus-Tasters zum Steuergerät zurückgeführt sind.
[0010] DE 102 16 226 AI beschreibt eine Sicherheitsschaltungsanordnung mit mehreren Meldegeräten und Steuergeräten, wobei die Steuergeräte in Reihe verbunden sind, um ein hierarchisches Steuerungssystem mit unterschiedlichen Abschaltgruppen zu bilden. In den Ausführungsbeispielen sind die Steuergeräte über eine einkanalige Verbindungsleitung gekoppelt, über die ein potenzialbezogenes Schaltsignal mit einem statischen Signalanteil und einem dynamischen Signalanteil übertragen wird. Die Realisierung setzt noch eine gemeinsame Masse für die verbundenen Steuergeräte voraus. Darüber hinaus benötigt jedes verbundene Steuergerät eine Betriebsspannung, die ebenfalls zugeführt werden muss, so dass die tatsächliche Leitungszahl doch höher ist.
[0011] Aus DE 103 48 884 AI ist ein Meldegerät mit einem Stellelement bekannt, das zwischen einer ersten und zumindest einer zweiten Position bewegbar ist. Ein Detektorelement zum Detektieren der Position des Stellelements beinhaltet einen Transponder mit einer individuellen Transponderkennung und eine Leseeinheit für die Transponderkennung. Das Meldegerät besitzt einen Signaleingang zum Zuführen eines Testsignals, mit dessen Hilfe das Auslesen der Transponderkennung zu Testzwecken unterdrückt werden kann. Zusätzlich werden Anschlüsse für eine Versorgungsspannung, Masse und einen Signalausgang benötigt, über den das Meldegerät die Information des Detektorelements zu einem fehlersicheren Steuergerät übertragen
kann. Zum Anschließen des Meldegeräts an ein Steuergerät werden insgesamt also mindestens vier Leitungen benötigt.
[0012] Ein weiteres Meldegerät ist aus DE 100 23 199 AI bekannt. In einer Ruhelage des Meldegerätes ist ein Schaltelement geöffnet. In einer bestimmten Betätigungsposition wird das Schaltelement geschlossen. Details zum Anschluss des Meldegerätes an ein fehlersicheres Steuergerät sind nicht beschrieben.
[0013] Den Fachleuten ist ferner ein als ASI(Aktuator-Sensor-Interface)-Bus bezeichnetes Feldbussystem bekannt, das mit einem speziellen zweiadrigen Kabel realisiert werden kann und zum Vernetzen von Sensoren und Aktuatoren in der Feldebene einer automatisierten Anlage dient. Ein ASI-Busmaster sendet hier in wiederholten Zeitintervallen Anfragen an die an den ASI-Bus angeschlossenen Sensoren. Diese übermitteln daraufhin ihren Sensorzustand an den ASI-Busmaster. Dieses System kommt zwar mit lediglich zwei Leitungsadern aus. Es erfordert jedoch spezielle Interfacebausteine, die in der Lage sind, das Busprotokoll zu realisieren. Für eine Sicherheitsschaltungsanordnung der eingangs genannten Art müssen sowohl das Steuergerät als auch das Meldegerät einen ASI-Bus kompatiblen Interfacebaustein aufweisen, was für manchen Anwendungen zu aufwendig und teuer ist.
[0014] Aus DE 43 33 358 AI ist schließlich eine nicht-sichere Schaltungsanordnung bekannt, bei der über eine zweiadrige Verbindungsleitung sowohl eine Betriebsspannung als auch ein Steuersignal von einem Steuergerät an ein Magnetventil, also an einen Aktuator, übertragen wird.
[0015] Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, eine Sicherheitsschaltungsanordnung und ein Meldegerät der eingangs genannten Art anzugeben, die eine noch kostengünstigere und trotzdem fehlersichere Verbindung zwischen einem Meldegerät und einem Steuergerät ermöglichen, insbesondere wenn Meldegerät und Steuergerät räumlich weit voneinander entfernt sind.
[0016] Gemäß einem ersten Aspekt der Erfindung wird diese Aufgabe durch eine Sicherheitsschaltungsanordnung der eingangs genannten Art gelöst, wobei das Meldegerät mit dem Steuergerät über eine Zweidrahtleitung mit einer ersten und einer zweiten Ader verbunden ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger in dem zweiten Zustand ist, und wobei der Impulsgenerator dazu ausgebildet ist, einen Spannungseinbruch zwischen der ersten Ader und der zweiten Ader zu bewirken, um die Vielzahl von Signalpulsen zu erzeugen.
[0017] Die Aufgabe wird gemäß einem weiteren Aspekt der Erfindung durch ein Meldegerät der eingangs genannten Art gelöst, wobei die Mehrdrahtleitung eine Zweidrahtleitung mit einer ersten Ader und einer zweiten Ader ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger in dem zweiten Zustand ist, und wobei der Impulsgenerator dazu ausgebildet ist, einen Spannungseinbruch zwischen der ersten Ader und der zweiten Ader zu bewirken, um die Vielzahl von Signalpulsen zu erzeugen.
[0018] Die neue Sicherheitsschaltungsanordnung verwendet also eine Zweidrahtleitung, über die das Meldegerät mit dem Steuergerät verbunden ist. Im Vergleich zu bekannten Sicherheitsschaltungsanordnungen ist die Zahl der Verbindungsleitungen damit auf ein Minimum reduziert. Zwischen den beiden Adern der Zweidrahtleitung liegt eine überwiegend konstante Spannung an, die in vorteilhaften Ausgestaltungen dazu verwendet wird, das Meldegerät mit einer Betriebsspannung zu versorgen. Ungeachtet dessen erzeugt der Impulsgenerator des Meldegerätes, beispielsweise durch einen simplen Kurzschluss zwischen den beiden Adern der Verbindungsleitung, eine Vielzahl von Signalpulsen, die ein definiertes Pulssignal bilden. Der Impulsgenerator erzeugt den Spannungseinbruch in einigen Ausführungsbeispielen durch einen vollständigen Kurzschluss zwischen den beiden Leitungsadern. Die Spannung zwischen den beiden Leitungsadern sinkt dann auf Null ab. In anderen Ausführungsbeispielen kann ein elektrischer Widerstand zwischen den beiden Leitungsadern aktiviert werden, was zu einem Spannungseinbruch führt, aber eine Restspannung größer Null belässt. Beispielsweise kann die Spannung zwischen den
beiden Leitungsadern etwa 24 Volt betragen, wenn der Betätiger in dem zweiten Zustand ist, und auf etwa 5 Volt absinken, wenn der Impulsgenerator den Spannungseinbruch bewirkt.
[0019] Das Meldegerät erzeugt also ein dynamisches, d.h. zeitlich sich veränderndes, Signal und stellt dieses dynamische Signal als Eingangssignal dem Steuergerät zur Verfügung. Im Gegensatz zu den bekannten Sicherheitsschaltungsanord- nungen verzichtet die neue Sicherheitsschaltungsanordnung aber auf eine Signalschleife, die von dem Steuergerät ausgeht und über das Meldegerät zum Steuergerät zurückgeführt ist. Vielmehr ist im Steuergerät lediglich eine Erwartungshaltung in Bezug auf das definierte Pulssignal hinterlegt, d.h. das Steuergerät erwartet genau das definierte Pulssignal von dem Meldegerät, wenn sich der Betätiger in dem definierten ersten Zustand befindet. Es ist denkbar, dass das Meldegerät mehrere definierte Pulssignale erzeugen kann, die sich voneinander unterscheiden, wobei jedes der definierten Pulssignale aus der Menge definierter Pulssignale die Information repräsentiert, dass der Betätiger in dem definierten ersten Zustand ist. Mithilfe verschiedener Pulssignale kann das Meldegerät dem Steuergerät weitere Informationen übermitteln, die im Steuergerät vorteilhaft zur Diagnose einer Anlagenbetriebssituation verwendet werden können. In einem Ausführungsbeispiel, in dem der Betätiger zweikanalig ausgebildet ist, können die unterschiedlich definierten Pulssignale eine Information darüber repräsentieren, ob tatsächlich beide Betätigerkanäle in dem definierten ersten Zustand sind und wenn nicht, welcher Betätigerkanal ggf. versagt hat.
[0020] Bekannte Sicherheitsschaltungsanordnungen verwenden in der Regel eine Signalschleife vom Steuergerät zum Meldegerät und zurück. Dies birgt das Risiko, dass ein Querschluss zwischen der Hinleitung und der Rückleitung der Signalschleife das Meldegerät überbrückt und dem Steuergerät fälschlicherweise einen sicheren Zustand suggeriert. Die neue Sicherheitsschaltungsanordnung verzichtet auf die Leiterschleife und vermeidet so eine potenzielle Fehlerquelle bekannter Sicher- heitsschaltungsanordnungen. Andererseits erzeugt das neue Meldegerät ein dynamisches Signal mit einer Vielzahl von Signalpulsen, so dass ein Stuck-at Fehler im
Meldegerät oder an den Adern der Zweidrahtleitung schnell erkannt wird. Die Kombination der beiden Merkmale ermöglicht es, Meldegerät und Steuergerät über eine lediglich zweiadrige Leitung fehlersicher miteinander zu verbinden. Die neue Sicher- heitsschaltungsanordnung eignet sich daher vor allem für Anwendungen, bei denen die Anzahl der zur Verfügung stehenden Leitungsadern begrenzt ist. Aber auch wenn prinzipiell mehr Leitungsadern zur Verfügung stehen, kann die neue Sicherheits- schaltungsanordnung vorteilhaft eingesetzt werden, da der Verdrahtungsaufwand zwischen Meldegerät und Steuergerät minimiert ist.
[0021] Andererseits überträgt das Meldegerät das dynamische Informationssignal eigenständig, d.h. ohne eine vorherige Aufforderung vom Steuergerät an das Steuergerät. Darin unterscheidet sich die neue Sicherheitsschaltungsanordnung von busbasierten Systemen, die in der Regel einen bidirektionalen Informationsfluss haben, mit dem das Steuergerät verbundene Meldegeräte abfragt. Die neue Sicherheitsschaltungsanordnung kann daher die sicherheitsrelevante Ein- oder Abschaltinformation ohne ein bidirektionales Kommunikationsprotokoll an das Steuergerät übertragen. Es entfällt die Notwendigkeit, spezielle und somit relativ teure Kommunikationscontroller im Meldegerät und/oder Steuergerät zu verwenden. Ungeachtet dessen kann eine busbasierte Kommunikation zwischen Steuergerät und Meldegerät natürlich zusätzlich zu dem hier beschriebenen unidirektionalen Informationsweg implementiert werden, wenn das aus anderen Gründen vorteilhaft ist.
[0022] Insgesamt ermöglichen die neue Sicherheitsschaltungsanordnung und das neue Meldegerät daher eine sehr kostengünstige und gleichwohl fehlersichere Realisierung. Die oben genannte Aufgabe ist vollständig gelöst.
[0023] In einer bevorzugten Ausgestaltung der Erfindung besitzt das Steuergerät einen Signaleingangsanschluss, der elektrisch mit der ersten Ader verbunden ist, und einen Masseanschluss, der elektrisch mit der zweiten Ader verbunden ist.
[0024] In dieser Ausgestaltung ist das definierte Pulssignal ein potenzialbezogenes Signal, das zwischen den beiden Adern in Form von Spannungspulsen anliegt. Die zweite Ader führt das Referenzpotenzial für die Signalpulse auf der ersten Ader. In einer bevorzugten Variante dieser Ausgestaltung ist der Masseanschluss elektrisch mit der Gerätemasse des Steuergerätes verbunden oder sogar gleich der Gerätemasse. Die Ausgestaltung besitzt den Vorteil, dass das neue Meldegerät kompatibel zu bekannten Steuergeräten ist. Die neue Sicherheitsschaltungsanordnung kann daher sehr kostengünstig mit dem neuen Meldegerät realisiert werden.
[0025] In einer weiteren Ausgestaltung ist die erste Ader ferner mit einer Betriebsspannungsquelle verbunden, die entfernt von dem Meldegerät angeordnet ist. Vorzugsweise ist die Betriebsspannungsquelle im Bereich des Steuergerätes angeordnet. Besonders bevorzugt ist es, wenn die erste Ader über einen Pull-up-Widerstand mit einem Anschluss verbunden ist, der ein Betriebsspannungspotential des Steuergerätes führt. In einer anderen Variante ist die Betriebsspannungsquelle eine Stromquelle, die in der Lage ist, einen definierten, lastunabhängigen Strom in die Zweidrahtleitung einzuspeisen.
[0026] Diese Ausgestaltung ist besonders vorteilhaft in Kombination mit der vorhergehenden Ausgestaltung. Sie kann jedoch auch separat davon realisiert sein. Die Besonderheit liegt darin, dass die erste Ader sowohl das Eingangssignal für das Steuergerät (vom Meldegerät zum Steuergerät) führt, als auch eine Betriebsspannung in umgekehrter Richtung für das Meldegerät bereitstellt. Die erste Ader erfüllt also eine Doppelfunktion. Dies ermöglicht eine besonders einfache und kostengünstige Realisierung, wenn das Meldegerät und das Steuergerät räumlich weit entfernt voneinander angeordnet sind. Darüber hinaus besitzt diese Ausgestaltung auch für sich genommen den Vorteil, dass das Meldegerät auf einfache Weise mit einer Betriebsspannung versorgt werden kann, etwa wenn ein Erdschluss für die Bezugsmasse sorgt. Eine Stromquelle ermöglicht zudem ein schnelleres Umladen der Zweidrahtleitung und damit eine höhere Reaktionsgeschwindigkeit der neuen Sicherheitsschaltungsanordnung.
[0027] In einer weiteren Ausgestaltung weist das Meldegerät einen Spannungsregler auf, der eine weitgehend konstante Betriebsspannung für den Signalgenerator anhand der überwiegend konstanten Spannung zwischen der ersten und zweiten Ader erzeugt.
[0028] Diese Ausgestaltung trägt dazu bei, einen stabilen und unterbrechungsfreien Betrieb des Meldegerätes zu gewährleisten, selbst wenn die erste Ader in der oben beschriebenen Doppelfunktion verwendet wird, also einerseits zur Übertragung des definierten Pulssignals und andererseits zur Versorgung des Meldegerätes mit einer Betriebsspannung. Allein schon aufgrund des Pulssignals bricht die Spannung zwischen der ersten und der zweiten Ader prinzipbedingt immer wieder ein. Ein Spannungsregler ist in der Lage, diese Spannungseinbrüche so gut auszugleichen, dass ein stabiler Betrieb des Meldegerätes selbst dann möglich ist, wenn der Signalgenerator mithilfe eines MikroControllers oder eines anderen, gegenüber Spannungseinbrüchen sensiblen Bauelements realisiert ist.
[0029] In einer weiteren Ausgestaltung weist der Signalgenerator einen Signalverarbeitungsschaltkreis und ein vom Signalverarbeitungsschaltkreis angesteuertes Schaltelement auf, das zwischen der ersten und der zweiten Ader angeordnet ist. In bevorzugten Ausführungsbeispielen ist der Signalverarbeitungsschaltkreis ein Mikro- controller, Mikroprozessor, ein ASIC oder ein FPGA, mithin also ein programmierbarer Signal Verarbeitungsschaltkreis .
[0030] In dieser Ausgestaltung ist das Schaltelement, das den Kurzschluss zwischen der ersten und der zweiten Ader ermöglicht, getrennt von dem Signalverarbeitungsschaltkreis, der vorzugsweise den jeweils aktuellen Zustand des Betätigers bestimmt. Die Ausgestaltung macht es möglich, den Kurzschluss mit einem Schaltelement zu bewirken, das zur Aufnahme der Ströme und thermischen Belastungen während des Kurzschlusses optimal dimensioniert ist. Die Ausgestaltung trägt daher zu einen hohen Lebensdauer und Betriebssicherheit des neuen Meldegerätes und der neuen Sicherheitsschaltungsanordnung bei. Andererseits bietet ein programmierbarer
Signalverarbeitungsschaltkreis eine hohe Flexibilität bei der Auswahl und Erzeugung des definierten Pulssignals. Es ist leicht möglich, "komplizierte" Pulssignale mit einer definierten Abfolge von längeren und kürzeren Signalpulsen zu erzeugen. Je individueller und komplexer das definierte Pulssignal ist, desto individueller und sicherer kann das Steuergerät die Informationen des Meldegerätes auswerten.
[0031] In einer weiteren Ausgestaltung weist das Meldegerät einen ersten und einen zweiten Signalgenerator auf, die parallel zueinander mit der ersten und der zweiten Ader verbunden sind.
[0032] In dieser Ausgestaltung besitzt das Meldegerät zumindest zwei redundante Signalgeneratoren. In bevorzugten Ausführungsbeispielen ist jeder der zwei Signalgeneratoren in der Lage, ein definiertes Pulssignal zu erzeugen. Die Redundanz ermöglicht einerseits eine vorteilhafte zweikanalige Realisierung und bietet damit eine höhere Fehlersicherheit. Darüber hinaus erhöht die Redundanz auch die Verfügbarkeit, so dass das neue Meldegerät bspw. auch dann ein Pulssignal zu Diagnosezwecken an das Steuergerät übertragen kann, wenn einer der Signalgeneratoren versagt.
[0033] In einer weiteren Ausgestaltung erzeugen der erste und der zweite Signalgenerator das definierte Pulssignal gemeinsam. In bevorzugten Ausführungsbeispielen erzeugt jeder der beiden Signalgeneratoren einen Teil der Signalpulse, wobei erst die Kombination der von den Signalgeneratoren erzeugten Signalpulse das definierte Pulssignal bildet, das der Erwartungshaltung in dem Steuergerät entspricht. In einigen Varianten besitzt der erste Signalgenerator eine Masterfunktion gegenüber dem zweiten Signalgenerator, indem der zweite Signalgenerator Signalpulse nach einem definierten Muster erst dann erzeugt, wenn er eine Anzahl von Signalpulsen des ersten Signalgenerators auf der ersten Ader detektiert hat. Dementsprechend ist es auch bevorzugt, wenn jeder Signalgenerator einen Rückleseeingang aufweist, über den er Signalpulse auf den Leitungen zum Steuergerät einlesen kann.
[0034] Die Ausgestaltung ermöglicht eine sehr einfache Erzeugung eines „zweikanaligen" Pulssignals mithilfe von zwei redundanten Signalgeneratoren. Das neue Meldegerät lässt sich daher auch in der zweikanaligen Variante recht kostengünstig realisieren. Ein Rückleseeingang am Signalgenerator ermöglicht darüber hinaus eine einfachere Diagnose von Fehlerzuständen, weshalb diese Variante auch bei einkanaligen Meldegeräten von Vorteil sein kann.
[0035] In einer weiteren Ausgestaltung weist das Meldegerät ein weitgehend geschlossenes Gerätegehäuse auf, in dem der Betätiger und der Impulsgenerator angeordnet sind. In bevorzugten Ausführungsbeispielen ist der Betätiger ein mechanisch bewegter Betätiger, insbesondere ein handbetätigtes Stellelement.
[0036] In dieser Ausgestaltung sind die wesentlichen Komponenten des neuen Meldegerätes in einem Gerätegehäuse gekapselt. Insbesondere sind zumindest der elektrische Anschluss des Betätigers und der Impulsgenerator in dem Gerätegehäuse angeordnet. Die Ausgestaltung besitzt den Vorteil, dass der Betätiger nicht durch unbeabsichtigte Fehlbedienung vom Impulsgenerator getrennt werden kann mit der Folge, dass das definierte Pulssignal des Impulsgenerators durch einen Quer- schluss oder Ähnliches nicht den tatsächlichen Zustand des Betätigers repräsentiert. Die Ausgestaltung bietet daher eine erhöhte Fehlersicherheit.
[0037] In einer weiteren Ausgestaltung ist das Steuergerät dazu ausgebildet, anhand des definierten Pulssignals einen Fehlerzustand des Meldegerätes zu bestimmen. In bevorzugten Varianten ist das Steuergerät ferner dazu ausgebildet, den Fehlerzustand anzuzeigen, bspw. auf einer im Steuergerät angeordneten Anzeigeeinheit und/oder mithilfe eines an einem Diagnoseausgang bereitgestellten Diagnosesignals.
[0038] In dieser Ausgestaltung wird die Fehlersicherheit des Meldegerätes im Steuergerät "gemacht", d.h. die Entscheidung, ob ein Fehlerzustand vorliegt oder nicht, und vor allem die Reaktion auf einen möglichen Fehler des Meldegerätes
erfolgt im Steuergerät. Das Pulssignal ist für sich genommen also nicht unbedingt ein „sicheres" Signal. Erst die Interpretation des Pulssignals im Steuergerät, insbesondere der Vergleich mit der im Steuergerät hinterlegten Erwartungshaltung, ermöglicht die Aussage, ob ein Fehler vorliegt. Die Ausgestaltung ermöglicht eine sehr kostengünstige Realisierung, da Fehlerdetektionsmechanismen im Steuergerät ohnehin benötigt werden. Das Meldegerät kann einfacher und damit kostengünstiger realisiert sein.
[0039] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
[0040] Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:
Fig. 1 eine vereinfachte Darstellung eines Ausführungsbeispiels der neuen
Sicherheitsschaltungsanordnung, und
Fig. 2 eine vereinfachte Darstellung eines Ausführungsbeispiels des neuen
Meldegerätes, das in der Sicherheitsschaltungsanordnung gemäß Fig. 1 verwendet ist.
[0041] In Fig. 1 ist ein Ausführungsbeispiel der neuen Sicherheitsschaltungsanordnung in seiner Gesamtheit mit der Bezugsziffer 10 bezeichnet. Die Sicherheitsschaltungsanordnung 10 beinhaltet ein Steuergerät 12 und ein Meldegerät 14. Das Steuergerät 12 ist in diesem Ausführungsbeispiel ein Sicherheitsschaltgerät mit einem weitgehend festgelegten Funktionsumfang. Geeignete Sicherheitsschaltgeräte werden von der Anmelderin unter der Bezeichnung PNOZ® angeboten. Das Sicherheitsschaltgerät 12 ist dazu ausgebildet, Eingangssignale von Meldegeräten zu verarbeiten, um in Abhängigkeit davon einen Aktor, wie etwa einen Schütz, ein Magnetventil oder einen elektrischen Antrieb ein- oder auszuschalten. Alternativ zu einem
Sicherheitsschaltgerät könnte das Steuergerät 12 eine programmierbare Sicherheitssteuerung sein, wie sie von der Anmelderin unter der Bezeichnung PSS® in verschiedenen Varianten angeboten wird.
[0042] Das Steuergerät 12 ist mehrkanalig-redundant und es beinhaltet Testfunktionen, die dazu ausgebildet sind, interne Bauteilversagen und externe Fehler in der Beschaltung zu erkennen, um eine überwachte Anlage bei Auftreten eines Fehlers in einen sicheren Zustand zu bringen. In den bevorzugten Ausführungsbeispielen ist das Steuergerät 12 fehlersicher im Sinne der Kategorie 3 oder höher gemäß der europäischen Norm EN 954-1, im Sinne von SIL2 gemäß der internationalen Norm IEC 61508 oder im Sinne vergleichbarer Anforderungen. Vereinfacht sind hier zwei redundante Signalverarbeitungskanäle in Form von zwei MikroControllern 16a, 16b dargestellt, die jeweils ein Schalt element 18a, 18b ansteuern. Anstelle von Mikro Controllern könnte das Steuergerät 12 Mikroprozessoren, ASICs, FPGAs oder andere Signal- und Datenverarbeitungsschaltkreise besitzen.
[0043] Die Schaltelemente 18 sind hier als Relais dargestellt, deren Arbeitskontakte in Reihe zueinander angeordnet sind. Die Arbeitskontakte bilden einen Stromversorgungspfad 20 zwischen einer Stromversorgung 22 und einem elektrischen Antrieb 24, der hier eine Maschinenanlage symbolisiert. Es versteht sich, dass die Maschinenanlage in realen Fällen eine Vielzahl von elektrischen Antrieben und anderen Aktuatoren beinhalten kann. Die Erfindung ist auch nicht auf Maschinenanlagen im engeren Sinne von Produktionsmaschinen beschränkt. Sie kann vielmehr bei allen technischen Anlagen eingesetzt werden, von denen im Betrieb eine Gefahr ausgeht und die in einem solchen Fall in einen sicheren Zustand gebracht werden müssen, insbesondere durch Unterbrechen eines Stromversorgungspfades 20. Anstelle oder in Ergänzung zu den Relais 18 kann das Steuergerät 12 elektronische Schaltelemente aufweisen, insbesondere Leistungstransistoren. In einigen Ausführungsbeispielen besitzt das Steuergerät 12 ausgangsseitig mehrere redundante elektronische Schaltelemente, die jeweils ein potenzialbezogenes Ausgangssignal bereitstellen, mit dem externe Schütze, Magnetventile oder dergleichen angesteuert werden können.
[0044] In den bevorzugten Ausführungsbeispielen besitzt das Steuergerät 12 ein Gerätegehäuse 26, in dem die einzelnen Bauelemente, insbesondere die Prozessoren 16 und Schaltelemente 18, angeordnet sind. Am Gerätegehäuse sind Anschlussklemmen angeordnet, von denen einige hier mit den Bezugsziffern 28, 30, 32, 34 bezeichnet sind.
[0045] Die Anschlussklemme 30 ist im vorliegenden Fall eine Anschlussklemme zum Zuführen einer Betriebsspannung UB für das Steuergerät 12. In einigen Ausführungsbeispielen ist die Betriebsspannung UB eine 24-Volt-Gleichspannung, die zur Versorgung der Prozessoren 16, Schaltelemente 18 und weiteren Bauelementen des Steuergerätes 12 benötigt wird. Die Anschlussklemme 32 ist hier ein Massean- schluss, auf den sich die Versorgungsspannung UB bezieht. Anschluss 32 ist in diesem Fall also die Gerätemasse des Steuergerätes 12.
[0046] Die Anschlussklemme 34 bildet einen Signaleingang des Steuergerätes 12. Ein an der Anschlussklemme 34 anliegendes Eingangssignal ist den Mikro- controllern 16 redundant zugeführt und wird von den MikroControllern 16 redundant ausgewertet, um in Abhängigkeit davon die Schaltelemente 18 anzusteuern. Gemäß einem bevorzugten Ausführungsbeispiel besitzt das Steuergerät 12 hier einen Pull-up-Widerstand 36, der die Anschlussklemme 34 mit der Betriebsspannung UB an der Anschlussklemme 30 verbindet. Das Potenzial an der Anschlussklemme 34 wird also auf das Potenzial der Betriebsspannung UB "hochgezogen", was in Verbindung mit dem nachfolgend erläuterten Meldegerät eine besonders bevorzugte Realisierung ist. In einigen Ausführungsbeispielen kann der Pull-up-Widerstand 36 in die Anschlussklemmen 30, 34 integriert. In anderen Ausführungsbeispielen kann der Pull- up-Widerstand 36 außerhalb des Steuergerätes 12 angeordnet sein.
[0047] Das Meldegerät 14 besitzt einen Betätiger 40, der hier ein handbetätigter Taster ist. Der Betätiger 40 ist über eine Feder (hier nicht dargestellt) in einer ersten Betriebsposition vorgespannt, in der hier ein elektrischer Kontakt 41 geöffnet ist. Dies ist im vorliegenden Ausführungsbeispiel der inaktive Ruhezustand (zweite
Zustand) des Betätigers 40. Der Betätiger 40 kann gegen die Federkraft in eine zweite Betriebsposition 40' gebracht werden, in der der Kontakt 41 geschlossen ist. Bei geschlossenem Kontakt 41 ist ein Impulsgenerator 42 mit der Betriebsspannung UB verbunden. Der Impulsgenerator 42 erzeugt dann ein definiertes Pulssignal 44 mit einer Vielzahl von Signalpulsen 46. Der Zustand 40' ist folglich ein definierter erster Zustand im Sinne der vorliegenden Erfindung. In einem Ausführungsbeispiel erhält der Impulsgenerator 42 die für das Erzeugen der Signalpulse 46 benötigte Betriebsspannung nur bei aktiviertem Betätiger 40. Andernfalls ist er spannungslos. In allen derzeit bevorzugten Ausführungsbeispielen erzeugt der Impulsgenerator 42 das Pulssignal 44 nur dann, wenn sich der Betätiger 40 in dem definierten Zustand 40' befindet.
[0048] Im dargestellten Ausführungsbeispiel ist der Betätiger ein einfacher handbetätigter Schließerkontakt. In anderen Ausführungsbeispielen kann der Betätiger ein Öffnerkontakt oder eine Kombination von Öffner- und Schließerkontakten sein. Des weiteren kann der Betätiger ein Transponder, eine Lichtschranke oder ein Messwertgeber für Temperatur, Druck, Spannung u.a. sein. In einem bevorzugten Ausführungsbeispiel dient das Meldegerät 14 zum sicheren Einschalten des Antriebs 24 zu test- und Einrichtzwecken. Das Meldegerät 14 kann dabei in einer großen Entfernung von dem Antrieb 24 und dem Steuergerät 12 angeordnet sein. In einem Ausführungsbeispiel ist das Steuergerät 12 in einem Schaltschrank in der Nähe des Antriebes 24 angeordnet, während das Meldegerät 14 mehrere einhundert Meter von dem Schaltschrank entfernt ist. In anderen Ausführungsbeispielen kann das Meldegerät 14 als Not- Aus-Taster, Schutztürschalter, Näherungsschalter, Lichtschranke, Temperaturwächter oder dergleichen ausgebildet sein.
[0049] Das Meldegerät 14 ist hier über zwei Leitungsadern 50, 52 einer Zweidrahtleitung 54 mit dem Steuergerät 12 verbunden. Die erste Leitungsader 50 führt von einer Anschlussklemme 56 des Meldegerätes zu der Anschlussklemme 34 des Steuergerätes. Die zweite Leitungsader 52 führt von einer Anschlussklemme 58 des Meldegerätes zu der Anschlussklemme 32. Die Anschlussklemmen 56, 58 sind an
einem Gerätegehäuse 60 angeordnet, das den Impulsgenerator 42 und den Betätiger 40 (soweit möglich) umschließt.
[0050] Charakteristisch an der neuen Sicherheitsschaltungsanordnung 10 ist die Fähigkeit des Meldegerätes 14, allein in Abhängigkeit von der Betätigung des Betätigers 40 ein definiertes„eigenes" Pulssignal 44 zu erzeugen, das dem Steuergerät 12 über die Zweidrahtleitung 54 zugeführt ist. Im Gegensatz zu bekannten Sicher- heitsschaltungsanordnungen empfängt das Meldegerät 14 in den bevorzugten Ausführungsbeispielen kein Freigabe- oder Anforderungssignal von dem Steuergerät 12. Es erzeugt das Pulssignal 44 vielmehr selbstständig, sobald sich der Betätiger 40 in dem definierten ersten Zustand 40' befindet. Im Steuergerät 12 (genauer gesagt in einem Speicher, der beispielsweise in den MikroControllern 16 enthalten ist) ist das definierte Pulssignal 44 als Erwartungshaltung abgespeichert. Sobald die MikroController 16 das definierte Pulssignal 44 am Signaleingang 34 erkennen, wird dies als Betätigung des Betätigers 40 interpretiert. In dem dargestellten Ausführungsbeispiel schalten die MikrocontroUer 16 den Antrieb 24 dann über die Schaltelemente 18 ein.
[0051] Wenn das Meldegerät 14 hingegen als Not-Aus-Taster fungieren soll, ist der Ruhezustand des Betätigers 40 vorzugsweise so gewählt, dass der Impulsgenerator 42 das Pulssignal 44 kontinuierlich erzeugt und bei Betätigen des Not-AusTasters unterbricht. Die MikrocontroUer 16 erkennen das Fehlen des Pulssignals 44 und schalten den Antrieb 24 dementsprechend ab.
[0052] Wie in Fig. 1 dargestellt ist, kann die Sicherheitsschaltungsanordnung 10 weitere Meldegeräte 14' beinhalten, die parallel zu dem Meldegerät 14 an die Anschlussklemmen 32, 34 angeschlossen sind. Vorzugsweise erzeugt ein weiteres Meldegerät 14' ein anderes definiertes Pulssignal 44', das sich von dem Pulssignal 44 unterscheidet. Das Steuergerät 12 kann dann anhand der Pulssignale erkennen, von welchem Meldegerät ein am Eingang 34 anliegendes Pulssignal stammt.
[0053] In Fig. 2 ist ein weiteres Ausführungsbeispiel des neuen Meldegerätes gezeigt. Gleiche Bezugszeichen bezeichnen dieselben Elemente wie zuvor.
[0054] Das Meldegerät 14 besitzt in diesem Ausführungsbeispiel einen Mik- rocontroller 70a und ein Schaltelement 72a, das von dem MikroController 70a angesteuert wird. Das Schaltelement 72a ist hier ein Feldeffekttransistor (FET), dessen Source- und Drainanschlüsse zwischen den Anschlussklemmen 56, 58 angeordnet sind. Der FEt ist somit in der Lage, einen Kurzschluss zwischen den Leitungsadern 50, 52 der Zweidrahtleitung 54 zu bewirken. Anstelle eines FET kann ein bipolarer Transistor mit seinem Kollektor- und Emitteranschluss zwischen den Anschlussklemmen 56, 58 angeordnet sein. In einem abgewandelten Ausführungsbeispiel kann zwischen dem Schaltelement und einer der beiden Anschlussklemmen 56, 58 ein elektrischer Widerstand 73 angeordnet sein, der mit dem Pull-up- Widerstand 36 im Steuergerät einen Spannungsteiler bildet. Ein solcher Widerstand hat zur Folge, dass die Spannung zwischen den beiden Leitungsadern 50, 52 bei einem Spannungseinbruch, den das Meldegerät erzeugt, nicht auf Null absinkt, sondern auf einen Spannungswert, der dem Teilerverhältnis des Spannungsteilers 36, 73 entspricht. Diese Variante besitzt den Vorteil, dass die Betriebsspannung für das Meldegerät beim Erzeugen der Signalpulse 46 nicht vollständig wegbricht.
[0055] Mit der Bezugsziffer 74a ist ein Spannungsregler (DC/DC-Wandler) bezeichnet, der die an der Anschlussklemme 56 anliegende Spannung über eine Diode 76a erhält. Der Spannungsregler erzeugt an seinem Ausgang 78a eine geregelte Gleichspannung von beispielsweise 5 Volt, die als Betriebsspannung für den Mikro- controller 70a dient. Der Spannungsregler 74a gleicht insbesondere diejenigen Spannungseinbrüche auf der Leitungsader 50 aus, die durch die Erzeugung des Pulssignals 44 entstehen. Darüber hinaus gleicht der Spannungsregler 74 auch andere Spannungsschwankungen aus, einschließlich solche, die bspw. von dem Meldegerät 14' hervorgerufen wurden.
[0056] Mit der Bezugsziffer 40a ist hier der Schließerkontakt des Betätigers 40 bezeichnet. Der Kontakt 40a bildet hier mit einem Widerstand 80a einen (weiteren) Spannungsteiler, an dessen mittlerem Abgriff ein Eingang des MikroControllers 70a angeschlossen ist. Der MikroController 70a kann auf diese Weise den Betätigungszustand des Betätigers 40 einlesen und in Abhängigkeit davon das Pulssignal 44 erzeugen, indem er mithilfe des Schaltelements 42 einen Kurzschluss zwischen den Leitungsadern 50, 52 hervorruft.
[0057] Mit den Bezugsziffern 82a, 84a sind zwei weitere Widerstände bezeichnet, die einen zweiten Spannungsteiler bilden, der parallel zu den Anschlussklemmen 56, 58 angeordnet ist. Ein mittlerer Abgriff des Spannungsteilers 82a, 84a führt auf einen weiteren Eingang des MikroControllers 70a. Mithilfe des Spannungsteilers 82a, 84a kann der Mikro Controller 70a die Signalpulse 46 zurücklesen.
[0058] In einigen Ausführungsbeispielen ist das Meldegerät 14 einkanalig ausgebildet. In bevorzugten Ausführungsbeispielen besitzt das Meldegerät 14 jedoch einen redundanten zweiten Kanal, der hier in seiner Gesamtheit mit der Bezugsziffer 86b bezeichnet ist. Der Kanal 86b ist in dem dargestellten Ausführungsbeispiel genauso aufgebaut wie der beschriebene erste Kanal 86a, d.h. er besitzt einen Mikro- controller 70b, ein Schaltelement 72b und einen Spannungsregler 74b. Das Schaltelement 72b ist parallel zu dem Schaltelement 72a zwischen die Anschlussklemmen 56, 58 geschaltet, so dass auch der MikroController 70b einen Spannungseinbruch zwischen den Leitungsadern 50, 52 erzeugen kann.
[0059] In einem bevorzugten Ausführungsbeispiel erzeugen die beiden Mik- rocontroller 70, 70b das definierte Pulssignal 44 gemeinsam, sobald der Betätiger 40 in seinem aktivierten Zustand ist. Beispielsweise erzeugt der MikroController 70a zunächst einen ersten Signalpuls 46a, indem er das Schaltelement 72a für eine definierte Zeitspanne (Pulsdauer) in den leitenden Zustand bringt. Der Mikrocontrol- ler 70b kann den Signalpuls 46a über den Spannungsteiler 82b, 84b lesen und er erzeugt nach einer im MikroController 70b eingestellten Verzögerungszeit einen
zweiten Signalpuls 46b, indem er nun das Schaltelement 72b in den leitenden Zustand bringt. Der resultierende Kurzschluss ist in Fig. 2 bei der Bezugsziffer 88 gezeigt. Im Folgenden erzeugen die MikrocontroUer 70a, 70b in einer definierten Sequenz Signalpulse 46a, 46b durch jeweiliges Kurzschließen der Leitungsadern 50, 52, was dann zu dem definierten Pulssignal 44 führt. Fig. 2 zeigt das Pulssignal 44, das sich aus der Kombination der Signalpulse 90 des ersten Kanals 86a und der Signalpulse 92 des zweiten Kanals 86b ergibt.
[0060] In weiteren Ausführungsbeispielen kann der zweite Kanal 86b ein Schaltelement 72b beinhalten, das seriell zu dem Schaltelement 72a zwischen den Anschlussklemmen 56, 58 angeordnet ist. Des weiteren können die beiden Kanäle 86a, 86b über ein UND-Glied (hier nicht dargestellt) zusammengeführt sein. Das UND-Glied steuert dann bevorzugt das Schaltelement 72a an. Die in Fig. 2 dargestellte Variante besitzt demgegenüber den Vorteil, dass jeder MikrocontroUer 70a, 70b ein definiertes Pulssignal unabhängig vom jeweils anderen Kanal erzeugen kann. Dies kann im Steuergerät 12 vorteilhaft genutzt werden, um zu bestimmen, welcher der beiden Kanäle 86a, 86b Ursache für ein fehlerhaftes Pulssignal ist.