Nothing Special   »   [go: up one dir, main page]

DE102010025675B3 - Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage - Google Patents

Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage Download PDF

Info

Publication number
DE102010025675B3
DE102010025675B3 DE102010025675A DE102010025675A DE102010025675B3 DE 102010025675 B3 DE102010025675 B3 DE 102010025675B3 DE 102010025675 A DE102010025675 A DE 102010025675A DE 102010025675 A DE102010025675 A DE 102010025675A DE 102010025675 B3 DE102010025675 B3 DE 102010025675B3
Authority
DE
Germany
Prior art keywords
signal
signaling device
wire
circuit arrangement
actuator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102010025675A
Other languages
English (en)
Inventor
Jürgen Pullmann
Christoph Zinser
Michael Schlecht
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pilz GmbH and Co KG
Original Assignee
Pilz GmbH and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pilz GmbH and Co KG filed Critical Pilz GmbH and Co KG
Priority to DE102010025675A priority Critical patent/DE102010025675B3/de
Priority to PCT/EP2011/060444 priority patent/WO2011161158A1/de
Priority to CN201180041121.5A priority patent/CN103081052B/zh
Priority to EP11726815.1A priority patent/EP2586051B1/de
Priority to JP2013515882A priority patent/JP5778268B2/ja
Application granted granted Critical
Publication of DE102010025675B3 publication Critical patent/DE102010025675B3/de
Priority to US13/721,620 priority patent/US9293285B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits
    • H01H47/004Monitoring or fail-safe circuits using plural redundant serial connected relay operated contacts in controlled circuit
    • H01H47/005Safety control circuits therefor, e.g. chain of relays mutually monitoring each other

Landscapes

  • Safety Devices In Control Systems (AREA)
  • Keying Circuit Devices (AREA)
  • Measuring Pulse, Heart Rate, Blood Pressure Or Blood Flow (AREA)

Abstract

Eine Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage (24) besitzt ein Steuergerät (12), das dazu ausgebildet ist, einen Stromversorgungspfad (20) zu der Anlage (24) fehlersicher zu schließen oder zu unterbrechen. Die Sicherheitsschaltungsanordnung besitzt ferner ein Meldegerät (14), das über eine An2) verbunden ist. Das Meldegerät (14) besitzt einen Betätiger (40), der zwischen einem definierten ersten Zustand und einem zweiten Zustand (40') wechselbar ist. Ein Impulsgenerator (42) im Meldegerät (14) ist dazu ausgebildet, ein definiertes Pulssignal (44) mit einer Vielzahl von Signalpulsen (46) auf den Leitungen (50, 52) zu erzeugen, wenn der Betätiger (40) in dem definierten ersten Zustand ist. Gemäß einem Aspekt der Erfindung ist das Meldegerät (14) mit dem Steuergerät (12) über eine Zweidrahtleitung (54) mit einer ersten und einer zweiten Ader (50, 52) verbunden. Zwischen den beiden Adern (50, 52) liegt eine überwiegend konstante Spannung an, wenn der Betätiger (40) in dem zweiten Zustand ist. Der Impulsgenerator (42) ist dazu ausgebildet, einen Spannungseinbruch zwischen der ersten Ader (50) und der zweiten Ader (52) zu bewirken, um die Vielzahl von Signalpulsen (46) zu erzeugen.

Description

  • Die vorliegende Erfindung betrifft eine Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage, mit einem Steuergerät, das dazu ausgebildet ist, einen Stromversorgungspfad zu der Anlage fehlersicher zu schließen oder zu unterbrechen, und mit einem Meldegerät, das über eine Anzahl von Leitungen mit dem Steuergerät verbunden ist, wobei das Meldegerät einen Betätiger aufweist, der zwischen einem definierten ersten Zustand und einem zweiten Zustand wechselbar ist, und einen Impulsgenerator, der dazu ausgebildet ist, ein definiertes Pulssignal mit einer Vielzahl von Signalpulsen auf den Leitungen zu erzeugen, wenn der Betätiger in dem definierten ersten Zustand ist.
  • Die Erfindung betrifft ferner ein Meldegerät für eine solche Sicherheitsschaltungsanordnung, mit einer Anzahl von Anschlüssen zum Anschließen einer Mehrdrahtleitung, über die das Meldegerät mit dem Steuergerät verbunden werden kann, mit einem Betätiger, der zwischen einem definierten ersten und einem zweiten Zustand wechselbar ist, und mit einem Impulsgenerator, der dazu ausgebildet ist, ein definiertes Pulssignal mit einer Vielzahl von Signalpulsen auf der Mehrdrahtleitung zu erzeugen, wenn der Betätiger in dem definierten ersten Zustand ist.
  • Eine Sicherheitsschaltungsanordnung und ein Meldegerät dieser Art sind aus DE 10 2004 020 997 A1 bekannt.
  • Eine Sicherheitsschaltungsanordnung im Sinne der vorliegenden Erfindung ist eine Schaltungsanordnung mit zumindest zwei funktionsbestimmenden Komponenten, die zusammenwirken, um den gefährlichen Betrieb einer technischen Anlage abzusichern, d. h. um Unfälle zu vermeiden, die die Gesundheit oder das Leben von Personen im Bereich der Anlage gefährden. Die eine Komponente ist ein Steuergerät, das speziell dazu ausgebildet ist, einen Stromversorgungspfad zu der Anlage fehlersicher zu unterbrechen, um die Anlage in einen ungefährlichen, stromlosen Zustand zu bringen. Bei größeren Anlagen kann sich diese Funktion des Steuergerätes auch auf Teile oder Bereiche der Anlage beschränken, oder es werden verschiedene Bereiche einer größeren Anlage mit mehreren Steuergeräten getrennt gesteuert. Wichtig ist, dass die Steuergeräte selbst dann einen sicheren Anlagenbetriebszustand gewährleisten, wenn Fehler auftreten, etwa wenn elektronische Bauteile versagen, eine Leitungsverbindung beschädigt wird oder ein anderes Fehlerereignis auftritt. Dementsprechend sind die Steuergeräte in aller Regel mehrkanaligredundant aufgebaut und sie besitzen interne Überwachungsfunktionen, um einzelne Fehler frühzeitig zu erkennen und eine Anhäufung von Fehlern zu vermeiden. Geeignete Steuergeräte können programmierbare Sicherheitssteuerungen oder einfachere Sicherheitsschaltgeräte mit einem weitgehend festgelegten Funktionsumfang sein. Typischerweise sind die Steuergeräte einfehlersicher im Sinne der Kategorie 3 oder höher der Europäischen Norm EN 954-1, im Sinne von SIL2 der Internationalen Norm IEC 61508 oder im Sinne vergleichbarer Anforderungen.
  • Die Steuergeräte überwachen den Betriebszustand von so genannten Meldegeräten oder Sensoren. Die Meldegeräte/Sensoren liefern Eingangssignale, die von dem Steuergerät ausgewertet und ggf. miteinander verknüpft werden, um in Abhängigkeit davon Aktuatoren der Anlage, wie etwa einen elektrischen Antrieb oder ein Magnetventil, ein- oder abzuschalten. In vielen Fällen liefern die Meldegeräte recht einfache binäre Informationen, etwa ob eine mechanische Schutztür geschlossen ist oder nicht, ob ein Not-Aus-Taster betätigt ist oder nicht, ob eine Lichtschranke unterbrochen ist oder nicht. Darüber hinaus können Meldegeräte/Sensoren jedoch auch analoge Werte liefern, etwa die Temperatur eines Kessels oder die Drehzahl eines Antriebs. Üblicherweise gibt das Steuergerät der Sicherheitsschaltungsanordnung den Betrieb der Anlage nur frei, wenn anhand der Signale von den Meldegeräten/Sensoren ein ungefährlicher Betrieb angenommen werden kann. Es gibt aber auch Fälle, in denen Absicherungsmaßnahmen bewusst außer Kraft gesetzt werden, bspw. um einen Einrichtbetrieb bei geöffneter Schutztür zu ermöglichen. Häufig wird in diesen Fällen ein spezieller Zustimmtaster verwendet, den der Anlagenbediener in einem solchen Fall betätigen muss. Auch ein solcher Zustimmtaster ist ein sicherheitsrelevantes Meldegerät.
  • In einer großen Anlage kann es eine Vielzahl von Meldegeräten/Sensoren geben, die sicherheitsrelevante Eingangssignale an die Sicherheitssteuerung liefern. Die einzelnen Meldegeräte/Sensoren können räumlich weit voneinander entfernt sein, was zu einem großen Installationsaufwand führt. Bei Leitungsverbindungen, die außerhalb eines geschlossenen Schaltschranks oder quetschungssicherer Rohre verlaufen, müssen Querschlüsse, die als Folge von Beschädigungen auftreten können, von der Sicherheitssteuerung erkannt werden. Daher sind auch die Verbindungsleitungen zwischen Meldegeräten/Sensoren und Steuergeräten einer Sicherheitsschaltungsanordnung häufig redundant, was den Installationsaufwand zusätzlich erhöht.
  • Die eingangs genannte DE 10 2004 020 997 A1 beschreibt eine Sicherheitsschaltungsanordnung, bei der eine Vielzahl von Meldegeräten in Reihe an ein fehlersicheres Steuergerät angeschlossen sind. Das Steuergerät erzeugt zwei redundante Freigabesignale, die über zwei redundante Leitungen durch die Reihe der Meldegeräte an das Steuergerät zurückgeführt sind. Unterbricht ein Meldegerät der Reihe zumindest eines der redundanten Freigabesignale, wird dies in dem Steuergerät erkannt und der Stromversorgungspfad zu der Anlage wird unterbrochen. Durch eine geschickte Realisierung der Meldegeräte ist es außerdem möglich, Diagnoseinformationen auf den Sicherheitsleitungen zu dem Steuergerät zu übertragen. Die bekannte Schaltungsanordnung ermöglicht daher einen relativ kostengünstigen Aufbau mit flexiblen Diagnosemöglichkeiten. Allerdings erfordert die praktische Realisierung mindestens vier separate Leitungen oder Leitungsadern, um die Freigabesignale vom Steuergerät zu den Meldegeräten und zurück zu führen. Da die Meldegeräte für die Weiterleitung der redundanten Freigabesignale elektronische Bauteile verwenden, die eine Betriebsspannung benötigen, werden typischerweise zwei weitere Leitungen oder Aderpaare benötigt, um den Meldegeräten die Betriebsspannung und Betriebsmasse zuzuführen. Eine solche Realisierung ist daher trotz der bereits erreichten Vorteile noch aufwändig, insbesondere wenn zwischen einzelnen Meldegeräten und dem Steuergerät große Entfernungen überbrückt werden müssen. Bei der Steuerung von Skiliften können zwischen einem Meldegerät und dem Steuergerät beispielsweise Entfernungen von mehreren Kilometern liegen und es ist in solchen Fällen wünschenswert, bereits vorhandene Leitungen zu nutzen, wobei für eine Realisierung gemäß DE 10 2004 020 997 A1 in der Regel nicht genügend Leitungsadern zur Verfügung stehen.
  • DE 199 11 698 A1 beschreibt eine andere Sicherheitsschaltungsanordnung mit einem Steuergerät und einer Vielzahl von Meldegeräten, die in Reihe zueinander an das Steuergerät angeschlossen sind. Jedes Meldegerät besitzt einen Öffnerkontakt und ist mit einem Codesignalgenerator gekoppelt, der ein charakteristisches Codesignal an das Steuergerät liefert, wenn der Kontakt geöffnet wurde. Für die praktische Realisierung werden zumindest drei Leitungsadern benötigt. Ein Querschluss zwischen der Leitung am Freigabesignalausgang des Steuergerätes und der Leitung am Freigabesignaleingang des Steuergerätes kann allerdings nicht ohne Weiteres erkannt werden, so dass für eine höhere Sicherheitskategorie ggf. weitere redundante Signalleitungen benötigt werden.
  • DE 100 11 211 A1 offenbart eine weitere Sicherheitsschaltungsanordnung mit Meldegeräten und einem fehlersicheren Steuergerät. Die Meldegeräte sind entweder einkanalig über eine Verbindungsleitung oder zweikanalig über zwei redundante Verbindungsleitungen mit dem Steuergerät verbunden. Die einkanalige Verbindung bietet für sich genommen keine Fehlersicherheit und wird lediglich für einen Starttaster vorgeschlagen, der in solchen Fällen typischerweise nahe bei der gefährlichen Anlage angeordnet ist. In einem Ausführungsbeispiel ist beschrieben, dass zwei unterschiedliche Taktsignale als Freigabesignale von dem fehlersicheren Steuergerät über redundante Kontakte eines Not-Aus-Tasters zum Steuergerät zurückgeführt sind.
  • DE 102 16 226 A1 beschreibt eine Sicherheitsschaltungsanordnung mit mehreren Meldegeräten und Steuergeräten, wobei die Steuergeräte in Reihe verbunden sind, um ein hierarchisches Steuerungssystem mit unterschiedlichen Abschaltgruppen zu bilden. In den Ausführungsbeispielen sind die Steuergeräte über eine einkanalige Verbindungsleitung gekoppelt, über die ein potenzialbezogenes Schaltsignal mit einem statischen Signalanteil und einem dynamischen Signalanteil übertragen wird. Die Realisierung setzt noch eine gemeinsame Masse für die verbundenen Steuergeräte voraus. Darüber hinaus benötigt jedes verbundene Steuergerät eine Betriebsspannung, die ebenfalls zugeführt werden muss, so dass die tatsächliche Leitungszahl doch höher ist.
  • Aus DE 103 48 884 A1 ist ein Meldegerät mit einem Stellelement bekannt, das zwischen einer ersten und zumindest einer zweiten Position bewegbar ist. Ein Detektorelement zum Detektieren der Position des Stellelements beinhaltet einen Transponder mit einer individuellen Transponderkennung und eine Leseeinheit für die Transponderkennung. Das Meldegerät besitzt einen Signaleingang zum Zuführen eines Testsignals, mit dessen Hilfe das Auslesen der Transponderkennung zu Testzwecken unterdrückt werden kann. Zusätzlich werden Anschlüsse für eine Versorgungsspannung, Masse und einen Signalausgang benötigt, über den das Meldegerät die Information des Detektorelements zu einem fehlersicheren Steuergerät übertragen kann. Zum Anschließen des Meldegeräts an ein Steuergerät werden insgesamt also mindestens vier Leitungen benötigt.
  • Ein weiteres Meldegerät ist aus DE 100 23 199 A1 bekannt. In einer Ruhelage des Meldegerätes ist ein Schaltelement geöffnet. In einer bestimmten Betätigungsposition wird das Schaltelement geschlossen. Details zum Anschluss des Meldegerätes an ein fehlersicheres Steuergerät sind nicht beschrieben.
  • Den Fachleuten ist ferner ein als ASI(Aktuator-Sensor-Interface)-Bus bezeichnetes Feldbussystem bekannt, das mit einem speziellen zweiadrigen Kabel realisiert werden kann und zum Vernetzen von Sensoren und Aktuatoren in der Feldebene einer automatisierten Anlage dient. Ein ASI-Busmaster sendet hier in wiederholten Zeitintervallen Anfragen an die an den ASI-Bus angeschlossenen Sensoren. Diese übermitteln daraufhin ihren Sensorzustand an den ASI-Busmaster. Dieses System kommt zwar mit lediglich zwei Leitungsadern aus. Es erfordert jedoch spezielle Interfacebausteine, die in der Lage sind, das Busprotokoll zu realisieren. Für eine Sicherheitsschaltungsanordnung der eingangs genannten Art müssen sowohl das Steuergerät als auch das Meldegerät einen ASI-Bus kompatiblen Interfacebaustein aufweisen, was für manchen Anwendungen zu aufwendig und teuer ist.
  • Aus DE 43 33 358 A1 ist schließlich eine nicht-sichere Schaltungsanordnung bekannt, bei der über eine zweiadrige Verbindungsleitung sowohl eine Betriebsspannung als auch ein Steuersignal von einem Steuergerät an ein Magnetventil, also an einen Aktuator, übertragen wird.
  • Vor diesem Hintergrund ist es eine Aufgabe der vorliegenden Erfindung, eine Sicherheitsschaltungsanordnung und ein Meldegerät der eingangs genannten Art anzugeben, die eine noch kostengünstigere und trotzdem fehlersichere Verbindung zwischen einem Meldegerät und einem Steuergerät ermöglichen, insbesondere wenn Meldegerät und Steuergerät räumlich weit voneinander entfernt sind.
  • Gemäß einem ersten Aspekt der Erfindung wird diese Aufgabe durch eine Sicherheitsschaltungsanordnung der eingangs genannten Art gelöst, wobei das Meldegerät mit dem Steuergerät über eine Zweidrahtleitung mit einer ersten und einer zweiten Ader verbunden ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger in dem zweiten Zustand ist, und wobei der Impulsgenerator dazu ausgebildet ist, einen Spannungseinbruch zwischen der ersten Ader und der zweiten Ader zu bewirken, um die Vielzahl von Signalpulsen zu erzeugen.
  • Die Aufgabe wird gemäß einem weiteren Aspekt der Erfindung durch ein Meldegerät der eingangs genannten Art gelöst, wobei die Mehrdrahtleitung eine Zweidrahtleitung mit einer ersten Ader und einer zweiten Ader ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger in dem zweiten Zustand ist, und wobei der Impulsgenerator dazu ausgebildet ist, einen Spannungseinbruch zwischen der ersten Ader und der zweiten Ader zu bewirken, um die Vielzahl von Signalpulsen zu erzeugen, sobald sich der Betätiger in dem definierten ersten Zustand befindet, so dass das Meldegerät das definierte Pulssignal ohne ein Freigabe- oder Anforderungssignal von dem Steuergerät selbstständig erzeugt.
  • Die neue Sicherheitsschaltungsanordnung verwendet also eine Zweidrahtleitung, über die das Meldegerät mit dem Steuergerät verbunden ist. Im Vergleich zu bekannten Sicherheitsschaltungsanordnungen ist die Zahl der Verbindungsleitungen damit auf ein Minimum reduziert. Zwischen den beiden Adern der Zweidrahtleitung liegt eine überwiegend konstante Spannung an, die in vorteilhaften Ausgestaltungen dazu verwendet wird, das Meldegerät mit einer Betriebsspannung zu versorgen. Ungeachtet dessen erzeugt der Impulsgenerator des Meldegerätes, beispielsweise durch einen simplen Kurzschluss zwischen den beiden Adern der Verbindungsleitung, eine Vielzahl von Signalpulsen, die ein definiertes Pulssignal bilden. Der Impulsgenerator erzeugt den Spannungseinbruch in einigen Ausführungsbeispielen durch einen vollständigen Kurzschluss zwischen den beiden Leitungsadern. Die Spannung zwischen den beiden Leitungsadern sinkt dann auf Null ab. In anderen Ausführungsbeispielen kann ein elektrischer Widerstand zwischen den beiden Leitungsadern aktiviert werden, was zu einem Spannungseinbruch führt, aber eine Restspannung größer Null belässt. Beispielsweise kann die Spannung zwischen den beiden Leitungsadern etwa 24 Volt betragen, wenn der Betätiger in dem zweiten Zustand ist, und auf etwa 5 Volt absinken, wenn der Impulsgenerator den Spannungseinbruch bewirkt.
  • Das Meldegerät erzeugt also ein dynamisches, d. h. zeitlich sich veränderndes, Signal und stellt dieses dynamische Signal als Eingangssignal dem Steuergerät zur Verfügung. Im Gegensatz zu den bekannten Sicherheitsschaltungsanordnungen verzichtet die neue Sicherheitsschaltungsanordnung aber auf eine Signalschleife, die von dem Steuergerät ausgeht und über das Meldegerät zum Steuergerät zurückgeführt ist. Vielmehr ist im Steuergerät lediglich eine Erwartungshaltung in Bezug auf das definierte Pulssignal hinterlegt, d. h. das Steuergerät erwartet genau das definierte Pulssignal von dem Meldegerät, wenn sich der Betätiger in dem definierten ersten Zustand befindet. Es ist denkbar, dass das Meldegerät mehrere definierte Pulssignale erzeugen kann, die sich voneinander unterscheiden, wobei jedes der definierten Pulssignale aus der Menge definierter Pulssignale die Information repräsentiert, dass der Betätiger in dem definierten ersten Zustand ist. Mithilfe verschiedener Pulssignale kann das Meldegerät dem Steuergerät weitere Informationen übermitteln, die im Steuergerät vorteilhaft zur Diagnose einer Anlagenbetriebssituation verwendet werden können. In einem Ausführungsbeispiel, in dem der Betätiger zweikanalig ausgebildet ist, können die unterschiedlich definierten Pulssignale eine Information darüber repräsentieren, ob tatsächlich beide Betätigerkanäle in dem definierten ersten Zustand sind und wenn nicht, welcher Betätigerkanal ggf. versagt hat.
  • Bekannte Sicherheitsschaltungsanordnungen verwenden in der Regel eine Signalschleife vom Steuergerät zum Meldegerät und zurück. Dies birgt das Risiko, dass ein Querschluss zwischen der Hinleitung und der Rückleitung der Signalschleife das Meldegerät überbrückt und dem Steuergerät fälschlicherweise einen sicheren Zustand suggeriert. Die neue Sicherheitsschaltungsanordnung verzichtet auf die Leiterschleife und vermeidet so eine potenzielle Fehlerquelle bekannter Sicherheitsschaltungsanordnungen. Andererseits erzeugt das neue Meldegerät ein dynamisches Signal mit einer Vielzahl von Signalpulsen, so dass ein Stuck-at Fehler im Meldegerät oder an den Adern der Zweidrahtleitung schnell erkannt wird. Die Kombination der beiden Merkmale ermöglicht es, Meldegerät und Steuergerät über eine lediglich zweiadrige Leitung fehlersicher miteinander zu verbinden. Die neue Sicherheitsschaltungsanordnung eignet sich daher vor allem für Anwendungen, bei denen die Anzahl der zur Verfügung stehenden Leitungsadern begrenzt ist. Aber auch wenn prinzipiell mehr Leitungsadern zur Verfügung stehen, kann die neue Sicherheitsschaltungsanordnung vorteilhaft eingesetzt werden, da der Verdrahtungsaufwand zwischen Meldegerät und Steuergerät minimiert ist.
  • Andererseits überträgt das Meldegerät das dynamische Informationssignal eigenständig, d. h. ohne eine vorherige Aufforderung vom Steuergerät an das Steuergerät. Darin unterscheidet sich die neue Sicherheitsschaltungsanordnung von busbasierten Systemen, die in der Regel einen bidirektionalen Informationsfluss haben, mit dem das Steuergerät verbundene Meldegeräte abfragt. Die neue Sicherheitsschaltungsanordnung kann daher die sicherheitsrelevante Ein- oder Abschaltinformation ohne ein bidirektionales Kommunikationsprotokoll an das Steuergerät übertragen. Es entfällt die Notwendigkeit, spezielle und somit relativ teure Kommunikationscontroller im Meldegerät und/oder Steuergerät zu verwenden. Ungeachtet dessen kann eine busbasierte Kommunikation zwischen Steuergerät und Meldegerät natürlich zusätzlich zu dem hier beschriebenen unidirektionalen Informationsweg implementiert werden, wenn das aus anderen Gründen vorteilhaft ist.
  • Insgesamt ermöglichen die neue Sicherheitsschaltungsanordnung und das neue Meldegerät daher eine sehr kostengünstige und gleichwohl fehlersichere Realisierung. Die oben genannte Aufgabe ist vollständig gelöst.
  • In einer bevorzugten Ausgestaltung der Erfindung besitzt das Steuergerät einen Signaleingangsanschluss, der elektrisch mit der ersten Ader verbunden ist, und einen Masseanschluss, der elektrisch mit der zweiten Ader verbunden ist.
  • In dieser Ausgestaltung ist das definierte Pulssignal ein potenzialbezogenes Signal, das zwischen den beiden Adern in Form von Spannungspulsen anliegt. Die zweite Ader führt das Referenzpotenzial für die Signalpulse auf der ersten Ader. In einer bevorzugten Variante dieser Ausgestaltung ist der Masseanschluss elektrisch mit der Gerätemasse des Steuergerätes verbunden oder sogar gleich der Gerätemasse. Die Ausgestaltung besitzt den Vorteil, dass das neue Meldegerät kompatibel zu bekannten Steuergeräten ist. Die neue Sicherheitsschaltungsanordnung kann daher sehr kostengünstig mit dem neuen Meldegerät realisiert werden.
  • In einer weiteren Ausgestaltung ist die erste Ader ferner mit einer Betriebsspannungsquelle verbunden, die entfernt von dem Meldegerät angeordnet ist. Vorzugsweise ist die Betriebsspannungsquelle im Bereich des Steuergerätes angeordnet. Besonders bevorzugt ist es, wenn die erste Ader über einen Pull-up-Widerstand mit einem Anschluss verbunden ist, der ein Betriebsspannungspotential des Steuergerätes führt. In einer anderen Variante ist die Betriebsspannungsquelle eine Stromquelle, die in der Lage ist, einen definierten, lastunabhängigen Strom in die Zweidrahtleitung einzuspeisen.
  • Diese Ausgestaltung ist besonders vorteilhaft in Kombination mit der vorhergehenden Ausgestaltung. Sie kann jedoch auch separat davon realisiert sein. Die Besonderheit liegt darin, dass die erste Ader sowohl das Eingangssignal für das Steuergerät (vom Meldegerät zum Steuergerät) führt, als auch eine Betriebsspannung in umgekehrter Richtung für das Meldegerät bereitstellt. Die erste Ader erfüllt also eine Doppelfunktion. Dies ermöglicht eine besonders einfache und kostengünstige Realisierung, wenn das Meldegerät und das Steuergerät räumlich weit entfernt voneinander angeordnet sind. Darüber hinaus besitzt diese Ausgestaltung auch für sich genommen den Vorteil, dass das Meldegerät auf einfache Weise mit einer Betriebsspannung versorgt werden kann, etwa wenn ein Erdschluss für die Bezugsmasse sorgt. Eine Stromquelle ermöglicht zudem ein schnelleres Umladen der Zweidrahtleitung und damit eine höhere Reaktionsgeschwindigkeit der neuen Sicherheitsschaltungsanordnung.
  • In einer weiteren Ausgestaltung weist das Meldegerät einen Spannungsregler auf, der eine weitgehend konstante Betriebsspannung für den Signalgenerator anhand der überwiegend konstanten Spannung zwischen der ersten und zweiten Ader erzeugt.
  • Diese Ausgestaltung trägt dazu bei, einen stabilen und unterbrechungsfreien Betrieb des Meldegerätes zu gewährleisten, selbst wenn die erste Ader in der oben beschriebenen Doppelfunktion verwendet wird, also einerseits zur Übertragung des definierten Pulssignals und andererseits zur Versorgung des Meldegerätes mit einer Betriebsspannung. Allein schon aufgrund des Pulssignals bricht die Spannung zwischen der ersten und der zweiten Ader prinzipbedingt immer wieder ein. Ein Spannungsregler ist in der Lage, diese Spannungseinbrüche so gut auszugleichen, dass ein stabiler Betrieb des Meldegerätes selbst dann möglich ist, wenn der Signalgenerator mithilfe eines Mikrocontrollers oder eines anderen, gegenüber Spannungseinbrüchen sensiblen Bauelements realisiert ist.
  • In einer weiteren Ausgestaltung weist der Signalgenerator einen Signalverarbeitungsschaltkreis und ein vom Signalverarbeitungsschaltkreis angesteuertes Schaltelement auf, das zwischen der ersten und der zweiten Ader angeordnet ist. In bevorzugten Ausführugsbeispielen ist der Signalverarbeitungsschaltkreis ein Mikrocontroller, Mikroprozessor, ein ASIC oder ein FPGA, mithin also ein programmierbarer Signalverarbeitungsschaltkreis.
  • In dieser Ausgestaltung ist das Schaltelement, das den Kurzschluss zwischen der ersten und der zweiten Ader ermöglicht, getrennt von dem Signalverarbeitungsschaltkreis, der vorzugsweise den jeweils aktuellen Zustand des Betätigers bestimmt. Die Ausgestaltung macht es möglich, den Kurzschluss mit einem Schaltelement zu bewirken, das zur Aufnahme der Ströme und thermischen Belastungen während des Kurzschlusses optimal dimensioniert ist. Die Ausgestaltung trägt daher zu einen hohen Lebensdauer und Betriebssicherheit des neuen Meldegerätes und der neuen Sicherheitsschaltungsanordnung bei. Andererseits bietet ein programmierbarer Signalverarbeitungsschaltkreis eine hohe Flexibilität bei der Auswahl und Erzeugung des definierten Pulssignals. Es ist leicht möglich, ”komplizierte” Pulssignale mit einer definierten Abfolge von längeren und kürzeren Signalpulsen zu erzeugen. Je individueller und komplexer das definierte Pulssignal ist, desto individueller und sicherer kann das Steuergerät die Informationen des Meldegerätes auswerten.
  • In einer weiteren Ausgestaltung weist das Meldegerät einen ersten und einen zweiten Signalgenerator auf, die parallel zueinander mit der ersten und der zweiten Ader verbunden sind.
  • In dieser Ausgestaltung besitzt das Meldegerät zumindest zwei redundante Signalgeneratoren. In bevorzugten Ausführungsbeispielen ist jeder der zwei Signalgeneratoren in der Lage, ein definiertes Pulssignal zu erzeugen. Die Redundanz ermöglicht einerseits eine vorteilhafte zweikanalige Realisierung und bietet damit eine höhere Fehlersicherheit. Darüber hinaus erhöht die Redundanz auch die Verfügbarkeit, so dass das neue Meldegerät bspw. auch dann ein Pulssignal zu Diagnosezwecken an das Steuergerät übertragen kann, wenn einer der Signalgeneratoren versagt.
  • In einer weiteren Ausgestaltung erzeugen der erste und der zweite Signalgenerator das definierte Pulssignal gemeinsam. In bevorzugten Ausführungsbeispielen erzeugt jeder der beiden Signalgeneratoren einen Teil der Signalpulse, wobei erst die Kombination der von den Signalgeneratoren erzeugten Signalpulse das definierte Pulssignal bildet, das der Erwartungshaltung in dem Steuergerät entspricht. In einigen Varianten besitzt der erste Signalgenerator eine Masterfunktion gegenüber dem zweiten Signalgenerator, indem der zweite Signalgenerator Signalpulse nach einem definierten Muster erst dann erzeugt, wenn er eine Anzahl von Signalpulsen des ersten Signalgenerators auf der ersten Ader detektiert hat. Dementsprechend ist es auch bevorzugt, wenn jeder Signalgenerator einen Rückleseeingang aufweist, über den er Signalpulse auf den Leitungen zum Steuergerät einlesen kann.
  • Die Ausgestaltung ermöglicht eine sehr einfache Erzeugung eines „zweikanaligen” Pulssignals mithilfe von zwei redundanten Signalgeneratoren. Das neue Meldegerät lässt sich daher auch in der zweikanaligen Variante recht kostengünstig realisieren. Ein Rückleseeingang am Signalgenerator ermöglicht darüber hinaus eine einfachere Diagnose von Fehlerzuständen, weshalb diese Variante auch bei einkanaligen Meldegeräten von Vorteil sein kann.
  • In einer weiteren Ausgestaltung weist das Meldegerät ein weitgehend geschlossenes Gerätegehäuse auf, in dem der Betätiger und der Impulsgenerator angeordnet sind. In bevorzugten Ausführungsbeispielen ist der Betätiger ein mechanisch bewegter Betätiger, insbesondere ein handbetätigtes Stellelement.
  • In dieser Ausgestaltung sind die wesentlichen Komponenten des neuen Meldegerätes in einem Gerätegehäuse gekapselt. Insbesondere sind zumindest der elektrische Anschluss des Betätigers und der Impulsgenerator in dem Gerätegehäuse angeordnet. Die Ausgestaltung besitzt den Vorteil, dass der Betätiger nicht durch unbeabsichtigte Fehlbedienung vom Impulsgenerator getrennt werden kann mit der Folge, dass das definierte Pulssignal des Impulsgenerators durch einen Querschluss oder Ähnliches nicht den tatsächlichen Zustand des Betätigers repräsentiert. Die Ausgestaltung bietet daher eine erhöhte Fehlersicherheit.
  • In einer weiteren Ausgestaltung ist das Steuergerät dazu ausgebildet, anhand des definierten Pulssignals einen Fehlerzustand des Meldegerätes zu bestimmen. In bevorzugten Varianten ist das Steuergerät ferner dazu ausgebildet, den Fehlerzustand anzuzeigen, bspw. auf einer im Steuergerät angeordneten Anzeigeeinheit und/oder mithilfe eines an einem Diagnoseausgang bereitgestellten Diagnosesignals.
  • In dieser Ausgestaltung wird die Fehlersicherheit des Meldegerätes im Steuergerät ”gemacht”, d. h. die Entscheidung, ob ein Fehlerzustand vorliegt oder nicht, und vor allem die Reaktion auf einen möglichen Fehler des Meldegerätes erfolgt im Steuergerät. Das Pulssignal ist für sich genommen also nicht unbedingt ein „sicheres” Signal. Erst die Interpretation des Pulssignals im Steuergerät, insbesondere der Vergleich mit der im Steuergerät hinterlegten Erwartungshaltung, ermöglicht die Aussage, ob ein Fehler vorliegt. Die Ausgestaltung ermöglicht eine sehr kostengünstige Realisierung, da Fehlerdetektionsmechanismen im Steuergerät ohnehin benötigt werden. Das Meldegerät kann einfacher und damit kostengünstiger realisiert sein.
  • Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Ausführungsbeispiele der Erfindung sind in der Zeichnung dargestellt und werden in der nachfolgenden Beschreibung näher erläutert. Es zeigen:
  • 1 eine vereinfachte Darstellung eines Ausführungsbeispiels der neuen Sicherheitsschaltungsanordnung, und
  • 2 eine vereinfachte Darstellung eines Ausführungsbeispiels des neuen Meldegerätes, das in der Sicherheitsschaltungsanordnung gemäß 1 verwendet ist.
  • In 1 ist ein Ausführungsbeispiel der neuen Sicherheitsschaltungsanordnung in seiner Gesamtheit mit der Bezugsziffer 10 bezeichnet. Die Sicherheitsschaltungsanordnung 10 beinhaltet ein Steuergerät 12 und ein Meldegerät 14. Das Steuergerät 12 ist in diesem Ausführungsbeispiel ein Sicherheitsschaltgerät mit einem weitgehend festgelegten Funktionsumfang. Geeignete Sicherheitsschaltgeräte werden von der Anmelderin unter der Bezeichnung PNOZ® angeboten. Das Sicherheitsschaltgerät 12 ist dazu ausgebildet, Eingangssignale von Meldegeräten zu verarbeiten, um in Abhängigkeit davon einen Aktor, wie etwa einen Schütz, ein Magnetventil oder einen elektrischen Antrieb ein- oder auszuschalten. Alternativ zu einem Sicherheitsschaltgerät könnte das Steuergerät 12 eine programmierbare Sicherheitssteuerung sein, wie sie von der Anmelderin unter der Bezeichnung PSS® in verschiedenen Varianten angeboten wird.
  • Das Steuergerät 12 ist mehrkanalig-redundant und es beinhaltet Testfunktionen, die dazu ausgebildet sind, interne Bauteilversagen und externe Fehler in der Beschaltung zu erkennen, um eine überwachte Anlage bei Auftreten eines Fehlers in einen sicheren Zustand zu bringen. In den bevorzugten Ausführungsbeispielen ist das Steuergerät 12 fehlersicher im Sinne der Kategorie 3 oder höher gemäß der europäischen Norm EN 954-1, im Sinne von SIL2 gemäß der internationalen Norm IEC 61508 oder im Sinne vergleichbarer Anforderungen. Vereinfacht sind hier zwei redundante Signalverarbeitungskanäle in Form von zwei Mikrocontrollern 16a, 16b dargestellt, die jeweils ein Schaltelement 18a, 18b ansteuern. Anstelle von Mikrocontrollern könnte das Steuergerät 12 Mikroprozessoren, ASICs, FPGAs oder andere Signal- und Datenverarbeitungsschaltkreise besitzen.
  • Die Schaltelemente 18 sind hier als Relais dargestellt, deren Arbeitskontakte in Reihe zueinander angeordnet sind. Die Arbeitskontakte bilden einen Stromversorgungspfad 20 zwischen einer Stromversorgung 22 und einem elektrischen Antrieb 24, der hier eine Maschinenanlage symbolisiert. Es versteht sich, dass die Maschinenanlage in realen Fällen eine Vielzahl von elektrischen Antrieben und anderen Aktuatoren beinhalten kann. Die Erfindung ist auch nicht auf Maschinenanlagen im engeren Sinne von Produktionsmaschinen beschränkt. Sie kann vielmehr bei allen technischen Anlagen eingesetzt werden, von denen im Betrieb eine Gefahr ausgeht und die in einem solchen Fall in einen sicheren Zustand gebracht werden müssen, insbesondere durch Unterbrechen eines Stromversorgungspfades 20. Anstelle oder in Ergänzung zu den Relais 18 kann das Steuergerät 12 elektronische Schaltelemente aufweisen, insbesondere Leistungstransistoren. In einigen Ausführungsbeispielen besitzt das Steuergerät 12 ausgangsseitig mehrere redundante elektronische Schaltelemente, die jeweils ein potenzialbezogenes Ausgangssignal bereitstellen, mit dem externe Schütze, Magnetventile oder dergleichen angesteuert werden können.
  • In den bevorzugten Ausführungsbeispielen besitzt das Steuergerät 12 ein Gerätegehäuse 26, in dem die einzelnen Bauelemente, insbesondere die Prozessoren 16 und Schaltelemente 18, angeordnet sind. Am Gerätegehäuse sind Anschlussklemmen angeordnet, von denen einige hier mit den Bezugsziffern 28, 30, 32, 34 bezeichnet sind.
  • Die Anschlussklemme 30 ist im vorliegenden Fall eine Anschlussklemme zum Zuführen einer Betriebsspannung UB für das Steuergerät 12. In einigen Ausführungsbeispielen ist die Betriebsspannung UB eine 24-Volt-Gleichspannung, die zur Versorgung der Prozessoren 16, Schaltelemente 18 und weiteren Bauelementen des Steuergerätes 12 benötigt wird. Die Anschlussklemme 32 ist hier ein Masseanschluss, auf den sich die Versorgungsspannung UB bezieht. Anschluss 32 ist in diesem Fall also die Gerätemasse des Steuergerätes 12.
  • Die Anschlussklemme 34 bildet einen Signaleingang des Steuergerätes 12. Ein an der Anschlussklemme 34 anliegendes Eingangssignal ist den Mikrocontrollern 16 redundant zugeführt und wird von den Mikrocontrollern 16 redundant ausgewertet, um in Abhängigkeit davon die Schaltelemente 18 anzusteuern. Gemäß einem bevorzugten Ausführungsbeispiel besitzt das Steuergerät 12 hier einen Pull-up-Widerstand 36, der die Anschlussklemme 34 mit der Betriebsspannung UB an der Anschlussklemme 30 verbindet. Das Potenzial an der Anschlussklemme 34 wird also auf das Potenzial der Betriebsspannung UB ”hochgezogen”, was in Verbindung mit dem nachfolgend erläuterten Meldegerät eine besonders bevorzugte Realisierung ist. In einigen Ausführungsbeispielen kann der Pull-up-Widerstand 36 in die Anschlussklemmen 30, 34 integriert. In anderen Ausführungsbeispielen kann der Pull-up-Widerstand 36 außerhalb des Steuergerätes 12 angeordnet sein.
  • Das Meldegerät 14 besitzt einen Betätiger 40, der hier ein handbetätigter Taster ist. Der Betätiger 40 ist über eine Feder (hier nicht dargestellt) in einer ersten Betriebsposition vorgespannt, in der hier ein elektrischer Kontakt 41 geöffnet ist. Dies ist im vorliegenden Ausführungsbeispiel der inaktive Ruhezustand (zweite Zustand) des Betätigers 40. Der Betätiger 40 kann gegen die Federkraft in eine zweite Betriebsposition 40' gebracht werden, in der der Kontakt 41 geschlossen ist. Bei geschlossenem Kontakt 41 ist ein Impulsgenerator 42 mit der Betriebsspannung UB verbunden. Der Impulsgenerator 42 erzeugt dann ein definiertes Pulssignal 44 mit einer Vielzahl von Signalpulsen 46. Der Zustand 40' ist folglich ein definierter erster Zustand im Sinne der vorliegenden Erfindung. In einem Ausführungsbeispiel erhält der Impulsgenerator 42 die für das Erzeugen der Signalpulse 46 benötigte Betriebsspannung nur bei aktiviertem Betätiger 40. Andernfalls ist er spannungslos. In allen derzeit bevorzugten Ausführungsbeispielen erzeugt der Impulsgenerator 42 das Pulssignal 44 nur dann, wenn sich der Betätiger 40 in dem definierten Zustand 40' befindet.
  • Im dargestellten Ausführungsbeispiel ist der Betätiger ein einfacher handbetätigter Schließerkontakt. In anderen Ausführungsbeispielen kann der Betätiger ein Öffnerkontakt oder eine Kombination von Öffner- und Schließerkontakten sein. Des weiteren kann der Betätiger ein Transponder, eine Lichtschranke oder ein Messwertgeber für Temperatur, Druck, Spannung u. a. sein. In einem bevorzugten Ausführungsbeispiel dient das Meldegerät 14 zum sicheren Einschalten des Antriebs 24 zu test- und Einrichtzwecken. Das Meldegerät 14 kann dabei in einer großen Entfernung von dem Antrieb 24 und dem Steuergerät 12 angeordnet sein. In einem Ausführungsbeispiel ist das Steuergerät 12 in einem Schaltschrank in der Nähe des Antriebes 24 angeordnet, während das Meldegerät 14 mehrere einhundert Meter von dem Schaltschrank entfernt ist. In anderen Ausführungsbeispielen kann das Meldegerät 14 als Not-Aus-Taster, Schutztürschalter, Näherungsschalter, Lichtschranke, Temperaturwächter oder dergleichen ausgebildet sein.
  • Das Meldegerät 14 ist hier über zwei Leitungsadern 50, 52 einer Zweidrahtleitung 54 mit dem Steuergerät 12 verbunden. Die erste Leitungsader 50 führt von einer Anschlussklemme 56 des Meldegerätes zu der Anschlussklemme 34 des Steuergerätes. Die zweite Leitungsader 52 führt von einer Anschlussklemme 58 des Meldegerätes zu der Anschlussklemme 32. Die Anschlussklemmen 56, 58 sind an einem Gerätegehäuse 60 angeordnet, das den Impulsgenerator 42 und den Betätiger 40 (soweit möglich) umschließt.
  • Charakteristisch an der neuen Sicherheitsschaltungsanordnung 10 ist die Fähigkeit des Meldegerätes 14, allein in Abhängigkeit von der Betätigung des Betätigers 40 ein definiertes „eigenes” Pulssignal 44 zu erzeugen, das dem Steuergerät 12 über die Zweidrahtleitung 54 zugeführt ist. Im Gegensatz zu bekannten Sicherheitsschaltungsanordnungen empfängt das Meldegerät 14 in den bevorzugten Ausführungsbeispielen kein Freigabe- oder Anforderungssignal von dem Steuergerät 12. Es erzeugt das Pulssignal 44 vielmehr selbstständig, sobald sich der Betätiger 40 in dem definierten ersten Zustand 40' befindet. Im Steuergerät 12 (genauer gesagt in einem Speicher, der beispielsweise in den Mikrocontrollern 16 enthalten ist) ist das definierte Pulssignal 44 als Erwartungshaltung abgespeichert. Sobald die Mikrocontroller 16 das definierte Pulssignal 44 am Signaleingang 34 erkennen, wird dies als Betätigung des Betätigers 40 interpretiert. In dem dargestellten Ausführungsbeispiel schalten die Mikrocontroller 16 den Antrieb 24 dann über die Schaltelemente 18 ein.
  • Wenn das Meldegerät 14 hingegen als Not-Aus-Taster fungieren soll, ist der Ruhezustand des Betätigers 40 vorzugsweise so gewählt, dass der Impulsgenerator 42 das Pulssignal 44 kontinuierlich erzeugt und bei Betätigen des Not-Aus-Tasters unterbricht. Die Mikrocontroller 16 erkennen das Fehlen des Pulssignals 44 und schalten den Antrieb 24 dementsprechend ab.
  • Wie in 1 dargestellt ist, kann die Sicherheitsschaltungsanordnung 10 weitere Meldegeräte 14' beinhalten, die parallel zu dem Meldegerät 14 an die Anschlussklemmen 32, 34 angeschlossen sind. Vorzugsweise erzeugt ein weiteres Meldegerät 14' ein anderes definiertes Pulssignal 44', das sich von dem Pulssignal 44 unterscheidet. Das Steuergerät 12 kann dann anhand der Pulssignale erkennen, von welchem Meldegerät ein am Eingang 34 anliegendes Pulssignal stammt.
  • In 2 ist ein weiteres Ausführungsbeispiel des neuen Meldegerätes gezeigt. Gleiche Bezugszeichen bezeichnen dieselben Elemente wie zuvor.
  • Das Meldegerät 14 besitzt in diesem Ausführungsbeispiel einen Mikrocontroller 70a und ein Schaltelement 72a, das von dem Mikrocontroller 70a angesteuert wird. Das Schaltelement 72a ist hier ein Feldeffekttransistor (FET), dessen Source- und Drainanschlüsse zwischen den Anschlussklemmen 56, 58 angeordnet sind. Der FEt ist somit in der Lage, einen Kurzschluss zwischen den Leitungsadern 50, 52 der Zweidrahtleitung 54 zu bewirken. Anstelle eines FET kann ein bipolarer Transistor mit seinem Kollektor- und Emitteranschluss zwischen den Anschlussklemmen 56, 58 angeordnet sein. In einem abgewandelten Ausführungsbeispiel kann zwischen dem Schaltelement und einer der beiden Anschlussklemmen 56, 58 ein elektrischer Widerstand 73 angeordnet sein, der mit dem Pull-up-Widerstand 36 im Steuergerät einen Spannungsteiler bildet. Ein solcher Widerstand hat zur Folge, dass die Spannung zwischen den beiden Leitungsadern 50, 52 bei einem Spannungseinbruch, den das Meldegerät erzeugt, nicht auf Null absinkt, sondern auf einen Spannungswert, der dem Teilerverhältnis des Spannungsteilers 36, 73 entspricht. Diese Variante besitzt den Vorteil, dass die Betriebsspannung für das Meldegerät beim Erzeugen der Signalpulse 46 nicht vollständig wegbricht.
  • Mit der Bezugsziffer 74a ist ein Spannungsregler (DC/DC-Wandler) bezeichnet, der die an der Anschlussklemme 56 anliegende Spannung über eine Diode 76a erhält. Der Spannungsregler erzeugt an seinem Ausgang 78a eine geregelte Gleichspannung von beispielsweise 5 Volt, die als Betriebsspannung für den Mikrocontroller 70a dient. Der Spannungsregler 74a gleicht insbesondere diejenigen Spannungseinbrüche auf der Leitungsader 50 aus, die durch die Erzeugung des Pulssignals 44 entstehen. Darüber hinaus gleicht der Spannungsregler 74 auch andere Spannungsschwankungen aus, einschließlich solche, die bspw. von dem Meldegerät 14' hervorgerufen wurden.
  • Mit der Bezugsziffer 40a ist hier der Schließerkontakt des Betätigers 40 bezeichnet. Der Kontakt 40a bildet hier mit einem Widerstand 80a einen (weiteren) Spannungsteiler, an dessen mittlerem Abgriff ein Eingang des Mikrocontrollers 70a angeschlossen ist. Der Mikrocontroller 70a kann auf diese Weise den Betätigungszustand des Betätigers 40 einlesen und in Abhängigkeit davon das Pulssignal 44 erzeugen, indem er mithilfe des Schaltelements 42 einen Kurzschluss zwischen den Leitungsadern 50, 52 hervorruft.
  • Mit den Bezugsziffern 82a, 84a sind zwei weitere Widerstände bezeichnet, die einen zweiten Spannungsteiler bilden, der parallel zu den Anschlussklemmen 56, 58 angeordnet ist. Ein mittlerer Abgriff des Spannungsteilers 82a, 84a führt auf einen weiteren Eingang des Mikrocontrollers 70a. Mithilfe des Spannungsteilers 82a, 84a kann der Mikrocontroller 70a die Signalpulse 46 zurücklesen.
  • In einigen Ausführungsbeispielen ist das Meldegerät 14 einkanalig ausgebildet. In bevorzugten Ausführungsbeispielen besitzt das Meldegerät 14 jedoch einen redundanten zweiten Kanal, der hier in seiner Gesamtheit mit der Bezugsziffer 86b bezeichnet ist. Der Kanal 86b ist in dem dargestellten Ausführungsbeispiel genauso aufgebaut wie der beschriebene erste Kanal 86a, d. h. er besitzt einen Mikrocontroller 70b, ein Schaltelement 72b und einen Spannungsregler 74b. Das Schaltelement 72b ist parallel zu dem Schaltelement 72a zwischen die Anschlussklemmen 56, 58 geschaltet, so dass auch der Mikrocontroller 70b einen Spannungseinbruch zwischen den Leitungsadern 50, 52 erzeugen kann.
  • In einem bevorzugten Ausführungsbeispiel erzeugen die beiden Mikrocontroller 70, 70b das definierte Pulssignal 44 gemeinsam, sobald der Betätiger 40 in seinem aktivierten Zustand ist. Beispielsweise erzeugt der Mikrocontroller 70a zunächst einen ersten Signalpuls 46a, indem er das Schaltelement 72a für eine definierte Zeitspanne (Pulsdauer) in den leitenden Zustand bringt. Der Mikrocontroller 70b kann den Signalpuls 46a über den Spannungsteiler 82b, 84b lesen und er erzeugt nach einer im Mikrocontroller 70b eingestellten Verzögerungszeit einen zweiten Signalpuls 46b, indem er nun das Schaltelement 72b in den leitenden Zustand bringt. Der resultierende Kurzschluss ist in 2 bei der Bezugsziffer 88 gezeigt. Im Folgenden erzeugen die Mikrocontroller 70a, 70b in einer definierten Sequenz Signalpulse 46a, 46b durch jeweiliges Kurzschließen der Leitungsadern 50, 52, was dann zu dem definierten Pulssignal 44 führt. 2 zeigt das Pulssignal 44, das sich aus der Kombination der Signalpulse 90 des ersten Kanals 86a und der Signalpulse 92 des zweiten Kanals 86b ergibt.
  • In weiteren Ausführungsbeispielen kann der zweite Kanal 86b ein Schaltelement 72b beinhalten, das seriell zu dem Schaltelement 72a zwischen den Anschlussklemmen 56, 58 angeordnet ist. Des weiteren können die beiden Kanäle 86a, 86b über ein UND-Glied (hier nicht dargestellt) zusammengeführt sein. Das UND-Glied steuert dann bevorzugt das Schaltelement 72a an. Die in 2 dargestellte Variante besitzt demgegenüber den Vorteil, dass jeder Mikrocontroller 70a, 70b ein definiertes Pulssignal unabhängig vom jeweils anderen Kanal erzeugen kann. Dies kann im Steuergerät 12 vorteilhaft genutzt werden, um zu bestimmen, welcher der beiden Kanäle 86a, 86b Ursache für ein fehlerhaftes Pulssignal ist.

Claims (10)

  1. Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage (24), mit einem Steuergerät (12), das dazu ausgebildet ist, einen Stromversorgungspfad (20) zu der Anlage (24) fehlersicher zu schließen oder zu unterbrechen, und mit einem Meldegerät (14), das über eine Anzahl von Leitungen (50, 52) mit dem Steuergerät (12) verbunden ist, wobei das Meldegerät (14) einen Betätiger (40) aufweist, der zwischen einem definierten ersten Zustand (40') und einem zweiten Zustand wechselbar ist, und einen Impulsgenerator (42), der dazu ausgebildet ist, ein definiertes Pulssignal (44) mit einer Vielzahl von Signalpulsen (46) auf den Leitungen (50, 52) zu erzeugen, wenn der Betätiger (40) in dem definierten ersten Zustand (40') ist, dadurch gekennzeichnet, dass das Meldegerät (14) mit dem Steuergerät (12) über eine Zweidrahtleitung (54) mit einer ersten und einer zweiten Ader (50, 52) verbunden ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger (40) in dem zweiten Zustand ist, und dass der Impulsgenerator (42) dazu ausgebildet ist, einen Spannungseinbruch (88) zwischen der ersten Ader (50) und der zweiten Ader (52) zu bewirken, um die Vielzahl von Signalpulsen (46) zu erzeugen.
  2. Sicherheitsschaltungsanordnung nach Anspruch 1, dadurch gekennzeichnet, dass das Steuergerät (12) einen Signaleingangsanschluss (34) besitzt, der elektrisch mit der ersten Ader (50) verbunden ist, und einen Masseanschluss (32), der elektrisch mit der zweiten Ader (52) verbunden ist.
  3. Sicherheitsschaltungsanordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste Ader (50) ferner mit einer Betriebsspannungsquelle (UB) verbunden ist, die entfernt von dem Meldegerät (14) angeordnet ist.
  4. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass das Meldegerät (14) einen Spannungsregler (74) aufweist, der eine konstante Betriebsspannung für den Signalgenerator (42) anhand der überwiegend konstanten Spannung zwischen der ersten und zweiten Ader (50, 52) erzeugt.
  5. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass der Signalgenerator (42) einen Signalverarbeitungsschaltkreis (70) und ein vom Signalverarbeitungsschaltkreis (70) angesteuertes Schaltelement (72) aufweist, das zwischen der ersten und der zweiten Ader (50, 52) angeordnet ist.
  6. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass das Meldegerät (14) einen ersten und einen zweiten Signalgenerator (70a, 72a; 70b, 72b) aufweist, die parallel zueinander mit der ersten und der zweiten Ader (50, 52) verbunden sind.
  7. Sicherheitsschaltungsanordnung nach Anspruch 6, dadurch gekennzeichnet, dass der erste und der zweite Signalgenerator (70a, 72a; 70b, 72b) das definierte Pulssignal (44) gemeinsam erzeugen.
  8. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Meldegerät (14) ein weitgehend geschlossenes Gerätegehäuse (60) aufweist, in dem der Betätiger (40) und der Impulsgenerator (42) angeordnet sind.
  9. Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass das Steuergerät (12) dazu ausgebildet ist, anhand des definierten Pulssignals (44) einen Fehlerzustand des Meldegerätes (14) zu bestimmen.
  10. Meldegerät für eine Sicherheitsschaltungsanordnung nach einem der Ansprüche 1 bis 9, mit einer Anzahl von Anschlüssen (56, 58) zum Anschließen einer Mehrdrahtleitung (54), über die das Meldegerät (14) mit dem Steuergerät (12) verbunden werden kann, mit einem Betätiger (40), der zwischen einem definierten ersten Zustand (40') und einem zweiten Zustand wechselbar ist, und mit einem Impulsgenerator (42), der dazu ausgebildet ist, ein definiertes Pulssignal (44) mit einer Vielzahl von Signalpulsen (46) auf der Mehrdrahtleitung (54) zu erzeugen, wenn der Betätiger (40) in dem definierten ersten Zustand (40') ist, dadurch gekennzeichnet, dass die Mehrdrahtleitung (54) eine Zweidrahtleitung mit einer ersten Ader (50) und einer zweiten Ader (52) ist, zwischen denen eine überwiegend konstante Spannung anliegt, wenn der Betätiger (40) in dem zweiten Zustand ist, und dass der Impulsgenerator (42) dazu ausgebildet ist, einen Kurzschluss (88) zwischen der ersten Ader (50) und der zweiten Ader (52) zu bewirken, um die Vielzahl von Signalpulsen (46) zu erzeugen, sobald sich der Betätiger (40) in dem definierten ersten Zustand (40') befindet, so dass das Meldegerät (14) das definierte Pulssignal (44) ohne ein Freigabe- oder Anforderungssignal von dem Steuergerät (12) selbstständig erzeugt.
DE102010025675A 2010-06-25 2010-06-25 Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage Expired - Fee Related DE102010025675B3 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102010025675A DE102010025675B3 (de) 2010-06-25 2010-06-25 Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage
PCT/EP2011/060444 WO2011161158A1 (de) 2010-06-25 2011-06-22 Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
CN201180041121.5A CN103081052B (zh) 2010-06-25 2011-06-22 用于以故障安全的方式接通或断开危险的设备的安全电路装置
EP11726815.1A EP2586051B1 (de) 2010-06-25 2011-06-22 Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
JP2013515882A JP5778268B2 (ja) 2010-06-25 2011-06-22 設備のフェールセーフな接続または接続解除のための安全回路
US13/721,620 US9293285B2 (en) 2010-06-25 2012-12-20 Safety circuit arrangement for connection or failsafe disconnection of a hazardous installation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010025675A DE102010025675B3 (de) 2010-06-25 2010-06-25 Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage

Publications (1)

Publication Number Publication Date
DE102010025675B3 true DE102010025675B3 (de) 2011-11-10

Family

ID=44352158

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010025675A Expired - Fee Related DE102010025675B3 (de) 2010-06-25 2010-06-25 Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage

Country Status (6)

Country Link
US (1) US9293285B2 (de)
EP (1) EP2586051B1 (de)
JP (1) JP5778268B2 (de)
CN (1) CN103081052B (de)
DE (1) DE102010025675B3 (de)
WO (1) WO2011161158A1 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011016137A1 (de) 2011-03-30 2012-10-04 Pilz Gmbh & Co. Kg Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage
EP2720098A1 (de) 2012-10-10 2014-04-16 Sick Ag Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
US9444262B2 (en) 2012-10-10 2016-09-13 Sick Ag Bus system
US9461459B2 (en) 2012-10-10 2016-10-04 Sick Ag Safety system
US9645555B2 (en) 2012-10-10 2017-05-09 Sick Ag Safety system
DE102016125382A1 (de) * 2016-12-22 2018-06-28 Phoenix Contact Gmbh & Co. Kg Modulare Schaltschützanordnung
WO2018210747A1 (de) * 2017-05-15 2018-11-22 Rheinisch-Westfälische Technische Hochschule (Rwth) Aachen Verfahren zur detektion von störungen in einer anordnung einer mehrzahl von elektrischen bauteilen

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102013112488A1 (de) 2013-11-13 2015-05-13 Pilz Gmbh & Co. Kg Sicherheitssteuerung mit konfigurierbaren Eingängen
EP2887163B1 (de) * 2013-12-18 2018-01-17 Festo AG & Co. KG Überwachungsvorrichtung, Sicherheitssystem und Verfahren zum Betreiben eines Sicherheitssystems
DE102014100970A1 (de) * 2014-01-28 2015-07-30 Pilz Gmbh & Co. Kg Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
EP2950174A1 (de) * 2014-05-26 2015-12-02 Sick Ag Verfahren und Vorrichtung zum sicheren Überprüfen eines Zustandes zweier Einrichtungen
ES2900820T3 (es) * 2015-08-06 2022-03-18 Euchner Gmbh Co Kg Interruptor de seguridad
US10360790B2 (en) 2016-04-22 2019-07-23 Banner Engineering Corp. Safety touch button system having an intercommunications link
DE102016125031A1 (de) * 2016-12-20 2018-06-21 Pilz Gmbh & Co. Kg Sicherheitsschaltanordnung zum fehlersicheren Abschalten einer elektrisch angetriebenen Anlage
EP3557113A1 (de) * 2018-04-20 2019-10-23 EUCHNER GmbH + Co. KG Sicherheitsschalter
CN113557481B (zh) * 2019-03-11 2022-09-23 三菱电机株式会社 安全控制装置及安全控制系统
CN110007663A (zh) * 2019-05-14 2019-07-12 中国核动力研究设计院 核安全级dcs的开关量输出动态诊断系统及方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4333358A1 (de) * 1993-09-30 1995-04-06 Bosch Gmbh Robert Schaltungsanordnung zur Informationsübertragung auf einer Zweidrahtleitung
DE19911698A1 (de) * 1999-03-16 2000-09-21 Sick Ag Sicherheitsschaltanordnung
DE10023199A1 (de) * 1999-05-17 2001-01-18 Keba Gmbh & Co Sicherheitsschalteinrichtung für elektrische Maschinen bzw. Roboter sowie Handbediengerät und Verfahren hierfür
DE10011211A1 (de) * 2000-03-08 2001-09-20 Pilz Gmbh & Co Sicherheitsschaltgerät und Sicherheitsschaltgeräte-System
DE10348884A1 (de) * 2003-10-14 2005-05-25 Pilz Gmbh & Co. Kg Sicherheitsschalter, insbesondere Not-Aus-Schalter, zum sicheren Abschalten eines gefahrbringenden Gerätes
DE102004020997A1 (de) * 2004-04-19 2005-11-03 Pilz Gmbh & Co. Kg Sicherheitsschalteinrichtung für eine Sicherheitsschaltung

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10216226A1 (de) 2002-04-08 2003-10-30 Pilz Gmbh & Co Vorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers, insbesondere in industriellen Produktionsanlagen
EP1363306B1 (de) * 2002-05-18 2015-04-15 K.A. SCHMERSAL GmbH & Co. Sicherheitsschalter, Sicherheitskreis mit Sicherheitsschaltern und Verfahren zum Betrieb eines Sicherheitsschalters
DE10301504B3 (de) * 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
DE102004020995C5 (de) * 2004-04-19 2016-12-08 Pilz Gmbh & Co. Kg Meldegerät für eine Sicherheitsschaltung
DE502005009527D1 (de) * 2004-04-19 2010-06-17 Pilz Gmbh & Co Kg Meldegerät für eine sicherheitsschaltung
DE102006027135B3 (de) * 2006-06-12 2007-09-06 K.A. Schmersal Holding Kg Verfahren zum Betrieb einer Vorrichtung, insbesondere eines Sicherheitsschalters, und die Vorrichtung
DE102011016137A1 (de) * 2011-03-30 2012-10-04 Pilz Gmbh & Co. Kg Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4333358A1 (de) * 1993-09-30 1995-04-06 Bosch Gmbh Robert Schaltungsanordnung zur Informationsübertragung auf einer Zweidrahtleitung
DE19911698A1 (de) * 1999-03-16 2000-09-21 Sick Ag Sicherheitsschaltanordnung
DE10023199A1 (de) * 1999-05-17 2001-01-18 Keba Gmbh & Co Sicherheitsschalteinrichtung für elektrische Maschinen bzw. Roboter sowie Handbediengerät und Verfahren hierfür
DE10011211A1 (de) * 2000-03-08 2001-09-20 Pilz Gmbh & Co Sicherheitsschaltgerät und Sicherheitsschaltgeräte-System
DE10348884A1 (de) * 2003-10-14 2005-05-25 Pilz Gmbh & Co. Kg Sicherheitsschalter, insbesondere Not-Aus-Schalter, zum sicheren Abschalten eines gefahrbringenden Gerätes
DE102004020997A1 (de) * 2004-04-19 2005-11-03 Pilz Gmbh & Co. Kg Sicherheitsschalteinrichtung für eine Sicherheitsschaltung

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011016137A1 (de) 2011-03-30 2012-10-04 Pilz Gmbh & Co. Kg Sicherheitsschaltungsanordnung zum fehlersicheren Ein- oder Ausschalten einer gefährlichen Anlage
WO2012130795A1 (de) 2011-03-30 2012-10-04 Pilz Gmbh & Co. Kg Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
US9429271B2 (en) 2011-03-30 2016-08-30 Pilz Gmbh & Co. Kg Safety circuit assembly for switching on or off a hazardous system in a failsafe manner
EP2720098A1 (de) 2012-10-10 2014-04-16 Sick Ag Sicherheitssystem für eine Anlage umfassend einen Testsignalpfad mit Hin- und Rückleitungspfad
US9444262B2 (en) 2012-10-10 2016-09-13 Sick Ag Bus system
US9461459B2 (en) 2012-10-10 2016-10-04 Sick Ag Safety system
US9645555B2 (en) 2012-10-10 2017-05-09 Sick Ag Safety system
US9830244B2 (en) 2012-10-10 2017-11-28 Sick Ag Safety system with test signal path through bus line and termination element
DE102016125382A1 (de) * 2016-12-22 2018-06-28 Phoenix Contact Gmbh & Co. Kg Modulare Schaltschützanordnung
US11120960B2 (en) 2016-12-22 2021-09-14 Phoenix Contact Gmbh & Co. Kg Modular contactor arrangement
WO2018210747A1 (de) * 2017-05-15 2018-11-22 Rheinisch-Westfälische Technische Hochschule (Rwth) Aachen Verfahren zur detektion von störungen in einer anordnung einer mehrzahl von elektrischen bauteilen

Also Published As

Publication number Publication date
JP2013529832A (ja) 2013-07-22
US20130113304A1 (en) 2013-05-09
JP5778268B2 (ja) 2015-09-16
US9293285B2 (en) 2016-03-22
EP2586051A1 (de) 2013-05-01
EP2586051B1 (de) 2019-01-09
WO2011161158A1 (de) 2011-12-29
CN103081052B (zh) 2016-06-08
CN103081052A (zh) 2013-05-01

Similar Documents

Publication Publication Date Title
DE102010025675B3 (de) Sicherheitsschaltungsanordnung zum fehlersicheren Ein- und Ausschalten einer gefährlichen Anlage
EP2691969B1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
EP1946349B1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers
EP1738382B1 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
EP2649496B1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten eines elektrischen verbrauchers
EP1738383B1 (de) Meldegerät für eine sicherheitsschaltung
EP3014365B1 (de) Sicherheitsschaltvorrichtung zur detektion von fehlerhaften eingängen
DE102006010106A1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers
EP3271932A1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten einer elektrischen last
EP2357484B1 (de) Verfahren zur Diagnose einer elektrischen Verbindung und Ausgabebaugruppe
EP0658831B1 (de) Rechnergestütztes Entwurfsverfahren für ein programmierbares Automatisierungssystem
DE212012000249U1 (de) Vorrichtung zum eigensicheren Versorgen, Ansteuern und/oder Auswerten von Feldgeräten im explosionsgeschützten Bereich
EP4354803A2 (de) Verfahren und verschaltung zum betrieb eines netzwerks oder netzwerkabschnitts
EP0809361B1 (de) Elektronisches Schaltgerät und Schaltungsanordnung zur Überwachung einer Anlage
DE102014000283A1 (de) Sicherheitssteuermodul und Steuerungseinrichtung für eine fluidisch antreibbare Bearbeitungsmaschine
DE102018200120A1 (de) Sicherheitssteuerung mit wenigstens einem Halbleiterschaltkontakt
DE102014224642B3 (de) Feldbuskommunikationsmodul
DE102010038459A1 (de) Sicherheitssystem
EP1898551A1 (de) Systemschnittstelle und Anlage mit der Systemschnittstelle
EP3660597B1 (de) Schaltgerät zum fehlersicheren ein- oder ausschalten einer gefährlichen maschinenanlage
DE102020122147B4 (de) Elektrohydraulische steuereinheit mit notbetrieb und umschalt- und diagnoseeinheit für ausfallsicheren betrieb
EP2682834B1 (de) Verfahren und Vorrichtung zur Überwachung eines Sicherheitsschaltgeräts
EP1353344A1 (de) Schaltvorrichtung zur Signalisierung einer binaeren information
DE1513297C (de)
DE102014116188A1 (de) System zum fehlersicheren Abschalten eines elektrischen Verbrauchers

Legal Events

Date Code Title Description
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20120211

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee