在当今的各种系统中，安全攸关的信号例如点火和启动器开关的端 子控制信号被直接接到信号接收器上。但如果一个安全攸关的信号通过 一个微控制器来产生，则必须保证它的安全攸关的输出信号在系统中的 某个元件发生简单故障时不转换成一个错误状态或不再可能由一个状 态转换成另一个状态。

本发明的目的是通过一个微控制器提高信号产生的安全性。
上述目的的一个技术解决方案在于一种安全信号发生装置，其具有 一个控制装置，一个控制信号输入该控制装置中，该控制装置根据控制 信号产生至少两个用于控制一个开关装置的控制信号，该开关装置接通 或断开一个负荷，其特征为，控制装置通过一反馈线路来识别开关装置 的一个正常的运行，其中控制装置根据开关装置的一个正常的运行来影 响至少两个控制信号，开关装置包括至少两个路径，它们至少分别具有 两个串联的开关装置，第一控制信号控制第一路径的开关装置和与此相 反控制第二路径的另一个开关装置。
根据本发明，设置了若干紧急运行装置，它们在紧急状态下取代控 制装置产生控制信号。通过控制信号的冗余产生，提高了整个系统的安 全性，因为在控制装置发生故障的情况下，紧急运行装置总是立即投 入，以产生紧急状态下的控制信号。特别是，这样就保证了在安全至关 重要的信号的情况下，例如在点火和启动器开关的端子控制信号的情况 下的正确控制。在系统中的一个元件发生故障时，该控制信号不转换成 一个错误状态，也不会转换成另一个状态。为此，该控制信号最好也输 入紧急运行装置中，这些紧急运行装置在紧急状态下从该控制信号产生 该控制信号。
在一个合适的改进方案中，设置了启动紧急运行装置的控制装置， 当控制装置的故障被发现后，该控制装置便启动紧急运行装置。只有在 紧急情况下才通过该紧急运行装置转换为紧急运行和相应的控制。但在 正常运行中，该控制装置继续产生控制信号。这样就可减少紧急运行装 置的复杂性，因为在正常运行中，该控制装置覆盖了通常比较复杂的功 能。
附图说明
在附图中示出了本发明的一些实施例并在下面对其进行详细说 明。
图1和图2表示按本发明安全信号发生装置的几个实施例的方块 图；
图3表示本发明的开关装置的方框图。

一个控制信号12输入一个控制装置10和一个紧急运行装置30中。 控制装置10产生一个输出信号13，该输出信号输入紧急运行开关装置 32中。一个由控制装置10产生的触发信号18由一个监控装置20进行 处理。此外，控制装置10产生一个用于紧急运行装置30的紧急运行控 制信号15。此外，紧急运行装置30收到一个由监控装置20产生的监控 输出信号22。紧急运行装置30产生一个紧急运行输出信号34和一个紧 急运行控制信号36。紧急运行开关装置32可通过紧急运行控制信号36 改变它的开关位置。在一个开关位置中，紧急运行开关装置32把控制 装置10的输出信号13作为控制信号14转发给一个开关装置16。在另 一个开关位置中，紧急运行开关装置32把紧急运行装置30的紧急运行 输出信号34作为控制信号14转发给开关装置16。用这个通过控制信号 14接通的开关装置16可以启动或停止一个安全攸关的元件。
在图2所示实施例中，控制信号12和一个由监控装置20产生的复 位信号24输入控制装置10中。控制装置10则把输出信号13转发给紧 急开关装置32、把触发信号18转发给监控装置20以及把紧急控制信号 15转发给紧急运行装置30。如已结合图1的实施例所述，紧急运行装 置30把紧急运行信号34和紧急控制信号36发送给紧急运行开关装置 32，该装置32的输出信号作为控制信号14输入控制用的开关装置16。 还设置了第二控制装置40，该控制装置通过一条通信线路44与控制装 置10交换数据。第二控制装置40的紧急运行控制信号42被发送给紧 急运行装置30。
在图3所示实施例中，第一控制信号54既到达第一反相器51，又 到达第一开关装置58。用第一反相器51的输出信号控制第四个开关装 置64。第二个控制信号56既输入第二个开关装置60，又输入第二个反 相器52。第二反相器52的输出信号作为第三个开关装置62的控制信 号。象第二开关装置60和第四开关装置64那样，第一开关装置58和 第三个开关装置62也是串联的。第一开关装置58和第三开关装置62 与串联的第二和第四开关装置60和64并联。第三和第四开关装置62 和64的共同电位(例如)与接地线连接，第一和第二开关装置58和60 的共同电位(例如)与负荷50连接。为了获得用来控制负荷50的信号， 设置了一个反馈线路66。
图1所示的实施例例如用于汽车的点火和启动器开关的安全信号的 发生。所要求的点火状态的相应信号作为控制信号12既到达控制装置 10，又到达紧急运行装置30。控制装置10必要时在借助其它信息的情 况下处理输入的控制信号12。在控制装置10中，例如实现启动/停止自 动操作，在存在一定的条件时，自动停止或启动(例如负荷50的)点 火。所以控制装置10根据控制信号12产生一个输出信号13，在正常运 行状态下，用该输出信号控制开关装置16例如进行点火的启动或停止。
因为上述点火涉及一个安全攸关的功能，所以当控制装置10不正 常工作时，控制装置16也必须正确控制。为此，按本发明设置了一个 具有相应紧急运行开关装置32的紧急运行装置30。在控制装置10发生 故障的情况下，紧急运行装置30这样控制紧急运行开关装置32，即紧 急运行开关装置32不再用控制装置10的输出信号13作为开关装置16 的控制信号14接通回路，而是紧急运行输出信号34接通回路。在紧急 运行输出信号34时，涉及控制信号12的相应状态。在最简单的情况中， 控制信号12通过紧急运行装置30简单地作为紧急运行输出信号34接 通回路。但也可在紧急运行装置30中并入一个附加的逻辑电路，该逻 辑电路根据一定的条件把控制信号12转换成紧急运行输出信号34。
当识别出控制装置10的有错误的运行时，紧急运行开关装置32转 换，以便把紧急运行输出信号34作为控制信号进行发送。紧急运行装 置30的紧急运行功能可自动启动控制装置10或监控装置20。为此，在 控制装置10中并入一自诊断功能，以便监控自身的功能作用。如果自 动装置10识别出一个自身的故障情况，它便通过紧急控制信号15向紧 急运行装置30发出一个相应的信号，以便启动上述紧急运行功能。为 控制装置10的附加的或另外的监控而设置了该监控装置20。该监控装 置例如是一个所谓的监视器。控制装置10向监控装置20发出一个触发 信号18。监控装置20检验输入的触发信号18是否与预期的触发信号一 致。作为一种故障情况的判据例如可考虑触发信号18的频率偏移。当 监控装置20识别出触发信号18与预期的正常状态存在明显的差别时， 它便接通出故障的控制装置10并用一个相应的监控输出信号22启动紧 急运行装置30的紧急运行功能。紧急运行装置30通过紧急运行控制信 号36使紧急运行输出信号34作为开关装置16的控制信号14接通回 路，这已在上面进行了描述。但在图1的实施例中，监控装置20不使 控制装置10复位，而只是控制紧急运行装置30的紧急运行功能。
在图2的实施例中，作为控制装置10的另一个监控装置设置了第 二个监控装置40。借助于必要时在第一控制装置10和第二控制装置40 之间通过通信线路44进行的双向通信，第二控制装置40可对控制装置 10的功能进行监控。为此，例如第二控制装置40可向控制装置10发送 测试信号，而后者则反馈相应的应答信号。第二控制装置40根据输入 的应答信号确认控制装置10是否仍在正确工作。如果控制装置10的输 入的应答与预期的存在偏差，则第二控制装置40接通故障运行并通过 紧急运行控制信号42启动寄存在紧急运行装置30中的紧急运行。该紧 急运行与在第一实施例时所述的一致，可参考该处的相关叙述。第二控 制装置40基本上与第一实施例的监控装置20的功能一致。所以图2的 监控装置20摆脱了这个任务并可承担所谓的监视器功能。监控装置20 又对触发信号18的明显的、不希望的偏差进行监控。如果出现了这种 情况，则监控装置20向控制装置10发送一个相应的复位信号24。于是 控制装置10重新启动。第二控制装置40识别这个复位并最迟启动紧急 运行装置30的紧急运行功能。如图1实施例所述，控制装置10也可自 动启动紧急运行装置30的紧急运行功能。当控制装置10自动识别出有 错误的工作时和/或当它探测出第二控制装置40的一个故障时，就可能 是这种情况。另一种办法是，在达到复位信号24的预定数目后，通过 监控装置20释放紧急运行装置30的紧急运行功能。这时监控装置20 的所谓监视器功能保持不变。
为了进一步提高安全性，开关装置16可具有图3所示的结构。控 制装置10产生两个信号，即第一和第二控制信号54、56来代替唯一的 输出信号13。这两个控制信号54、56中只有一个信号必须是确定故障 的(已如上述)。不确定故障的那个控制信号在故障情况下必须只具有 一定的状态。此外，控制装置10接收和处理从反馈线路66分接的信号。 为了保证开关装置16的可靠断开，还有第三个开关装置62与第一个开 关装置58串联。例如当第一开关装置58不再可能断开时，还可通过第 三开关62的断开实现要求的输出信号。但当第一开关装置58不再可能 接通时，要求的输出状态可通过第二和第四开关装置60、64的接通来 实现。
在基本状态中，即在断开负荷50的情况下，第一和第二控制信号 54、56具有逻辑零的状态。在与两个反相器51、52共同作用的情况下， 第三和第四开关装置62、64接通。由于第一和第二开关装置58、60继 续保持断开，所以不接通负荷50。
当负荷50被接通时，例如在显示的控制信号12转换时，控制装置 10产生一个具有逻辑1电平的第二控制信号56，从而使第二开关装置 60接通。于是开关装置16的右方路径导电并由此接通负荷50。与此同 时，控制装置10通过反馈线路66测得负荷的状态。在开关装置16正 常运行时，逻辑1的第二控制信号56的电平也导致负荷50的接通。
虽然负荷50接通了，但如果控制装置10识别不出所要求的启动， 则该控制装置转换到一个紧急运行。为了消除故障状态，通过将第一控 制信号54变成逻辑1，使开关装置16的左方路径有效。于是第一开关 58被接通，并由此接通负荷50。
尽管实现了相应的控制，但如果第二开关装置60在“断开”的正 常运行中(第一控制信号54为逻辑零，第二控制信号56为逻辑零)不 断开，则这种情况也通过由反馈线路66获得的信号来识别。在这种情 况下，第一控制信号54变成逻辑1，于是第四开关装置64断开，从而 断开右方路径。所以这个功能可只通过具有相应反逻辑实现。