单通道安全输出 |
|||||||
| 申请号 | CN201110112636.1 | 申请日 | 2011-04-26 | 公开(公告)号 | CN102393625A | 公开(公告)日 | 2012-03-28 |
| 申请人 | 洛克威尔自动控制德国有限两合公司; | 发明人 | 鲁道夫·帕彭布雷尔; 迪尔克·洛伦茨; 诺贝特·马初莱茨; 托马斯·黑尔彭施泰因; | ||||
| 摘要 | 本 发明 涉及一种用于故障安全地接通和关断电负载的安全 开关 装置,以及包括经由单通道以故障安全方式相互作用的至少两个安全开关装置的系统。该安全开关装置包括:故障安全控制单元;与第一和第二输出 端子 连接的第一和第二 电子 开关元件;以及至少一个输入端子,用于接收导致所述开关元件的切换的第一开关 信号 。所述第一和第二开关元件每个包括输出,该输出根据第一开关信号提供具有第一或第二电势的 输出信号 。第三输出端子将所述安全开关装置连接到第二安全开关装置,根据第一开关信号提供 时钟信号 ,并且由所述控制单元监视第三输出端子,以用于执行交叉故障检测。 | ||||||
| 权利要求 | 1.一种安全开关装置,用于安全地接通和关断电负载,所述安全开关装置(102)包括: |
||||||
| 说明书全文 | 单通道安全输出技术领域[0001] 本发明涉及一种用于故障安全(fail-safe)地接通和断开电负载的安全开关装置。本发明尤其涉及一种安全开关装置,其包括故障安全控制单元、第一和第二电子开关元件、第一和第二输出端子以及用于接收导致关断所述开关元件的开关信号的至少一个输入端子。 [0002] 本发明还涉及一种安全开关装置系统,其包括以故障安全方式相互作用的至少两个安全开关装置。 背景技术[0003] 安全开关装置例如被用于工业生产环境中,以便在对于人员或机器的安全必要的情况下可靠并安全地断开诸如水压机或铣床的机器。安全开关装置通常具有一个或更多个输入端子,诸如紧急停止按钮、双手操作按钮、防护门开关或光帘的输入装置可以连接到该一个或更多个输入端子。评价和控制单元以故障安全方式对来自这些输入装置的输入信号进行评价,并且在具有相同功能的输出侧产生开关信号。评价和控制单元还被设计为例如通过提供冗余来以故障安全方式工作。开关信号控制致动器,尤其是用于将机器从电源断开的接触器。 [0004] 术语“故障安全”意为即使在包括输入装置、安全开关装置和致动器的链内发生功能故障,也必须在所有情形下确保断开机器。因此,安全开关装置必须被设计为在线缆破损或其它故障的情况下,即使在一个部件失效的情况下,也确保正在被监视的机器总是处于安全状态。相应地,本文中的术语“安全开关装置”仅指至少符合欧洲标准EN 954-1的类别3或者类似要求的那些装置和设备。 [0005] 在DE 100 11 211 B1中,示出了安全开关装置和具有多于一个安全开关装置的系统,其中安全开关装置系统包括经由两个线路彼此连接的两个安全开关装置。通过提供以具有不同的信号的方式时钟的两个信号,可以通过附加反馈信号来检测这两个线路之间的交叉连接。使用这种配置,能够实现类别4的安全等级。 [0006] 然而,这种已知方案具有如下缺点:为了能够将系统归类为安全类别4,需要提供端子和附加线路的增加的支出。 发明内容[0007] 作为本发明的基础的目的是提供一种安全开关装置和安全开关装置的系统,其一方面允许进行交叉故障检测,另一方面能够以特别简单和经济的方式实现。 [0008] 本发明基于如下思想:通过在第一安全开关装置和第二安全开关装置之间提供传输定义的时钟脉冲的单通道连接,并且由第一开关装置监视该信号,不经由两个并行线路的冗余,而经由对该信号的监视来确保故障安全。 [0009] 根据本发明,安全开关装置包括第三输出端子,用于将第一安全开关装置连接到第二安全开关装置,第三输出端子提供取决于第一开关信号的时钟信号,并且由用于进行所需要的交叉故障检测的控制单元监视第三输出端子。因为仅提供一个线路,并且能够检测到与24V、0V或者其它不同时钟线路的故障连接,所以不会发生两个耦合线路之间的短路。 [0010] 根据本发明的优选实施例,由第三输出端子输出的信号适合对第二安全开关装置供电。例如,这可以通过在第二安全开关装置内设置诸如电容器的能量存储单元来实现,该电容器将来自第一安全开关装置的输出信号的时钟脉冲序列变换为例如5V的恒定直流电源。 [0011] 根据本发明,在安全开关装置具有有效安全功能的情况下,时钟信号包括定义的脉冲的序列。根据优选实施例,该脉冲序列具有能够被第一和/或第二安全开关装置读取的预定代码的结构。在安全状态指示故障的情况下,安全开关装置在第三输出端子处输出恒定的0V信号。 [0012] 根据本发明,第一安全开关装置监视输出信号,并且在发生任何交叉故障的情况下,检测正确的预定代码信号的不存在。此外,第二安全装置首先监视输入信号,并且还识别是否未接收到预期的代码信号。其次,将来自第三输出端子的脉冲输出信号馈送到第二安全开关装置的电源端子中。在将0V信号发送到第二安全开关装置的情况下,不能从该信号产生电力供给。第二安全开关装置返回到或者保持在安全状态。 [0013] 根据本发明,使用与出现于安全开关装置和安全开关装置系统中的所有其它时钟信号不同的时钟信号的脉冲代码,也可以检测到对其它时钟信号的交叉故障。为了实现冗余,并且因此符合高安全标准,安全开关装置的故障安全控制单元可以包括两个冗余微处理器,其能够进行操作来以并行方式监视时钟单通道输出信号。附图说明 [0014] 为了实现前述和相关目标,在此结合下面的描述和附图来描述所公开的发明的特定说明性方面。然而,这些方面指示可以利用这里公开的原理的各种方式中的几种方式,旨在包括所有这些方面及其等同物。当结合附图考虑时,根据下面的详细描述,其它优点和新颖特征将变得明显。 [0015] 图1示出根据本发明的安全开关装置系统的示意图; [0016] 图2示出要在故障安全单通道连接上传输的脉冲代码的示例; [0017] 图3示出第二安全开关装置的框图。 具体实施方式[0018] 现在,参考附图描述新发明,其中,自始至终使用相似的附图标记表示相似的元素。在下面的描述中,为了说明的目的,描述了大量具体细节,以提供对其的全面理解。然而,很明显,可以在没有这些具体细节的情况下实施本发明。在其它实例中,以框图的形式示出公知的结构和装置,以方便对其进行描述。 [0019] 如在本申请中使用的,术语“部件”、“系统”、“设备”、“接口”、“网络”等旨在指硬件、硬件和软件的组合、软件或者执行中的软件的计算机相关实体。例如,部件可以是,但不限于在处理器上运行的过程或者处理器、硬盘驱动器、(光存储介质和/或磁存储介质的)多个存储驱动器、对象、可执行文件、执行文件的线程、程序和/或计算机、工业控制器、继电器、传感器和/或可变频率驱动器。作为示例,在服务器上运行的应用程序和服务器两者都可以是部件。一个或更多个部件可以驻留在处理和/或执行文件的线程内,并且部件可以定位于一个计算机上和/或分布在两个或者更多个计算机之间。 [0020] 除了前述以外,应当理解,所要求保护的主题可以实现为方法、设备或者使用典型编程和/或工程技术生产软件、固件、硬件或者其任意合适的组合来控制计算装置(诸如可变频率驱动器和控制器)以实现所公开的主题的制造物。这里使用的术语“制造物”旨在涵盖从任意合适的计算机可读装置、介质或者由该介质/装置产生的载体可访问的计算机程序。例如,计算机可读介质可以包括、但不限于磁存储装置(例如硬盘、软盘、磁带...)、光盘(例如压缩盘(CD)、数字通用盘(DVD)...)、智能卡和闪存装置(例如卡、棒、密钥驱动器...)。另外,应当理解,可以利用由发送器产生的载波来承载计算机可读电子数据,诸如在发送和接收电子邮件时或者在访问诸如因特网或者局域网(LAN)的网络时使用的计算机可读电子数据。当然,本领域技术人员将想到,可以对这种配置进行多种修改,而不脱离所要求保护的主题的范围或精神。 [0021] 此外,这里使用词语“示例性”意为作为示例、实例或例证。这里作为“示例性”描述的任意方面或设计不一定被解释为优于或者好于其它方面或设计。另外,词语示例性的使用旨在以具体的方式呈现概念。如在本申请中使用的,术语“或者”旨在意为包含性的“或者”而不是排他性的“或者”。也就是说,除非另外指出,或者根据上下文明显的,“X利用A或者B”旨在意为自然包含排列中的任意一个。也就是说,如果X利用A;X利用B;或者X利用A和B两者,因此在前述实例中的任意一个下满足“X利用A或者B”。另外,除非另外指出或者根据上下文明显的是指单数形式,否则在本申请和所附权利要求中使用的冠词“a”和“an”通常应当被解释为意为“一个或更多个”。 [0022] 此外,这里使用的术语“推断”或者“推论”通常是指根据经由事件和/或数据捕获的一组观测推理或者推断系统、环境和/或用户的状态的过程。例如,可以利用推断来识别特定上下文或者动作,或者推断可以产生状态的概率分布。推断可以是或然性的,即基于对数据和事件的考虑对所关注的状态的概率分布的计算。推断还可以指用来根据一组事件和/或数据构成更高等级的事件的技术。这种推断产生根据一组观察到的事件和/或存储的事件数据来构造新的事件或者动作,事件是否以靠近的时间接近性相关,以及事件和数据是否来自一个或几个事件和数据源。 [0023] 现在参考附图,图1示意性地示出了根据最基本的构造的第一实施例的安全开关装置系统100。该系统包括第一安全开关装置102和第二安全开关装置104。 [0024] 第一开关装置102例如可以是在端子14和24处具有安全半导体输出的紧急停止装置。为了允许增加致动输出的数量,例如,在紧急情况下必须关断几个机器或者机器元件的情况下,可能需要向第一安全开关装置102添加相同种类的附加安全开关装置或者代表第二安全开关装置104的触点扩展单元。 [0025] 如通常所知的,这些触点扩展单元104提供附加输出电流路径,但是除了用于监视信号的完整性的逻辑以外不具备其自己的用于处理的信号的逻辑单元。 [0026] 诸如DE 100 11 211 B4中所示的系统的传统系统使用两个分离的连接,以符合最高安全标准类别4,如IL3。可以看到这种双通道解决方案的缺点首先在于需要设置附加线路和附加端子,其次在于可能发生这两个线路之间的交叉故障。 [0027] 根据本发明,安全开关装置102包括故障安全单通道输出L11。可以经由连接线路106将单通道输出L11连接到触点扩展装置104的输入A1。 [0028] 通过在能够由安全开关装置102在内部监视的单通道线路106上传输脉冲输出信号,来确保所需的安全性。通过监视线路106上的时钟信号的功率链,能够检测到对24V和0V电势的短路以及对具有不同时钟信号的线路的连接。因此,能够符合满足标准类别4的实质要求。 [0029] 连接到故障安全输出L11的触点扩展装置104接收来自安全输出L11的电力,同时接收安全功能的状态。 [0030] 虽然在图1中仅示出了两个安全开关装置102、104,但是本领域技术人员清楚,可以经由本发明的单通道输出连接任意数量的装置。 [0031] 图2示出由本发明的单通道安全输出端子L11输出的信号108的示例。例如,信号108在安全功能是“非真”的情况下可以等于恒定的0V信号,即指示故障状况的发生。 [0032] 另一方面,如果安全输出为“真”,则信号108具有如图2所示的良好定义的脉冲模式。第一安全开关装置102的内部监视单元(图中未示出)能够识别表示代码的该脉冲模式。如传统装置通常进行的,由两个独立的微处理器以双通道方式进行该监视。 [0033] 另一方面,触点扩展装置104接收信号108,并且如将参考图3所示出的进行处理。从该电路图可以推导出,在端子A1处接收信号的第二安全开关装置分割接收到的信号,首先将其用于馈送电力存储电容器CS,其次将信号输入到微控制器μC1和μC2。 [0035] 第二安全开关装置102的输入A2接收也被输入到第一开关装置102中的0V地电势。 [0036] 第一安全开关装置102的安全功能一旦为“真”,则时钟输出L11产生时钟信号108。因此,经由二极管D1、存储电容器CS和电压控制器110对连接的第二开关装置104提供电源电压,代表需要的工作电压。电容器CS例如可以是电解电容器。当然,这里也可以使用任意其它存储装置。当由DC-DC转换器110的输出供电时,微控制器μC1和μC2起动。如果这些微处理器现在在其I/O端子处另外检测到有效脉冲代码,则控制驱动器单元 112、114触发继电器116和118,以提供安全输出14和24的接通状态。 [0037] 因此,A1必须接收与0V不同的电压,另外该电压必须具有有效脉冲模式,以使安全开关装置104输出有效输出信号。使用本发明的安全装置拓扑,虽然仅利用单通道连接,也可以满足安全标准的类别4的要求。 [0038] 由于信号的预定动态和使用两个微处理器对该信号进行的双通道评价,在第二安全开关装置侧实现该高安全类别。另一方面,通过对在端子L11处产生的输出信号的双通道反馈,实现第一安全开关装置102的发送侧的高安全标准,由此能够检测到对24V、0V或者其它时钟信号的短路。 [0039] 此外,通过以并行的方式将该输出信号反馈到两个处理器,可以进行真实性检查(plausibility check),以监视微处理器的无故障功能。 [0040] 然而,在出现故障状况的情况下,因为第一安全开关装置102的安全功能不再为“真”,因此该装置在端子L11处输出恒定的0V信号。然后,首先因为不向输入端子A1提供有效时钟信号模式,其次因为输入端子A1不再接收可以向微处理器和继电器提供能量的电源电压,因此后续的安全开关装置104的安全输出也被关断。在图3中可以看出,也可以由来自DC/DC转换器110的输出对继电器116、118供电。 [0041] 当然,根据本发明的单通道安全输出也可以用来连接到不同安全开关装置的任意其它安全输入。该系统特别适合将安全开关装置与一个或更多个延迟扩展模块连接。 |
||||||
