本發(fā)明總體上涉及安全自動(dòng)化領(lǐng)域,特別地涉及安全至上(safety-critical)過程的控制和監(jiān)視。從本發(fā)明的意義上說,安全至上過程為在其期間必須確保無錯(cuò)誤操作以避免對(duì)人或有價(jià)值的材料對(duì)象的任何風(fēng)險(xiǎn)的技術(shù)序列、關(guān)系和/或事件。特別地,這包括在機(jī)械和設(shè)備工程領(lǐng)域中以自動(dòng)化方式進(jìn)行的操作的監(jiān)視和控制以便避免意外。典型的示例為沖壓設(shè)備的保護(hù)、以自動(dòng)化方式操作的機(jī)器人的保護(hù)或者對(duì)于技術(shù)設(shè)備的維護(hù)工作的無害狀態(tài)的安全防護(hù)。
對(duì)于這樣的過程,EN ISO 13839-1和EN/IEC 62061標(biāo)準(zhǔn)設(shè)定了以下等級(jí):一方面,指定在可預(yù)見的條件下執(zhí)行安全功能的控制器的安全相關(guān)部件的能力,以及另一方面,指示被分配給過程的安全功能的安全完整性。前者為所謂的性能等級(jí)(PL),其具有從a至e的等級(jí),其中,e為最高等級(jí)。關(guān)于安全完整性的規(guī)格,指定了具有等級(jí)1至等級(jí)3的安全完整性等級(jí)(SIL),其中SIL3為最高等級(jí)。本發(fā)明涉及必須符合至少性能等級(jí)d和安全完整性等級(jí)2的安全關(guān)至上過程。
具有空間遠(yuǎn)程輸入和輸出(I/O)單元的控制器(其經(jīng)由數(shù)據(jù)傳輸路徑,特別是經(jīng)由所謂的現(xiàn)場(chǎng)總線彼此連接)越來越多地被用于過程控制。用于記錄過程數(shù)據(jù)的傳感器和用于執(zhí)行控制操作的致動(dòng)器連接至輸入和輸出單元。安全技術(shù)領(lǐng)域中典型的傳感器為緊急關(guān)斷開關(guān)、防護(hù)門、雙手開關(guān)、轉(zhuǎn)速計(jì)或擋光板裝置。例如,典型的致動(dòng)器為可以用于關(guān)斷被監(jiān)視的設(shè)備的驅(qū)動(dòng)的接觸器。在這樣的裝置中,輸入和輸出單元被主要用作空間分布信號(hào)傳感器和信號(hào)輸出站,然而過程數(shù)據(jù)實(shí)際被處理,并且用于致動(dòng)器的控制信號(hào)由例如可編程邏輯控制器(PLC)的上級(jí)控制單元來生成。
為了能夠使用基于總線的系統(tǒng)控制安全至上過程,必須使從輸入和輸出單元至控制單元的數(shù)據(jù)的傳輸具有失效保護(hù)。特別地,必須確保在整個(gè)設(shè)備中不能出現(xiàn)由于所傳送的過程數(shù)據(jù)丟失、重復(fù)、毀壞、插入或改變和/或由于遠(yuǎn)程輸入和輸出單元中的故障導(dǎo)致的危險(xiǎn)狀態(tài)。
DE 197 42 716 A1公開了一種系統(tǒng),在該系統(tǒng)中借助于存在于上級(jí)控制單元和遠(yuǎn)程輸入和輸出單元兩者中的所謂的安全相關(guān)裝置來保護(hù)傳輸路徑。這涉及例如所有信號(hào)接收、信號(hào)處理和信號(hào)輸入路徑的冗余設(shè)計(jì)。因此,安全關(guān)斷可以由上級(jí)控制單元和遠(yuǎn)程單元兩者來引發(fā),因此使得可以確保不依賴于數(shù)據(jù)傳輸?shù)木哂惺ПWo(hù)的關(guān)斷。因此,安全功能不依賴于所使用的傳輸技術(shù)或總線系統(tǒng)的結(jié)構(gòu)。然而,由于輸入和輸出單元自身借助于安全相關(guān)裝置承擔(dān)控制功能,因此這些單元是復(fù)雜并且昂貴的,并且不適合于其中必須安全控制多個(gè)致動(dòng)器的系統(tǒng)。另外,采用該方法,在批準(zhǔn)程序的范圍內(nèi)必須針對(duì)遠(yuǎn)程輸入和輸出單元證明完全真正的具有失效保護(hù)。這因此是復(fù)雜并昂貴的。
替選方法涉及將遠(yuǎn)程輸入和輸出單元配置成“非具有失效保護(hù)”并且相反的采用兩個(gè)通道(即,采用兩個(gè)單獨(dú)信號(hào)路徑)來實(shí)現(xiàn)數(shù)據(jù)傳輸路徑。在該情況下,具有失效保護(hù)設(shè)計(jì)的上級(jí)控制單元具有訪問處理數(shù)據(jù)和執(zhí)行兩個(gè)通道中的必要錯(cuò)誤檢查的可能性。輸入和輸出單元自身在該方法中可以具有單通道設(shè)計(jì),但是由于針對(duì)用于數(shù)據(jù)傳輸路徑的冗余設(shè)計(jì)的每個(gè)I/O單元需要附加單獨(dú)的線,因此增加了線纜的量。
替選地,關(guān)于機(jī)器安全的安全傳輸還可以經(jīng)由使用適當(dāng)協(xié)議的單通道數(shù)據(jù)傳輸路徑來實(shí)現(xiàn)。該協(xié)議的一個(gè)示例為由申請(qǐng)人開發(fā)的用于失效保護(hù)現(xiàn)場(chǎng)總線通信的SafetyBUS p標(biāo)準(zhǔn)。SafetyBUS p技術(shù)上基于CAN現(xiàn)場(chǎng)總線系統(tǒng),在該情況下,用于保護(hù)傳輸?shù)母郊訖C(jī)制被加入OSI參考系統(tǒng)的層2和層7中。在SafetyBUS p網(wǎng)絡(luò)中,僅使用安全相關(guān)裝置。因此,除了安全多通道控制之外,還使用了多通道輸入和輸出單元,其中多通道在邏輯層冗余處理從安全控制器接收的數(shù)據(jù)。
EP 1 620 768 B1描述了上述方法的中間路線,EP 1 620 768 B1公開了經(jīng)由單通道傳輸路徑從輸入單元至控制單元的處理數(shù)據(jù)的多重傳輸。多樣化傳輸旨在至少對(duì)于傳輸路徑的輸入信號(hào)確保失效保護(hù)讀取。在該情況下,使用用于傳輸?shù)目勺?、恒定改變關(guān)鍵字來編碼處理數(shù)據(jù),從而生成確定的動(dòng)態(tài)處理數(shù)據(jù),這使得可以借助于上級(jí)控制單元冗余地評(píng)估輸入信號(hào)。這使得可以無需輸入單元的完全冗余設(shè)計(jì)。然而,在輸出側(cè)仍然需要未經(jīng)由現(xiàn)場(chǎng)總線選定線路的單獨(dú)關(guān)斷路徑以確保不依賴于傳輸中錯(cuò)誤的安全關(guān)斷。因此,至少對(duì)于具有安全輸出的輸出仍需要附加線。
DE 199 27 635 B4公開了實(shí)現(xiàn)上述的中間路線的另一可能方式。因此,收聽傳輸路徑上的控制單元與遠(yuǎn)程單元之間的數(shù)據(jù)流并且被設(shè)計(jì)成執(zhí)行安全相關(guān)功能的另外的安全分析器被插入用于保護(hù)具有遠(yuǎn)程輸入和輸出單元的控制器的目的。通過監(jiān)視,安全分析器可以同時(shí)通過傳感器讀取所需要的數(shù)據(jù)并且可以借助于內(nèi)部邏輯單元來處理所述數(shù)據(jù)。為了控制致動(dòng)器的目的,安全分析器可以從控制單元重寫入旨在用于致動(dòng)器的數(shù)據(jù)消息,并且對(duì)于致動(dòng)器插入其自身控制數(shù)據(jù)。以該方式,安全分析器可以控制所連接的致動(dòng)器。然而,當(dāng)使用安全分析器以便獲得高安全類別時(shí),還提供了另外的關(guān)斷路徑。通過被本地布置在安全分析器上的另外的安全輸出來提供該另外的關(guān)斷路徑。因此,安全分析器被設(shè)計(jì)成在沒有與遠(yuǎn)程輸出單元交換控制數(shù)據(jù)的情況下能夠獨(dú)立地關(guān)斷被監(jiān)視的裝置以用于該目的。這使得可以無需經(jīng)由輸出單元路由的另外的關(guān)斷路徑,因此沒有減少線纜的量,更確切地,由于本地安全輸出還必須經(jīng)由另外的線被連接至被監(jiān)視的裝置而使線纜轉(zhuǎn)移。
例如,在AS-i SAFETY AT WORK中已經(jīng)實(shí)現(xiàn)了在先描述構(gòu)思的安全分析器。AS接口(對(duì)于致動(dòng)器/傳感器接口縮寫為AS-i)為用于開發(fā)成連接致動(dòng)器和傳感器的現(xiàn)場(chǎng)總線通信的標(biāo)準(zhǔn),目的在于減少并行布線。安全導(dǎo)向型(safety-oriented)部件可以使用AS-i SAFETY AT WORK被合并在AS-i網(wǎng)絡(luò)中。然后,安全和標(biāo)準(zhǔn)部件在同一線纜上以并行方式操作,在該情況下,附加安全監(jiān)視器監(jiān)視安全導(dǎo)向型部件。安全監(jiān)視器具有用于安全導(dǎo)向型關(guān)斷的兩通道使能電路。因此,在沒有安全分析器上的附加本地安全輸出的情況下,采用AS-i SAFETY AT WORK,經(jīng)由遠(yuǎn)程輸出單元的安全關(guān)斷也是不可能的。
針對(duì)該背景,目的是指定用于安全控制遠(yuǎn)程周邊設(shè)備的替代方法,該方法更簡(jiǎn)單并且更有成本效率,并且可以在沒有附加布線和/或附加安全導(dǎo)向型裝置的情況下被管理。
根據(jù)本發(fā)明的一個(gè)方面,本目的是借助于用于安全關(guān)斷電力負(fù)載的方法來實(shí)現(xiàn),該方法包括步驟:
-提供多通道控制單元、單通道數(shù)據(jù)傳輸路徑以及具有第一處理單元和第二處理單元并且具有安全輸出的輸出單元,
-由多通道控制單元接收并且評(píng)估輸入信號(hào),并且基于評(píng)估來生成使能信號(hào),
-經(jīng)由單通道數(shù)據(jù)傳輸路徑將使能信號(hào)傳送至輸出單元,
-由第一處理單元接收使能信號(hào),并且基于使能信號(hào)生成輸出信號(hào),
-由第一處理單元提供使能信號(hào)的至少一部分以由第二處理單元進(jìn)行評(píng)估,
-基于使能信號(hào)由第二處理單元生成動(dòng)態(tài)時(shí)鐘信號(hào),以及
-基于輸出信號(hào)和動(dòng)態(tài)時(shí)鐘信號(hào)控制安全輸出。
根據(jù)本發(fā)明的另一方面,該目的是借助于用于安全關(guān)斷電力負(fù)載的裝置來實(shí)現(xiàn),該裝置具有用于接收和評(píng)估輸入信號(hào)的多通道控制單元、單通道數(shù)據(jù)傳輸路徑以及具有第一處理單元和第二處理單元以及安全輸出的輸出單元,其中,多通道控制單元經(jīng)由單通道數(shù)據(jù)傳輸路徑連接至輸出單元,其中,多通道控制單元被配置成基于輸入信號(hào)生成使能信號(hào),其中,單通道數(shù)據(jù)傳輸路徑被配置成將使能信號(hào)從控制單元傳送至輸出單元,其中,第一處理單元被配置成基于使能信號(hào)生成輸出信號(hào),并且還至少部分地提供使能信號(hào)至第二處理單元以進(jìn)行評(píng)估,其中,第二處理單元基于使能信號(hào)生成動(dòng)態(tài)時(shí)鐘信號(hào),并且其中,輸出單元被配置成基于輸出信號(hào)和動(dòng)態(tài)時(shí)鐘信號(hào)控制安全輸出。
根據(jù)本發(fā)明的另一方面,該目的是借助于具有第一處理單元和第二處理單元以及安全輸出的輸出單元來實(shí)現(xiàn),第一處理單元被配置成基于使能信號(hào)生成輸出信號(hào)并且還至少部分地提供使能信號(hào)至第二處理單元以進(jìn)行評(píng)估,其中,第二處理單元基于使能信號(hào)生成動(dòng)態(tài)時(shí)鐘信號(hào),并且其中,輸出單元還被配置成基于輸出信號(hào)和動(dòng)態(tài)時(shí)鐘信號(hào)驅(qū)動(dòng)安全輸出。
因此,本發(fā)明的構(gòu)思是使得可以經(jīng)由同樣遠(yuǎn)程的輸出單元從中央控制單元安全關(guān)斷空間遠(yuǎn)程周邊設(shè)備。在該情況下,遠(yuǎn)程輸出單元經(jīng)由單通道數(shù)據(jù)傳輸路徑連接至多通道控制單元。然而不過可以在原則上對(duì)于實(shí)現(xiàn)另外的關(guān)斷路徑,不需要附加關(guān)斷路徑或控制單元上的本地安全輸出。此外,有利的是,不需要設(shè)計(jì)具有完全多通道冗余的輸出單元。更確切地,本發(fā)明提出能夠適合于在由安全控制器提供的使能信號(hào)的輸出單元內(nèi)的信號(hào)處理的安全關(guān)斷。對(duì)于此所需要的部件所強(qiáng)加的要求低于被設(shè)計(jì)用于完全多通道冗余的輸出單元的情況。因此,根據(jù)本發(fā)明的輸出單元可以以更有成本效率的方式被制造。
特別地,與具有完全互控的完全兩通道輸出單元相比,不存在處理單元之間任何廣泛協(xié)商和同步的需要。處理單元僅處理與其相關(guān)的信息,使得兩個(gè)處理單元不需要被提供有所有信息。另外,在以下情況下是足夠的:如果僅一個(gè)處理單元經(jīng)由數(shù)據(jù)傳輸路徑與控制單元通信,同時(shí)第二處理單元接收來自第一處理單元的相關(guān)數(shù)據(jù)。除了對(duì)硬件部件較低的要求之外,還可以有利地簡(jiǎn)化軟件結(jié)構(gòu),因此還可以采用低性能處理單元來實(shí)現(xiàn)高性能。
與完全兩通道解決方案相比,根據(jù)本發(fā)明對(duì)軟件和硬件減少的要求還有利地減少輸出單元的能耗。減少的能耗以及與此相關(guān)的更低的熱輻射是非常重要的,特別是對(duì)于例如IP 67的必須具有高國(guó)際保護(hù)打分(marking)的遠(yuǎn)程輸出單元。
另外,根據(jù)本發(fā)明的方法有利地不需要對(duì)單通道數(shù)據(jù)傳輸路徑的任何附加要求,使得可以使用所有公共總線系統(tǒng)。以這種方式,可以容易地改造或擴(kuò)展現(xiàn)有系統(tǒng)。
總的來說,該新穎方法與現(xiàn)有解決方案相比減少了成本,這是由于安全關(guān)斷可以在一開始確保所提及的高安全等級(jí)標(biāo)準(zhǔn)而不必使用冗余布線、具有本地安全輸出的附加安全導(dǎo)向型裝置或具有完全多通道冗余的輸出單元。
因此,完全實(shí)現(xiàn)了上述目的。
在另一改進(jìn)中,使能信號(hào)包括可變代碼,并且第二處理單元基于可變代碼生成動(dòng)態(tài)時(shí)鐘信號(hào)。
根據(jù)該另一改進(jìn),可變代碼形式的信息的附加項(xiàng)經(jīng)由使能信號(hào)被傳送。可變代碼可以優(yōu)選地對(duì)可以被第二處理單元檢測(cè)的至少兩個(gè)狀態(tài)進(jìn)行編碼。取決于由可變代碼指示的狀態(tài),第二處理單元被配置成生成動(dòng)態(tài)時(shí)鐘信號(hào)。以該方式,控制單元可以有利地通知第二處理單元的獨(dú)立于第一處理單元的安全輸出應(yīng)當(dāng)采取哪個(gè)狀態(tài)。
在一個(gè)特別優(yōu)選的改進(jìn)中,可變代碼為具有指定順序的預(yù)定代碼序列的一部分。
該改進(jìn)具有使能信號(hào)以單獨(dú)代碼的連續(xù)序列被傳送的優(yōu)點(diǎn)。在該情況下,例如,可以由遞增計(jì)數(shù)器來實(shí)現(xiàn)順序,其中,采用可變代碼來傳送遞增計(jì)數(shù)器并且遞增計(jì)數(shù)器指示代碼序列內(nèi)的布置代碼的位置。代碼序列的中斷或順序的改變可以由第二處理單元來檢測(cè),并且導(dǎo)致通過暫停動(dòng)態(tài)時(shí)鐘信號(hào)由第二處理單元來關(guān)斷輸出。以該方式,安全輸出的激活可以鏈接至另一條件。
在另一改進(jìn)中,第二處理單元基于可變代碼提供動(dòng)態(tài)時(shí)鐘信號(hào)達(dá)預(yù)定時(shí)間段。
根據(jù)該改進(jìn),進(jìn)一步增加了針對(duì)提供動(dòng)態(tài)時(shí)鐘信號(hào)的要求。僅當(dāng)代碼規(guī)律地(即,在預(yù)定間隔內(nèi))到達(dá)第二處理單元時(shí),由第二處理單元生成動(dòng)態(tài)時(shí)鐘信號(hào)。以這種方式,使能信號(hào)必須被上級(jí)控制單元連續(xù)確認(rèn)。如果不存在確認(rèn),則由于沒有動(dòng)態(tài)時(shí)鐘信號(hào)被生成,輸出單元關(guān)斷安全輸出。
不言而喻,在沒有偏離本發(fā)明的范圍的情況下,上述的特征和下面將說明的特征不僅可以在各所述的組合中使用,而且可以在其他組合中使用或單獨(dú)使用。
在附圖中圖示了本發(fā)明的示例性實(shí)施方式,并且在下面的描述中更詳細(xì)地說明了本發(fā)明的示例性實(shí)施方式。在附圖中:
圖1以框圖形式示出了根據(jù)本發(fā)明的裝置的示意圖,
圖2示出了控制單元的優(yōu)選示例性實(shí)施方式的示意圖,
圖3示出了輸出單元的優(yōu)選示例性實(shí)施方式的示意圖,
圖4示出了用于傳送使能信號(hào)的代碼序列的優(yōu)選實(shí)施方式的示意圖,以及
圖5示出了連接模塊的示例性實(shí)施方式的透視圖。
在圖1中,根據(jù)本發(fā)明的裝置的示例性實(shí)施方式整體上使用附圖標(biāo)記10來表示。
裝置10具有控制單元12,本文中通過示例的方式將四個(gè)I/O單元14、16、18、20連接至控制單元12。例如,控制單元為失效保護(hù)PLC,如以名義本發(fā)明的申請(qǐng)人所銷售的失效保護(hù)PLC。
I/O單元14-20空間上遠(yuǎn)離控制單元12,并且經(jīng)由單通道數(shù)據(jù)傳輸路徑22連接至后者。數(shù)據(jù)傳輸路徑22可以是常規(guī)現(xiàn)場(chǎng)總線。就此而論,單通道表示數(shù)據(jù)傳輸路徑22本身不具有任何冗余硬件組件,特別是不具有冗余布線,這使得可以以安全至上方式傳送信號(hào)。數(shù)據(jù)傳輸路徑22優(yōu)選為基于商業(yè)上可用的以太網(wǎng)協(xié)議的以太網(wǎng)數(shù)據(jù)連接。
與多通道控制單元12相比,I/O單元14-20為具有被基本上用于接收和/或輸出信號(hào)的輸入和/或輸出的簡(jiǎn)單單元,即,讀出傳感器和控制致動(dòng)器。多個(gè)防護(hù)門24、緊急關(guān)斷開關(guān)26以及光柵28被圖示作為用于典型應(yīng)用的傳感器的示例。通??梢灾袛嘞虮槐O(jiān)視的機(jī)器32的電流供給的接觸器30在本文中被示出為致動(dòng)器。根據(jù)根據(jù)圖1的示例性實(shí)施方式,為輸出和輸入提供分離單元。然而,與該簡(jiǎn)化的圖示相比,I/O單元14-20還可以為組合的輸入和輸出單元。
I/O單元14-20的輸入和輸出狀態(tài)被稱為過程數(shù)據(jù)。過程數(shù)據(jù)優(yōu)選地在I/O單元14-20與控制單元12之間循環(huán)地交換。在本示例性實(shí)施方式中,例如,控制單元12評(píng)估經(jīng)由輸入單元14、18、20從傳感器24、26、28接收的輸入信號(hào)34,并且經(jīng)由輸出單元16提供相應(yīng)的輸出信號(hào)36用于控制致動(dòng)器30。除了在本文中所示出的輸出單元16之外,在其他示例性實(shí)施方式中,還可以多個(gè)輸出單元連接至單通道數(shù)據(jù)傳輸路徑。I/O單元布置的順序同樣僅是示例性的。輸入信號(hào)34被分配至控制單元12中的輸出。
對(duì)于安全至上應(yīng)用,必須確保經(jīng)由單通道數(shù)據(jù)傳輸路徑22的過程數(shù)據(jù)的無錯(cuò)誤傳輸。特別地,必須避免諸如丟失、重復(fù)、毀壞、插入以及順序的修改的錯(cuò)誤,以確保從傳感器接收的信號(hào)在制動(dòng)器處產(chǎn)生相應(yīng)的改變。在根據(jù)圖1的示例性實(shí)施方式中,控制單元12和I/O單元14-20以以下方式被相互調(diào)整用于該目的:在數(shù)據(jù)傳輸路徑22上有錯(cuò)誤的情況下,被監(jiān)視的機(jī)器32也被安全地關(guān)斷。
為了該目的,例如通過多樣化多重傳輸?shù)姆绞皆谳斎雮?cè)將信號(hào)34從I/O單元14-20傳送至控制單元12,也就是說,在優(yōu)選的示例性實(shí)施方式中,數(shù)據(jù)第一次以純文本傳送,并且第二次以由控制單元12預(yù)定的編碼形式傳送。由于控制單元12指定了本示例性實(shí)施方式中的編碼,因此可以以該方式使能夠進(jìn)行經(jīng)由數(shù)據(jù)傳輸路徑22的來自傳感器的輸入信號(hào)的失效保護(hù)讀入。以該方式,可以至少在輸入側(cè)控制傳輸期間的上述錯(cuò)誤。然而,替選地,還可以使用不同安全類型的傳輸用于經(jīng)由單通道數(shù)據(jù)傳輸路徑22讀入輸入信號(hào)34。
根據(jù)本發(fā)明的一個(gè)方面,僅經(jīng)由單通道數(shù)據(jù)傳輸路徑22在本文中在輸出側(cè)同樣控制致動(dòng)器30。為了該目的,控制單元12基于一個(gè)或更多個(gè)輸入信號(hào)34生成數(shù)字控制指令形式的使能信號(hào)38,其經(jīng)由單通道數(shù)據(jù)傳輸路徑被傳送至輸出單元16。輸出單元16具有執(zhí)行彼此不同的信號(hào)處理步驟的第一處理單元和第二處理單元。第一處理單元按邏輯電平處理使能信號(hào)38的數(shù)字控制指令,并且基于使能信號(hào)38生成可以用于將接觸器30(更一般地為致動(dòng)器)接通或關(guān)斷的輸出信號(hào)。在一些示例性實(shí)施方式中,第一處理單元40可以在來自使能信號(hào)38的控制指令的邏輯處理期間考慮另外的控制信號(hào),例如,來自裝置10的另一控制單元(本文中未圖示)的另一控制指令或本地生成的控制指令。另外,第一處理單元40向第二處理單元42提供使能信號(hào)38。如下面更詳細(xì)地描述的,如果使能信號(hào)38在時(shí)間方面最新,則第二處理單元生成預(yù)定時(shí)間段的動(dòng)態(tài)時(shí)鐘信號(hào)。在有利的示例性實(shí)施方式中,第二處理單元未評(píng)估使能信號(hào)38中的控制指令的內(nèi)容,而是僅檢查經(jīng)由數(shù)據(jù)傳輸路徑22接收的使能信號(hào)38的最新程度。針對(duì)用于致動(dòng)器30,來自第一處理單元40的輸出信號(hào)和來自第二處理單元42的動(dòng)態(tài)時(shí)鐘信號(hào)兩者必須存在以能夠接通危險(xiǎn)裝置。因此,僅當(dāng)兩種信號(hào)存在時(shí),輸出單元的安全輸出被激活。由于從使能信號(hào)生成兩個(gè)獨(dú)立的輸出信號(hào),因此可以控制關(guān)于安全關(guān)斷的上述傳輸錯(cuò)誤。不需要各自的附加關(guān)斷路徑和本地安全輸出。
下面使用圖2、圖3和圖4更詳細(xì)說明本發(fā)明意義下的控制單元12、輸出單元16和使能信號(hào)38的優(yōu)選示例性實(shí)施方式。在該情況下,如在根據(jù)圖1的示例性實(shí)施方式中,相同的附圖標(biāo)記表示相同的部件。
圖2示意性示出了控制單元12的示例性實(shí)施方式。在本文中,控制單元12被設(shè)計(jì)有多通道冗余,并且以完全冗余方式處理來自傳感器24、26、28的所有輸入數(shù)據(jù),以便確保所需要的固有失效安全。通過兩個(gè)微控制器40、42在本文中以簡(jiǎn)單的方式來表示冗余信號(hào)處理通道,這兩個(gè)微控制器40、42基本上執(zhí)行相同的處理步驟、經(jīng)由連接件44交換結(jié)果,因此相互控制彼此。例如,連接44可以被實(shí)現(xiàn)為雙端口RAM,但是連接件44也可以以任何其他方式來實(shí)現(xiàn)。在一個(gè)優(yōu)選的示例性實(shí)施方式中,如在本文中通過第二微控制器42的斜體標(biāo)記所指示的,微控制器40、42具有不同的設(shè)計(jì)。由于不同的設(shè)計(jì),可以排除具有相同功能的各處理通道中的系統(tǒng)誤差。
控制單元12還具有通信接口46,微控制器40、42可以經(jīng)由通信接口46訪問數(shù)據(jù)傳輸路徑22。通信接口46優(yōu)選為實(shí)現(xiàn)用于經(jīng)由單通道數(shù)據(jù)傳輸路徑周期地(cyclically)傳送數(shù)據(jù)的相應(yīng)協(xié)議的協(xié)議芯片。
控制單元12被設(shè)計(jì)成經(jīng)由單通道數(shù)據(jù)傳輸路徑22連續(xù)讀入輸入信號(hào)并且使用微控制器40、42采用多通道冗余來評(píng)估這些輸入信號(hào)。微控制器40、42兩者基于評(píng)估而周期地生成用于致動(dòng)器的控制指令。如果來自傳感器24、26、28的輸入信號(hào)指示安全狀態(tài),則這樣的控制指令可以表示用于接通機(jī)器32的危險(xiǎn)移動(dòng)的使能信號(hào)。像常規(guī)的過程數(shù)據(jù)一樣,使能信號(hào)38經(jīng)由單通道數(shù)據(jù)傳輸路徑被傳送至輸出單元。在一個(gè)優(yōu)選的示例性實(shí)施方式中,使能信號(hào)為具有限定比特?cái)?shù)的數(shù)據(jù)字,并且以周期地循環(huán)的方式被傳送至輸出單元16。
在根據(jù)圖2的優(yōu)選示例性實(shí)施方式中,控制單元12還具有編碼單元48,編碼單元48被設(shè)計(jì)成以以下方式采用每個(gè)處理周期操縱使能信號(hào)38:可以由輸出單元16非常快速并且容易地檢查其最新程度。例如,第一比特序列可以指示第一狀態(tài),并且與第一比特序列不同的第二位序列可以指示第二狀態(tài)。替選地或另外地,編碼單元48可以例如通過遞增地增大被包括在數(shù)據(jù)消息中的計(jì)數(shù)器在周期地傳送的使能信號(hào)上施加預(yù)定順序。優(yōu)選地,包括使能信號(hào)的每個(gè)數(shù)據(jù)消息與包括使能信號(hào)的在先傳送的數(shù)據(jù)消息不同,其中,預(yù)定順序由各使能信號(hào)來確定。如圖2中所示,編碼單元48可以被集成在兩個(gè)微控制器中的一個(gè)中作為軟件或硬件部件。替選地,也可以在兩個(gè)微控制器中或者由單獨(dú)的部件來執(zhí)行編碼。
圖3示出了基于I/O單元16的輸出單元16的有利示例性實(shí)施方式。正如控制單元12,本文中的輸出單元具有通信接口46,經(jīng)由通信接口46第一處理單元50可以訪問數(shù)據(jù)傳輸路徑22。替選地,通信接口46還可以被集成在第一處理單元50中。在優(yōu)選的示例性實(shí)施方式中,輸出單元16中的僅一個(gè)處理單元被直接連接至數(shù)據(jù)傳輸路徑22并且與控制單元12通信。
在本示例性實(shí)施方式中,例如,可以為微控制器、ASIC或FPGA形式的第一處理單元50周期地接收使能信號(hào)38并且評(píng)估其內(nèi)容。即,第一處理單元50邏輯上解釋包含在使能信號(hào)38中的控制指令,并且基于其以及可能的另外的信息生成用于控制輸出52的模擬輸出信號(hào)36。該另外的信息可以是來自整個(gè)裝置中的另外的控制單元(本文中未圖示)的有利的控制指令。此外,在有利的示例性實(shí)施方式中,該另外信息可以是來自本地存在于輸出單元16的區(qū)域中的傳感器的輸入信息。特別地,如果輸出單元16為從傳感器和控制致動(dòng)器兩者讀入輸入信號(hào)的組合輸入/輸出單元時(shí),則可以是這種情況。
另外,第一處理單元50本文中經(jīng)由本文中的內(nèi)部連接件56向第二處理單元58提供使能信號(hào)38。內(nèi)部連接56為其中數(shù)據(jù)僅從第一處理單元50被傳送至第二處理單元58的單向連接。因此,在優(yōu)選示例性實(shí)施方式中,第二處理單元不能經(jīng)由數(shù)據(jù)傳輸路徑傳送任何數(shù)據(jù)。第二處理單元58優(yōu)選同樣為微控制器、ASIC、FPGA或另一信號(hào)處理模塊,然而,其與第一處理單元50相比具有減少的功能集。在一個(gè)優(yōu)選實(shí)施方式中,其為具有僅一個(gè)輸入、CPU和一個(gè)輸出的最小化的控制器。輸入可以是簡(jiǎn)單UART接口,經(jīng)由簡(jiǎn)單UART接口第二處理單元58接收來自第一處理單元50的使能信號(hào)38,同時(shí)輸出可以是簡(jiǎn)單數(shù)字輸出,經(jīng)由簡(jiǎn)單數(shù)字輸出提供動(dòng)態(tài)時(shí)鐘信號(hào)60。在一個(gè)特定優(yōu)選示例性實(shí)施方式中,僅針對(duì)接收使能信號(hào)38之后的有限的限定時(shí)間段61生成動(dòng)態(tài)時(shí)鐘信號(hào)60。如果第二處理單元58在該限定時(shí)間段中未接收到另外有效使能信號(hào)38,則動(dòng)態(tài)時(shí)鐘信號(hào)被暫停。這種方式確保了使能信號(hào)必須被控制單元12連續(xù)確認(rèn)。在優(yōu)選示例性實(shí)施方式中,限定時(shí)間段61有些大于周期時(shí)間T并小于兩倍的周期時(shí)間T,控制單元12使用周期時(shí)間T讀入輸入信號(hào)并且生成周期性使能信號(hào)38。
因此,第二處理單元58大體上檢查使能信號(hào)38的最新程度。然而,在優(yōu)選示例性實(shí)施方式中,第二處理單元58沒有評(píng)估包括在使能信號(hào)38中的控制指令。因此,第二處理單元58獨(dú)立于大體上邏輯評(píng)估使能信號(hào)38并且特別地邏輯上處理包括在使能信號(hào)38中的控制指令的第一處理單元50而運(yùn)行。如果存在最新使能信號(hào)并且因此存在有效使能信號(hào),則第二處理單元58針對(duì)限定時(shí)間段61生成動(dòng)態(tài)時(shí)鐘信號(hào)60。
第二處理單元58優(yōu)選評(píng)估與使能信號(hào)38一起傳送的來自控制單元12的元數(shù)據(jù),并且可以包含運(yùn)行計(jì)數(shù)器的狀態(tài)或其他周期地改變的數(shù)據(jù)。因此,在本示例性實(shí)施方式中,僅當(dāng)使能信號(hào)38表示限定狀態(tài)并且對(duì)應(yīng)于第二處理單元58的預(yù)定期望時(shí),使能信號(hào)38從而是有效的。僅在最新使能信號(hào)38為經(jīng)由轉(zhuǎn)換器元件62生成并鏈接至第一輸出信號(hào)36的動(dòng)態(tài)時(shí)鐘信號(hào)60,如本文中由邏輯AND符號(hào)所指示的。轉(zhuǎn)換器元件62優(yōu)選地為整流器,其使用動(dòng)態(tài)時(shí)鐘信號(hào)60生成從第一處理單元50鏈接至輸出信號(hào)63的恒定模擬信號(hào)。
經(jīng)由來自第一處理單元50和第二處理單元58的鏈接信號(hào)來激活安全輸出52。在本示例性實(shí)施方式中,鏈接信號(hào)控制將電源53連接至安全輸出52的兩個(gè)開關(guān)元件54。如果開關(guān)元件關(guān)閉,即,來自第一處理單元的輸出信號(hào)與來自第二處理單元的動(dòng)態(tài)時(shí)鐘信號(hào)兩者均存在,則給安全輸出52以能量并且所連接的致動(dòng)器激活。在圖1中,僅示出了一個(gè)安全輸出52。替選地,也可以以該方式控制多個(gè)并聯(lián)輸出。
在該優(yōu)選的示例性實(shí)施方式中,輸出單元16還被設(shè)計(jì)成提供所生成的輸出信號(hào)的反饋。優(yōu)選地,這由第一處理單元50來單獨(dú)地執(zhí)行。在示例性實(shí)施方式中,一方面,第一處理單元50的輸入經(jīng)由第一反饋線64連接至安全輸出52,另一方面,經(jīng)由第二反饋線66連接至轉(zhuǎn)換器元件62的輸出。在一些示例性實(shí)施方式中,已經(jīng)被反饋的值被傳送至控制單元12,如輸入信號(hào)。在這些示例性實(shí)施方式中,控制單元12可以使用已經(jīng)被反饋的值以檢查輸出單元16內(nèi)的各部件的功能。為了該目的,控制單元12優(yōu)選地通過簡(jiǎn)單地改變或暫停使能信號(hào)38來執(zhí)行周期性關(guān)斷測(cè)試??刂茊卧?2使用已經(jīng)被反饋的值來確定在兩個(gè)使能路徑中是否發(fā)生相應(yīng)的狀態(tài)改變。
替選地或另外地,第一處理單元50自身可以評(píng)估反饋信號(hào)64、66,特別地,可以將它們從周期地傳送的使能信號(hào)38邏輯上鏈接至相應(yīng)控制指令。
圖4示意性示出了以周期地重復(fù)的方式傳送的使能信號(hào)38的示例性實(shí)施方式。使能信號(hào)38優(yōu)選為在一個(gè)或更多個(gè)包中周期地被傳送至輸出單元16的數(shù)據(jù)消息。在優(yōu)選示例性實(shí)施方式中,該傳輸沒有與其他處理數(shù)據(jù)的傳輸不同。對(duì)于周期性傳輸,在本文中以數(shù)據(jù)字的序列來圖示使能信號(hào)38。在本示例性實(shí)施方式中,數(shù)據(jù)字68包括第一部分70和第二部分72。在本示例性實(shí)施方式中,第一部分70包含隨每個(gè)數(shù)據(jù)消息遞增式增加的計(jì)數(shù)器的狀態(tài)。這生成了預(yù)定順序,其可以在接收器端被容易地重建和檢查,特別是在第二處理單元58中。在本示例性實(shí)施方式中,第二部分72在輸出單元16處對(duì)用于致動(dòng)器的控制指令進(jìn)行編碼。在本文中,控制指令在第一消息中為開(ON)并且在第四消息中為關(guān)(OFF)。
圖5最終示出了其中輸入單元14和輸出單元16在功能組件74中被組合的I/O單元的特定優(yōu)選示例性實(shí)施方式。輸入和輸出單元在本文中根據(jù)國(guó)際保護(hù)打分IP 67被集成在防水殼體76中。用于輸入和輸出的相應(yīng)連接件經(jīng)由插座78接出。另外的連接80、82被提供用于至數(shù)據(jù)傳輸路徑的連接。
傳感器和致動(dòng)器優(yōu)選地經(jīng)由預(yù)制造的線纜連接至功能組件74。數(shù)據(jù)傳輸路徑22經(jīng)由第一總線連接80和第二總線連接82環(huán)通,結(jié)果是多個(gè)連接模塊74可以串聯(lián)連接至數(shù)據(jù)傳輸路徑22。功能組件74尺寸上特別緊湊,并且由于國(guó)際保護(hù)打分IP 67,其優(yōu)選地適合安裝在控制柜的外部的現(xiàn)場(chǎng)中。例如,LED形式的附加指示器84可以直接指示功能組件74處的輸入和輸出的各自的狀態(tài)。