安全开关设备和安全导向的仪器的制作方法

本发明涉及一种安全开关设备和安全导向的仪器，安全导向的仪器配设有这种安全开关设备。

背景技术：

从DE 43 19 750 A1已知一种用于对开关输出端进行功能监控的设备，其包括两个微处理器。控制单元构造用于操作标准继电器，标准继电器组合成桥式电路。在该设备中，并联地设有两个支路，支路分别具有两个标准继电器。这两个支路与一个开关输出端的端子连接，并进而实现安全的开关。此外，由标准继电器构成的两个支路与感应式传输装置连接，感应式传输装置为了监控标准继电器的开关状态与微处理器连接。

DE 10 2010 060 323 A1公开一种开关装置，其用于借助微控制器操作两个继电器，微控制器由看门狗监控。开关装置具有四个电开关，电开关分别与一个继电器成对地配属于微控制器和看门狗。继电器在此构造为没有强制引导的接触件。看门狗构造用于监控微控制器并且在微控制器有功能干扰的情况下经由单独的电开关中断继电器的供电。

从EP 2 383 762 B1已知一种安全开关设备，其具有两个微控制器。每个微控制器与驱动器级耦合，经由驱动器级能够操作继电器。为了监控继电器的开关状态，驱动器级与两个微控制器耦合。

在自动化技术的大量应用中，存在对如下安全设备的需求，其提供了高的安全程度、节约结构空间并且能够以最少的尽可能简单的部件来制造。所达到的安全等级越高，现有技术中的开关设备就越复杂且越昂贵。

技术实现要素：

本发明所基于的目的是：提供一种开关设备，其在结构耗费最小、部件数量降低且空间需求最小的同时提供了尽可能最高的安全程度，并且克服现有技术的缺点。

该目的通过根据本发明的安全开关设备来实现。安全开关设备在其控制侧上具有至少一个单误差容限，即硬件误差容限至少为一。由此，即使在安全开关设备中的部件失效的情况下继续确保了其可靠的功能能力。安全开关设备具有第一和第二控制单元，第一和第二控制单元分别构造用于输出开关命令，以便将开关命令转换成操作，其中开关命令例如经由通信线路来传递。安全开关设备还具有监控单元，监控单元设有第一和第二联结元件。此外，监控单元中的联结元件经由反馈通道与控制单元直接连接。因此，监控单元用于监控控制单元的活动，并且控制单元用于监控监控单元。控制单元和监控单元属于根据本发明的安全开关设备的控制侧。根据本发明，第一联结元件经由第一反馈通道与第二控制单元连接。第二联结元件又经由第二反馈通道与第一控制单元连接。由此，对控制侧上所使用的部件进行差分监控，从而实现高的运行安全程度。

控制侧通过操作侧来补充，在操作侧上布置至少一个开关元件。开关元件与负载回路连接，负载回路属于应用装置、例如电动机的供电装置，并且开关元件构造用于中断负载回路。经由监控单元将由控制单元输出的开关命令输送给开关元件中的至少一个并且转换成负载回路中的开关过程。根据本发明，开关元件分别构造成标准部件。标准部件是电子机械部件的以下结构形式，其中对于能够用于中断负载回路的接触件不设有强制引导。在没有强制引导的接触件的标准部件中(例如在标准继电器中)，在出现故障的情况下(例如接触件粘合的情况下)，能够进入如下状态，其中能够同时闭合常开接触件和常闭接触件。

标准部件，即没有强制引导的接触件的部件的复杂性降低，并且与具有强制引导的接触件的开关元件相比需要更少的结构空间。此外，与具有强制引导的接触件的开关元件相比，标准部件成本更低并且单独地提供了更低的安全性。此外，根据本发明的安全开关设备中的监控单元仅需要两个控制单元和两个联结元件。由此，相对于已知的解决方案，显著地节省了电子部件。由于节省了结构空间，根据本发明的安全开关设备能够以明显更经济且更紧凑的方式来制造，并且与至今为止已知的解决方案相比，例如能够装入到尺寸更小的唯一壳体中。此外，标准部件比具有接触件强制引导的部件成本更低，从而可以成本高效地维护所要求的安全开关设备。同时，根据本发明的安全开关设备提供与已知的解决方案相比至少程度相同的安全性。

优选地，在根据本发明的安全开关设备中，第一控制单元直接与第一联结元件的基极端子连接，以用于其操作。因此，借助第一反馈通道通过第二控制单元来监控通过第一控制单元对第一联结元件的操控。在此，当通过第二控制单元确定了故障时，第二控制单元构造用于采取对策。对策例如是操作第二联结元件的基极端子，以建立操作侧上的安全状态。

替代地或补偿地，第二控制单元能够直接与第二联结元件的基极端子连接，以对其进行操作。因此，借助第二反馈通道通过第一控制单元来监控通过第二控制单元对第二联结元件的操控。在此，当第一控制单元确定了故障时，第一控制单元构造用于采取对策。对策例如是操作第一联结元件的基极端子，以建立操作侧上的安全状态。由此，整体上，确保对控制侧上的部件进行附加监控。该附加监控确保了控制侧达到高于90％的、尤其90％至99％的诊断覆盖率。诊断覆盖率是关于参考时间段的两个值之比。第一个值是所识别的、在参考时间段中出现的、有威胁的故障的数量。第二个值是第一个值和在参考时间段中未识别到的有威胁的故障的数量之和。诊断覆盖率是第一个值和第二个值的商并且能够以百分比示出。

因此，根据本发明的安全开关设备能够达到SIL 3级别的运行安全性。所概述的附加监控通过不管怎样都存在的部件来实现，从而使得安全开关过程的复杂度和其结构耗费最小化。

在本发明的一个优选的实施方式中，安全开关设备的操作侧具有至少一个双误差容限、即硬件误差容限至少为二，和/或具有至少60％、优选70％至90％的安全失效分数，简称SFF。对此，操作侧配有至少三个开关元件，使得在两个开关元件失效的情况下，存在至少一个第三开关元件，使得中断负载回路。此外，开关元件构造为，使得其各个诊断覆盖率的组合为至少60％，优选70％至90％。由此，借助简单的且节约空间的开关元件，例如标准继电器还实现高的安全程度。因此，操作侧适合于需要作为SIL 3或SIL 4的分类的应用，即也适合于安全性尤其关键的应用。整体上，根据本发明的安全开关设备适用于：以简单的、紧凑的且成本高效的构造方式实现至少一个作为SIL 3-仪器的分类。

还优选地，第一和/或第二联结元件分别具有集电极端子和发射极端子。结合基极端子，第一或第二联结元件因此起到逻辑元件的作用。在第一或第二联结元件的集电极端子处施加运行电压的情况下，通过开关命令触发的对基极端子的操作用于：实现或停止经过所属的发射极的电通流。在晶体管领域中常见的术语“集电极、基极和发射极”可理解为是示例性的。技术上具有相同的开关功能的全部电子部件形成本发明意义上的联结元件。这种联结元件能够以简单且快速的方式进行处理，提供高度可靠性和高的操作速度。由此，能够快速地采取对策，例如通过开关元件分离负载回路。

此外，在根据本发明的安全开关设备中，属于第一联结元件的第一发射极端子直接与第二集电极端子连接，第二集电极端子又属于第二联结元件的。替选地，第一联结单元处的第一集电极端子也能够与第二联结单元的第二发射极端子直接连接。在监控单元运行时，联结元件的经由它们的集电极和发射极端子的这种直接连接确保了在将开关命令发送给开关元件时对故障状态的故障鲁棒的相互识别。

第一和/或第二联结元件有利地分别构造为晶体管、场效应晶体管、晶闸管、双向晶闸管、IGBT、驱动器模块、集成电路或者和模块(Und-Baustein)。这些部件广泛地提供了多种运行参数，例如电流强度、电压、温度负荷等，并且这些部件在高经济性的情况下提供了高度的可靠性、操作速度和最小的损失功率。根据本发明的安全开关设备通过其基本上同类的功能原理、通过相应地选择联结元件能够匹配于广泛的使用领域。特别地，所要求保护的安全开关设备能够针对不同程度的电流和电压实现简单地规格缩放。

在根据本发明的安全开关设备中，监控单元与第一和/或第二控制单元一起也能够构造为连续的ASIC。ASIC提供高度集成并且确保极高的空间节约性。ASIC优选具有通信接口，通信接口与上级的控制实例、例如可编程逻辑控制器(简称SPS)通信。此外，ASIC在制造时能够自动地完整地检查其功能可靠性。由此，在制造根据本发明的安全开关设备中降低工作步骤的数量，并进而降低潜在故障源的数量。因此，所要求保护的安全开关设备能够以最小的废品率制造。

在本发明的另一有利的实施方案中，安全开关设备具有至少两个监控单元。监控单元分别与第一和第二控制单元连接，并且构造用于：将开关命令分别输出给至少一个配属的开关元件。第一监控单元与第一操作件耦合，并且第二监控单元与第二操作件耦合。这实现第一和第二操作件的单独且进而独立的操控。特别地，安全开关设备构造用于可调整地时间分级地操作开关元件。在此，监控单元优选地构造成相同的，即构造成具有两个联结元件，联结元件的基极端子分别通过第一和第二控制单元来操作。在每个监控单元中，第一联结元件的发射极端子经由第一反馈通道与第二控制单元直接连接。同样，在每个监控单元中，第二联结元件的发射极端子经由第二反馈通道与第一控制单元直接连接。通过可调整的时间分级的操作能够调整开关元件中的有针对性的接触件烧损。出现的接触件烧损能够集中在唯一的开关元件中或者可选地能够分布到多个开关元件上。由于根据本发明的解决方案的空间紧凑性，能够通过多个监控单元提供高度并行化的安全开关设备，该安全开关设备具有高冗余性并进而具有高可靠性，其中多个监控单元与控制单元容纳在共同的壳体中。通过监控单元的成本高效的结构方式进一步提高了根据本发明的解决方案的经济性。

替代地，至少两个开关元件也能够经由共同的信号线路与监控单元连接。其中，控制单元的开关命令作为用于操作开关元件的唯一信号被转发。共同的信号线路使得在开关元件数量高的情况下也能够使布线耗费最小化。此外，即使在大量开关元件的情况下，在控制侧与操作侧之间也仅需要两个过渡点。尤其优选地，根据本发明的安全开关设备以模块化结构来构造。在此，控制侧的部件分别作为模块容纳在第一壳体中并且操作侧的部件容纳在第二壳体中。在此，控制侧与操作侧之间的过渡点的数量限定了：对于正常运行需要多少电连接部，例如针脚形式的电连接部。控制侧与操作侧之间所需要的更低的电连接部数量降低模块耦合的复杂性，进而提高其鲁棒性。根据本发明的安全开关设备由于选择电学规格适当的模块而是灵活的并且同时提供显著的鲁棒程度。

尤其优选地，至少两个开关元件分别构造为继电器、辅助接触器、主接触器、或者构造为电磁阀。这种开关元件考虑到了负载回路中的多种电流强度和电压，使得根据本发明的安全开关设备基本上同样适合于所有形式的负载回路。根据本发明的安全开关设备的控制侧对此具有适当的通用结构。

此外，在根据本发明的安全开关设备中，至少两个开关元件能够多样地构造为不同类型的。多样的操作侧具有降低的Beta因子(Beta-Faktor)。通过Beta因子描述了在相同部件中频繁出现故障的倾向。这种故障也称为共同原因故障或者共因故障(Common-Cause-Fehler)。因此，根据本发明的安全开关设备构造用于也经得起以下干扰作用，该干扰作用不可避免地导致单个部件的破坏。例如，多样性可以存在于防止过载电流的不同强度的保险中，其中过载电流例如由于短路而引起。由此，进一步提高了可实现的安全性。

还优选地，在根据本发明的安全开关设备中，第一和第二控制单元为了进行相互诊断而能够彼此直接连接。控制单元之间的诊断连接构造用于传输信号，信号表征了进行发送的控制单元的状态。诊断线路也构造用于：将命令、尤其关断命令从一个控制单元传输至另一控制单元。因此，在出现后续损坏之前就能够抵消这两个控制单元之一的功能故障的可能后果。进行关断的控制单元也构造用于：在关断命令发送到另一控制单元之后，将该不正常的状态以故障通知形式通知给用户或上级的控制单元。由此，在部件数量保持相同的情况下，在根据本发明的安全开关设备之内提供进一步的监控，其提高了可实现的运行安全性。

所基于的目的还通过根据本发明的安全导向的仪器来实现。安全导向的仪器例如构造为安全开关仪器、安全的耦合继电器、安全的继电器组件、安全的可编程逻辑控制器-继电器输出端、或者可编程逻辑控制器中的安全模块。安全导向的仪器在此设有上述安全开关设备之一，其提供所需要的安全功能。由于紧凑的安全开关设备，安全导向的仪器具有小尺寸。替代地，在安全导向的仪器的壳体中仅容纳根据本发明的安全开关设备的控制侧。在此，在安全导向的仪器的壳体处设有端子，端子能够实现与单独模块进行耦合，在该单独模块中容纳安全开关设备的操作侧。根据本发明的安全导向的仪器优选构造为SIL 2-、SIL 3-或SIL 4-仪器。

附图说明

下面，根据图1至5中的实施方式详细阐述本发明。详细地示出

图1示意地示出根据本发明的安全开关设备的第一实施方式的结构；

图2示意地示出根据本发明的安全开关设备的第二实施方式的结构；

图3示意地示出根据本发明的安全开关设备的第三实施方式的结构；

图4示意地示出根据本发明的安全开关设备的第四实施方式的结构；

图5示意地示出构造为标准部件的开关元件的接触件。

具体实施方式

图1中示出根据本发明的安全开关设备10的第一实施方式，安全开关设备基本上划分成控制侧40和操作侧50。在控制侧40上布置有供电装置16，供电装置用于为控制侧40上的部件供电。供电装置16提供用于第一和第二控制单元12、14和监控单元30的运行电压18。控制单元12、14和电源16分别与接地端子49连接。经由未详细示出的控制线路，将开关命令20输出给第一和第二控制单元12、14，开关命令由第一和第二控制单元转换成操作侧50上的开关过程。开关命令20经由控制单元的未详细示出的信号输入端到达控制单元12、14。监控单元30包括第一和第二联结元件31、36，联结元件构成为晶体管并且串联。在第一集电极端子33处施加运行电压18。第一联结单元31的第一基极端子32与第一控制单元12的输出端17连接。开关命令20由第一控制单元12输出作为第一联结元件31中的第一基极端子32的操作。在第一基极端子32处进行相应操作的情况下，第一联结元件31允许有电通流经过第一发射极端子35。此外，在第一发射极端子35的区域中存在第二联结元件36的第二集电极端子37并且在它们之间存在第一支路43，从第一支路中分支出第一反馈通道42。第一反馈通道42又导向第二控制单元14。经由第一反馈通道42，将第一联结元件31的开关状态通知给第二控制单元14。第二控制单元14构造用于：利用存在于第二控制单元14处的开关命令20校准反馈通道的输入端，进而验证第一联结元件31处的正常的开关状态或者辨识出错误的开关状态。

与第一控制单元12类似，开关命令20由第二控制单元14经由其输出端19输出给第二联结元件36的第二基极端子38。通过相应地操作第二基极端子38，第二联结元件36允许电通流经过第二发射极端子39。从第二发射极端子39到耦合点47的电通流经由信号输出端46来实现。信号输出端46中的当前电通流将当前的开关命令20映射到操作侧50。在耦合点47与第二发射极端子39之间布置有第二支路45，第二反馈通道44从第二支路导向第一控制单元12。经由第二反馈通道44引导至第一控制单元12的信号为第二联结元件36的开关状态。第一控制单元12构成造于：利用当前的开关命令20校准经由第二反馈通道44传输的信号。由此，第一控制单元12构造用于：验证第二联结元件36处的正常的开关状态或者辨识出错误的开关状态。

当通过第一控制单元12识别到第二联结元件36处有错误的开关状态时，第一控制单元12构造用于：通过在第一联结单元31的第一基极端子32处的相应操作禁止通向第一发射极端子35的电通流。由此，防止以错误的开关命令20或安全开关设备10中的硬件故障为基础继续运行。同样，第二控制单元14构造用于：在第一联结元件31处识别到错误的开关状态时，通过操作第二基极端子38禁止通向第二发射极端子39的电通流。

因此，在根据本发明的安全开关设备中，在控制侧40上实现至少一个单误差容限，也称为硬件误差容限为一。经由监控单元的联结元件31、36，在控制单元12、14之间构造间接的交叉监控。此外，第一和第二控制单元12、14直接经由诊断线路15彼此连接。诊断线路也包括操控线路，操控线路实现控制单元的相互关断。由此，实现直接的相互监控，使得通过与间接的交叉监控相结合在控制侧40上实现极高的安全程度。特别地，在控制侧40上在存在一个硬件故障的情况下实现90％至99％的诊断覆盖率。

控制侧40与操作侧50之间的连接经由耦合点47进行。在操作侧50上布置有第一、第二和第三开关元件52、54、56，开关元件构造为标准继电器。开关元件52、54、56分别构造用于：中断未详细示出的负载回路23的线路25。开关元件52、54、56连接到公共的信号线路53上，在控制侧40上的部件有相应的操作和功能可靠性的情况下经由信号线路将开关命令20输出给开关元件52、54、56。开关元件52、54、56分别与接地端子49连接，经由接地端子导出开关命令20。由此，在每个开关元件52、54、56中都实现pp电路。即使在操作侧50上存在两个硬件故障的情况下，开关元件52、54、56的串联也确保了负载回路23的线路25的安全分离。整体上，操作侧50具有至少一个双误差容限，也称为硬件误差容限为二。开关元件52、54、56中的至少两个多样地构造，即构造成结构类型不同的，从而进一步提高操作侧50的误差容限。操作侧50在存在两个硬件故障的情况下达到至少60％、尤其70％至90％的安全失效分数。

图2中示出根据本发明的安全开关设备10的第二实施方式，安全开关设备基本上划分成控制侧40和操作侧50。在控制侧40上布置有供电装置16，供电装置用于为控制侧40上的部件供电。供电装置16提供用于第一和第二控制单元12、14和监控单元30的运行电压18。控制单元12、14和电源16分别与接地端子49连接。经由未详细示出的控制线路，将开关命令20输出给第一和第二控制单元12、14，开关命令由第一和第二控制单元转换成操作侧50上的开关过程。开关命令20经由未详细示出的信号输入端到达该控制单元12、14。监控单元30包括第一和第二联结元件31、36，联结元件构成为晶体管。在第一集电极端子33处施加运行电压18。第一联结单元31的第一基极端子32与第一控制单元12的输出端17连接。开关命令20由第一控制单元12输出作为第一联结元件31中的第一基极端子32的操作。在第一基极端子32处进行相应操作的情况下，第一联结元件31允许电通流经过第一发射极端子35。此外，在第一发射极端子35的区域中存在第一支路43，第一支路导向至与操作侧的耦合点47，并且第一反馈通道42从第一支路分支出。第一反馈通道42又导向第二控制单元14。经由第一反馈通道42将第一联结元件31的开关状态通知给第二控制单元14。第二控制单元14构造用于：利用存在于第二控制单元14处的开关命令20校准反馈通道42的信号，进而验证第一联结元件31处的正常的开关状态或者辨识出错误的开关状态。

开关命令20经过操作侧40经由另一耦合点47向回导至第二支路45。第二支路45导向至第二联结单元36的第二发射极端子39。

与第一控制单元12类似，开关命令20由第二控制单元14经由其输出端19输出给第二联结元件36的第二基极端子38。通过相应地操作第二基极端子38，第二联结元件36允许在第二发射极端子39和与接地端子49连接的第二集电极端子37之间有电通流。从耦合点47经由第二发射极端子39到第二支路45的电通流经由信号输出端46来实现。信号输出端46中的当前电通流将当前的开关命令映射到操作侧50。在耦合点47与第二发射极端子39之间布置第二支路45，第二反馈通道44从第二支路导向至第一控制单元12。经由第二反馈通道44导向至第一控制单元12的信号描述了第二联结元件36的开关状态。第一控制单元12构造用于：利用当前的开关命令20校准经由第二反馈通道44传输的信号。由此，第一控制单元12构造用于：验证第二联结元件36处的正常的开关状态或者辨识出错误的开关状态。

当通过第一控制单元12识别到第二联结元件36处的错误的开关状态时，第一控制单元12构造用于：通过在第一联结单元31的第一基极端子32处的相应的操作禁止通向第一发射极端子35的电通流。由此，防止以错误的开关命令20或安全开关设备10中的硬件故障为基础继续运行。同样地，第二控制单元14构造用于：在第一联结元件31处识别到错误的开关状态时，通过操作第二基极端子38禁止通向第二发射极端子39的电通流。

因此，在根据本发明的安全开关设备中，在控制侧40上实现至少一个单误差容限，也称作硬件误差容限为一。经由监控单元的联结元件31、36，在控制单元12、14之间构造间接的交叉监控。此外，第一和第二控制单元12、14直接经由诊断线路15彼此连接。诊断线路也包括操控线路，操控线路实现控制单元的相互关断。由此，实现直接的相互监控，从而通过与间接的交叉监控相结合在控制侧40上实现极高安全程度。特别地，在控制侧40上在存在一个硬件故障的情况下实现90％至99％的诊断覆盖率。

控制侧40与操作侧50之间的连接经由耦合点47来实现。在控制侧40与操作侧50之间的经由两个耦合点47的连接在开关元件52、54、56处分别实现pm电路。在操作侧50上布置有第一、第二和第三开关元件52、54、56，开关元件构成为标准继电器。开关元件52、54、56分别构造用于：中断未详细示出的负载回路23的线路25。开关元件52、54、56连接到公共的信号线路53上，在控制侧40上的部件有相应的操作和功能可靠性的情况下经由信号线路将开关命令20输出给开关元件52、54、56。即使在操作侧50上存在两个硬件故障的情况下，开关元件52、54、56的并联也确保了负载回路23的线路25的安全分离。整体上，操作侧50具有至少一个双误差容限，也称作硬件误差容限为二。开关元件52、54、56中的至少两个多样地构造为结构类型不同的，从而进一步提高了操作侧50的误差容限。操作侧50在存在两个硬件故障的情况下达到至少60％、尤其70％至90％的安全失效分数。

在图3中示出根据本发明的安全开关设备10的第三实施方式，安全开关设备基本上划分成控制侧40和操作侧50。在控制侧40上布置有供电装置16，供电装置用于为控制侧40上的部件供电。供电装置16提供用于第一和第二控制单元12、14和操作侧50上的开关元件52、54、56的运行电压18。控制单元12、14和电源16分别与接地端子49连接。经由未详细示出的控制线路，将开关命令20输出给第一和第二控制单元12、14，开关命令由第一和第二控制单元转换成操作侧50上的开关过程。开关命令20经由未详细示出的信号输入端到达控制单元12、14。监控单元30包括第一和第二联结元件31、36，联结元件构造为晶体管并且串联。第一联结单元31的第一集电极端子33与第二联结单元36的第二发射极端子39耦合。在二者之间存在第二支路45，第二反馈通道44从第二支路分支到第一控制单元12。第一联结单元31的第一基极端子32与第一控制单元12的输出端17连接。开关命令20由第一控制单元12输出作为第一联结元件31中的第一基极端子32的操作。在第一基极端子32处进行相应操作的情况下，第一联结元件31允许在第一集电极端子33与第一发射极端子35之间的电通流通向耦合点47。此外，在第一发射极端子35的区域中存在第一支路43，第一反馈通道42从第一支路分支出。第一反馈通道42又导向至第二控制单元14。经由第一反馈通道42将第一联结元件31的开关状态通知给第二控制单元14。第二控制单元14构造用于：利用存在于第二控制单元14处的开关命令20校准反馈通道的输入端，进而验证第一联结元件31处的正常的开关状态或者辨识出错误的开关状态。

与第一控制单元12类似，开关命令20由第二控制单元14经由其输出端19输出给第二联结元件36的第二基极端子38。通过相应地操作第二基极端子38，第二联结元件36允许电通流经过第二发射极端子39。从第二发射极端子39到耦合点47的电通流经由信号输出端46进行。信号输出端46中的当前电通流将当前的开关命令20映射到操作侧50。在耦合点47与第二发射极端子39之间布置有第二支路45，第二反馈通道44从第二支路导向至第一控制单元12。经由第二反馈通道44导向至第一控制单元12的信号描述了第二联结元件36的开关状态。第一控制单元12构造用于：利用当前的开关命令20校准经由第二反馈通道44传输的信号。由此，第一控制单元12构造用于：验证第二联结元件36处的正常的开关状态或者辨识出错误的开关状态。

当通过第一控制单元12识别到第二联结元件36处的错误的开关状态时，第一控制单元12构造用于：通过在第一联结单元31的第一基极端子32处的相应操作禁止通向第一发射极端子35的电通流。由此，防止以错误的开关命令20或安全开关设备10中的硬件故障为基础继续运行。同样，第二控制单元14构造用于：在第一联结元件31处识别到错误的开关状态时，通过操作第二基极端子38禁止通向第二发射极端子39的电通流。

因此，在根据本发明的安全开关设备中，在控制侧40上实现至少一个单误差容限，也称作硬件误差容限为一。经由监控单元的联结元件31、36，在控制单元12、14之间构造间接的交叉监控。此外，第一和第二控制单元12、14直接经由诊断线路15彼此连接。诊断线路也包括操控线路，操控线路实现控制单元的相互关断。由此，实现直接的相互监控，从而通过与间接的交叉监控组合在控制侧40上实现极高安全程度。特别地，在控制侧40上在存在一个硬件故障的情况下实现90％至99％的诊断覆盖率。

控制侧40与操作侧50之间的连接经由耦合点47进行。在操作侧50上设置有第一、第二和第三开关元件52、54、56，开关元件构成为标准继电器。开关元件52、54、56分别构造用于：中断未详细示出的负载回路23的线路25。开关元件52、54、56连接到公共的信号线路53上，在控制侧40上的部件有相应的操作和功能可靠性的情况下经由信号线路将开关命令20输出给开关元件52、54、56。开关元件52、54、56经由耦合点47利用公共的信号线路53分别与控制侧40连接，其中在耦合点处施加运行电压18。此外，开关元件52、54、56也经由另一耦合点47与控制侧40连接，另一耦合点导向至监控单元30。由此，在每个开关元件52、54、56中实现mm电路。即使在操作侧50上存在两个硬件故障的情况下，开关元件52、54、56的并联也确保了负载回路23的线路25的安全分离。整体上，操作侧50具有至少一个双误差容限，也称作硬件误差容限为二。开关元件52、54、56中的至少两个多样地构造为结构类型不同的，从而进一步提高操作侧50的误差容限。操作侧50在存在两个硬件故障的情况下达到至少60％、尤其70％至90％的安全失效分数。

在图4中示出根据本发明的安全开关设备10的第一实施方式，安全开关设备基本上划分成控制侧40和操作侧50。在控制侧40上布置供电装置16，供电装置用于为控制侧40上的部件供电。供电装置16提供用于第一和第二控制单元12、14和第一监控单元30.1的运行电压18。控制单元12、14和电源16分别与接地端子49连接。经由未详细示出的控制线路，将开关命令20输出给第一和第二控制单元12、14，开关命令由第一和第二控制单元转换成操作侧50上的开关过程。开关命令20经由未详细示出的信号输入端到达控制单元12、14。第一监控单元30.1包括第一和第二联结元件31、36，联结元件构成为晶体管并且串联。在第一集电极端子33处施加运行电压18。第一联结单元31的第一集电极端子33与第一控制单元12的输出端17连接。开关命令20由第一控制单元12输出作为第一联结元件31中的第一基极端子32的操作。在第一基极端子32处进行相应操作的情况下，第一联结元件31允许电通流经过第一发射极端子35。此外，在第一发射极端子35的区域中存在第二联结元件36的第二集电极端子37并且在二者之间存在第一支路43，第一反馈通道42从第一支路分支出。第一反馈通道42又导向至第二控制单元14。经由第一反馈通道42将第一联结元件31的开关状态通知给第二控制单元14。第二控制单元14构造用于：利用存在于第二控制单元14处的开关命令20校准反馈通道的输入端，进而验证第一联结元件31处的正常的开关状态或者辨识出错误的开关状态。控制侧40还具有第二和第三监控单元30.2、30.3，第二和第三监控单元分别配属于操作侧上的第二或第三开关元件54、56。第二和第三监控单元30.2、30.3分别与第一监控单元30.1类似地构造，并且以相同的方式与第一和第二控制单元12、14连接。根据图4的实施方式体现了控制侧40的并联结构的原理。在使用仅两个控制单元12、14的情况下，通过单独的监控单元30.1、30.2、30.3实施用于为每个单个开关元件52、54、56输出开关命令20的单独保障。

与第一控制单元12类似，开关命令20由第二控制单元14经由其输出端19输出给第二联结元件36的第二基极端子38。通过相应地操作第二基极端子38，第二联结元件36允许电通流经过第二发射极端子39。从第二发射极端子39至耦合点47的电通流经由信号输出端46来实现。信号输出端46中的当前电通流将当前的开关命令20映射到操作侧50。在耦合点47与第二发射极端子39之间布置第二支路45，第二反馈通道44从第二支路引导至第一控制单元12。经由第二反馈通道44引导至第一控制单元12的信号描述了第二联结元件36的开关状态。第一控制单元12构造用于：利用当前的开关命令20校准经由第二反馈通道44传输的信号。由此，第一控制单元12构造用于：验证第二联结元件36处的正常的开关状态或者辨识出错误的开关状态。

当通过第一控制单元12识别到第二联结元件36处的错误的开关状态时，第一控制单元12构造用于：通过在第一联结单元31的第一基极端子32处的相应的操作禁止通向第一发射极端子35的电通流。由此，防止以错误的开关命令20或安全开关设备10中的硬件故障为基础继续运行。同样地，第二控制单元14构造用于：在第一联结元件31处识别到错误的开关状态时，通过操作第二基极端子38禁止通向第二发射极端子39的电通流。

因此，在根据本发明的安全开关设备中，在控制侧40上实现至少一个单误差容限，也称作硬件误差容限为一。经由监控单元的联结元件31、36，在控制单元12、14之间构造间接的交叉监控。此外，第一和第二控制单元12、14直接经由诊断线路15彼此连接。诊断线路也包括操控线路，操控线路实现控制单元的相互关断。由此，实现直接的相互监控，使得通过与间接的交叉监控相结合在控制侧40上实现极高的安全程度。特别地，在控制侧40上在存在一个硬件故障的情况下达到90％至99％的诊断覆盖率。

控制侧40与操作侧50之间的连接经由耦合点47进行。在操作侧50上布置第一、第二和第三开关元件52、54、56，开关元件构造为标准继电器。开关元件52、54、56分别构造用于：中断未详细示出的负载回路23的线路25。第一开关元件52经由耦合点47连接到第一监控单元30.1处，在控制侧40上的部件有相应的操作和功能可靠性的情况下经由第一监控单元将开关命令20输出给开关元件52。第二和第三开关元件54、56分别经由自身的耦合点与第二监控单元30.2或第三监控单元30.3耦合。由此，每个开关元件52、54、56都实现高的运行安全程度。每个开关元件52、54、56具有单独的接地端子49，使得每个开关元件被pp接线。即使在操作侧50上存在两个硬件故障的情况下，开关元件52、54、56的并联也确保了负载回路23的线路25的安全分离。整体上，操作侧50具有至少一个双误差容限，也称作硬件误差容限为二。开关元件52、54、56中的至少两个多样地构造为结构类型不同的，从而进一步提高了操作侧50的误差容限。操作侧50在存在两个硬件故障的情况下达到至少60％、尤其70％至90％的安全失效分数SFF。

在图5中示意地示出开关元件52、54、56的接触件62，开关元件构造为标准部件。接触件62作为接触件弹簧对68属于一个常闭触点63和两个常开触点64。当前的开关状态能够通过驱动器67来调节。在根据图5的开关状态下，在常开触点64处存在接触件粘合部，即焊接部69。在操作驱动器67的情况下，具有焊接部69的接触件弹簧对68不能像相邻的常开触点64那样分离。在打开的常闭触点63的接触件62处存在安全的接触件间距65，使得在当前的运行电压下也不会产生电弧。这种安全的接触件间距为至少0.5mm。相反，在常开触点64完好的情况下，即常开触点64没有焊接部69的情况下，接触件62的强制引导的故障意味着：通过借助于驱动器67实现的操作存在不安全的接触件间距66。在这种不安全的接触件间距66下，能够由于电弧出现电通流。在此，不安全的接触件间距为最大0.5mm。没有焊接部的常开触点64因此占据不确定的开关状态。