安全导向的开关设备的制作方法

本发明涉及一种安全导向的开关设备和所属的运行方法。本发明还涉及一种计算机程序产品，利用该计算机程序产品，在安全导向的开关装置中实现根据本发明的运行方法。此外，本发明涉及一种开关系统，在其中使用了要求保护的安全导向的开关装置。

背景技术：

从2011年7月14日的us2011/0169345a1(omroncorporation，jp)已知一种用于电动机的控制系统，其连接到可编程逻辑控制器(＝sps)和门开关。控制系统还有两个接触器，由门开关和sps分开驱控。通过sps还监控两个接触器之一的由门开关触发的开关行为。根据us2011/0169345a1的控制系统旨在满足根据iso13849-1的安全类别2的要求。

现有技术解决方案中已知的缺点是它们包括大量单件，这些单件的布线成本非常大。此外，在自动化技术领域中存在以下对开关装置和开关系统的需求，其提供高度安全性，同时能够简单且经济地制造，并且装配简单。

技术实现要素：

本发明的目的是提供一种安全导向的开关设备，其克服了现有技术中概述的缺点，并且以简单的方式提供了相关标准意义上的高度安全性。

该目的通过一种安全导向的开关设备实现，该开关设备具有磁线圈，通过该磁线圈可以断开和闭合负载电路，例如电动机的电源。根据本发明的安全导向的开关设备还具有控制单元，该控制单元适于接收、评估和传输信号。此外，安全导向的开关设备具有第一开关装置，该第一开关装置设计用于直接地启动和停用磁线圈。根据第一开关装置接收的信号来启用和停用磁线圈。根据本发明，第一开关装置设计用于接收线圈控制信号，该线圈控制信号由控制单元产生或由控制单元触发而产生。同样，第一开关装置设计用于接收监控信号，利用该监控信号可以确定控制单元与正常运行状态的偏差。此外，第一开关装置接收第一上级控制信号。安全导向的开关设备还具有接收单元，该接收单元设计用于接收外部控制信号，该外部控制信号由上级控制机构发送到安全导向的开关设备。接收单元设计用于从外部控制信号中产生第一和第二上级控制信号，并提供给第一开关装置或控制单元；因此，接收单元被配置为从外部控制信号中产生第一上级控制信号和第二上级控制信号，其中，该第一上级控制信号被转发到第一开关装置，该第二上级控制信号被发送到控制单元。通过接收单元对外部信号进行相应的编辑，使得第一和/或第二上级控制信号以合适的形式转发到控制单元或第一开关装置。第一和第二上级控制信号可以是相同的或彼此互补的，从而可以从第一上级控制信号中明确地导出第二上级控制信号。反向地，可以从第二上级控制信号中以明确的方式导出第一上级控制信号。由此，由接收单元多通道地检测和处理外部控制信号。此外，控制单元设计用于接收第二上级控制信号。

第一开关装置设计用于将线圈控制信号、监控信号和第一上级控制信号相互地逻辑联接，并且基于逻辑联接来确定是否要启用磁线圈。当由第一开关装置接收的至少一个信号提供了磁线圈的停用时，将停用信号发送到磁线圈。

通过线圈控制信号、监控信号和第一上级控制信号的联接，在许多运行场景中防止了将错误的启用信号发送给磁线圈。因此，实现了对于磁线圈的运行来说的高度安全性。因此，第一开关装置中的第一上级控制信号由来自控制单元的线圈控制信号确认。这又通过监控信号的存在来确认，在安全导向的开关设备的正常操作期间，该监控信号对应于控制单元的一种正常运行状态。因此，安全导向的开关设备追溯到在安全导向的开关设备中为了其他功能产生的信号。因此，通过第一开关装置，即使在安全导向的开关设备中的部件发生故障的情况下，也实现了磁线圈的可靠的正常启用或停用。在本发明的解决方案中，不需要用于将信号从外部发送到安全导向的开关设备的额外布线。这使得安全导向的开关装置能够更简单地装配到自动化系统中。

接收单元允许以适当的方式将来自上级控制机构的单信道信号提供给安全导向的开关设备。通过使用第二上级控制信号，确保了对单通道外部控制信号的双通道进一步处理。由于双通道能力，对于由外部上级控制机构的驱控达到了为一的故障容错度。在更高的多通道能力的情况下，将实现相应更高的故障容错度。

在安全导向的开关设备的一个优选实施方式中，接收单元和第一开关装置为了将第一上级控制信号从接收单元传输到第一开关装置而直接彼此连接，优选地通过信号线彼此连接。因此，第一上级控制信号可以直接地，也就是说在不经过其他处理单元和过程的情况下，从接收单元发送到第一开关装置。

在安全导向的开关设备的一个优选实施方式中，控制单元设计用于基于接收到的第二上级控制信号来触发线圈控制信号的发送或者产生线圈控制信号。除了第二上级控制信号之外，在产生线圈控制信号时也考虑配置数据项和/或参数项，它们存储在控制单元中。例如，配置数据项和/或参数项包括关于安全导向的开关设备的尺寸等级的信息和/或线圈控制信号的编码信息。利用第二上级控制信号确保第一开关装置接收的信号的一致性。

在安全导向的开关设备的优选实施方式中，其设置有第二开关装置。第二开关装置构成受控的空载电路并连接到控制单元和磁线圈。通过空载电路，借助于控制单元来控制对磁线圈的供电。由此，实现了受控的空载电路的原理。第二开关装置耦合到控制单元并适于通过停用命令中断对磁线圈的供电。利用空载电路中的第二开关装置，又能够监控第一开关装置的功能性。同样，第二开关装置的功能性能够由第一开关装置监控。如果例如由于第一开关装置中的错误而与线圈控制信号、监控信号和/或第一上级控制信号相违背地依然由第一开关装置命令启用磁线圈，那么这将由第二开关装置抵制。特别地，由此防止了单个组件(例如，第一开关装置)的错误而导致整个安全导向的开关设备的失效。因此，第二开关装置属于受控空载电路并且用作冗余关断元件。

在本发明的另一实施方式中，接收单元也可以设计为，第一和第二上级控制信号已经分别包含在外部控制信号中，因此存在双通道外部控制信号。由此产生至上级控制机构的简单且同时安全有效的连接，并且防止了在磁线圈运行期间错误状态的出现。这还进一步增加了所要求保护的开关设备可达到的安全性。

在本发明的另一有利实施方式中，如果输入进来的信号、即第一上级控制信号、线圈控制信号或监控信号中的至少一个规定了线圈停用，则第一开关装置设计为将磁线圈停用。根据本发明的安全导向的开关设备基于以下事实，即正确地识别安全导向的开关设备或上级控制机构的至少一个部件所出现的错误状态并且启动相应的对策。使用第一上级控制信号作为停用磁线圈的标准，这使用了上级控制机构的安全导向的能力。控制单元能够评估大量安全导向信息并通过线圈控制信号以安全导向的方式作用于磁线圈。作为磁线圈的停用标准的监控信号允许不仅将看门狗的鲁棒性使用于控制单元的安全操作，而且还使用于磁线圈的直接启动或停用。通过第一上级控制信号、线圈控制信号和监控信号的相应逻辑联接，可以利用简单且可靠的部件来触发磁线圈的停用。本发明在降低建造成本的情况下提供了整体的高度安全性增益。

或者，根据本发明的安全导向的开关设备还可以具有附加控制单元，其监控控制单元的高效能性。优选地，附加控制单元在结构上与控制单元相同。

此外，安全导向的开关设备可以配属有第二开关装置，该第二开关装置也用于停用磁线圈。第二开关装置可以独立于第一开关装置地操作，并且经由单独的空载电路耦合到控制单元。在常规的运行中，借助于测量装置来检测电流强度，并将测量数据转发到控制单元。控制单元存储磁线圈中存在的电流的额定值。额定值取决于安全导向的开关设备的尺寸，并且可以例如由控制单元中的参数化进行设定。控制单元还存储可选择的容差值，在将额定值与来自测量装置的测量数据进行比较时将其考虑在内。在磁线圈中的当前电流强度与额定值的偏离大于可选容差值时，识别磁线圈的临界状态，例如过流或欠流。在识别磁线圈的临界状态时，来自控制单元的命令操控第二开关装置，使得通过中断对其的供电的方式来停用磁线圈。利用具有第二开关装置的空载电路，控制单元具有用于停用磁线圈的附加构件。

除了第一开关装置之外，控制单元还能够通过空载电路来操控第二开关装置来停用磁线圈。由此提供了一种停用磁线圈的冗余方式。由此，安全导向的开关设备的操控安全性进一步提高。

在本发明的一个特别优选的实施方式中，第一或第二开关装置分别包括半导体开关，特别是晶体管、例如igbt(＝绝缘栅双极晶体管)或mosfet(＝金属氧化物半导体场效应晶体管)，和/或至少一个逻辑器件。在此，这些是简单、可靠且成本有效的电子元件，它们允许特别经济地生产安全导向的开关设备。

脉冲宽度调制信号(＝pwm信号)交替地呈现高状态和低状态。高状态和低状态之间的转换以一个频率来实现，其由第一开关装置被感知为磁线圈的激活信号。这例如通过对逻辑模块的反映迟缓性的利用来实现。因此，线圈控制信号可以设计为现有的pwm信号的功能组件，从而不需要用于线圈控制信号的单独路径。附加地或替代地，监控信号可以构成连接到控制单元的看门狗的输出信号。因此，将监控信号用于第一开关装置仅需要最小的建造成本。这也增加了根据本发明的安全导向的开关设备的整体简单性，并因此增强了鲁棒性和经济性。此外，可以实现长达一个月的增加的复检间隔。

在本发明的另一优选实施方式中，利用磁线圈断开和闭合负载电路，该负载电路引导50kw至750kw的功率。因此，根据本发明的安全导向的开关设备也适用于相应较大的磁线圈，其需要提高的驱动功率水平。根据本发明的安全导向的开关设备能够易于匹配于广泛的应用目的并且具有高度的鲁棒性。

通过用于安全导向的开关设备的运行方法也实现了基本目的，该安全导向的开关设备具有利用其中断或闭合负载电路的磁线圈。安全导向的开关设备具有控制单元和第一开关装置，利用它们执行以下方法步骤：

在第一方法步骤中，第一开关装置接收第一上级控制信号，该第一上级控制信号由上级控制机构发送到安全导向的开关设备。在另一方法步骤中，第一开关装置接收由控制单元直接或间接地产生和传输的线圈控制信号。另外，在另一方法步骤中，由第一开关装置接收由看门狗产生的监控信号。看门狗连接到控制单元并监控其常规运行。监控信号描述了控制单元的正常状态是否存在。在另一方法步骤中，第一开关装置检测所接收的信号中的至少一个是否规定了磁线圈的停用。在接收的信号、即第一上级控制信号、监控信号或线圈控制信号中的至少一个具有提供停用磁线圈的状态时，从第一开关装置向磁线圈发送停用命令。在运行步骤期间，控制单元在另一方法步骤中接收第二上级控制信号，并将相应的线圈控制信号发放到第一开关装置。在此，第一和第二控制信号在另一方法步骤中由安全导向的开关设备的接收单元从外部控制信号产生。

在根据本发明的运行方法中，在其中由第一开关装置接收第一上级控制信号、线圈控制信号和监控信号的步骤可以基本上同时进行。可以在简单的硬件上快速可靠地执行对在第一开关装置处输入的信号的评估。不需要信号彼此的时间协调，使得第一上级控制信号、线圈控制信号和监控信号能够在时钟方面匹配于其另外的功能。根据本发明的运行方法提供了安全性的提升，对其使用的信号不会不利地被修改。因此，还可以通过简单地加装现有硬件来实现所要求保护的运行方法。

在根据本发明的运行方法的一个优选实施方式中，第一上级控制信号从接收单元直接传输到第一开关装置。

在根据本发明的运行方法的一个特别优选的实施方式中，在附加的方法步骤中，借助于测量装置来检测流过磁线圈的电流。优选地，在运行期间周期性地进行对电流的检测。在感测到的磁线圈中的电流偏离一可设定的额定值时，控制单元向第一和/或第二开关装置发送停用命令，以中断对磁线圈的供电。所描述的附加方法步骤确保了在现有开关装置中出现至少一个故障的情况下成功实施停用命令。

根据本发明的操作方法以通常在开关装置中产生的信号的最小量为基础。由于根据本发明的操作方法的简单性，这可以容易地在具有低计算能力的硬件上实现。总的来说，以降低了硬件和固件的成本实现了安全导向的开关设备的高度运行安全性。

同样地，通过计算机程序产品实现了基本目的，该计算机程序产品能够在相应的安全导向的开关设备中的控制单元上存储和执行。根据本发明的计算机程序产品设计为在上述安全导向的开关设备中的一个中执行上述运行方法中的至少一个运行方法。

此外，该任务还通过根据本发明的开关系统解决，该开关系统设计用于打开或闭合负载电路。对此，开关系统包括上级控制机构、例如可编程逻辑控制器或设计为输出单通道或双通道外部控制信号的安全开关设备。上级控制机构连接到两个安全导向的开关设备，使得开关系统具有至少是一的硬件故障容错度。至少两个安全导向的开关设备相对彼此形成相应的备用设备。如果两个安全导向的开关设备中的一个发生故障，例如由于接触键合，则相应地另一个安全导向的开关设备能够执行负载电路的安全停用。由此，实现了根据本发明的开关系统中的双通道结构的原理。所要求保护的开关系统中的安全导向的开关设备均根据所要求保护的安全导向开关设备的上述实施例之一来设计。总的来说，根据本发明的开关系统具有高达sil3的安全完整性水平，高达ple的性能水平和高达4的安全类别。根据本发明的开关系统的sil要求极限高达silcl3。

附图说明

下面将参考各个实施例更详细地描述本发明。在图中：

图1示出了根据本发明的安全导向的开关设备的实施方式的构造；

图2示出了根据本发明的运行方法的实施方式的流程；

图3示出了根据本发明的开关系统的实施方式的构造。

具体实施方式

图1示意性地示出了根据本发明的安全导向的开关设备10的实施方式的结构，其连接到负载电路50。对安全导向的开关设备10的供电经由电源11实现，其尤其提供用于安全导向的开关设备10中的各个部件的运行的电力。电源11连接到整流器18和多级电压电平调节。借助于电压测量装置17来监测调节的电压电平，并将测量结果转发到控制单元20。此外，电源11耦合到电压传感器21，借助于该电压传感器来限定对线圈控制信号24的脉冲宽度调制。

安全导向的开关设备10具有磁线圈12，该磁线圈设计用于对与开关触点14的机械耦合15执行电磁操控，该开关触点以符号标示。开关触点14属于负载电路50，在该负载电路中引导有比在开关装置10本身中更高的电流。开关触点14在负载电路50中与辅助触点16一起作用，该辅助触点用于反馈开关触点14的开关状态。磁线圈12可以通过具有igbt34的第一开关装置22被启用和停用。第一开关装置22连接到信号发生器37，其可由控制单元20驱控。控制单元20设计为微控制器并且适合于输出信号31，该输出信号被信号发生器37转换成线圈控制信号24。线圈控制信号24是脉冲宽度调制信号、简称为pwm信号，利用其可以调节由磁线圈12产生的保持力。第一开关装置22被配置为接收线圈控制信号24并检测是否命令启用磁线圈12。第一开关装置22还被设计为接收第一上级控制信号26，其经由接收单元40到达安全导向的开关设备10。上级控制信号26由(未详细地示出的)上级控制机构62产生。此外，第一开关装置22设计用于接收由看门狗30发送的监控信号32。看门狗30耦合到控制单元20。监控信号32以二进制形式指示是否控制单元20正确运行。

第一开关装置22检查输入的线圈控制信号24、第一上级控制信号26和监控信号32，以确定这些信号中的一个是否规定了磁线圈12的停用。该检查在此通过信号24、26、32的合适的逻辑联接实现。当信号24、26、32中的至少一个表明执行的对磁线圈12的停用时，通过第一开关装置22向磁线圈12发送停用命令25。此外，控制单元20设计用于接收第二上级控制信号28。第一和第二上级控制信号26、28属于双通道外部控制信号29，其由(未详细示出的)上级控制机构62发送，并且该上级控制机构经由接收单元40连接到安全导向的开关设备10。通过接收单元40，第一和第二上级控制信号26、28从外部控制信号29以适当的形式被提供给安全导向的开关设备10。控制单元20能够利用外部控制命令29来检查磁线圈12的当前运行状态的一致性。

控制单元20还连接到发送测量数据39的测量装置38。测量数据39包括描述对磁线圈12的供电的运行状态的参量。测量数据39中的相应参量在控制单元20中与可设定的额定值进行比较。额定值由数据项42设定，该数据项包括配置数据项和/或参数项。如果检测到的参数与可设定的额定值的偏差在数值上大于可选择的容差值，则控制单元20识别出磁线圈12的供电中的非常规状态。容差值也可以通过数据项42设置。当识别出磁线圈12的供电的非常规状态时，控制单元20将关断命令27发送到第二开关装置23。同时，由控制单元20以信号发生器37处的对应信号31的形式将相应的关断命令发送给第一开关装置22。检测到的参量例如是对磁线圈12的供电的电流强度。第二开关装置23布置在空载电路33中并且适于将磁线圈12断电。为此，第二开关装置23包括半导体开关34。借助于第二开关装置23的停用命令25来实现对磁线圈12的供电的断开。

控制单元20能够通过测量装置38的测量数据39在第一开关装置22输出停用命令25之后验证其成功的实施。如果在由第一开关装置22输出停用命令25之后，利用测量装置38检测到的参量、例如电流强度表明磁线圈12的操控的、即启用的状态，则控制单元20设计用于将相应的关断命令27发送给第二开关装置23。来自控制单元20的关断命令27在第二开关装置23中转换为相应的停用命令25，利用该停用命令来将磁线圈12断电。因此，对于不能仅通过第一开关装置22来确保磁线圈12的正确停用的情况，具有第二开关装置23的空载电路33构成回退级。安全导向的开关设备10单独提供高达sil2的安全完整性等级，高达plc的性能等级和高达2的安全等级。安全导向的开关设备10还具有直至silcl2的sil要求极限。

图2示意性地示出了用于未详细示出的安全导向的开关设备10的运行方法100的流程，该设备被设计为断开或闭合负载电路50。在第一方法步骤110中，由安全导向的开关设备10中的开关装置22接收第一上级控制信号26，其由上级控制机构62发送。在基本上与第一方法步骤110并行进行的另一方法步骤120中，第一开关装置22接收借助于安全导向的开关设备10的控制单元20产生的线圈控制信号24。此外，在基本上与第一和第二方法步骤110、120同时进行的第三方法步骤130中，第一开关装置22接收监控信号32。监控信号32表示对控制单元20的功能监控的反馈。为此，由看门狗30来监控控制单元20，它们的常规功能是否仍然存在。监控信号32以二进制的方式描述，控制单元20的常规运行状态是否存在。在随后的第四方法步骤140中，检查当前信号、即第一上级控制信号26、线圈控制信号24和监控信号32，以确定它们中的至少一个是否指明停用磁线圈12。例如，当第一上级控制信号26命令将负载电路50断开时就是这种情况。附加地或替代地，在来自控制单元20的命令指示将负载电路50断开或者监控信号32表明控制单元20未按常规运行，则提供磁线圈12的停用。

根据第四方法步骤140的结果，得到运行方法100的第一分支145。在信号24、26、32中的至少一个规定了磁线圈12的停用时，在第五方法步骤150中由第一和第二开关装置22、23向磁线圈12输出停用命令25。在负载电路50断开之后，出现稳定的最终状态200。

在所有信号24、26、32继续指明启用磁线圈12时，进行第六方法步骤160，其中借助于测量装置38检测流过磁线圈12的电流。在第六方法步骤160中，将检测到的电流与可设定的额定值进行比较。根据可设定的额定值和检测到的电流之间的比较结果，得到根据本发明的方法100的第二分支165。如果在步骤160中对比较的评估得出安全导向的开关设备10处于常规运行，则进行返回到在第一方法步骤110中的初始状态166。

如果在第六方法步骤160中的比较得出开关设备10处于不常规的状态，进行第七方法步骤170。其中，通过控制单元20将停用命令25从第一和第二开关装置22、23输出到磁线圈12。由此实现了负载电路50的断开，从而最终处于稳定的最终状态200。

图3示出了根据本发明的开关系统60的结构，其具有上级控制机构62，其用于打开和闭合负载电路50。负载电路50示例性地设计为三相电源。上级控制机构62与两个安全导向的开关设备10通信连接，这两个设备设计成彼此独立地中断负载电路50。在每个安全导向的开关设备10中，存储有计算机程序产品80，其分别设计用于在安全导向的开关设备10上实施根据本发明的操作方法100。安全导向的开关设备10通过外部控制信号29单独地由上级控制机构62驱控，其中，外部控制信号29分别包括第一和第二上级控制信号26、28。外部控制信号29由接收单元40接收，接收单元40以适当的形式分别向安全导向的开关设备提供第一和第二上级控制信号26、28。在安全导向的开关设备10中，开关触头14的使负载电路50断开和闭合的开关状态单独地分别借助于辅助触点16反馈给上级控制机构62。通过两个安全导向的开关装置10的串联组合，在根据本发明的开关系统60中达到了为一的硬件故障容错度。开关系统60还具有高达sil3的安全完整性等级和高达ple的性能等级。此外，根据图3的开关系统60提供安全类别4。