Safety circuit grouping with ring concept for control units of power electronics

专利摘要:
Die Erfindung hat es sich zur Problemstellung gemacht, eine Sicherheitsabschaltung so auszubilden, dass sie zuverlässiger arbeitet und dabei gleichwohl schneller anzusprechen vermag. Gegenüber einem Sternkonzept (zentrale Auswertung von Rückmeldungen vieler Geräte oder Antriebe) sollen Verdrahtungs- und Programmieraufwand reduziert werden, Sonderschaltungen weitgehend vermieden werden und die Zuverlässigkeit sowie die Flexibilität, durch Zulassung einer beliebigen Anzahl von Sicherheitsstufen, erhöht werden. Dazu wird vorgeschlagen, dass die Sicherheitsschaltung, eingangsseitig und ausgangsseitig jeweils mit einer weiteren Sicherheitsschaltung in einen elektrischen Verbund gestellt (geschaltet) wird, um ein Ringkonzept oder eine Ringstruktur aus mehreren Sicherheitsschaltungen als mehreren Sicherheitsstufen zu bilden, welche in der Ringstruktur angeordnet sind. Eine jeweilige Sicherheitsstufe (A, B, C) ist einem jeweiligen der mehreren Steuergeräte der Leistungselektronik zugeordnet. Eine Sicherheitsschaltung oder Sicherheitsstufe aus dem Ringverbund besitzt einen zweikanaligen Ausgang (A20; C20), zur Weitergabe eines Abschaltsignals (c20a, c20b; a20a, a20b) an eine weitere Sicherheitsstufe (A; B); einen zumindest zweikanaligen Eingang (A10; C10), zur Aufnahme eines Abschaltsignals von einer vorgelagerten Sicherheitsstufe (C; B). Es ensteht ein elektrischer Ringverbund aus zumindest zwei, bevorzugt drei oder mehreren Sicherheitsschaltungen oder Sicherheitsstufen (A, B, C).The invention has made it to the problem, a safety shutdown in such a way that it works more reliable and yet able to address it faster. Compared to a star concept (central evaluation of feedback of many devices or drives) wiring and programming effort should be reduced, special circuits are largely avoided and the reliability and flexibility, by allowing any number of security levels increased. For this purpose, it is proposed that the safety circuit, on the input side and output side is set (switched) in each case with another safety circuit in an electrical composite to form a ring concept or a ring structure of several safety circuits as multiple security levels, which are arranged in the ring structure. A respective security level (A, B, C) is assigned to a respective one of the plurality of power electronics control units. A safety circuit or safety circuit from the ring network has a two-channel output (A20; C20) for passing a switch-off signal (c20a, c20b; a20a, a20b) to a further safety level (A; B); an at least two-channel input (A10; C10) for receiving a shutdown signal from an upstream security level (C; B). An electrical ring composite consists of at least two, preferably three or more safety circuits or security levels (A, B, C).
公开号:DE102004020830A1
申请号:DE200410020830
申请日:2004-04-28
公开日:2005-09-08
发明作者:Guido Beckmann；Martin Ehlich；Karl-Dieter Tieste；Manfred Tinebor；Andreas Tolksdorf；Peter Wratil
申请人:Lenze Drive Systems GmbH；
IPC主号:G05B9-02

专利说明:
[0001] DieErfindung befasst sich mit Sicherheitsaspekten von Leistungselektronik-Geräten, welcheals "Steuergeräte der Leistungselektronik" vielfach in Gebrauchsind, so beispielsweise als Frequenzumrichter oder Wechselrichteroder andere Umrichter, die zum Betreiben eines elektromotorischenAntriebs vorgesehen sind. Anwendbar ist die Erfindung auch im Umfeldder Hydraulik oder Pneumatik, vorgesehen zur Ansteuerung, oder überall dort,wo mehrere Gerätezusammen sicherheitsüberwachtwerden sollen.TheThis invention is concerned with safety aspects of power electronics devicesas "control units of power electronics" in frequent useare, for example as a frequency converter or inverteror other converters that are used to operate an electromotiveDrive are provided. Applicable, the invention is also in the environmenthydraulics or pneumatics, designed for control, or anywhere,where several devicessecurity monitored togethershould be.
[0002] Oftsind elektrische, hydraulische oder pneumatische Steuerungen undAntriebe nicht nur eigenständigbetrieben, sondern auch mechanisch gekoppelt. Die mechanische Kopplung,beispielsweise als Getriebe, oder ein anderer Verbund im Sinne einerelektrischen Welle, erfordert es, dass alle eigenständig angesteuerten undbetriebenen Antreibe überein übergeordnetesSicherheitskonzept verfügenkönnen,das ihre praktisch gleiche Sicherheitsreaktion steuert, veranlasstund überwacht.Es muß dabeivermieden werden, dass die Sicherheitsabschaltungen solcher Antriebeunterschiedlich arbeiten, gerade dann, wenn jeder Antrieb eigenständig undselbständigabgeschaltet wird, aber eine mechanische Kopplung zwischen den Antriebenbesteht, die selbst nicht in der Lage ist, die Sicherheitsabschaltungvon dem einen Antrieb auf den anderen Antrieb zu übertragen.Oftenare electrical, hydraulic or pneumatic controls andDrives not only on their ownoperated, but also mechanically coupled. The mechanical coupling,for example, as a transmission, or another composite in the sense of aelectric wave, it requires that all independently controlled andoperated drive overa parentSecurity conceptcan,which controls their virtually identical safety response causesand monitored.It must be thereavoiding the safety shutdowns of such driveswork differently, just when each drive is self-contained andindependentis switched off, but a mechanical coupling between the driveswhich is itself unable to perform the safety shutdownfrom one drive to the other drive to transfer.
[0003] Hierfür werdenheutzutage zentrale Auswertungen von Rückmeldungen aller Antriebevorgesehen, welche dann – veranlasstvon einem Teilnehmer – eineAbschaltung (auch) der anderen Antriebe auslöst. Beispielsweise wird einAntrieb mit einem Sicherheitsfall detektiert, ein Sicherheitssignallöst eineAbschaltreaktion aus und meldet es an die zentrale Auswertung, ggf.auch sicherheitsüberwachtoder mehrkanalig. Diese zentrale Auswertung sorgt für ein gleichesAbschalten auch der anderen im Verbund stehenden Antriebe. Trotz dieserzentralen Schaltungsanordnung kommt es zu Verzögerungen aufgrund einer System-Zykluszeitim Bereich oberhalb 50 msec, schlimmstenfalls mehrere 100 msec,welche die Steuerung aufweist, die in der zentralen Auswertung arbeitet.For this will beNowadays, central evaluations of feedback from all drivesprovided, which then - promptedfrom one participant - oneShutdown (also) of the other drives triggers. For example, aDrive detected with a safety case, a safety signalsolve oneShutdown reaction and reports it to the central evaluation, if necessaryalso security monitoredor multi-channel. This central evaluation ensures the sameShut off also the other connected drives. Despite thisCentral circuitry, there are delays due to a system cycle timein the range above 50 msec, in the worst case several 100 msec,which has the control that works in the central evaluation.
[0004] Beihochdynamischen Antrieben machen sich diese scheinbar geringen Verzögerungszeitenbemerkbar.atHighly dynamic drives make these seemingly low delay timesnoticeable.
[0005] Selbstbei Antrieben, welche nicht hochdynamisch sind, also die angesprochenenAnsprechzeiten oder Verzögerungentolerieren könnten,sind die Kosten einer gesonderten Steuerung einerseits und zum anderendie durch Verdrahtungs- und Programmieraufwand anstehenden Zusatzkostenstörend.EvenFor drives that are not highly dynamic, so the mentionedResponse times or delayscould tolerateare the costs of a separate control on the one hand and on the other handthe extra costs due to wiring and programmingdisturbing.
[0006] DieErfindung hat es sich deshalb zur Problemstellung gemacht, eineSicherheitsabschaltung so auszubilden, dass sie zuverlässiger arbeitetund dabei gleichwohl schneller anzusprechen vermag. Gegenüber einemSternkonzept (zentrale Auswertung von Rückmeldungen vieler Geräte oderAntriebe) sollen Verdrahtungs- und Programmieraufwand reduziertwerden, Sonderschaltungen weitgehend vermieden werden und die Zuverlässigkeitsowie die Flexibilität,durch Zulassung einer beliebigen Anzahl von Sicherheitsstufen, erhöht werden.TheInvention, it has therefore made the problem, aSafety shutdown in such a way that it works more reliablyand at the same time able to address faster. Opposite oneStar concept (central evaluation of feedback of many devices orDrives) should reduce wiring and programming effortspecial circuits are largely avoided and reliabilityas well as the flexibilityby allowing any number of security levels.
[0007] DieErfindung löstdiese umfangreiche Aufgabe durch die Realisierung eines Ringkonzeptesoder einer Ringstruktur, in welche einzelne Sicherheitsschaltungenals Sicherheitsstufen eingeschaltet werden. Diese "Stufen" sind keine hierarchischenStufen, sondern behandeln alle kaskadierten Teilnehmer an dem Sicherheitsringgleich.TheInvention solvesthis extensive task by the realization of a ring conceptor a ring structure into which individual safety circuitsbe turned on as security levels. These "stages" are not hierarchicalStages, but treat all cascaded participants in the security ringequal.
[0008] EineSicherheitsschaltung zur Einschaltung in einen solchen Ring, miteinem mehrkanaligen Eingang und einem mehrkanaligen Ausgang ermöglicht es,den Ring aus zumindest zwei Sicherheitsstufen aufzubauen (Anspruch1).ASafety circuit for switching into such a ring, witha multi-channel input and a multi-channel output makes it possiblebuild the ring from at least two security levels (claim1).
[0009] Einaus mehreren (zumindest zwei) Sicherheitsstufen aufgebauter Ringals Sicherheits-Schaltungsverbundsorgt füreine zuverlässigeAbschaltung bei verschiedenen (nicht gleichen) Logikpegeln bzw.Kombinationen von Logikpegeln auf einem mehrkanaligen Ausgang (Anspruch20). Hier wird bereits von einem Verbund ausgegangen, der Teilnehmerbesitzt, die im Ringverbund geschaltet sind, unter Verwendung vonzumindest zweikanaliger Signalführungim Ring.Oneconstructed from several (at least two) security levels ringas a safety circuit grouptakes care ofa reliable oneShutdown at different (not equal) logic levels orCombinations of logic levels on a multi-channel output (claim20). Here is already assumed by a composite, the participantsown, which are connected in the ring network, usingat least two-channel signal routingin the ring.
[0010] EinVerfahren zum sicheren Abschaltung bedient sich mehrerer der Sicherheitsschaltungen(Anspruch 1), ist aber in seiner Arbeitsweise durch Angabe der Signalwirkungenals Verfahren charakterisiert (Anspruch 15). In diesem Ringverbunderfolgt die Weitergabe (das Durchreichen) eines Abschaltsignalsschnell, durch "Propagierung" im Ringverbund,ausgehend von einem Auslöser,der als auslösenderTeilnehmer das Abschaltsignal in den Ringverbund einkoppelt.A method for safe shutdown uses several of the safety circuits (claim 1), but is characterized in its operation by specifying the signal effects as a method (claim 15). In this ring composite, the transfer (passing through) of a switch-off signal is carried out quickly, by "propagation" in the ring network, starting from a trigger, which couples the switch-off signal as the triggering participant in the ring network.
[0011] Imkleinsten verfügbarenRing sind zwei Sicherheitsschaltungen (Anspruch 16), wobei jeweilsein Ausgang mit einem Eingang mehrkanalig verschaltet ist.in thesmallest availableRing are two safety circuits (claim 16), wherein eachan output is interconnected with one input multi-channel.
[0012] Dassichere Überwachen(Anspruch 25) von mehreren Steuergeräten der Leistungselektronikarbeitet mit den selben Sicherheitsschaltungen (Anspruch 1), wobeiim Betrieb Impulse auf die Ausgängejeder Stufe aufgeschaltet werden, welche nicht über den Ausgang der Folgestufeweitergegeben werden, sondern in einer Eingangsschaltung der Folgestufeausgeblendet werden, unter Reduzierung der Kanalzahl (Anspruch 25,Anspruch 5).Thesecure monitoring(Claim 25) of several control units of the power electronicsworks with the same safety circuits (claim 1), whereinduring operation pulses to the outputseach stage, which does not have the output of the next stagebut in an input circuit of the next stagebe hidden, reducing the number of channels (claim 25,Claim 5).
[0013] Soweitim folgenden von "Ausgang" gesprochen wird,wird das bei einem Verfahrensanspruch ein Signal betreffen, beieinem Vorrichtungsanspruch die Struktur, welche geeignet ist, dasSignal abzugeben. Gleiches gilt für den Eingang mit seinem korrespondierendenEingangssignal.So faris spoken in the following of "exit",this will affect in a method claim a signal ata device claim the structure which is suitable, theSignal. The same applies to the entrance with its correspondingInput signal.
[0014] Diebeschriebenen Steuergeräteder Leistungselektronik sind eigenständig geregelt, aber von einer übergeordnetenSteuerung oder Regelung beeinflusst. Jedes dieser Geräte hat eigeneSicherheitskomponenten, Sicherheitserkennungen und auch periphereSicherheitsbereiche, welche sicherheitsrelevante Signale abgeben.Einer jeweiligen solchen Leistungselektronik-Schaltung zur Steuerungvon elektrischen Antrieben ist eine Sicherheitsschaltung zugeordnet,die ihrerseits in den Ringverbund geschaltet wird. Damit werden – logischgesehen, von den Pegeln der Gatter her – die mehreren Antriebe insgesamtin einem Ring geschaltet, behalten aber hinsichtlich ihrer Steuerungstechnikund Leistungselektronik eine völligeEigenständigkeit. Wenneines dieser Geräteein Fehlersignal erkennen möchte,aus dem "logischenRing" bzw. der Logik-Ringstruktur(mit Logiksignalen arbeitender Ring), werden diese Signale aus demRing ausgekoppelt und in einem Sicherheitsbereich eines jeweiligenAntriebs erkannt, oder bei Erkennen eines Sicherheitsfalls (Fehler derHardware oder Funktion eines Sicherheitssensors) im Steuerungsbereichdes Antriebs in den Ring über Logikschaltungeneingekoppelt.Thedescribed control unitsThe power electronics are independently regulated, but by a parentControl or regulation influenced. Each of these devices has its ownSecurity components, security identifications and also peripheralSafety areas which give safety-relevant signals.A respective such power electronics circuit for controlof electric drives is associated with a safety circuit,which in turn is switched into the ring network. This will be - logicalseen from the levels of the gates - the multiple drives in totalswitched in a ring, but keep in terms of their control technologyand power electronics a completeReliance. Ifone of these deviceswould like to detect an error signal,from the "logicalRing "or the logic ring structure(Working with logic signals ring), these signals are from theRing decoupled and in a security area of a respectiveDrive detected, or upon detection of a security case (error ofHardware or function of a safety sensor) in the control areaof the drive in the ring via logic circuitscoupled.
[0015] Insoweitist die Ringstruktur eine direkte Weitergabe eines Eingangssignals,lediglich überLogikgatter zu einem Ausgangssignal einer Sicherheitsschaltung (zugeordneteinem Steuergerätder Leistungselektronik), ohne dass auf die Weitergabe des Signalsim Ring das Steuergerätfunktionsnotwendig Einfluss nehmen muß, um die Weitergabe des Signalszu erreichen (Anspruch 10). Der logische Ring ist unabhängig vondem realen Ansprechen von Sicherheitsfunktionen oder dem Erkenneneines Abschaltzustandes aus den Signalpegeln des Ringes, wie erin einem Sicherheitsbereich eines jeweiligen Steuergeräts erkanntwird (Anspruch 8, Anspruch 12).in this respectis the ring structure a direct passing of an input signal,only aboutLogic gate to an output signal of a safety circuit (assigneda control unitthe power electronics) without affecting the transmission of the signalin the ring the control unitfunctionally necessary to influence the transmission of the signalto reach (claim 10). The logical ring is independent ofthe real response of security functions or recognitiona shutdown state of the signal levels of the ring, as hedetected in a security area of a respective control deviceis (claim 8, claim 12).
[0016] Sicherheitssignalewerden in jedem Steuergerätanhand einer Beobachtung der Signale des Rings erkannt, andererseitsauch in den Ring eingekoppelt, wenn eine Sicherheitssituation vondem Steuergeräterkannt wird. Dabei ist sogar die Weitergabe und Einkopplung voneinem am Eingang einer Sicherheitsschaltung erkannten Abschaltzustandzu ihrem Ausgang möglich,um aufgetretene Fehler innerhalb einer Logikstruktur im Ring zu überbrücken unddas Fehlersignal des Eingangs auf den Ausgang einer jeweiligen Sicherheitsschaltungnochmals eigenständigkoppeln zu können(Anspruch 12). Der Begriff "auchvorgekoppelt wird" heißt, dassdie direkte Kopplung überdie Logikgatter (Anspruch 3, Anspruch 5, Anspruch 14a, Anspruch14b) jedenfalls (oder: dauerhaft) gegeben ist, wenn keine Leitungs-oder Funktionsstörungder Gatter vorliegen und nur zusätzlichauch ein paralleles Vorbei- oder Herüberkoppeln eines Fehlersignalsvom Eingang auf den Ausgang überden Sicherheitsbereich (Anspruch 12) möglich ist. Dazu verwendet derSicherheitsbereich die selben Wege, wie er ein in seinem Bereichund fürseine Leistungselektronik oder seinen Antrieb oder das zugehörige Umfelderkannten Fehlerzustand als mehrkanaliges Abschaltsignal in denAusgang der zugehörigenSicherheitsschaltung einkoppeln würde (Anspruch 11).safety signalsbe in every control unitdetected on the basis of observation of the signals of the ring, on the other handalso coupled into the ring when a security situation ofthe control unitis recognized. It is even the transfer and coupling ofa shutdown state detected at the input of a safety circuitpossible to their exit,to bridge occurred errors within a logic structure in the ring andthe error signal of the input to the output of a respective safety circuitagain independentlyto be able to pair(Claim 12). The term "alsopre-coupled "means thatthe direct coupling overthe logic gates (claim 3, claim 5, claim 14a, claim14b) in any case (or permanently), if noor malfunctionthe gate is present and only in additionalso a parallel over or over coupling of an error signalfrom the entrance to the exit viathe security area (claim 12) is possible. For this purpose uses theSecurity area the same way as he is one in his areaand forhis power electronics or his drive or the associated environmentrecognized fault condition as multi-channel shutdown signal in theOutput of the associatedSafety circuit would couple (claim 11).
[0017] DasWeitermelden einer Abschaltinformation ist im Ring so schnell unddirekt, praktisch nur durch ganz geringe Gatterlaufzeiten möglich (Anspruch9), wohingegen Ansprechzeiten des Sicherheitsbereiches, bevor einAbschaltzustand am Eingang einer Sicherheitsschaltung erkannt wird,deutlich größer sind(Anspruch 6).ThePosting a shutdown information is so fast and in the ringdirectly, practically possible only by very small gate running times (claim9), whereas response times of the safety area before aShutdown state is detected at the input of a safety circuit,are significantly larger(Claim 6).
[0018] Dadurchkönnenkurze, impulsartige Testsignale auf einen jeweiligen Ausgang aufgeschaltetwerden (Anspruch 7), die eine Unsymmetrie der Pegel für die Dauerdes Impulses, also im mehrkanaligen Ausgangssignal erzeugen, ohnedass sofort der folgende Sicherheitsbereich eine Abschaltung erkennt.Die Impulse haben eine kurze Dauer von unter 1 msec und treten vergleichsweiseselten auf, beispielsweise in einem zeitlichen Abstand von 10 malbis 100 mal größer alsder Impulsbreite des Testimpulses, um langfristig feststellen zukönnen,ob Funktionsstörungenoder Fehler auf den Leitungen vorliegen, beispielsweise mechanischeDefekte, wie Querkopplungen, Dauer Null oder Dauer Eins oder Unterbrechungen.Die Testsignale werden dabei ausgewertet hinsichtlich ihrer Wirkungauf das Potential der Leitung, welche Schaltungsanordnungen alssolches aber bekannt sind, so dass sie hier nicht weiter erläutert werden,beispielsweise ein XOR-Glied.As a result, short, pulse-like test signals can be connected to a respective output (claim 7), which produce an asymmetry of the level for the duration of the pulse, ie in the multi-channel output signal without immediately recognizing the following security area a shutdown. The impulses ha ben a short duration of less than 1 msec and occur comparatively infrequently, for example, at a time interval of 10 times to 100 times greater than the pulse width of the test pulse to determine the long term, if there are malfunctions or faults on the lines, such as mechanical defects such as cross-couplings, duration zero or duration one or interruptions. The test signals are evaluated in terms of their effect on the potential of the line, which circuit arrangements are known as such but so that they will not be further explained here, for example, an XOR gate.
[0019] DieTestsignale werden in dem Ring aber so behandelt, dass sie immernur einen Abschnitt weit Einfluss nehmen, also von der Ausgangsschaltungeiner ersten Sicherheitsstufe zum Eingang einer zweiten Sicherheitsstufe,bzw. nur in ein Eingangsgatter hinein, welches diese Testimpulseunterdrücktoder ausblendet, so dass sie nicht an die Ausgangsstufe der nächsten Sicherheitsschaltungim Ring weitergegeben werden. Diese Ausgangsstufe erhält vielmehreigenständigTestsignale eingekoppelt, welche wiederum nur bis zum Eingang dernächstfolgendenSicherheitsschaltung gelangen und hier ausgeblendet oder unterdrückt werden. DieFunktion des Ringes kann so aufrecht erhalten werden, ohne dassein Testsignal durch den gesamten Ring propagiert und Laufzeitensich auf eine solche Weise akkumulieren, dass unerwünschte Betriebszustände entstehen,die von den Testsignalen gerade vermieden werden sollen.TheTest signals are treated in the ring but so they alwaysonly a portion of influence, so from the output circuita first level of security to the entrance of a second security level,or only in an input gate into which these test pulsesrepressedor fades out, so they do not connect to the output stage of the next safety circuitbe passed in the ring. Rather, this output stage receivesindependentlyTest signals coupled, which in turn only to the input of thenextEnter safety circuit and hidden or suppressed here. TheFunction of the ring can be maintained so withouta test signal propagated through the entire ring and runtimesaccumulate in such a way that undesirable operating conditions arise,which should be avoided by the test signals.
[0020] DieTestsignale haben im Ring also nur eine begrenzte Laufzeit oderWirkungstrecke, werden von jeder Sicherheits-Schaltungsanordnungfür ihrenAusgang bis zum nächstenEingang aber eigenständigvorgegeben.TheTest signals have in the ring so only a limited duration orEffect range, be from any safety circuitryfor herExit until the nextEntrance but independentspecified.
[0021] DasKonzept der Ringabschaltung arbeitet mit unterschiedlichen Zeitenoder Zeitdauern, der beschriebenen Abschaltverzögerung des Sicherheitsbereiches,den kurzen Impulszeiten der Testsignale, der ganz kurzen Laufzeitder Logikgatter in einer jeweiligen Sicherheitsschaltung, welcheLogikgatter Bestand des logischen Rings sind, und einer später zu erläuterndeEinschaltzeit, welche dem Ausblenden des Eingangssignals durch gesteuertenEinfluss dient und damit das erneute Aktivieren des Rings aus einemangesprochenen Ausschaltzustand ermöglicht.TheConcept of ring switching works with different timesor durations, the described shutdown delay of the safety area,the short pulse times of the test signals, the very short running timethe logic gate in a respective security circuit, whichLogic gates are the logical ring inventory, and one to be explained laterTurn-on time, which by hiding the input signal controlled byInfluence and thus the re-activation of the ring from aaddressed switch-off state allows.
[0022] DerRing hat eine (meta)stabile Wartelage, welche zumeist mit parallelenHigh-Logikpegelnauf allen mehrkanaligen Leitungen definiert wird. Störend aufdiese Lage könnendie beschriebenen, jeweils eine begrenzte Strecke wirkenden Testimpulsesein, die aber so kurz gehalten sind, dass sie die Ansprechverzögerung derSicherheitsbereiche nicht überwindenund auch im Ring nur eine begrenzte Wirkungsstrecke haben, alsonicht überden Folgestufe (die nächsteSicherheitsschaltung) hinaus Wirkung zeigen.Of theRing has a (meta) stable queuing, which mostly with parallelHigh logic levelsis defined on all multi-channel lines. Disturbingthis situation canthe described test pulses, each acting a limited distancebe, but they are kept so short that they delay the response of theDo not overcome security areasand also in the ring have only a limited impact, sono overthe next stage (the nextSafety circuit) addition effect.
[0023] Trittein Fehlerfall auf und wird ein Abschaltsignal von einem Ringteilnehmerverlangt, so wird der gemeinsame logische Pegel (Anspruch 2) verändert, durchEinkoppeln eines mehrkanaligen Abschaltsignals in den Ausgang einerder Sicherheitsschaltungen (Anspruch 4). Arbeiten alle Gatter ordnungsgemäß, liegenkeine Hardware-Fehler vor und auch keine mechanischen Defekte, werdendie zumindest zwei Kanäledes Ausgangs des die Abschaltung verlangenden Steuergeräts auf logischNull geschaltet.kickan error occurs and becomes a shutdown signal from a ring participantrequires, so the common logic level (claim 2) is changed byCoupling a multi-channel shutdown signal in the output of athe safety circuits (claim 4). All gates work properly, lieno hardware errors and no mechanical defectsthe at least two channelsthe output of the shutdown requesting control unit to logicalZeroed.
[0024] Derlogische Null-Pegel propagiert unmittelbar durch den gesamten Ring,lediglich verzögertdurch die Laufzeiten (propagation delay) der Logikgatter im Ring,welche im Nanosekunden-Bereich liegen können. Der gesamte Ring istdann auf logisch Null gelegt (Ansprech- oder Sicherheitslage). Esdauert dann die Ansprechzeiten der einzelnen Sicherheitsbereiche,bis alle angesprochen haben und die zugehörigen Antriebe entsprechendeSicherheitszuständeeinnehmen.Of thelogical zero level propagates directly through the entire ring,only delayedby the propagation delay of the logic gates in the ring,which can be in the nanosecond range. The entire ring isthen set to logical zero (response or security position). Itthen takes the response times of the individual security areas,until all have addressed and the corresponding drives correspondingsecurity conditionstaking.
[0025] DieSicherheitszuständesollen hier nur angedeutet werden. Es gibt unterschiedliche Kategoriender Abschaltung, das direkte Abschalten der Kategorie Null (momentenlosschalten), das gesteuerte Abschalten im Sinne eines Quickstop, alsKategorie 1 (der Drehzahlwert Null wird gesteuert vorgegeben), undes gibt die Kategorie 2, welche mit Moment die Drehzahl Null gesteuerterhält.Je nach Art des spezifischen Fehlers wird eine spezifische Art derAbschaltung erwünscht.Günstigist die Steuerung durch Drehmoment auf eine Drehzahl Null, bei Fehlernim Grundgerätkann diese Steuerung aber nicht erfolgen, so dass ein Momentenlos-Schaltenvorgegeben wird. Die beschriebenen Abschaltungen haben vorwiegenddieses Ziel, nachdem sie eine hohe Sicherheitsanforderung erfüllen müssen, schnellarbeiten müssen,synchron alle Antriebe abzuschalten haben und selbst fehlerfreifür allepraktisch denkbaren Defekte reagieren müssen.Thesecurity conditionsshould only be hinted at here. There are different categoriesthe shutdown, the direct shutdown of the category zero (torquelessswitch), the controlled shutdown in the sense of a quick stop, asCategory 1 (the speed value zero is preset controlled), andthere is the category 2, which with moment controls the speed zeroreceives.Depending on the type of specific error is a specific type ofShutdown desired.Cheapis the control by torque to zero speed, in case of errorsin the basic deviceHowever, this control can not be done so that a torqueless switchingis given. The described shutdowns have predominantlyThis goal, after they have to meet a high security requirement, quicklyhave to work,Synchronously disable all drives and even error-freefor allpractically conceivable defects must react.
[0026] DerRing kann nur insgesamt aktiviert werden, werden Zwischenstreckendes Rings, zwischen beispielsweise einem Ausgang und einem Eingangder Folgestufe nicht gemeinsam hinsichtlich der zumindest zwei Kanäle in gleicherWeise mit einer logischen Null aktiviert, so liegt ein Schaltungsfehleroder einer der beschriebenen mechanischen Defekte in dem funktionellenRing vor. Diese Fehler zu vermeiden, dienen die Testsignale, welchesolche Fehler frühzeitigerkennen sollen und gleich eine Abschaltung einzuleiten haben, zumErhalt der dauerhaften Funktion des Ringkonzepts. Die Ringkonzeptionarbeitet mit beliebig vielen Teilnehmern und kann beliebig kaskadiertwerden. Trotz der beliebig hohen Anzahl von Teilnehmern ist keinegesonderte Erweiterung von Eingangssignalen nötig, vielmehr spricht eineSicherheits-Schaltungnur die Folgeschaltung an, zur Weitergabe eines ggf. erforderlichenAbschaltsignals, und erhältvon der vorgelagerten Sicherheits-Schaltung ein ggf. auszuführendesAbschaltsignal. Beide Signale sind mehrkanalig, im Sinne von zumindestzwei Kanälen.The ring can only be activated as a whole, if intermediate distances of the ring between, for example, an output and an input of the following stage are not activated together with a logical zero in the same way with respect to the at least two channels, then a circuit fault or one of the described mechanical defects lies in the ring functional ring in front. To avoid these mistakes, serve the Test signals, which are to detect such errors early and immediately have to initiate a shutdown, to obtain the permanent function of the ring concept. The ring design works with any number of participants and can be cascaded as required. Despite the arbitrarily high number of participants, no separate extension of input signals is necessary, but rather a safety circuit only addresses the sequential circuit, for passing on a possibly required shutdown signal, and receives from the upstream safety circuit a shutdown signal to be executed if necessary. Both signals are multi-channel, in the sense of at least two channels.
[0027] Derentstehende elektrische Verbund, in welchen die Sicherheitsschaltungengestellt werden (elektrisch verbunden werden) ist eigenständig handlungsfähig, reaktionsfähig undin der Propagierung eines Abschaltsignals ungeheuer schnell, beispielsweisebei drei Ringteilnehmern mit jeweils zwei Logikgatter-Laufzeitenpro Sicherheitsschaltung im Bereich von wenigen 10 nsec. Größer alsdiese Laufzeiten sind die Impulsdauern der Testimpulse, wiederumgrößer alsdiese Impulsdauern sind die Ansprechverzögerungen der Sicherheitsbereichejedes der Steuergeräte,wiederum größer alsdiese ist die mittlere Zeitdauer zwischen der Wiederkehr der Testimpulseund wieder größer alsdiese ist ein die Eingangsstufe einer jeweiligen Sicherheitsschaltung überschreibenderoder außerWirkung setzender Startpuls.Of theresulting electrical composite, in which the safety circuitsbe electrically connected, responsive and independentlyin the propagation of a shutdown signal tremendously fast, for examplewith three ring participants each with two logic gate transit timesper safety circuit in the range of a few 10 nsec. Bigger thanthese transit times are the pulse durations of the test pulses, againgreater thanThese pulse durations are the response delays of the safety areaseach of the controllers,again larger thanthis is the mean time between the return of the test pulsesand again bigger thanthis is a overriding the input stage of a respective security circuitor exceptEffect setting start pulse.
[0028] Nochmalsgrößer alsdiese Zeit sind so genannte Sicherheitszeiten zum sicheren Stillsetzeneines Steuergerätes(Wechselrichter-enable, WR_EN). Die Sicherheitszeit bis zum Abschalteneines beispielsweise Wechselrichters ist applikationsspezifischund hängtvom Antrieb ab. Sie kann zwischen 100 msec bis zu 30 sec betragen.Das Stillsetzen des Wechselrichters erfolgt also nicht sofort dann,wenn der Sicherheitsbereich dieses Steuergeräts anhand der Logikzustände desRings erkannt hat, dass ein Fehlerfall vorliegt und nach Ablaufdes zeitlichen Mindestintervalls auch eine Abschaltung eingeleitethat, sondern ggf. viel später.Veranlasst ist der Abschaltzustand aber, die Ausführung wirdnur anwendungsspezifisch in ihrer Realzeit variieren.againgreater thanThis time is called safety time for safe shutdowna control unit(Inverter enable, WR_EN). The safety time until shutdownAn example of an inverter is application-specificand hangfrom the drive. It can be between 100 ms to 30 seconds.The inverter is not shut down immediately,if the safety area of this controller is based on the logic states of theRings has detected that an error has occurred and after expirationthe minimum time interval also initiated a shutdownhas, but possibly much later.However, the shutdown state causes the execution to becomevary only application-specific in their real time.
[0029] DasAbgreifen ("Horchen" oder Beobachten)eines Abschaltsignals aus der logischen Ringstruktur kann über eineSchaltungsanordnung variabel verändertwerden, abhängigvon dem System- und Sicherheitszustand eines jeweiligen Steuergerätes odereines jeweiligen Antriebs. Hier kann eine Vorgabe stattfinden, zwischenden Kategorien 0, 1 oder 2. Die Funktion und Integrität der logischenRingstruktur wird davon aber nicht berührt. Es bleibt bei einer direktenWeitergabe in jeder Sicherheitsschaltung.TheTapping ("listening" or watching)a shutdown signal from the logical ring structure can via aCircuit arrangement variably changedbecome dependentfrom the system and security state of a respective control device ora respective drive. Here can a default take place, betweenthe categories 0, 1 or 2. The function and integrity of the logicalRing structure is not affected by this. It stays with a directPassing in every security circuit.
[0030] Diesichere Überwachungder Steuergeräte,insbesondere die Erzeugung von Abschaltsignalen und die Propagierungdieser Abschaltsignale an alle beteiligten Steuergeräte in derRingstruktur ist in der Lage, sich selbst zu überwachen. Diese Überwachungerfolgt durch Testimpulse, welche zeitversetzt in die Ringstrukturan einem jeweiligen Ausgang einer Schaltungsanordnung (Anspruch1) eingekoppelt werden (Anspruch 25, Merkmal (c)). Die eingekoppeltenTestimpulse sind zeitversetzt, treten also nicht parallel oder überlappendauf den mehreren Kanälen,insbesondere nicht gleichzeitig auf beiden Kanälen auf. Sie überwachen dieAusgangsleitung bis zum nächstenEingang und werden von einer Eingangsschaltung in der nächsten Sicherheitsschaltungan ihrer weiteren Ausbreitung abgehalten.Thesafe monitoringthe control devices,in particular the generation of shutdown signals and propagationThis shutdown signals to all controllers involved in theRing structure is able to monitor itself. This monitoringis done by test pulses, which are time-shifted in the ring structureat a respective output of a circuit arrangement (claim1) are coupled (claim 25, feature (c)). The coupledTest pulses are time-delayed, ie they do not occur in parallel or overlappingon the multiple channels,especially not on both channels simultaneously. They monitor theOutput line to the nextInput and are from an input circuit in the next safety circuitheld on their further spread.
[0031] Verwendetman als Kombinationsschaltung zum Zusammenfassen der mehrkanaligenEingangssignale mit alternativ vorhandenen Testimpulsen eine Oder-Gatter-ähnlicheSchaltung (Anspruch 14b), gelangt das Impulssignal nicht über diesesGatter hinaus, nachdem zumindest eines der Signale im fehlertreienZustand immer auf dem logischen Pegel High (oder: Eins) ist. Demzufolgeist auch der Ausgang des logischen Oder-Gliedes immer eins, unabhängig vondem Vorhandensein des Testsignals.usedas a combination circuit for combining the multi-channelInput signals with alternatively existing test pulses an OR gate-likeCircuit (claim 14b), does not pass the pulse signal over thisGate out after at least one of the signals in the error-freeState is always at the logic level High (or: one). As a result,Also, the output of the logical OR gate is always one, independent ofthe presence of the test signal.
[0032] DieReduzierung der Kanalzahl, also die Reduzierung von beispielsweisezwei Kanälenzwischen Ausgang der Vorstufe und Eingang der folgenden Stufe wirdim Ringverbund durch die Ausgangsschaltung wieder auf die ursprünglicheKanalzahl erweitert, also vermehrfacht. Bei dieser Vermehrfachungkann erneut ein neues Testsignal eingekoppelt werden, um den nächsten Streckenabschnittder Ringschaltung im Abstand der Impulse zu überprüfen. Die entsprechenden Spannungsmessungen,als Folge der Impulse, sind Auslöserder Erkennung von mechanischen Defekten in der Ringstruktur.TheReduction of the number of channels, ie the reduction of, for exampletwo channelsbetween output of the pre-stage and input of the following stagein the ring network through the output circuit back to the originalNumber of channels expanded, that is increased several times. In this multiplicationAgain, a new test signal can be coupled to the next section of the routethe ring circuit to check the distance of the pulses. The corresponding voltage measurements,as a result of the impulses are triggersthe detection of mechanical defects in the ring structure.
[0033] Diesenicht gleichen Logikpegel sind als ein kurzer Fehlerzustand zu betrachten,der durch die beschriebene Eingangsschaltung jeder Sicherheitsschaltungausgeblendet wird und von dem Sicherheitsbereich noch nicht alsAbschaltzustand interpretiert wird. Dauert diese Unsymmetrie dermehreren Kanäleaber länger an,spricht der Sicherheitsbereich an (Anspruch 20, erste Alternative)und erkennt einen Fehlerzustand, der beispielsweise durch mechanischeDefekte im Zuge der mehrkanaligen Signalführung entstanden ist. Es wird – langsamerals durch die Laufzeiten der Gatter ein Fehlersignal mehrkanaligauf die Ausgangsstufe geschaltet, von wo es dann schnell durch alleGatter der Ringstruktur propagiert, zur Mitteilung an die anderenTeilnehmer des Sicherheitsverbundes.These non-identical logic levels are to be regarded as a short error state, which is masked out by the described input circuit of each safety circuit and is not yet interpreted by the safety area as a shutdown state. However, if this asymmetry of the multiple channels lasts longer, the safety area responds (claim 20, first alternative) and detects a fault condition that has arisen, for example, as a result of mechanical defects in the course of the multi-channel signal routing. It is - more slowly than by the delays of the gates an error signal multi-channel switched to the output stage, from where it then propagates quickly through all the gates of the ring structure, to notify the other part participants of the security association.
[0034] Erkanntwird ein einkanaliges Fehlersignal, aufgrund des Vorhandenseinsvon zumindest zwei Kanälen,weitergegeben wird ein mehrkanaliges Fehlersignal, eingekoppeltin die Ringstruktur. Der Zustand des Rings kippt innerhalb weniger10 Nanosekunden, mit der Folge der Erkennung eines gewünschtenAbchaltens auch durch die anderen Sicherheitsbereiche der anderenSteuergeräte,im oben beschriebenen Sinn. Statt eines einkanalig erkannten Fehlerskann auch ein mehrkanalig erkannter Fehler weitergegeben werden,wobei diese Fehlererkennung die wahrscheinlichere ist, da sie denRegelfall darstellt (Anspruch 20, zweite Alternative). Beide Fehlererkennungensind ohne weiteres kombinierbar und können alternativ Platz greifen.Die Propagierungszeit durch den Ring und damit das Kippen des Ringesauf den Abschaltzustand (Ansprech- oder Sicherheitslage) geschiehtinnerhalb weniger Nanosekunden, die Einkopplung eines Fehlersignalsaufgrund einer Erkennung eines Abschaltwunsches bei einem Antrieberfolgt durch Einkopplung in eine jeweilige Ausgangsstufe.detectedbecomes a single-channel error signal due to the presenceof at least two channels,passed on is a multi-channel error signal, coupledin the ring structure. The condition of the ring tilts within less10 nanoseconds, resulting in the detection of a desiredAbchaltens also through the other security areas of othersControl devices,in the sense described above. Instead of a single-channel detected errorcan also pass on a multi-channel detected error,this error detection is the more probable since it is theNormally represents (claim 20, second alternative). Both error detectionsare easily combinable and can alternatively take up space.The Propagierungszeit by the ring and thus the tilting of the ringon the off state (response or safety position) happenswithin a few nanoseconds, the coupling of an error signaldue to a detection of a shutdown request in a drivetakes place by coupling into a respective output stage.
[0035] Ausgangsstufeund Eingangsstufe einer jeweiligen Sicherheitsschaltung haben alsoeigenständige Aufgaben,sind funktionell getrennt zu betrachten und werden durch ein einkanaligesSignal miteinander verbunden (Anspruch 5, Anspruch 25). Gemeinsambilden sie einen Abschnitt der Ringstruktur, der einer jeweiligenSicherheitsschaltung zugeordnet ist. Zwischen diesen Abschnittenfinden sich Leitungsabschnitte, die zu dem jeweils nächsten Abschnittder Sicherheitsschaltung, auch wiederum bestehend aus der Eingangsschaltungund der Ausgangsschaltung, führen.So betrachtet hat eine jeweilige Sicherheitsschaltung eine Eingangsschaltungund Ausgangsschaltung, welche einkanalig verbunden ist. Funktionellarbeitet aber immer eine Ausgangsschaltung der einen Sicherheitsschaltungmit einer Eingangsschaltung der nächsten Sicherheitsschaltungzusammen, die unterschiedlichen Antrieben zugeordnet ist und inder mit Leitungen verbundenen Form so nicht ausgeliefert wird, logischaber in dieser Form zusammenhängenderklärtwerden muß.Dieser logische Zusammenhang (beispielsweise Anspruch 1, Merkmale(a),(b), Anspruch 15, Merkmale (a),(b), Anspruch 25, Merkmale (a),(b))enthältdie Zweckangabe als Verständnishilfe,aber nicht als Einschränkungder jeweils zu betrachtenden zusammenhängenden Struktur aus Eingangsschaltungund Ausgangsschaltung einer eigenständigen Sicherheitsschaltung.output stageand input stage of a respective safety circuit thus haveindependent tasks,are functionally separated and are characterized by a single-channelSignal connected together (claim 5, claim 25). TogetherMake a section of the ring structure that corresponds to each oneSafety circuit is assigned. Between these sectionsthere are line sections leading to the next sectionthe safety circuit, in turn, consisting of the input circuitand the output circuit.Seen in this way, a respective safety circuit has an input circuitand output circuit, which is connected by a single channel. Functionalbut always works an output circuit of a safety circuitwith an input circuit of the next safety circuittogether, which is assigned to different drives and inthe line-connected form is not delivered so logicallybut coherent in this formexplainedmust become.This logical relationship (for example claim 1, features(a), (b), claim 15, features (a), (b), claim 25, features (a), (b))containsthe indication of purpose as an aid to understanding,but not as a limitationthe respective contiguous structure of input circuit to be consideredand output circuit of an independent safety circuit.
[0036] Hatder Ring eine stabile Sicherheitslage eingenommen, befinden sichalso im regulärenSystemzustand, ohne Verdrahtungs-, Schaltungs- oder Funktionsansprechen,in der Ringstruktur alle mehrkanaligen Signalleitungen auf logischemPegel Null, kann dieser Zustand nur durch äußeren oder Fremdeingriff gelöst werdenund der Ring wieder in seinen Wartezustand, den metastabilen Eins-Zustandbei allen mehrkanaligen Signalen gebracht werden.Hasthe ring a stable security situation taken, are locatedSo in the regularSystem state, without wiring, circuit or function response,in the ring structure all multi-channel signal lines on logicalLevel zero, this condition can only be solved by external or external interventionand the ring returns to its waiting state, the metastable one statebe brought on all multi-channel signals.
[0037] Hierhilft eine Übersteuerungder Eingangsstufe (Eingangsschaltung) einer jeweiligen Sicherheitsschaltung,beispielsweise durch Ergänzungeines weiteren Eingangs der Oder-Funktion, auf welchen Eingang einEins-Signal aufgesteuert wird, wenn alle anderen Sicherheits-Bedingungenfür dieWiedereinschaltung der gekoppelten Antriebe erfüllt sind. Dieses Signal istfür einekurze Zeit, beispielsweise zwischen 20 msec und 100 msec aktiv, übersteuertdie aus der Ausschaltlage weiterzugebende logische Null am Eingang,zugunsten eines kurzzeitig forcierten Eins-Zustandes (High-Pegel)an dem einkanaligen Zwischensignal zwischen der Eingangsschaltungund der Ausgangsschaltung der Sicherheitsschaltung, um es am Ausgangzu ermöglichen, dortebenfalls durch Vorsteuern von Eins-Signalen auf beiden Kanälen einemehrkanalige Eins-Information als Ausgangssignal zu dem nächsten Eingangssignalzu geben.Herehelps an overridethe input stage (input circuit) of a respective safety circuit,for example, by supplementationanother input of the OR function, on which inputOne signal is turned on if all other safety conditionsfor theReclosing of the coupled drives are met. This signal isfor oneshort time, for example, between 20 msec and 100 msec active, overdriventhe logical zero to be relayed from the switch-off position at the entrance,in favor of a momentarily forced one state (high level)at the single-channel intermediate signal between the input circuitand the output circuit of the safety circuit to it at the outputto enable therealso by pre-controlling one-signals on both channels onemulti-channel one information as an output signal to the next input signalto give.
[0038] Dortist an der adressierten Eingangsschaltung ebenfalls eine Übersteuerungwirksam, wie auch an den im Ring folgenden Sicherheitsschaltungen,so dass sämtlicheSicherheitsschaltungen in dem Ring auf einen Zustand gelegt werden,der eine Eins-Information an allen mehrkanaligen Ausgängen undEingängenerlaubt.Thereis also an override at the addressed input circuiteffective, as well as on the safety circuits following in the ring,so that allSafety circuits in the ring are put on a statethe a one-information on all multi-channel outputs andinputsallowed.
[0039] Istdieser forcierte Zustand erreicht, kann das Übersteuerungs- oder auch Ausblend-Signal genannte Signalan allen Eingangsschaltungen weggeschaltet werden. Der Ring bleibtin seinem (metastabilen) Wartezustand.isreached this forced state, the override or blanking signal called signalbe switched off at all input circuits. The ring remainsin his (metastable) waiting state.
[0040] Ausführungsbeispieleerläuternund ergänzendie Erfindung(en).embodimentsexplainand completethe invention).
[0041] 1 veranschaulichtein Schaltungskonzept füreine Ringstruktur mit drei Sicherheitsschaltungen A, B und C, wobeijede dieser Sicherheitsschaltungen einem Antrieb zugeordnet ist,der mit AA, AB und AC bezeichnet ist. 1 illustrates a circuit concept for a ring structure with three safety circuits A, B and C, wherein each of these safety circuits is associated with a drive, the with AA, AB and AC be is drawing.
[0042] 2 istein Signaldiagramm zur Veranschaulichung eines Abschaltens durchdie Ringstruktur, wobei Sensor A anspricht. Dieser Sensor ist demAntrieb AA und der Sicherheitsschaltung A zugeordnet. Er wird mit A50bezeichnet. 2 FIG. 12 is a signal diagram illustrating a turn-off by the ring structure where sensor A is responsive. This sensor is assigned to the drive AA and the safety circuit A. He is called A50.
[0043] 3 veranschaulichtein Abschalten des Sensor B50, welcher dem Antrieb AB und der SicherheitsschaltungB zugeordnet ist. 3 illustrates a shutdown of the sensor B50, which is the drive AB and the safety circuit B assigned.
[0044] 4 isteine Veranschaulichung von zeitlich aufgetragenen Signaldiagrammender Signale c20b(t) und c20a(t) unter Einfluss von Testsignalen100. 4 FIG. 4 is an illustration of plotted timing diagrams of signals c20b (t) and c20a (t) under the influence of test signals 100.
[0045] 1 veranschaulichteine Ringstruktur aus drei Schaltungsanordnungen und drei Antriebenmit zugeordnetem Umrichter (Frequenzumrichter). Die Frequenzumrichterals Repräsentanteiner Schaltung der Leistungselektronik sind nicht gesondert dargestellt,sie sind allgemein bekannt. Beispielsweise der Antrieb C, abgekürzt AC weisteinen Sicherheitsbereich C33 aus zumindest zwei Mikrokontrollern μC1, μC2 auf, derdie Eingangssignale c10b(t) und c10a(t) erfasst, daraus einen Fehlerzustandableitet und entsprechend vorgegebener Schaltmechanismen und Steuervorgabeneinen Stopp einleitet, beispielsweise der Kategorie Null, der KategorieEins oder der Kategorie Zwei. Das kann zusätzlich einstellbar sein undausgewähltwerden. 1 illustrates a ring structure of three circuits and three drives with associated inverter (frequency converter). The frequency converter as a representative of a circuit of the power electronics are not shown separately, they are well known. For example, the drive C, abbreviated AC has a safety area C33 from at least two micro-controllers μC1, μC2, which detects the input signals c10b (t) and c10a (t), derives therefrom a fault condition and initiates a stop according to predetermined switching mechanisms and control specifications, such as Category Zero, Category One or Category Two. This can be additionally adjustable and selected.
[0046] EinePeripherie fürSicherheitssensoren, repräsentiertanhand der anderen beiden Antriebe AA, AB und des zugehörigen Sensor-BereichesA50 und B50 gibt weitere Signale zur Auswertung an die jeweiligeSicherheitsschaltung A33 bzw. B33, auch Sicherheitsbereich des jeweiligenAntriebs bzw. des Umrichters genannt. Der Antrieb C hat keinen solchengesonderten peripheren Sicherheitssensor, sondern nur eine Eigensicherheit,die mit C33 repräsentiertist.APeriphery forSafety sensors, representedbased on the other two drives AA, AB and the associated sensor areaA50 and B50 provide further signals for evaluation to the respectiveSafety circuit A33 or B33, also safety area of the respectiveCalled drive or the inverter. The drive C has no suchseparate peripheral security sensor, but only intrinsic safety,which represents C33is.
[0047] JederBereich eines Antriebs AA, AB und AC mit zugehörigem Umrichter hat einen Logikabschnitt,der hier vergrößert dargestelltist und dem die Verteilung der Sicherheitssignale eines jeweiligenAntriebs zugewiesen wird. Die überden Logikbereich hinausgehenden Steuerelemente des Umrichters sindnicht dargestellt.EveryoneRange of a drive AA, AB and AC with associated inverter has a logic section,the enlarged shown hereis and the distribution of the security signals of eachDrive is assigned. The abovethe logic range beyond controls the inverternot shown.
[0048] Esist zu erwähnen,dass die drei vorgegebenen Antriebsbereiche AA, AB und AC mit ihremjeweiligen Logikbereich A, B und C vom inneren Aufbau her vergleichbarsind, insbesondere ist der Logikbereich A, B und C gleich gestaltet.Die Beschreibung erfolgt daher maßgeblich im Bereich A des AntriebsAA, kann hinsichtlich der Bauelemente und Funktionen unmittelbarauf die Logikbereiche B des Antriebs AB und C des Antriebs AC übertragenwerden. Die Bezugszeichen sind gleich, lediglich mit den zugehörigen Buchstabengekennzeichnet. So entspricht der Eingang A10 des AntriebsbereichesAA dem Eingang C10 des Antriebsbereiches AC und dieser wiederumdem Eingangsbereich B10 des Antriebsbereiches AB. Gleiches giltfür dieAusgängeA20, C20 bzw. B20.Itis to mentionthat the three predetermined drive ranges AA, AB and AC with theirrespective logic area A, B and C comparable in terms of internal structureIn particular, the logic area A, B and C are the same.The description is therefore largely in the area A of the driveAA, can be immediate in terms of components and functionstransferred to the logic areas B of the drive AB and C of the drive ACbecome. The reference numbers are the same, only with the associated letterscharacterized. Thus the input A10 corresponds to the drive rangeAA to the input C10 of the drive area AC and this in turnthe entrance area B10 of the drive area AB. same forfor theoutputsA20, C20 or B20.
[0049] DieSignale sind mit Kleinbuchstaben bezeichnet und bei der ersichtlichenmehrkanaligen Ausführung, hierzweikanalig dargestellt, sind jeweils zwei Eingangssignale eigenständig aberparallel und zwei Ausgangssignale eigenständig und parallel. Ein jeweiligerAusgang einer Sicherheits-Schaltungsanordnung wird über diegenannten zwei Kanäleauf den Eingang der nächsten(folgenden) Sicherheitsschaltung geschaltet. Deren Ausgang wirdwiederum auf den übernächsten Eingangund dessen Ausgang auf den ersten Eingang der Ausgangsschaltungzurückgekoppelt.Damit entsteht eine Ringstruktur, die bei den gezeigten drei Sicherheitsschaltungenin der beschriebenen Weise vorgenommen wird.TheSignals are denoted by lowercase letters and by the apparentmulti-channel version, heredual-channel, two input signals are independent, howeverparallel and two output signals independently and in parallel. A respective oneOutput of a safety circuit is over thementioned two channelsto the entrance of the next(following) safety circuit switched. Their output isturn to the next but one entranceand its output to the first input of the output circuitfed back.This creates a ring structure, which in the three safety circuits shownis made in the manner described.
[0050] Esist ersichtlich, dass eine beliebige Anzahl von Sicherheitsschaltungenin diese Ringstruktur eingefügtwerden kann, ohne dass es eine äußere Begrenzunggibt.ItIt can be seen that any number of safety circuitsinserted into this ring structurecan be without it being an outer boundarygives.
[0051] Ersichtlichist auch, dass keine der Sicherheitsschaltungen in ihrem Aufbauoder in der Anzahl ihrer Kanäleoder Eingängeoder Ausgängedavon abhängigist, wie viele Sicherheitsschaltungen tatsächlich in die Ringstruktureingefügtwurden oder worden sind.apparentis also that none of the safety circuits in their constructionor in the number of their channelsor inputsor outputsdepends onis how many safety circuits actually in the ring structureaddedhave been or have been.
[0052] Diebesagte Ringstruktur besteht aus mehreren Abschnitten. Ein jeweiligerLogikabschnitt ist einer Sicherheitsschaltung zugeordnet und bestehtaus einer Eingangsschaltung A30 und einer folgenden AusgangsschaltungA40, entsprechend auch die Eingangsschaltung C30 und die AusgangsschaltungC40 der Sicherheitsschaltung C beim Antrieb CC. Die außerhalbder Logikabschnitte liegenden Ringabschnitte sind Leitungsführungen,in der beschriebenen, zumindest zweikanalig ausgebildeten Strukturaus eigenständigenSignalen, die im regulärenBetrieb, also ohne mechanische oder elektrische Defekte gleichelogische Pegel besitzen, jedenfalls stationär betrachtet.The said ring structure consists of several sections. A respective logic section is assigned to a safety circuit and consists of an input circuit A30 and a subsequent output circuit A40, correspondingly also the input circuit C30 and the output circuit C40 of the safety circuit C at the drive CC. The lying outside the logic sections ring sections are cable guides, in the described, at least two-channel structure formed of independent signals that have the same logical level in regular operation, ie without mechanical or electrical defects, depending if considered stationary.
[0053] Einnormaler logischer Einschaltpegel, der keinen Ausschaltfall undkeinen Fehlerfall symbolisiert, ist eine logische Eins (High-Pegel)auf allen Leitungsabschnitten. Das gilt dann auch für die beispielhaftherangezogenen Signale a10a und a10b. Sie stammen aus dem AusgangC20 der Sicherheitsschaltung C, gekoppelt zur SicherheitsschaltungA. Dort sind es die Signale c20a(t) und c20b(t).Onenormal logical switch-on level, no switch-off case andsymbolizes no error case, is a logical one (high level)on all pipe sections. This also applies to the exampleused signals a10a and a10b. They come from the exitC20 of the safety circuit C, coupled to the safety circuitA. There are the signals c20a (t) and c20b (t).
[0054] AmEingang einer jeweiligen Sicherheitsschaltung "horcht" (ist also signalauskoppelnd angeschlossen)ein Sicherheitsbereich, bei Bereich C die Schaltung C33, der redundantaus mehreren, hier zwei Mikrokontrollern μC1, μC2 bestehen kann, welche dielogische Sicherheitsabschaltung übernehmenund mit einer Schaltverzögerungarbeiten. Diese SchaltverzögerungT1 bringt es mit sich, dass ein Wechsel der beiden Kanäle auf denLow-Zustand (logisch Null) ein Abschalten des Sicherheitsbereichesund eine Erkennung des Fehlerfalls erst nach dieser Ansprechverzögerung veranlasst.T1 liegt im Bereich von bevorzugt oberhalb 1 msec, kann aber auchniedriger gewähltwerden, oberhalb von 500 nsec.At theInput of a respective safety circuit "hears" (is thus connected signal-coupling)a security area, in area C the circuit C33, which is redundantcan consist of several, here two microcontrollers μC1, μC2, which theassume logical safety shutdownand with a switching delaywork. This switching delayT1 brings with it a change of the two channels on theLow state (logical zero) a shutdown of the safety areaand causes recognition of the error case only after this response delay.T1 is in the range of preferably above 1 msec, but can also bechosen lowerbe, above 500 nsec.
[0055] Dassichere Stillsetzen eines Antriebs wird entweder durch die Aktivierungeines der Sensoren in der Peripherie (als aktiver oder passiverSensor) gestaltet: Ein solcher Sensor kann beispielsweise ein Lichtgitter, eineSicherheitsmatte oder eine Lichtschranke sein. Ihre Signale werdendem Sicherheitsbereich zugeführt, beispielsweiseC33 bei Antrieb C oder A33 bei Antrieb A.TheSafe stopping of a drive is either by activationone of the sensors in the periphery (as active or passiveSensor) designed: Such a sensor, for example, a light grid, aSafety mat or a light barrier. Your signals will besupplied to the security area, for exampleC33 with drive C or A33 with drive A.
[0056] Dieso erhaltene Abschaltinformation von A50 betrifft zunächst denBereich des Antriebs A. Sie weiter-zu-vermitteln ist Aufgabe desRinges, der aus Logikbauelementen eine sehr geringe Laufzeit T0im Sinne einer Propagierung eines Ausschaltsignals aufweist. Dazuspeist der Sicherheitsbereich A33 ein mehrkanaliges Ausschaltsignal über dieSignalausgängeO1 und O2 auf zwei Und-Gatter A40b und A40a. Gehen die Signale O1und O2 auf Null, wird auch das Ausgangssignal Null, was am AusgangA20 als zwei eigenständige Signale,die aber parallel und im wesentlichen gleichzeitig auf logisch Nullschalten, erscheint. Überden Zwischenabschnitt der Leitungsführung wird dieses Abschaltsignalauf den Eingang B10 der nächstenSicherheitsstufe B weitergeleitet.TheThus obtained shutdown information from A50 first concerns theArea of the drive A. It is task of the further-to-mediateRinges, the logic components of a very low running time T0in the sense of propagating a turn-off signal has. Tothe safety area A33 feeds a multi-channel switch-off signal via thesignal outputsO1 and O2 on two AND gates A40b and A40a. Go the signals O1and O2 to zero, even the output signal will be zero, indicating the outputA20 as two independent signals,but parallel and essentially simultaneously at logical zeroswitch, appears. aboutthe intermediate portion of the wiring is this shutdown signalon the entrance B10 the nextSecurity level B forwarded.
[0057] ZurSicherheitsschaltung A gelangt in entsprechender Weise auch dasAusgangssignal des Ausgangs C20 der Sicherheitsschaltung C, über diebeiden Signale c20a(t) und c20b(t) zum Eingang A10. Auch hier liegeneigenständigeSignale vor, die aber parallel auf Null schalten, wenn das Low-Signaldes Eingangs B10 durch die Logikgatter der Sicherheitsstufe B undden die Eingangsschaltung C30 der Sicherheitsstufe C propagiertist, um am Ausgang C20 zu erscheinen.toSafety circuit A passes in a similar manner and theOutput of the output C20 of the safety circuit C, via theboth signals c20a (t) and c20b (t) to input A10. Also here areindependentSignals in front, but which switch to zero in parallel when the low signalof the input B10 through the logic gates of the security level B andwhich propagates the input circuit C30 of security level C.is to appear at output C20.
[0058] DieLogiksignale a10a(t) und a10b(t) gelangen im wesentlichen zeitgleichzum Oder-Gatter C30, welches die Eingangsschaltung der Ringstrukturin der Sicherheitsschaltung A darstellt. Die Eingangsschaltung A30nimmt das mehrkanalige Signal des Eingangs A10 auf, ist als Funktionsgliedso ausgebildet, aus diesem mehrkanaligen Eingangssignal ein in derKanalzahl reduziertes Zwischensignal a30(t) zu bilden, das bei gleichzeitigauf Null liegendem Eingangssignalen auch auf Null schaltet, um dieUnd-Gatter der Ausgangsschaltung A40 wiederum mehrkanalig mit einemNull-Signal zu versorgen, was aber keine weiteren Auswirkungen hat,nachdem diese Gatterschaltungen Auslöser und das einkoppelnde Elementdes Abschaltsignals in den Ring waren.TheLogic signals a10a (t) and a10b (t) arrive substantially simultaneouslyto the OR gate C30, which is the input circuit of the ring structurerepresents in the safety circuit A. The input circuit A30picks up the multi-channel signal of the input A10, is as a functional elementdesigned so from this multi-channel input signal in theChannel number reduced intermediate signal a30 (t) to form at the same timeZero input signals also to zero switches to theAnd gate of the output circuit A40 again multi-channel with aZero signal, which has no further effects,after these gate circuits trigger and the coupling elementthe shutdown signal were in the ring.
[0059] Dergesamte Ring liegt nunmehr auf einem Low-Potential, was sämtlicheLeitungsführungenzwischen den Ringabschnitten innerhalb der Sicherheitsschaltungenbetrifft, und zusätzlichauch die gesamten Signalleitungen der Logikbausteine der Sicherheitsschaltungenselbst betrifft.Of theentire ring is now at a low potential, which is allwiringsbetween the ring sections within the safety circuitsconcerns, and additionallyalso the entire signal lines of the logic components of the safety circuitsitself concerns.
[0060] DasSicherheitssignal, hier der Wechsel von dem wartend stabilen, eigentlichmetastabilen Eins-Zustand zu dem stabilen Null-Zustand, welchereinen Fehlerfall und eine Abschaltinformation symbolisiert, istzuverlässigund schnell erreicht. SämtlicheSicherheitsbereiche A33, C33 und entsprechend auch der AbschaltbereichB33 könnenjetzt aufgrund vorgegebener eigener Logik die vorgezeichnete Abschaltungdurchführen. Keinerdieser Sicherheitsbereiche war an der Weiterleitung des durch denRing propagierenden Abschaltsignals beteiligt, vielmehr ist derRing eigenständigauf Null gekippt, sehr schnell und nur verzögert durch die Summe T0 derLaufzeiten der im Ring beteiligten Logikgatter.TheSafety signal, here the change from the waiting stable, actuallymetastable one state to the stable zero state, whichan error case and a shutdown symbolizes isreliableand reached quickly. AllSafety areas A33, C33 and accordingly also the switch-off areaB33 cannow due to given own logic the pre-marked shutdowncarry out. noneof these security areas was at the forwarding of by theRing propagating shutdown signal involved, rather is theRing on its owntipped to zero, very fast and only delayed by the sum T0 ofRunning times of the logic gates involved in the ring.
[0061] Jedeeingangsseitig und ausgangsseitig verschaltete Sicherheitsschaltungsteht mithin in dem Ringverbund (der Ringstruktur) zur Überwachungaller an der Ringstruktur beteiligten Teilnehmer und ihrer Antriebe sowieSteuergeräte.eachon the input side and output side interconnected safety circuitis therefore in the ring compound (the ring structure) for monitoringall participants involved in the ring structure and their drives as wellECUs.
[0062] DerreguläreBetriebsfall war so beschrieben, als hier alle Schaltungen ordnungsgemäß arbeitenund die Leitungen keine Fehlerfälleoder mechanischen Defekte, wie Querkopplungen, festes Null-Signaloder festes Eins-Signal oder eine Unterbrechung aufweisen. Der Sicherheitsfallist hier angenommen die Situation, bei der alle Signale auf logischNull kippen. Es kann ebenso auch die umgekehrte Logik realisiertwerden, bevorzugt ist aber die Ausschaltung bei dem logischen SignalpegelNull. Dies stellt den Sicherheitsfall und die sichere Lage des Ringesdar.Of theregularOperating case was described as all circuits work properly hereand the lines no faultsor mechanical defects, such as cross-couplings, fixed zero signalor a fixed one signal or an interruption. The security caseHere is the situation where all signals are logicalZero zero. It can also realize the reverse logicbe but preferred is the elimination at the logic signal levelZero. This represents the security case and the secure location of the ringrepresents.
[0063] Einemehrkanalige Eingangsschaltung und eine mehrkanalige Ausgangsschaltungderselben Sicherheitsschaltung sind in der beschriebenen Weise durchdas Signal a30(t), entsprechend auch das Signal c30(t), gekoppelt,welches Ausgangssignal der Eingangsschaltung A30 bzw. C30 ist.Amulti-channel input circuit and a multi-channel output circuitthe same safety circuit are in the manner described bythe signal a30 (t), correspondingly also the signal c30 (t), is coupled,which is the output signal of the input circuit A30 or C30.
[0064] Durchdiese Reduzierung der Kanalanzahl und die Eingangsschaltung C30im Sinne einer Oder-Funktion könnenTestimpulse 100, welche nicht gleichzeitig auf allen, hier den beidenKanälenauftreten, ausgeblendet werden. Diese eingesteuerten Testsignaleeiner Impulsschaltung C35 der Sicherheitsschaltung C, hier eingekoppelt über dieAusgangsschaltung C40, den Ausgang C20, weiter an den Eingang A10und die Eingangsschaltung A30 reicht in seiner Wirkung nicht weiter,als bis zu dieser Eingangsschaltung. Damit kann ein solches mehrkanaligesTestsignal nicht weiter propagieren und prüft nur die Funktion der Ausgangsschaltungund des Leitungsabschnitts zwischen dem Ausgang und dem nächstfolgendenEingang. In gleicher Weise sind Impulsschaltungen A35, B35 auchjeder anderen Sicherheitsschaltung zugeordnet, die auch jeweilsnur einen begrenzten Abschnitt des Rings überprüfen, ausgehend von dem Ausgangvon beispielsweise A20 bis zur nächstenEingangsschaltung B30. Die Testimpulse werden in dem jeweiligen,die Eingangsschaltung bildenden Funktionsglied gesperrt und können esnicht passieren.Bythis reduction in the number of channels and the input circuit C30in the sense of an OR functionTest pulses 100, which are not simultaneous on all, here the twochannelsoccur, are hidden. These controlled test signalsa pulse circuit C35 of the safety circuit C, coupled here via theOutput circuit C40, the output C20, on to the input A10and the input circuit A30 does not continue in its effect,as up to this input circuit. Thus, such a multi-channelDo not further propagate the test signal and only check the function of the output circuitand the line section between the output and the next followingEntrance. In the same way, pulse circuits A35, B35 are alsoassociated with each other security circuit, which also respectivelycheck only a limited section of the ring, starting from the exitfrom, for example, A20 to the nextInput circuit B30. The test pulses are in the respective,locked the input circuit forming functional element and it cannot happen.
[0065] DieTestimpulse, welche in der 4 mit einerkleinen Impulsbreite T2a, T2b dargestellt sind, sind als Impulse100 auf die Signale aufgekoppelt, in ihrer Impulsbreite aber schmäler, alsdie Ansprechverzögerung T1jedes der beteiligten Sicherheitsbereiche C33, A33 und B33. Diesist Voraussetzung dafür,dass keiner der Sicherheitsbereiche durch die Testsignale anspricht,gleichzeitig aber eine eigenständige Überprüfung der Funktionsfähigkeitder Ringstruktur sichergestellt werden kann.The test pulses, which in the 4 with a small pulse width T2a, T2b are coupled as pulses 100 to the signals, but in their pulse width narrower than the response delay T1 of each of the participating security areas C33, A33 and B33. This is a prerequisite for the fact that none of the safety areas responded by the test signals, but at the same time an independent review of the functionality of the ring structure can be ensured.
[0066] DieSicherheitsbereiche sprechen namentlich auch dann an, wenn eineUnsymmetrie der Pegel an ihrem Eingang für eine längere Zeit anliegt, als dieAnsprechverzögerungT1. Dies wird als ein mechanischer oder elektrischer Defekt interpretiert,der zu einem sicheren Abschalten führen wird.TheSecurity areas respond by name even if oneUnbalance of the level at its input for a longer time is applied than thedelayT1. This is interpreted as a mechanical or electrical defect,which will lead to a safe shutdown.
[0067] Dienicht gleichen Logikpegel auf den zwei Signalleitungen zwischenbeispielsweise Ausgang C20 und Eingang A10 werden nach Ablauf vonbeispielsweise 1 msec von dem Sicherheitsbereich A33 mit seinenzwei Mikrokontrollern erkannt und über die Signale O1, O2 in denRingverbund eingekoppelt, nachdem das Oder-Gatter A30 diesen Systemzustandnicht erkennen würdeund nicht selbst die Propagierung des Fehlersignals übernehmenkann.Thenot equal logic level on the two signal lines betweenFor example, output C20 and input A10 will expire after expiration offor example, 1 msec from the security area A33 with itstwo microcontrollers detected and via the signals O1, O2 in theRing compound coupled after the OR gate A30 this system statewould not recognizeand not even take over the propagation of the error signalcan.
[0068] Vermitteltwird dabei von dem Sicherheitsbereich A33 aus einem einkanaligenFehler (nicht gleiche Logikpegel am Eingang A10) ein mehrkanaligesAbschaltsignal überdie beiden Und-Gatter A40b und A40a, die es in den Ring einkoppeln.Von hier aus propagiert dieses Fehlersignal selbstständig über sämtlichebeteiligte Teilnehmer mit einer großen Geschwindigkeit, lediglichverzögertum die Laufzeiten, die man als praktisch verzögerungsfrei ansehen kann. Selbstbei vielen beteiligten Teilnehmern in dem Sicherheitsring werdenLaufzeiten von 200 nsec kaum überschritten.Die realen Laufzeiten sind vielmehr wesentlich geringer, bis einbei beispielsweise Ausgangsschaltung A40 eingekoppeltes Fehlersignalwiederum diese Ausgangsschaltung über das vorgelagerte EingangsgliedA30 und zuvor sämtlicheRingteilnehmer erreicht.mediatedis from the safety area A33 of a single-channelError (not same logic level at input A10) a multi-channelShutdown signal viathe two AND gates A40b and A40a, which couple it into the ring.From here propagates this error signal independently on allinvolved participants at a great speed, onlydelayedaround the maturities, which can be considered as virtually delay-free. Evenbe in the security ring with many participants involvedRun times of 200 nsec hardly exceeded.The real terms are much lower, until afor example, output circuit A40 coupled error signalagain this output circuit via the upstream input elementA30 and before allRing participant reached.
[0069] Dieminimale Anzahl von Ringteilnehmern ist zwei, wenn z.B. nur dieSicherheitsschaltung A und B eingesetzt werden, mit Ausgang A20gekoppelt an Eingang C10.Theminimum number of ring participants is two, if e.g. only theSafety circuit A and B are used, with output A20coupled to input C10.
[0070] Auchin dieser Schaltung sind die Impulse 100 den Signalleitungen überlagerbar,um un-symmetrische Logikpegel zu erzeugen, welche aber so kurz sind,dass die Sicherheitsbereiche C33 und A33 noch nicht ansprechen.Die Logikpegel werden demnach nicht gleichzeitig auf allen parallelenKanälenin einem jeweiligen Abschnitt zwischen Ausgang und Eingang von zweibenachbarten Sicherheitsschaltungen angelegt, sondern zeitversetztund damit nicht überlappend.Die zeitliche Beabstandung T4 bzw. die Wiederholrate der Testimpulsekann wesentlich längersein, als ihre Impulsbreite, so zwischen 10 mal bis über 100mal länger,was durch den Zeitabstand T4 in 4 verdeutlichtist. Dort sind auch die nicht überlappendenTestimpulse 100 auf beiden Signalen c20b(t) und c20a(t) dargestellt.Es ergibt sich daraus, das einkanalige Zwischensignal a30(t), nachder Eingangsschaltung A30, das diese Testimpulse ausgeblendet hatbzw. nicht passieren lässt.Also in this circuit, the pulses 100 are superimposed on the signal lines to produce unbalanced logic levels, but which are so short that the safety areas C33 and A33 are still unresponsive. Accordingly, the logic levels are not applied simultaneously on all parallel channels in a respective section between the output and input of two adjacent safety circuits, but are time-shifted and thus non-overlapping. The temporal spacing T4 or the repetition rate of the test pulses can be substantially longer than their pulse width, thus between 10 times to over 100 times longer, which is represented by the time interval T4 in FIG 4 is clarified. There, the non-overlapping test pulses 100 are also shown on both signals c20b (t) and c20a (t). This results in the single-channel intermediate signal a30 (t), after the input circuit A30, which has or does not pass these test pulses.
[0071] EinAbschaltfall, der nicht automatisch und eigenständig, unabhängig von dem Ansprechen einerder Sicherheitsschaltungen A33, C33 oder B33 durch die Logikschaltungendes Rings propagiert wird, ist derjenige der durch elektrischenoder mechanischen Defekt verursachten Unsymmetrie eines EingangsA10, bzw. der hier ankommenden Eingangssignale. Diese können anden Logikgattern vorbei von dem Sicherheitsbereich nach Ablauf desMindestintervalls T1 (als Ansprechverzögerung) an der EingangsschaltungA30 vorbeigeleitet und in dem Ausgang A40 eingekoppelt werden. Diesist eine zusätzlicheMöglichkeit,mehr oder höhereSicherheit zu erhalten, fürdie eigentliche Funktion des Ringes aber nicht erforderlich. DieFunktion des Ringes ist vielmehr sichergestellt, unabhängig voneinem Ansprechen oder Nichtansprechen eines der Sicherheitsbereiche(als Signal oder Sicherheitsabschaltung C33, A33 und B33).OneDisconnection case, which is not automatic and independent, regardless of the response of athe safety circuits A33, C33 or B33 by the logic circuitsof the ring is propagated by the electricor mechanical defect caused imbalance of an inputA10, or the incoming input signals here. These can be onthe logic gates past the security area after expiration of theMinimum interval T1 (as response delay) at the input circuitA30 bypassed and coupled in the output A40. Thisis an extraPossibility,more or higherTo get security forthe actual function of the ring but not required. TheFunction of the ring is rather ensured, regardless ofresponding to or not responding to one of the security areas(as signal or safety shutdown C33, A33 and B33).
[0072] Dasdirekte Durchleiten im Sinne einer praktisch verzögerungsfreienWeitergabe durch jeweils eine Eingangs-/Ausgangsschaltung einerSicherheitsschaltung arbeitet auch ohne jede Beteiligung des nuram Eingang horchenden oder signalauskoppelnden Sicherheitsbereichesmit den redundanten Mikrokontrollern.Thedirect passage in the sense of a virtually delay-freePassing through in each case an input / output circuit of aSecurity circuit also works without any involvement of the onlyat the entrance listening or signal decoupling security areawith the redundant microcontrollers.
[0073] Sowohlder Ring arbeitet eigenständigund unabhängig,wie auch die Abschaltung eines jeweiligen Antriebs eigenständig erfolgt.Sie sind gekoppelt überdas Horchen am Eingang (fürdie Abschalterkennung) und durch das Einkoppeln des Abschaltsignalsam Ausgang (fürdie Weiterleitung des Ausschaltsignals).Eitherthe ring works independentlyand independent,as well as the shutdown of a respective drive is done independently.They are coupled overlistening at the entrance (forthe disconnect detection) and by the coupling of the switch-off signalat the exit (forthe forwarding of the switch-off signal).
[0074] Istder metastabile Zustand im Ring einmal durch eine Ausschaltinformationauf logisch Null gelegt, kann dieser Ring erst durch Fremdeinflusswieder den Logisch-Eins-Zustanderreichen. Es ist eine besondere Einrichtung erforderlich, die hierdurch einen weiteren Eingang des Funktionsgliedes der Eingangsschaltung A30,B30 und C30 ermöglichtwird.isthe metastable state in the ring once by a switch-off informationset to logical zero, this ring can only by foreign influenceagain the logical one stateto reach. There is a special facility needed herethrough a further input of the functional element of the input circuit A30,B30 and C30 enabledbecomes.
[0075] DieAbschaltung eines Sicherheitsbereiches wird auch von diesem gleichenSicherheitsbereich wieder rückgängig gemacht.Dazu wird von dem die Abschaltung auslösenden Sicherheitsbereich A33,bei angenommenem Ansprechen des Sensors A50, ein Eins-Signal aufdem dritten Eingang des Oder-Gatters A30 – nach Eintreffen eines Quittungspulsesan NA-Q und Wegfall des Sensoransprechens – gelegt. Die Freigabe wirkt auchauf die Abschaltsignale O1, O2, so dass der innere Abschnitt desRings im Bereich der Sicherheitsstufe A durch Außeneinfluss auf logisch Einsgelegt wird. Der Ausgang A20 ist damit forciert mehrkanalig logisch Eins.TheShutdown of a security area will also be the sameSecurity area undone.For this purpose, the security area A33 triggering the shutdown,assuming A50 sensor response, a one-way signalthe third input of the OR gate A30 - after receipt of an acknowledgment pulseto NA-Q and elimination of the sensor response - placed. The release also worksto the shutdown signals O1, O2, so that the inner portion of theIn the area of security level A, due to external influence on logical oneis placed. The output A20 is thus forced multi-channel logic one.
[0076] Eswird auch bei allen anderen Antrieben die gleiche forcierte Einflussnahme über dasQuittungssignal q(t) geschehen, so dass auch sämtliche übrige Ausgänge B20 und C20 mehrkanaligauf logisch Eins angehoben werden. Damit liegen auch sämtlicheEingängemehrkanalig auf logisch Eins und der Zwangseingriff über denzusätzlichen Eingangdes jeweiligen Oder-Gatters A30, B30 und C30 kann weggeschaltetwerden. Der Ring hältsich – wennkein weiterer Fehlerfall oder kein weiteres Abschaltsignal einesSensors vorliegt – selbsttätig undeigenständigin dem metastabilen Zustand, als Wartezustand.Itis the same forced influence on the other drivesAcknowledgment signal q (t) done, so that all other outputs B20 and C20 mehrkanaligbe raised to logical one. So are allinputsmultichannel to logical one and the forced intervention over theadditional entranceof the respective OR gate A30, B30 and C30 can be switched offbecome. The ring stopsyourself - ifno further error or no further shutdown signalSensors present - automatically andindependentlyin the metastable state, as a waiting state.
[0077] Für diesebeschriebene Arbeitsweise werden die Kaskadierung und die Propagierungdes Null-Signals außerKraft gesetzt. Das diese Außer-Kraft-Setzungerreichende Signal q(t) ist nur pulsförmig, fällt also nach einer kurzenZeitspanne T3, beispielsweise größer 10 msecoder größer 20 msecweg, zu welchem Zeitpunkt es nicht mehr benötigt wird, um den Ring in seinemEins-Zustand zu halten. Die Pulsdauer dieses Signals sollte größer sein,als die Ansprechverzögerungder Sicherheitsbereiche.For thisThe procedure described is the cascading and the propagationof the zero signal exceptPower set. This over-settingreaching signal q (t) is only pulsed, so falls after a shortTime span T3, for example greater than 10 msecor greater than 20 msecaway, at which time it is no longer needed to ring in hisTo keep one state. The pulse duration of this signal should be greateras the response delaythe security areas.
[0078] Das Übersteuernder Eingangsschaltung, beispielsweise der Eingangsschaltung C30an dem dritten Eingang erfolgt von dem betreffenden Sicherheitsbereichnur, wenn beide beteiligte Mikrokontroller das Freigabesignal erteilen,im Bereich C ist das der Sicherheitsbereich C33, das Und-GatterC31 und die Ansteuerung dieses Und-Gatters von beiden am SicherheitsbereichC33 beteiligten Mikrokontrollern. Die Einschalt-Information wird auch mit den O1-, O2-Signalen über dieUnd-Gattern C40b und C40a verknüpft,damit a30(t) = 1 auf den Ring wirken kann. Gleiches geschieht beiallen anderen Sicherheitsschaltungen, gekoppelt über das pulsförmige q(t)-Signalals Einschaltquittierung.The oversteerthe input circuit, for example the input circuit C30at the third entrance takes place from the respective security areaonly if both participating microcontrollers issue the enable signal,in area C this is the security area C33, the and gateC31 and the triggering of this AND gate of both at the security areaC33 involved microcontrollers. The switch-on information is also transmitted with the O1, O2 signals via theAnd gates C40b and C40a linked,so that a30 (t) = 1 can act on the ring. The same happens atall other safety circuits coupled via the pulse shaped q (t) signalas switch-on acknowledgment.
[0079] DieFunktionsweise beim Auslösendes Ansprechens des Sensors A im Sicherheitsbereich des AntriebesAA ist in 2 schematisch erläutert, mitZeitdiagrammen und Logikpegeln. Bei der Schaltung nach 1 erfolgtdas Auslöseneiner Abschaltinformation und das Weiterleiten dieser Informationbeginnend mit dem Ansprechen beispielsweise des Sensors A50, Ziffer(1) (eingekreiste Ziffern in 2). Dievorgegebene Flanke wird praktisch verzögerungslos über die gesamte RingstrukturA20, B10, B20, C10, C20, A10 weitergekoppelt, nachdem sie in dasAusgangssignal A20 überdie Ausgangsstufe A40 eingekoppelt wurde. Das repräsentiert daszweite Diagramm "WeitermeldungSensor" bei dereingekreisten Ziffer (1a). Der Sensor B50 bleibt nicht aktiviert,also störungsfrei.The operation when triggering the response of the sensor A in the safety area of the drive AA is in 2 schematically illustrated, with timing diagrams and logic levels. When switching to 1 the triggering of a switch-off information and the forwarding of this information, starting with the response of, for example, the sensor A50, 1 ) (circled numbers in 2 ). The predetermined edge is coupled practically instantaneously across the entire ring structure A20, B10, B20, C10, C20, A10 after being coupled into the output signal A20 via the output stage A40. This represents the second chart "Retransmission Sensor" at the circled digit ( 1a ). The sensor B50 does not remain activated, ie trouble-free.
[0080] Nachder Aktivierung des Sensors A50 bei (1), dem Weitermeldenauf den Ausgang A20, bei (1a) zum Einkoppeln in den Ringund der Propagierung des Signals ist der gesamte Ring auf logischNull geschaltet. Die dazu angefallene Propagierungszeit (Laufzeit)ist T0, erkennbar bis zur fallenden Flanke bei (1b), amEingang A10.After activation of the A50 sensor at ( 1 ), the continuation to the exit A20, at ( 1a ) for coupling into the ring and propagating the signal, the entire ring is switched to logic zero. The resulting propagation time (runtime) is T0, recognizable until the falling edge at ( 1b ), at the entrance A10.
[0081] AlleAntriebe veranlassen ein sicheres Stillsetzen, durch ihre jeweiligenSicherheitsbereiche A33, B33 und C33, jeweils eigenständig.AllDrives cause a safe shutdown, by their respective onesSafety areas A33, B33 and C33, each independently.
[0082] JederWechselrichter hat eine S-Zeit T5 für sicheres Stillsetzen. DieseZeit ist (deutlich) größer alsdie AbschaltverzögerungT1. Die fallende Flanke des zugehörigen Signals "sicheres Stillsetzen" repräsentiertdas Ende der Abschaltfolge. Die Antriebe befinden sich in einerStopkategorie.EveryoneInverter has a S-time T5 for safe stopping. TheseTime is (significantly) greater thanthe switch-off delayT1. The falling edge of the associated signal "safe stop" representsthe end of the shutdown sequence. The drives are in oneStop category.
[0083] Einerneutes Einschalten aus dem abgeschalteten Zustand wird anschließend erläutert, istin 2 zur Veranschaulichung aber gleich angeschlossen,obwohl zeitlich weit beabstandet.A restart from the switched-off state is explained below, is in 2 but connected for illustration, albeit temporally far apart.
[0084] ZurZurückversetzungdes Rings auf den Eins-Zustand wird eine manuelle Quittierung parallelan QuittierungseingängenNA-Q-In aller Antriebsbereiche erfolgen. Das Signal ist q(t). Nach Übernahmedurch eine fallende Flanke, werden nur die lokalen Sensoreingänge in jedemSicherheitsmodul ausgewertet. Diese lokalen Sensoreingänge betreffenden Bereich des Umrichters, keine Sensoreingänge von Abschaltsensoren oder Überwachungssensorenanderer Antriebe und keine Ringinformation.tosetbackthe ring on the one state becomes a manual acknowledgment in parallelat acknowledgment entrancesNA-Q-In all drive ranges. The signal is q (t). After takeoverdue to a falling edge, only the local sensor inputs in eachSecurity module evaluated. These local sensor inputs affectthe range of the inverter, no sensor inputs of cut-off sensors or monitoring sensorsother drives and no ring information.
[0085] DerEingang der Sicherheitsschaltung A wird bei (1c) dazu für eine kurzeZeit T3, beispielsweise 20 msec ausgeblendet. Beide Mikrokontrollerdes Sicherheitsbereichs A33 legen dazu eine logische Eins auf das Und-GatterA31, dessen Ausgang e(t) auf den dritten Eingang des Oder-GattersA30 geführtist. Damit wird die Ausgangsschaltung A40 aus den beiden Und-GatternA40a, A40b freigeschaltet. Das interne Signal O1/O2, mehrkanalig,wird auf den gewünschtenmehrkanaligen logisch Eins Pegel geschaltet und propagiert zum nächsten Teilnehmer.Alle beteiligten Teilnehmer im Ring verhalten sich so, bis am EingangA10 der Sicherheitsschaltung A ein logisches Eins-Signal ansteht,zeitlich bei (1e). Dies war möglich, weil an den anderen AntriebenAB und AC kein Sensor eine Abschaltung verlangte, damit Freigabensignalisierten und q(t) allen Teilnehmern synchron zugeführt wurde.The input of the safety circuit A is at ( 1c ) for a short time T3, for example, 20 msec hidden. For this purpose, both microcontrollers of the security area A33 apply a logical one to the AND gate A31 whose output e (t) is routed to the third input of the OR gate A30. Thus, the output circuit A40 is enabled from the two AND gates A40a, A40b. The internal signal O1 / O2, multichannel, is switched to the desired multichannel logic one level and propagates to the next subscriber. All participating participants in the ring behave in such a way, until at the entrance A10 of the safety circuit A a logical one signal is pending, at ( 1e ). This was possible because on the other actuators AB and AC no sensor required a shutdown, so signals clearances and q (t) was supplied synchronously to all subscribers.
[0086] DieFreigabe des jeweiligen Antriebs, bzw. dann aller Antriebe, erfolgtnach Ablauf der VerzögerungszeitT5, hier mit beispielsweise 5 msec angegeben, im Anschluss an diefallende Flanke von e(t), nicht vorher.TheRelease of the respective drive, or then all drives, takes placeafter expiry of the delay timeT5, here given for example 5 msec, following thefalling edge of e (t), not before.
[0087] Darausersichtlich ist die Ausblendzeit T3 deutlich größer als die Laufzeit, sowohleines Teilnehmers aus dem Ring, sowie auch aller Laufzeiten in Summegesehen, also der Gesamtlaufzeit im Ring. Hierbei symbolisiert ndie Anzahl der in den Ring geschalteten Teilnehmer. In erster Näherung verhaltensich alle Ringteilnehmer hinsichtlich ihrer Beitrags zur Gesamtlaufzeitgleich. Geht man von einer gesamten Laufzeit T0 im Ring aus, istin erster Nähedie Laufzeit T0/n pro Ringnehmer die Gesamtlaufzeit geteilt durchdie Anzahl der Ringteilnehmer. Es ist außerdem an dem Einschaltvorganggemäß obigerDarstellung ersichtlich, dass die Verzögerungszeit T5 als Startverzögerung derAntriebe wesentlich größer ist,als die Laufzeit im Ring, im Sinne der Gesamtlaufzeit T0.from thatthe blanking time T3 is clearly larger than the runtime, botha participant from the ring, as well as all terms in totalseen, so the total runtime in the ring. Here n symbolizesthe number of participants connected to the ring. Behave in first approximationall ring participants in terms of their contribution to the total termequal. Assuming a total runtime T0 in the ring, isin the first neighborhoodthe running time T0 / n per ringter the total running time divided bythe number of ring participants. It is also due to the power up processaccording to the aboveRepresentation can be seen that the delay time T5 as a start delay of theDrives is much larger,as the term in the ring, in terms of total maturity T0.
[0088] Ineinem weiteren, direkt angeschlossenen Beispiel der 2,im grau unterlegten Kasten, nach der strichlinierten Vertikallinie,wird ein erneutes Abschalten durch Ansprechen des Sensors A50 gezeigt.In another, directly connected example of the 2 , in the gray-shaded box, after the dashed vertical line, a renewed shutdown by response of the sensor A50 is shown.
[0089] DieZiffer (2) zeigt das Ansprechen des Sicherheits-BereichesA33, die Weitergabe und Einkopplung dieses Signals in den AusgangA20, das durch den Ring propagierende Signal zum Eingang A10 zurück (aus derKaskadierung), und die Ansprechzeit des sicheren Abschaltens mitder S-Zeit T6. Soll aus dem jetzt wieder abgeschalteten Zustanderneut eingeschaltet werden und wird angenommen, dass bei (2a)der Sensor A50 noch immer eine Abschaltung verlangt, geschieht dasim folgenden der 2 Skizzierte mit den bereitsbekannten Signalen.The number ( 2 ), the response of the safety area A33, the passing and coupling of this signal in the output A20, the signal propagating through the ring back to the input A10 (from the cascading), and the response time of safe shutdown with the S-time T6. Should be turned on again from the now switched off state and it is assumed that at ( 2a ) sensor A50 still requires a shutdown, this is done in the following 2 Sketched with the already known signals.
[0090] Beieiner Quittierung zur Wieder-Inbetriebnahme und zum Aktivieren desRings auf das Eins-Potential in seine Wartelage, wird zunächst nurdie lokale Sensorinformation ausgewertet und an der Rückmeldung, demAusgang A20, kein logisches Eins-Signal ausgegeben, weil O1 undO2 nicht freigeben. Durch die Übersteuerungmit dem Ausblendsignal e(t) währendT3 wird der Eingang A10, bzw. das nur einkanalige Zwischensignala30(t) kurzzeitig auf Eins gehen, eingezeichnet bei (2b)in 2.When an acknowledgment for restarting and activating the ring on the one-potential in its waiting position, only the local sensor information is initially evaluated and the logical feedback signal, the output A20, no logical one signal output because O1 and O2 not release , Due to the overshoot with the blanking signal e (t) during T3, the input A10, or the single-channel intermediate signal a30 (t) will momentarily go to one, drawn at ( 2 B ) in 2 ,
[0091] Nachdem Ende des Ausblend- bzw. Übersteuerungspulsesmit der Pulsbreite T3, der bei allen Sicherheitsschaltungen A, Bund C wirkt, wird der Eingang aller Sicherheitsschaltungen wiederreal von den Eingangsschaltungen A30, B30 bzw. C30 beobachtet undnachdem der Sicherheitsbereich A33 die Ausgangsschaltung A40 über dieAbschaltsignale O1, O2 auf Null hält, wird dieses Abschaltsignal über diewieder funktionsfähiggesteuerte Ringstruktur weitergemeldet, bis der Eingang A10 nachder Laufzeit T0 erreicht wird (genauer: etwa 2/3 der GesamtlaufzeitT0 bei drei Teilnehmern im Ring).After the end of the Ausblend- or overdrive pulse with the pulse width T3, the safe at all Safety circuits A, B and C acts, the input of all safety circuits is real again observed by the input circuits A30, B30 and C30 and after the safety area A33 holds the output circuit A40 via the shutdown signals O1, O2 to zero, this shutdown signal is on the again functional controlled ring structure reported until the input A10 is reached after the time T0 (more precisely: about 2/3 of the total running time T0 with three participants in the ring).
[0092] Ausdieser Funktionsbeschreibung ist ersichtlich, dass keine Störsignaleoder fehlerhaften Einschaltungen geschehen, auch in solchen Zuständen, dienicht das eigentliche Abschalten und das eigentliche Einschalten,sondern Spezialfällesind, bei denen ein Einschalten verlangt wird, das übersteuerndin den Ring eingekoppelt wird und dennoch nicht dazu führt, dassirgend einer der im Ring geschalteten Teilnehmer ein Freigabesignalan den jeweiligen ihm bzw. ihnen zugeordneten Antrieb gibt. DieAntriebe bleiben sicher ausgeschaltet, auch dann, wenn das Freigabesignalmanuell zwingend vorgegeben wird.OutThis functional description shows that no interference signalsor faulty connections, even in such states, thenot the actual switch-off and the actual switch-on,but special casesare required to be switched on, the overdrivingis coupled into the ring and yet does not cause thatany one of the participants in the ring a release signalto the respective drive assigned to it or to it. TheDrives remain safely switched off, even if the enable signalmanually mandatory.
[0093] Einedabei mitwirkende Tatsache ist die nur lokale Auswertung des Sicherheitssignalsvon dem jeweiligen Sensor. Die Auswertung betrifft den Eingang,nicht den Ausgang, der bei aktiviertem Sensor (Sperrsignal angenommen)immer deaktiviert bleibt, wenn der zugehörige Sensor angesprochen hatund noch in diesem Zustand befindlich ist. Das Auswerten im Eingangsbereichund das Weitergeben vom Ausgangsbereich wird durch die beiden Sicherheitssignalemöglich,von denen das eine Signal e(t) die Übersteuerung im Eingangsbereichveranlasst, wenn eingeschaltet werden soll, und die anderen SicherheitssignaleO1 und O2 sind, welche dem Ausgangsbereich zugeführt werden, aber weiterhinsperrend wirken und Nichts von dem Übersteuerungssignal an diezugeordneten UND-Gattern weitergeben, was durch die manuell eingeprägte Vorsteuerung zuveranlassen vorgegeben wird. Zu diesen beiden Wirkungen kommt diedritte Wirkung hinzu, wonach allen Teilnehmern jeweils eigenständig dasQuittierungssignal zugeführtwird, um jeweils eigenständigfür jedenTeilnehmer intern das Freigabe- oder Übersteuerungssignal e(t) zuerzeugen, das dann die jeweilige Eingangsschaltung, im Beispielals ODER-Gatter mit drei Eingängen, übersteuert.Nicht übersteuertwird aber der Ausgangsbereich, der weiterhin den realen Zustandzugeführterhält,der durch die jeweiligen Signale O1 und O2 der tatsächlich gemeldetenRealitätder zugehörigenSensoren entspricht.Athe fact involved is the only local evaluation of the safety signalfrom the respective sensor. The evaluation concerns the entrance,not the output, when the sensor is activated (blocking signal assumed)always remains deactivated when the associated sensor has respondedand is still in this state. The evaluation in the entrance areaand relaying from the output area is by the two safety signalspossible,of which the one signal e (t) the overdrive in the input areacauses when to turn on, and the other safety signalsO1 and O2, which are supplied to the exit area, but continueLocking and nothing of the overdrive signal to theassigned AND gates pass, what by the manually impressed feedforward controlbe prompted. To these two effects comes thethird effect, according to which all participants independentlyAcknowledgment signal suppliedbecomes independent in each casefor eachSubscriber internally the enable or override signal e (t) tothen generate the respective input circuit, in the exampleas OR gate with three inputs, overdriven.Not overdrivenbut the output range, which continues to be the real statesuppliedgetsthe actually reported by the respective signals O1 and O2realitythe associatedSensors corresponds.
[0094] Ineiner übertragendenBetrachtung wird so jeder Ringteilnehmer eigenständig im Eingangsbereich vorgesteuert,betrachtet nur die lokale Sensorinformation, die im Ausgangsbereichentweder weiterhin sperrend oder schon freigebend wirkt, und wirdso jeweils in einen Zwischenzustand versetzt, der es ermöglicht, denRing wieder in den aktiv wartenden Wartezustand zu versetzen, wennalle Sensoren, im Beispiel A50, B50 und derjenige des SicherheitsbereichsC33, nicht mehr angesprochen haben. Dann wechselt der Zwischenzustandin den zu erreichenden metastabilen Wartezustand, der jetzt undin Folge in der Lage ist, jede künftig gemeldeteStörungschnell, zuverlässigund hochgenau an alle anderen Ringteilnehmer zu vermitteln.Ina transferring oneContemplation is thus piloted independently each ring participant in the entrance area,only considers the local sensor information in the output areaeither continues to be blocking or already releasing, and willeach in an intermediate state, which allows theRing again put in the active waiting wait state, ifall sensors, in the example A50, B50 and the one of the safety areaC33, did not respond. Then the intermediate state changesinto the metastable waiting for state to reach now andin a row is able to report any futuredisorderfast, reliableand to convey this to all other ring participants with high precision.
[0095] Durchdas Übersteuerungssignale(t) sind zwei der drei Sicherheitsschaltungen im Ring in ihremjeweiligen Ausgang, hier B20 und C20, auf logisch Eins gesteuert,so dass der Ring vermeintlich funktionsfähig ist, bis hin zum EingangssignalA10, nur das Ausgangssignal A20 und der Eingang B10 der Folgeschaltung sinddurch Einfluss des nicht von e(t) übersteuerten AusgangsbereichsA40 der Sicherheitsschaltung A auf Null. Diese logische Null kanndurch das inhibitierende Signal e(t) der Sicherheitsschaltung Baber nicht durch den Ring propagieren und erhält erst dann eine Propagierungs-Freigabe, wenn dieWirkung von Signal e(t) nach Ablauf der Zeit T3 wegfällt.Bythe override signale (t) are two of the three safety circuits in the ring in theirsrespective output, here B20 and C20, controlled to logic one,so that the ring is supposedly functional, up to the input signalA10, only the output signal A20 and the input B10 of the sequential circuit areby influence of the output range not overridden by e (t)A40 of safety circuit A to zero. This logical zero canby the inhibiting signal e (t) of the safety circuit Bbut not propagate through the ring and only then receives a propagation release when theEffect of signal e (t) after expiration of time T3 is eliminated.
[0096] Dannist der Ring so schnell auf die stabile Null-Lage heruntergezogen,wie das die Laufzeit im Ring erlaubt und nachdem diese Laufzeitwesentlich kleiner ist, als die Einschaltverzögerung von jedem der beteiligtenAntriebe AA, AB und AC, namentlich T5 als Startverzögerung,kann sichergestellt werden, dass keiner der Antriebe trotz teilweisefunktionsfähigerscheinendem Ring ein Einschaltsignal (auch: Freigabe) erhält.Thenis the ring pulled down so fast to the stable zero position,how this allows the runtime in the ring and after that runtimeis much smaller than the turn-on delay of each of the involvedDrives AA, AB and AC, namely T5 as start delay,can be ensured that none of the drives despite partialfunctioningappearing ring receives a switch-on (also: release).
[0097] DiesesErgebnis ist besonders aus dem Gesichtspunkt zu würdigen,dass der Teilnehmer mit der Sicherheitsschaltung C ja gerade nichterfährt,welche Ansprechlage der Sensor A50 tatsächlich hat, während das Übersteuerungssignale(t) (Ausblendsignal) alle in der Ringstruktur verbundenen Sicherheitsschaltungin die Einschaltlage zwingt. Würdeder Antrieb C hingegen kurzzeitig einschalten, würde er sich anders verhalten, alsder real noch immer abgeschaltete Antrieb A, dem sein eigenes Sicherheitssignaldes Sensors A50 wohl bewusst und auch unmittelbar aus seiner lokalenAuswertung bekannt ist. Es ist also nur vermeintlich ein leichtesProblem, ein Sicherheitssignal zu propagieren und den Ring danachwieder in eine Einschaltlage zu versetzen, aus der sie den Sicherheitszustandwieder zuverlässigerreicht; es ist vielmehr ein äußerst schwieriges Problem,diese unterschiedlichen Lagen, die Wartelage (High) und Sicherheitslage(Abschaltlage, Low) zu verwalten, eindeutig ineinander überzuführen undwährendder Zeiträumeder Überführung, desEinschaltens oder Abschaltens, keine indifferenten und gefährlichenZuständezu erzeugen, die zu den vielen Antrieben unterschiedliche Signalevermitteln, so dass sich die Antriebe, welche mechanisch gekoppeltsein können,nicht wirklich gleich verhalten.This result is to be appreciated particularly from the point of view that the participant with the safety circuit C does not actually know which response position the sensor A50 actually has, while the overdrive signal e (t) (skip signal) forces all the safety circuit connected in the ring structure into the switch-on position , If, on the other hand, the drive C were to switch on for a short time, it would behave differently than the drive A, which is still actually switched off, and is well aware of its own safety signal of the sensor A50 and is also known directly from its local evaluation. It is therefore only supposedly a slight problem to propagate a security signal and then put the ring back into a switch-on, from which it reliably reaches the security state again; Rather, it is a very difficult problem to uniquely translate these different layers, the high and low security layers, into one another, and not to create indifferent and dangerous states during the periods of transition, turn-on, or shut-down. to the many drives un give different signals, so that the drives, which can be mechanically coupled, not really behave the same.
[0098] Warim vorhergehenden Beispiel die Sicherheitsschaltung A betrachtet,das Ansprechen des zugeordneten Sensors A50 und die Wirkungen, welchedas Ansprechen des Sensors nach Propagierung des Sicherheitssignals über dieanderen beiden Teilnehmer B und C wiederum an derselben auslösenden SicherheitsschaltungA erzeugt (deren Eingang), so soll in einem weiteren Beispiel gezeigtwerden, wie sich die Signale auswirken, wenn der SicherheitsbereichB anspricht, und welche Wirkung sich auf das Eingangssignal A10des der Sicherheitsschaltung B vorgelagerten Sicherheitsschaltungergibt, also der am weitesten entfernten Schaltung im Ring. Diegleiche Betrachtung kann ebenso unter Auswechslung der zugehörigen BezugszeichenB und C fürdie Sicherheitsschaltung C erfolgen, mit Wirkung auf den EingangB10. Sie kann ebenso fürdie Sicherheitsschaltung A erfolgen, mit Wirkung auf den EingangC. Damit werden bei drei Schaltungen im Ring alle Zustände erfasst,die als kritisch auftreten können,so dass der Schluss gerechtfertigt ist, dass ein sicheres Systemvorliegt. Sicherheitsschaltung, welche näher an der auslösenden Schaltungliegen, verhalten sich nicht schlechter, als die Entfernteste, welchesdie im Ring Vorgelagerte ist.wasthe safety circuit A in the previous example,the response of the associated sensor A50 and the effects whichthe response of the sensor after propagation of the safety signal over theother two participants B and C turn on the same triggering security circuitA generates (their input), so will be shown in another examplebe how the signals affect when the security areaB responds, and what effect on the input signal A10of the safety circuit B upstream safety circuitresults, so the farthest circuit in the ring. Thethe same consideration can also with replacement of the associated reference numeralsB and C forthe safety circuit C take place, with effect on the inputB10. She may as well forthe safety circuit A take place, with effect on the inputC. This will detect all states in three circuits in the ring,that can be considered criticalso that the conclusion is justified, that a secure systemis present. Safety circuit, which is closer to the triggering circuitlie, do not behave worse, than the remainder, whichwhich is upstream in the ring.
[0099] Indem Beispiel nach 3 wird die Aktivierung des SensorsB50 veranschaulicht, die entsprechend der Aktivierung des SensorsA50, nur fürden Antriebsbereich AB arbeitet. Am Ausgang B20 wird das Aktivierennach Einkoppeln in den Ring überdie Gatterschaltung B40 mehrkanalig gemeldet und propagiert durch den(gesamten) Ring überdie Sicherheitsschaltungen C zum (entferntesten) Eingang A10. Diesist bei (1a) veranschaulicht, durch ein mehrkanaliges Null-Signal,welches das sichere Stillsetzen des Sicherheitsbereiches A33 bei(1c) einleitet. Das Stillsetzen geschieht nach Ablauf derZeit T6, als S-Zeit benannt, um stark abhängig von der Applikation, soin einem weiten Feld von schnelleren Anwendungen bei 100 msec bishin zu sehr langsam ansprechenden Antreiben großer Maschinen bei bis zu 30sec. Vorgelagert ist eine Ansprechverzögerung T1, welche oberhalbder Zeitdauer der Testimpulse liegt, beispielsweise oberhalb von1 msec bei Testimpulsen unterhalb dieser Größenordnung. Praktisch zeitgleichmit der fallenden Flanke von A10 ist zeitverzögert um einen Bruchteil derLaufzeit diese Flanke auch am Ausgang A20 anwesend, was bei (1b)im dritten Diagramm von oben gezeigt wird. Diese "Meldung" schließt den Kreis,wobei der Bruchteil der Anzahl der Teilnehmer im Kreis bestimmtwird, wie oben angegeben.In the example below 3 the activation of the sensor B50 is illustrated, which operates according to the activation of the sensor A50, only for the drive range AB. At the output B20, the activation after coupling into the ring via the gate circuit B40 is reported multi-channel and propagated through the (entire) ring via the safety circuits C to (farthest) input A10. This is at ( 1a ) is illustrated by a multi-channel zero signal, which ensures the safe shutdown of the safety area A33 ( 1c ). The shutdown occurs after the time T6, named as S-time, depending heavily on the application, so in a wide field of faster applications at 100 msec up to very slow responsive driving large machines up to 30 sec. Upstream a response delay T1, which is above the duration of the test pulses, for example, above 1 msec for test pulses below this order of magnitude. At almost the same time as the falling edge of A10, this edge is also present at output A20 with a time delay of a fraction of the time, which is at ( 1b ) is shown in the third diagram from above. This "message" closes the circle, where the fraction of the number of participants in the circle is determined, as indicated above.
[0100] Nachder Übernahmeeiner wiedereinschaltenden Quittierung q(t) wird in allen Sicherheitsschaltungen wiederumnur die lokale Sensor-Information ausgewertet, bei (1d),so dass der Ring bis auf Ausgang B20 wieder auf eine logische Einswechselt. Bei Ausgang B20 hängtder logische Pegel von dem Zustand des Sensors B50 ab. B20 wirdauf logisch Eins angehoben, wenn B50 nicht aktiviert ist. Ist B50aktiviert, bleibt der Ringabschnitt B20 bis C10 auf logisch Null.Für dieBetrachtung der Wirkung der Schaltung B auf die Schaltung A heißt das während T3aber in beiden Fällen,dass sowohl Eingang A10, als auch Ausgang A20 auf logisch Eins wechseln,weil – wieoben gesagt – derRing – bisauf den Abschnitt B20-C10 auf logisch Eins wechselt. Nach Ende dermanuellen Eingriffszeit T3, veranlasst durch die manuelle Quittierungq und die durch das System vorgegebene Ausblendzeit in einer Größenordnungwesentlich oberhalb T0, beispielsweise im Bereich von 10 msec bis20 msec, ist fürdas Beispiel nach 3 der Sensor B50 nicht mehraktiviert (auf logisch High-Pegel), so dass das Eins-Logigsignalbei 1e im dritten Diagramm von unten auf logisch Eins verbleibt,und zwar sowohl bei Eingang A10, wie dargestellt, als auch bei AusgangA20. Ausgehend von dieser Signallage wird nach Ende der AusblendzeitT3, nach Ablauf der VerzögerungszeitT1 und nach Ablauf der Ausblendzeit T5 der Antrieb A freigegeben.After accepting a resuming acknowledgment q (t), in all safety circuits, in turn, only the local sensor information is evaluated, at ( 1d ), so that the ring changes back to a logical one except for output B20. At output B20, the logic level depends on the state of the sensor B50. B20 is raised to logic one if B50 is not activated. If B50 is activated, the ring section B20 to C10 remains at logical zero. For consideration of the effect of the circuit B on the circuit A is called during T3 but in both cases that both input A10, and output A20 switch to logical one, because - as stated above - the ring - except for the section B20- C10 changes to logical one. After the end of the manual intervention time T3, caused by the manual acknowledgment q and by the system predetermined blanking time in an order of magnitude above T0, for example in the range of 10 msec to 20 msec, is for the example 3 the sensor B50 is no longer activated (at logic high level), so that the one-logic signal at 1e from the bottom of the third diagram remains logical one, both at input A10, as shown, and at output A20. Starting from this signal position, the drive A is released after the end of the blanking time T3, after expiration of the delay time T1 and after expiration of the blanking time T5.
[0101] Dasoben inhärentmit-beschriebene Beispiel, dass Sensor B weiterhin aktiviert bleibt,ist in der zweiten Hälftedes Diagramms der 3 nach einem Übergangsabschnittzur Anpassung der Ausgangssituation veranschaulicht. Unter Berücksichtigungder Signalverläufeder vorigen Diagramme ist dieser Abschnitt eigentlich selbsterklärend. Hilfestellunggibt folgender Rahmen.The above-inherent example of sensor B remaining active is in the second half of the diagram 3 after a transitional section to adjust the initial situation illustrated. Taking into account the signal curves of the previous diagrams, this section is actually self-explanatory. Help is given below.
[0102] Imrechten Teil des zweiten, grau unterlegten Abschnitts des Diagrammsnach 3 bleibt der Sensor B50 auch nach der Quittierungq(t) und T3 aktiviert, bei (2a). Daher geht der EingangA10 überdie Schaltung C nach einem Bruchteil der Gesamtlaufzeit T0 auf logischNull. Die – zuvor übersteuerte – Meldungauf A20 wird nach der Eigenlaufzeit von Schaltung A wieder auf Nullzurückgesetzt,bei (2c). Damit bleibt der Antrieb A auch nach der Quittierungausgeschaltet, veranschaulicht durch das Signal "Sicheres Stillsetzen" = Null". T5 war dabei größer als alle Laufzeiten zusammen.In the right part of the second, grayed-out section of the diagram 3 the sensor B50 remains activated even after the acknowledgment q (t) and T3, at ( 2a ). Therefore, the input A10 goes to logic zero via the circuit C after a fraction of the total running time T0. The - previously overridden - message on A20 is reset to zero after the Runtime of circuit A, at ( 2c ). This means that drive A remains switched off even after acknowledgment, as illustrated by the signal "Safe stop" = zero. "T5 was greater than all runtimes together.
[0103] Dadurchist gezeigt, das unterschiedlichen logische Zustände, die Wartelage (High) undSicherheitslage (Abschaltlage, Low) richtig verwaltet werden, eindeutigineinander übergeführt werdenund währendder Zeiträumeder Überführung, desEinschaltens oder Abschaltens, indifferenten und gefährlicheZuständevermieden werden, die zu den vielen Antrieben unterschiedliche Signalevermitteln könnten,so dass sich die Antriebe, welche mechanisch gekoppelt sein können, wirklichgleich verhalten.This shows that the different logical states, the waiting position (High) and security (Abschaltlage, Low) are properly managed, are clearly merged into each other and during the periods of transfer, switching on or off, indifferent and dangerous states ver be avoided, which could give different signals to the many drives, so that the drives, which can be mechanically coupled, behave the same way.
[0104] DieZeiten, welche unten in einer Übersichtdargestellt werden, sind auf einen schnellen Antrieb mit ansteuerndemUmrichter bezogen.TheTimes, which are below in an overvieware on a fast drive with drivingInverter related.
Übersicht
Overview

权利要求:
Claims (27)
[1]
Sicherheitsschaltung für jeweils eines von mehrerenSteuergeräten(AA, AB, AC) der Hydraulik, Pneumatik oder Leistungselektronik,insbesondere mehrere Frequenzumrichter; wobei die Sicherheitsschaltunggeeignet ist, eingangsseitig und ausgangsseitig jeweils mit einerweiteren Sicherheitsschaltung in einen elektrischen Verbund gestellt(geschaltet) zu werden, um ein Ringkonzept oder eine Ringstrukturaus mehreren Sicherheitsschaltungen als mehreren Sicherheitsstufenzu bilden, welche in der Ringstruktur angeordnet sind; einejeweilige Sicherheitsstufe (A, B, C) einem jeweiligen der mehrerenSteuergeräteder Leistungselektronik zugeordnet ist; eine Sicherheitsschaltungoder Sicherheitsstufe aus dem Ringverbund aufweist: (a) einenzumindest zweikanaligen Ausgang (A20; C20), zur Weitergabe einesAbschaltsignals (c20a, c20b; a20a, a20b) an eine weitere Sicherheitsstufe(A; B); (b) einen zumindest zweikanaligen Eingang (A10; C10),zur Aufnahme eines Abschaltsignals von einer vorgelagerten Sicherheitsstufe(C; B); zur Ausbildung eines elektrische Ringverbundes auszumindest zwei, bevorzugt drei oder mehreren Sicherheitsschaltungenoder Sicherheitsstufen (A, B, C).Safety circuit for each one of severalECUs(AA, AB, AC) of hydraulics, pneumatics or power electronics,in particular several frequency converters; in whichthe security circuitis suitable, input side and output side each with aanother safety circuit placed in an electrical composite(switched) to a ring concept or a ring structurefrom multiple safety circuits as multiple security levelsto form, which are arranged in the ring structure;arespective security level (A, B, C) of a respective one of the pluralityECUsthe power electronics is assigned; a security circuitor security level from the ring network has:(a) oneat least two-channel output (A20; C20), for the transfer of aShutdown signal (c20a, c20b, a20a, a20b) to another security level(A; B);(b) an at least two-channel input (A10; C10),for receiving a shutdown signal from an upstream security level(C; B);for the formation of an electrical ring compositeat least two, preferably three or more safety circuitsor security levels (A, B, C).
[2]
Sicherheitsschaltung nach Anspruch 1, wobei der zumindestzweikanalige Ausgang (A20; C20) ein zumindest zweikanaliges Ausgangssignalmit zwei Signalen führt,welche im (regulären)Betrieb oder Sicherheitsfall (als Abschaltsignal) gleiche logischeRegel, als gemeinsam logisch Eins oder bevorzugt gemeinsam logischNull, besitzen.The safety circuit according to claim 1, wherein the at least two-channel output (A20; C20) carries at least two-channel output signal with two signals which in normal operation or safety case (as shutdown signal) have the same logical rule, as common logic one or preferably together logical zero, own.
[3]
Sicherheitsschaltung nach Anspruch 1 oder 2, wobeieine, ein mehrkanaliges Eingangssignal aufnehmende, mehrkanaligeEingangsschaltung (C30, A30) vorgesehen ist und eine mehrkanaligeAusgangsschaltung (A40, C40), welche miteinander elektrisch gekoppeltsind.A safety circuit according to claim 1 or 2, whereina multi-channel input receiving multi-channel input signalInput circuit (C30, A30) is provided and a multi-channelOutput circuit (A40, C40), which are electrically coupled togetherare.
[4]
Sicherheitsschaltung nach Anspruch 3, wobei der Ausgangsschaltung(A40, B40) ein Fehlersignal (O1, O2), insbesondere ein Sicherheits-Abschaltsignal,von dem zugeordneten Steuergerät(AA, AC) oder einer ihm zugeordneten Peripherie (A50, B50) eingekoppeltwird, zur Weitergabe in dem Ringverbund.A security circuit according to claim 3, wherein the output circuit(A40, B40) an error signal (O1, O2), in particular a safety shutdown signal,from the associated controller(AA, AC) or its associated peripherals (A50, B50) coupledis, for dissemination in the ring composite.
[5]
Sicherheitsschaltung nach Anspruch 3 oder 4, wobeidie mehrkanalige Eingangsschaltung ein Funktionsglied (A30) aufweist,um aus dem mehrkanaligen Eingangssignal (A10) ein einkanaliges Zwischensignal (a30(t))zu bilden, welches so ausgebildet ist, zeitversetzt auftretendeTestimpulse (T2a, T2b; 100) in dem mehrkanaligen Eingangssignalnicht passieren lässt.A security circuit according to claim 3 or 4, whereinthe multichannel input circuit has a functional element (A30),to convert a multi-channel input signal (A10) into a single-channel intermediate signal (a30 (t))to form, which is so formed, with a time delay occurringTest pulses (T2a, T2b; 100) in the multi-channel input signaldo not let happen.
[6]
Sicherheitsschaltung nach Anspruch 5 oder 1, wobeidie zumindest zwei (mehreren) Kanäle des Eingangssignals (A10)ein Sicherheitssignal auslösen,wenn sie längerals ein zeitliches Mindestintervall (T1) abweichende Logikpegelhaben.A safety circuit according to claim 5 or 1, whereinthe at least two (several) channels of the input signal (A10)trigger a safety signal,if they last longeras a time minimum interval (T1) deviating logic levelsto have.
[7]
Sicherheitsschaltung nach Anspruch 6, wobei das zeitlicheMindestintervall größer ist,als eine Impulsdauer (T2a, T2b) der Testimpulse (100) auf dem mehrkanaligenEingangssignal, welche Testimpulse zeitversetzt sind (nicht überlappend).Security circuit according to claim 6, wherein the temporalMinimum interval is greater,as a pulse duration (T2a, T2b) of the test pulses (100) on the multi-channelInput signal, which test pulses are time-delayed (not overlapping).
[8]
Sicherheitsschaltung nach Anspruch 1, wobei das mehrkanaligeEingangssignal (A10) praktisch verzögerungsfrei dem mehrkanaligenAusgangssignal (A20) in einer jeweiligen Sicherheitsstufe (A) weitergeleitet wird,insbesondere unabhängigvon einem Ansprechen oder Nichtansprechen eines Sicherheitssignalsoder einer Sicherheitsabschaltung (C33) des der Sicherheitsschaltungzugeordneten Steuergeräts(AA).The security circuit of claim 1, wherein the multi-channelInput signal (A10) virtually delay-free the multi-channelOutput signal (A20) in a respective security level (A) is forwarded,especially independentof a response or non-response of a security signalor a safety shutdown (C33) of the safety circuitassociated control unit(AA).
[9]
Sicherheitsschaltung nach Anspruch 8, wobei die Verzögerung nurGatterlaufzeiten bzw. Laufzeiten von Logikelementen (A30, A40) sind,insbesondere unter 200nsec.A security circuit according to claim 8, wherein the delay is onlyGate transit times or transit times of logic elements (A30, A40) are,especially under 200nsec.
[10]
Sicherheitsschaltung nach Anspruch 1, wobei ein – einmalin den Ringverbund von einem Teilnehmer des Ringverbundes eingekoppeltes – mehrkanaligesAbschaltsignal im Ringverbund weitergeleitet wird, unabhängig voneinem Ansprechen anderer Teilnehmer auf das Abschaltsignal.A security circuit according to claim 1, wherein a - oncein the ring composite of a participant of the ring composite coupled - multi-channelShutdown signal is forwarded in the ring network, regardless ofa response of other participants to the shutdown signal.
[11]
Sicherheitsschaltung nach Anspruch 10, wobei dasEinkoppeln des Abschaltsignals (O1, O2) in das mehrkanalige Ausgangssignal(A20; a20a, a20b) der Sicherheitsschaltung (A) erfolgt.A security circuit according to claim 10, wherein theCoupling of the switch-off signal (O1, O2) in the multi-channel output signal(A20; a20a, a20b) of the safety circuit (A).
[12]
Sicherheitsschaltung nach Anspruch 11, wobei einAnsprechen eines Sicherheitsbereichs (C35; μC1, μC2) zumindest eines, bevorzugtaller Teilnehmer auf ein jeweiliges Abschaltsignal am jeweiligenEingang (A10) auch auf den Ausgang (A20) der Sicherheitsschaltungvorgekoppelt wird.A security circuit according to claim 11, wherein aAddressing a security area (C35; μC1, μC2) at least one, preferablyall participants to a respective shutdown signal at the respectiveInput (A10) also to the output (A20) of the safety circuitis pre-coupled.
[13]
Sicherheitsschaltung nach Anspruch 1 oder 10, wobeibei dem mehrkanaligen Ein- und Ausgangssignal ein Abschaltsignalals Sicherheitssignal vorliegt, wenn die Kanäle keinen gleichen, stationären Logikpegel besitzen.A safety circuit according to claim 1 or 10, whereinin the multi-channel input and output signal a shutdown signalis present as a safety signal if the channels do not have the same stationary logic level.
[14]
Sicherheitsschaltung nach Anspruch 5, wobei zumindesteines gilt: die Testimpulse (T2a, T2b) eine Impulsbreite unterim wesentlichen 1 msec, ihre Folge mehr als 10 mal größer, insbesonderemehr als 100 mal größer ist,und die Ansprechverzögerung(T1) eines Sicherheitsbereichs (μC1, μC2; C33)größer istals die Dauer eines Testimpulses.A security circuit according to claim 5, wherein at leastone applies:the test pulses (T2a, T2b) a pulse width belowessentially 1 msec, its sequence more than 10 times larger, in particularmore than 100 times larger,and the response delay(T1) of a security area (μC1, μC2, C33)is largeras the duration of a test pulse.
[15]
Sicherheitsschaltung nach Anspruch 3, wobei dieEingangsschaltung und die Ausgangsschaltung (A30, A40; C39, C40)aus Logikgattern gebildet werden, zur direkten Durchleitung einesEingangssignals zum Ausgang.A security circuit according to claim 3, wherein theInput circuit and output circuit (A30, A40, C39, C40)be formed of logic gates, for the direct passage of aInput signal to the output.
[16]
Sicherheitsschaltung nach Anspruch 5, wobei dasFunktionsglied (A30) eine Oder-Schaltung ist.A security circuit according to claim 5, wherein theFunction member (A30) is an OR circuit.
[17]
Verfahren zum sicheren Abschalten von mehreren Steuergeräten (AA,AB, AC) bevorzugt der Leistungselektronik, insbesondere mehrereFrequenzumrichter, welche mechanisch gekoppelte Antriebe antreiben;wobei – jeweilseine Sicherheitsschaltung eingangsseitig und ausgangsseitig jeweilsmit einer weiteren Sicherheitsschaltung in einen elektrischen Verbundgeschaltet ist und ein Ringkonzept oder eine Ringstruktur aus mehrerenSicherheitsschaltungen als mehreren Sicherheitsstufen bilden, welchein der Ringstruktur angeordnet sind; – eine jeweilige Sicherheitsstufe(A, B, C) einem jeweiligen der mehreren Steuergeräte der Leistungselektronik zugeordnetist; – wobeijede Sicherheitsschaltung oder Sicherheitsstufe aus dem Ringverbundso arbeitet, dass (a) ein zumindest zweikanaliger Ausgang (A20;C20) ein Abschaltsignal (c20a, c20b; a20a, a20b) an die folgendeSicherheitsstufe (B; A) weitergibt; (b) ein zumindest zweikanaligerEingang (A10; C10) ein Abschaltsignal von der vorgelagerten Sicherheitsstufe (C;B) aufnimmt; unter Ausbildung eines elektrische Ringverbundesaus zumindest zwei, bevorzugt drei oder mehreren Sicherheitsschaltungenoder Sicherheitsstufen (A, B, C), zur schnellen Abschaltsignal-Weiterleitungim Ringverbund.A method for safe shutdown of several control devices (AA, AB, AC) preferably the power electronics, in particular a plurality of frequency converter, which drive mechanically coupled drives; in which - Each a safety circuit on the input side and output side is connected in each case with a further safety circuit in an electrical network and form a ring concept or a ring structure of several safety circuits as multiple security levels, which are arranged in the ring structure; - A respective security level (A, B, C) is assigned to a respective one of the plurality of control units of the power electronics; - wherein each security circuit or security level from the ring network operates such that (a) an at least two-channel output (A20; C20) passes a shutdown signal (c20a, c20b; a20a, a20b) to the following security level (B; A); (b) an at least two-channel input (A10; C10) receiving a shutdown signal from the upstream security level (C; B); forming at least two, preferably three or more safety circuits or security levels (A, B, C), for quick shutdown signal forwarding in the ring network.
[18]
Verfahren nach Anspruch 15, wobei die vorgelagerteund die folgende Sicherheitsstufe dieselbe ist.The method of claim 15, wherein the upstreamand the following security level is the same.
[19]
Verfahren nach Anspruch 15, wobei dem zumindestzweikanaligen Ausgang (A20) Impulse (100) überlagert werden, welche denLogikpegel ändern,aber nicht gleichzeitig auf allen Kanälen.The method of claim 15, wherein the at leastTwo-channel output (A20) pulses (100) are superimposed, which theChange logic level,but not at the same time on all channels.
[20]
Verfahren nach Anspruch 17, wobei die Impulse eineImpulsdauer (T2a, T2b) haben, die unter der Ansprechzeit (T1) einerFehlererkennung (μC1, μC2) liegt,welche aus zumindest einem Low-Signalpegel des mehrkanaligen Eingangseine Abschaltung veranlasst.The method of claim 17, wherein the pulses comprise aPulse duration (T2a, T2b), which under the response time (T1) of aError detection (μC1, μC2) iswhich consists of at least one low signal level of the multi-channel inputa shutdown causes.
[21]
Verfahren nach Anspruch 18, wobei die Impulsfolgezeitmehr als 10 mal größer istals die Dauer der Impulse.The method of claim 18, wherein the pulse repetition timemore than 10 times largeras the duration of the impulses.
[22]
Sicherheits-Schaltungsverbund für eine Steuerungstechnik, wieUmrichter oder Antriebe, mit mehreren Sicherheitsstufen als Teilnehmer(A, B, C) in einem Ringverbund, wobei ein mehrkanaliger Signalpfad(A10, A20, C10, C20) mit zumindest zwei parallelen, aber eigenständigen Signalleitungen(a10a, a10b) alle Teilnehmer des Ringverbunds verbindet; wobei einAbschaltsignal – imRingverbund bei nicht gleichen Logikpegeln auf den zumindest zweiSignalleitungen zwischen einem Ausgang (C20) einer Stufe (C) undeinem Eingang (A10) der Folgestufe von einem Sicherheitsbereich(μC1; μC2) der Folgestufe(A) erkennbar ist, in den Ausgang der Folgestufe einkoppelbar ist,um danach durch den Ringverbund zu propagieren, zur Vermittlungeines mehrkanaligen Abschaltsignals an die Teilnehmer (A, B, C)im Ringverbund; und/oder – im Ringverbund durch gleicheLow-Logikpegel auf den zumindest zwei Signalleitungen (a10a, a10b)zwischen einem Ausgang einem Eingang (A20) der Folgestufe dargestelltwird, um ebenso durch den ganzen Ringverbund zu propagieren, zurschnellen Weiterleitung und Vermittlung des Abschaltsignals an alleTeilnehmer (A, B, C) im Ringverbund.Safety circuit group for a control technology, such asInverters or drives, with multiple safety levels as participants(A, B, C) in a ring network, wherein a multi-channel signal path(A10, A20, C10, C20) with at least two parallel but independent signal lines(a10a, a10b) connects all participants of the ring network; being ashutdown signal- in theRing composite at not the same logic levels on the at least twoSignal lines between an output (C20) of a stage (C) andan entrance (A10) of the next level of a security area(μC1; μC2) of the next stage(A) is recognizable, can be coupled into the output of the next stage,then to propagate through the ring network, for mediationa multichannel switch-off signal to the subscribers (A, B, C)in a ring compound;and or- in the ring composite by the sameLow logic level on the at least two signal lines (a10a, a10b)between one output and one input (A20) of the next stageis, in order to propagate as well through the whole ring composite, tofast forwarding and switching the shutdown signal to allParticipants (A, B, C) in the ring network.
[23]
Sicherheits-Schaltungsverbund nach Anspruch 20,wobei von den zumindest zwei Signalleitungen des Eingangssignals(A10) überden Sicherheitsbereich (μC1; μC2) das Abschaltsignalerst dann auslösbarist, wenn sie längerals ein zeitliches Mindestintervall (T1) nicht gleiche Logikpegelhaben, insbesondere bei einem Zeitintervall oberhalb 500nsec.Safety circuit assembly according to claim 20,wherein from the at least two signal lines of the input signal(A10) overthe safety area (μC1; μC2) the shutdown signalonly then be triggeredis when she is longeras a minimum time interval (T1) not equal logic levelshave, especially at a time interval above 500nsec.
[24]
Schaltungsverbund nach Anspruch 20, wobei Impulsezur Bildung nicht gleicher Logikpegel auf den zumindest zwei Signalleitungenvon einem Ausgang (C20) zum nächstenEingang schaltbar sind (C35), deren Dauer geringer ist als eineAnsprechzeit (T1) des Sicherheitsbereichs (C23), diese impulsartigungleichen Logikpegel aber nicht von dem Ausgang (C20) oder Folgestufeweitergeleitet werden.Circuit interconnection according to claim 20, wherein pulsesfor not forming identical logic levels on the at least two signal linesfrom one output (C20) to the nextInput are switchable (C35), whose duration is less than oneResponse time (T1) of the safety area (C23), this pulse-likeunequal logic level but not from the output (C20) or next stageto get redirected.
[25]
Verfahren zum Hochfahren eines mit Logiksignalenarbeitenden Ringverbundes mehrerer Sicherheitsschaltungen auf einenmetastabilen Wartezustand, (a) durch eine Übersteuerung (e(t)) der Eingangsschaltung(A30) jeder Sicherheitsschaltung (A, B, C) für eine vorgegebene Zeitspanne(T3), (b) ohne einen entsprechend forcierten Steuereingriffauf jede der Ausgangsschaltungen (A40) der Sicherheitsschaltungen(A, B, C), die im Ringverbund geschaltet sind.Method for booting up with logic signalsworking ring composite of several safety circuits on onemetastable wait state,(a) by an override (e (t)) of the input circuit(A30) each safety circuit (A, B, C) for a predetermined period of time(T3),(b) without a correspondingly forced control interventionto each of the output circuits (A40) of the safety circuits(A, B, C),which are connected in the ring network.
[26]
Einrichtung fürAnspruch 23, geeignet zur Ausführungdes Verfahrens.Facility forClaim 23, suitable for executionof the procedure.
[27]
Verfahren zum sicheren Überwachen von mehreren Steuergeräten (AA,AB, AC) bevorzugt in der Leistungselektronik, insbesondere mit mehrerenFrequenzumrichtern, wobei ein Ringkonzept oder eine logische Ringstrukturaus mehreren Sicherheitsschaltungen als mehreren Sicherheitsstufengebildet wird, welche in der Ringstruktur angeordnet sind; und wobei – eine jeweiligeSicherheitsstufe (A, B, C) einem jeweiligen der mehreren Steuergeräte der Leistungselektronik zugeordnetist; – eineSicherheitsschaltung (C) oder Sicherheitsstufe aus dem Ringverbundaufweist: (a) einen zumindest zweikanaligen Ausgang (C20),gekoppelt an eine folgende Sicherheitsstufe (A); (b) einenzumindest zweikanaligen Eingang (C10), gekoppelt an eine vorgelagerteSicherheitsstufe (B, A); (c) einen Impulsgeber (C35), welcherdem zumindest zweikanaligen Ausgang (20) nicht überlappende Impulse (100) zuführt, dieim Ausgangssignal an einem Eingang (A10) einer folgenden Sicherheitsstufeweitergeleitet werden und dort in einer Eingangsschaltung (A30)unter Reduzierung der Kanalzahl so zusammenfassbar sind, dass siean den Ausgang (A20) der Folgestufe nicht weitergeleitet werden.Method for the safe monitoring of several control devices (AA,AB, AC) preferably in the power electronics, in particular with severalFrequency converters, where a ring concept or a logical ring structurefrom multiple safety circuits as multiple security levelsis formed, which are arranged in the ring structure; and where- a respective oneSecurity level (A, B, C) assigned to a respective one of the plurality of control units of the power electronicsis;- oneSafety circuit (C) or safety level from the ring networkhaving:(a) an at least two-channel output (C20),coupled to a subsequent security level (A);(b) oneat least two-channel input (C10), coupled to an upstream oneSecurity level (B, A);(c) a pulse generator (C35) whichthe non-overlapping pulses (100) feeds the at least two-channel output (20)in the output signal at an input (A10) of a following safety levelforwarded there and there in an input circuit (A30)by reducing the number of channels are summarized that theyto the output (A20) of the next stage are not forwarded.

类似技术:

---

公开号 | 公开日 | 专利标题

---

EP0742499B1|2001-09-05|Sicheres Verarbeiten von sicherheitsgerichteten Prozesssignalen

---

EP1870840B1|2012-11-14|Detektionssystem und Detektionsverfahren

---

EP1423326B1|2006-03-29|Situationsabhängige reaktion im falle einer störung im bereich einer türe eines aufzugsystems

---

EP2287689B1|2012-11-14|Vorrichtung und Verfahren zur Adressierung einer Slave-Einheit

---

DE60034430T2|2008-01-10|NETWORK WITH A MULTIPLE OF NODES FOR MEDIA ACCESS CHECK

---

EP2302841B2|2018-05-09|Vorrichtung zur sicherheitsgerichteten Kommunikation im Kommunikations-Netzwerk einer Automatisierungs-Anlage

---

DE102006061063B4|2011-09-15|Redundant supervisory control system, and redundancy switching method of the same

---

DE102005055325B3|2007-04-12|Safety switching device for fail-safe disconnection of an electrical consumer

---

EP1642179B2|2017-07-19|Vorrichtungzum automatisierten steuern eines betriebsablaufs bei einer technischen anlage

---

EP1389284B1|2008-07-30|Sicherheitsschaltmodul zur prüfung des abschaltvermögens eines schaltelements in einem sicherheitsschaltmodul

---

EP1687681B1|2010-08-18|Verfahren zum betreiben eines netzwerks

---

EP1894065B1|2018-04-18|Sicherheitsschaltvorrichtung und verfahren zum sicheren abschalten eines verbrauchers in einer automatisiert arbeitenden anlage

---

DE102016115687A1|2017-06-29|Arraysubstrat, touch display device and method for their control

---

DE102010054386B3|2012-02-23|Safety switching device for fail-safe disconnection of an electrical load

---

EP2586051B1|2019-01-09|Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage

---

EP2019771B1|2010-06-30|Verfahren und vorrichtung zur detektion des belegt- oder freizustandes eines gleisabschnittes

---

DE112005003742B9|2012-11-29|LVDS driver with pre-emphasis

---

DE102008061564A1|2009-07-09|Clutch actuator and method for its control

---

EP2445771B1|2018-11-07|Verfahren zum erstellen eines elektronischen stellwerks als ersatz eines bestehenden stellwerks

---

DE10030329C1|2002-01-24|Redundant control system as well as control computer and peripheral unit for such a control system

---

EP1738383A1|2007-01-03|Meldegerät für eine sicherheitsschaltung

---

EP2981868B1|2017-08-09|Steuer- und datenübertragungsanlage, prozesseinrichtung und verfahren zur redundanten prozesssteuerung mit dezentraler redundanz

---

EP0703652B1|1998-06-03|Verfahren und Einrichtung zur variablen Zuteilung von in Betrieb stehenden Umrichtern auf mindestens eine Last

---

EP1629513B1|2007-02-28|Ansteuervorrichtung für sicherheitskritische komponenten und entsprechendes verfahren

---

EP2657797A1|2013-10-30|Verfahren zum Betreiben eines redundanten Automatisierungssystems

同族专利:

---

公开号 | 公开日

---

EP1566873A3|2005-12-14|

---

AT484871T|2010-10-15|

---

EP1566873B1|2010-10-13|

---

DK1566873T3|2011-01-10|

---

DE102004020830B4|2010-06-10|

---

EP1566873A2|2005-08-24|

---

DE502005010365D1|2010-11-25|

引用文献:

---

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

---

法律状态:
2005-09-08| OP8| Request for examination as to paragraph 44 patent law|

---

2009-05-28| 8127| New person/name/address of the applicant|Owner name: LENZE AUTOMATION GMBH, 40667 MEERBUSCH, DE |

---

2010-12-09| 8364| No opposition during term of opposition|

优先权:

---

申请号 | 申请日 | 专利标题

---

DE102004008249||2004-02-19||

---

DE102004008249.9||2004-02-19||

---

DE200410020830|DE102004020830B4|2004-02-19|2004-04-28|Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik|DE200410020830| DE102004020830B4|2004-02-19|2004-04-28|Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik|

---

DK05101273T| DK1566873T3|2004-02-19|2005-02-18|Sikkerhedskredsløbsgruppe med ringstruktur til styreapparater til effektelektronik|

---

AT05101273T| AT484871T|2004-02-19|2005-02-18|Sicherheits-schaltungsverbund mit ringkonzept für steuergeräte der leistungselektronik|

---

DE200550010365| DE502005010365D1|2004-02-19|2005-02-18|Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik|

---

EP05101273A| EP1566873B1|2004-02-19|2005-02-18|Sicherheits-Schaltungsverbund mit Ringkonzept für Steuergeräte der Leistungselektronik|