(19)
(11) EP 1 484 780 A1

(12) EUROPÄISCHE PATENTANMELDUNG

(43) Veröffentlichungstag:
08.12.2004  Patentblatt  2004/50

(21) Anmeldenummer: 03012628.8

(22) Anmeldetag:  03.06.2003
(51) Internationale Patentklassifikation (IPC)7H01H 47/00
(84) Benannte Vertragsstaaten:
AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR
Benannte Erstreckungsstaaten:
AL LT LV MK

(71) Anmelder: SIEMENS AKTIENGESELLSCHAFT
80333 München (DE)

(72) Erfinder:
  • Behringer, Klaus
    91338 Igensdorf (DE)

   


(54) Ansteuervorrichtung für sicherheitskritische Komponenten und entsprechendes Verfahren


(57) Die Reaktionszeit sicherheitskritischer elektrischer Komponenten bei einer Sicherheitsabschaltung soll verbessert werden. Hierzu ist vorgesehen, dass die Ausgänge zweier Controller (C1, C2) zur Ansteuerung in Reihe verbundener Schalter (S1, S2) einer Schalteinrichtung für die zu schaltende elektrische Komponente beziehungsweise Maschine UND-verknüpft werden. Damit entfällt für die Sicherheitsabschaltung die Übermittlungszeit von einem Controller zum anderen, wenn der eine Controller (C1) das Abschaltsignal vom Eingang (X) aufnehmen und der andere Controller (C2) für das gemeinsame Schalten der beiden Schalter (S1, S2) zuständig wäre. Dementsprechend erhöht sich die mittlere Reaktionszeit bei der Sicherheitsabschaltung.



Beschreibung


[0001] Die vorliegende Erfindung betrifft eine Ansteuervorrichtung zum Steuern oder Regeln einer sicherheitskritischen Komponente mit einer Schalteinrichtung, die einen ersten Schalter und einen zweiten, mit dem ersten in Reihe verbundenen Schalter zum Schalten der sicherheitskritischem Komponente aufweist, einer ersten Steuerungseinrichtung zur Aufnahme eines Eingangssignals und Ausgabe eines ersten Ansteuersignals und einer zweiten Steuerungseinrichtung zur Aufnahme des Eingangssignals und Ausgabe eine zweiten Ansteuersignals. Darüber hinaus betrifft die vorliegende Erfindung ein entsprechendes Verfahren zum Steuern oder Regeln einer sicherheitskritischen Komponente.

[0002] Bei vielen sicherheitstechnischen Anwendungen wird eine sehr geringe Reaktionszeit zur Verarbeitung einer NOTAUS-Anforderung benötigt. Obwohl die heutigen modernen Sicherheitsgeräte in der Regel Mikrocontroller benutzen und deshalb interne Funktionen sehr schnell abgearbeitet werden können, müssen wegen Burst- und HF-Störungen Filteralgorithmen verwendet werden, um eine maximale Verfügbarkeit zu erzielen. Weitere Randeffekte wie die Kompensation der Kabelkapazität und dynamische Eingangsprüfung führen letztlich zu relativ langen Auswertezyklen.

[0003] Ein weiteres Problem stellt die Tatsache dar, dass in Sicherheitsgeräten ab der Kategorie SIL3 bezogen auf die europäische Norm IEC 615 08 immer zwei Controller aus Gründen der Hardwareredundanz und Fehlertoleranz eingesetzt werden müssen.

[0004] Seitens des Anmelders wurde dieses Problem dadurch gelöst, dass bei Sicherheitsgeräten zwei von der Hardware identische Controller mit identischer Firmware eingesetzt werden. Um systematische Fehler erkennen zu können, wird ein "Master-Slave-Prinzip" angewandt. Dies bedeutet, dass jeweils einer der Controller für kurze Zeit der Master und der andere der Slave ist. Die beiden Controller tauschen diesen Status nach einer festgelegten Zeit. Einer der Controller wird üblicherweise zum Ansteuern bestimmter Schalter beispielsweise eines Lastkreises einer elektrischen Maschine verwendet, wogegen der andere Controller zum Überwachen der Schaltzustände dieser Schalter eingesetzt wird und seinerseits andere Schalter von anderen Komponenten ansteuert.

[0005] Derjenige Controller, der sich im Mastermodus befindet, liest sämtliche Eingänge ein und legt die Ausgangszustände der Schalter fest, mit denen er verbunden ist beziehungsweise die ihm zugeordnet sind. Wichtige Zustände wie Anforderungen werden mit dem Slave abgeglichen und interne Tests werden durchgeführt.

[0006] Eine NOTAUS-Anforderung wird zunächst von dem Controller im Mastermodus registriert. Dabei besteht der Nachteil, dass diejenigen Ausgänge, die von dem Controller im Slavemodus angesteuert werden, erst dann abgeschaltet werden können, wenn die NOTAUS-Anforderung von dem Master an den Slave übermittelt worden ist. Diejenigen Ausgänge, die unmittelbar vom Master angesteuert werden, können verhältnismäßig rasch abgeschaltet werden. Somit ist die Reaktionszeit zum Abschalten der angesteuerten Komponenten abhängig davon, welcher Controller die Anforderung zuerst erhält und ob der gewünschte Ausgang auch von diesem Controller abgeschaltet werden kann.

[0007] Mit dem geschilderten Schaltungsaufbau konnten bislang Anforderungszeiten nicht unter 45 ms erreicht werden. Durch entsprechend schnellere Hardware ließe sich die Anforderungszeit noch bis auf 35 ms reduzieren. Dies ist jedoch für kritische Anforderungen wie Pressensteuerungen nicht hinreichend.

[0008] Die Aufgabe der vorliegenden Erfindung besteht somit darin, eine Ansteuervorrichtung und ein entsprechendes Verfahren zum Steuern oder Regeln einer sicherheitskritischen Komponente mit durchschnittlich verkürzter Reaktionszeit vorzuschlagen.

[0009] Erfindungsgemäß wird diese Aufgabe gelöst durch eine Ansteuervorrichtung zum Steuern oder Regeln einer sicherheitskritischen Komponente mit einer Schalteinrichtung, die einen ersten Schalter und einen zweiten, mit dem ersten in Reihe verbundenen Schalter zum Schalten der sicherheitskritischen Komponente aufweist, einer ersten Steuerungseinrichtung zur Aufnahme eines Eingangssignals und Ausgabe eines ersten Ansteuersignals und einer zweiten Steuerungseinrichtung zur Aufnahme des Eingangssignals und Ausgabe eines zweiten Ansteuersignals, wobei der erste Schalter der Schalteinrichtung von der ersten Steuerungseinrichtung und der zweite Schalter der Schalteinrichtung von der zweiten Steuereinrichtung ansteuerbar sind.

[0010] Ferner wird erfindungsgemäß bereitgestellt ein Verfahren zum Steuern oder Regeln einer sicherheitskritischen Komponente durch Bereitstellen einer Schalteinrichtung, die einen ersten Schalter und einen zweiten, mit dem ersten in Reihe verbundenen Schalter zum Schalten der sicherheitskritischen Komponente aufweist, Bereitstellen einer ersten Steuerungseinrichtung, die mit dem Schalter verbunden ist, und einer zweiten Steuerungseinrichtung, die mit dem zweiten Schalter verbunden ist, Aufnehmen eines Eingangssignals und Ausgeben eines ersten Ansteuersignals von der ersten Steuerungseinrichtung an den ersten Schalter der Schalteinrichtung auf der Basis des Eingangssignals, wobei auf der Basis des Eingangssignals ein zweites Ansteuersignal von der zweiten Steuerungseinrichtung an den zweiten Schalter der Schalteinrichtung ausgegeben wird.

[0011] Der Erfindung liegt der Gedanke zugrunde, dass der Ausgang abgeschaltet werden soll, unabhängig davon, welcher der Schalter zuerst abgesteuert wird. Dadurch, dass nun beide Controller beziehungsweise Steuerungseinrichtungen die Reihenschaltung aus den beiden Schaltern ansteuern und somit eine UND-Verknüpfung der Ausgänge der Controller gegeben ist, wird der Ausgang an der Schalteinrichtung auf alle Fälle mit der geringeren Reaktionszeit der beiden Controller abgeschaltet.

[0012] Ein positiver Nebeneffekt dieses zeitversetzten Schaltens ist, dass ein gleichzeitiges Verschweißen der beiden Schalter, z. B. Schütze, ausgeschlossen werden kann. Die NOTAUS-Funktion ist damit auch nach dem Verschweißen eines der Kontakte der Schalter noch gewährleistet.

[0013] Das zeitversetzte Abschalten der Schalter hat weiterhin den Vorteil, dass für beide Schalter ungefähr gleiche Lebensdauern zu erwarten sind. Dies liegt daran, dass im statistischen Mittel jeder Schalter ebenso häufig im stromfreien wie im bestromten Zustand abgeschaltet wird.

[0014] Vorzugsweise wird der erste und zweite Schalter in der Schalteinrichtung jeweils durch ein Relais oder einen Schütz realisiert. Alternativ kann der erste und zweite Schalter aber auch als Halbleiterschalter ausgelegt sein oder einen Optokoppler umfassen.

[0015] Der erste und zweite Schalter können zeitversetzt zueinander angesteuert werden. Ferner können die erste und zweite Steuerungseinrichtung nach dem Master-Slave-Prinzip arbeiten, wodurch sich ein definierter Zeitversatz ergibt. Speziell entsteht dann der Zeitversatz durch die Zeitdauer, die der Master benötigt, um den Slave von einem Ereignis in Kenntnis zu setzen.

[0016] Vorteilhafterweise wird eine elektrische Maschine mit einem Lastkreis mit der genannten, erfindungsgemäßen Ansteuervorrichtung ausgestattet. Dabei kann die Ansteuervorrichtung insbesondere für die Sicherheitsabschaltung beziehungsweise NOTAUS-Steuerung verwendet werden.

[0017] Die vorliegende Erfindung wird nun anhand der beigefügten Zeichnungen näher erläutert, in denen zeigen:
FIG 1
ein Schaltungsdiagramm einer erfindungsgemäßen Ansteuervorrichtung; und
FIG 2
ein Zeitsignaldiagramm der Ansteuervorrichtung von FIG 1.


[0018] Die nachfolgend geschilderten Ausführungsbeispiele stellen bevorzugte Ausführungsformen der vorliegenden Erfindung dar. In dem Schaltungsdiagramm gemäß FIG 1 dienen zwei Schütze S1 und S2, die in Reihe miteinander verbunden sind, zum Schalten eines nicht dargestellten Lastkreises einer elektrischen Maschine über die Klemmen K1 und K2. Zur Ansteuerung der beiden Schütze S1 und S2 dienen zwei Steuerungseinrichtungen beziehungsweise Controller C1 und C2. Die Ausgangssignale der Controller C1 und C2 werden von jeweiligen Ausgangseinheiten Y1 und Y2 in entsprechende Bewegungen der Schütze S1 und S2 umgesetzt. Von einer Eingabeeinheit X, die beispielsweise als NOTAUS-Schalter realisiert sein kann, erhalten die beiden Controller C1 und C2 ihr Eingangssignal. Dieses Eingangssignal wird am Eingang X von den Controllern C1 und C2 durch jeweilige Taktsignale T1 und T2 abgefragt.

[0019] FIG 2 zeigt hierzu ein Signalverlaufsdiagramm beziehungsweise Zustandsdiagramm der einzelnen Komponenten. Zum Zeitpunkt t0 wird der NOTAUS-Schalter am Eingang X gedrückt. Zu diesem Zeitpunkt liest der Controller C1 den Eingang X. Nach einer gewissen Reaktionszeit wird die Ausgangseinheit Y1 zum Zeitpunkt t1 abgeschaltet. Da der Controller C2 zum Zeitpunkt t0 nicht aktiv war, muss er erst vom Controller C1 über das Drücken des NOTAUS-Schalters informiert werden, um die Ausgangseinheit Y2 abzuschalten. Daher beträgt die Reaktionszeit entsprechend länger und die Ausgangseinheit Y2 wird erst zum Zeitpunkt t2 abgeschaltet.

[0020] Bei einer konkreten Realisierung kann die erfindungsgemäße Ansteuervorrichtung in einem Sicherheitsgerät, beispielsweise der Modellreihe 3TK2845 des Anmelders, mit zwei potentialfreien Relaisausgängen, die in Reihe geschaltet sind, eingesetzt werden. Typischerweise beträgt die Reaktionszeit des Masters auf eine NOTAUS-Anforderung bis zum 8 ms. Die Zeit zur Übermittlung der NOTAUS-Anforderung vom Mater zum Slave kann bis zu 15 ms betragen. Die Abfallzeit des Relais beträgt im vorliegenden Beispiel maximal 12 ms. Bei der Standardbeschaltung gemäß dem Stand der Technik, bei der eine Serienschaltung von Relais lediglich mit Hilfe eines Controllers angesteuert wird, würde die Reaktionszeit bis zum 8 ms + 15 ms + 12 ms = 35 ms betragen. Bei der erfindungsgemäßen Beschaltung mit sogenanntem "kaskardiertem Ausgang" würde die Reaktionszeit höchstens 8 ms + 12 ms 20 ms betragen, da jeder Controller C1, C2 eines der Relais beziehungsweise einen der Schütze S1, S2 schaltet und damit zum Abschalten des Lastkreises die Übermittlung der NOTAUS-Anforderung an den Slave nicht mehr notwendig ist. Damit werden die Anforderungen auch an sehr zeitkritische Anwendungen erfüllt. Durch die erfindungsgemäße Ansteuerung der in Form einer logischen UND-Verknüpfung verschalteten Relais beziehungsweise Schütze S1, S2 der Schaltungseinrichtung können die bislang eingesetzten Geräte weiterhin verwendet werden, ohne dass Änderungen in Hard- oder Firmware für eine Sicherheitsabschaltung notwendig sind.


Ansprüche

1. Ansteuervorrichtung zum Steuern oder Regeln einer sicherheitskritischen Komponente mit

- einer Schalteinrichtung, die einen ersten Schalter (S1) und einen zweiten, mit dem ersten in Reihe verbundenen Schalter (S2) zum Schalten der sicherheitskritischen Komponente aufweist,

- einer ersten Steuerungseinrichtung (C1) zur Aufnahme eines Eingangssignals und Ausgabe eines ersten Ansteuersignals und

- einer zweiten Steuerungseinrichtung (C2) zur Aufnahme des Eingangssignals und Ausgabe eines zweiten Ansteuersignals,

dadurch gekennzeichnet, dass

- der erste Schalter (S1) der Schalteinrichtung von der ersten Steuerungseinrichtung (C1) und der zweite Schalter (S2) der Schalteinrichtung von der zweiten Steuereinrichtung (C2) ansteuerbar sind.


 
2. Ansteuervorrichtung nach Anspruch 1, wobei der erste und zweite Schalter jeweils ein Relais oder ein Schütz ist.
 
3. Ansteuervorrichtung nach Anspruch 1, wobei der erste und zweite Schalter jeweils ein Halbleiterschalter ist.
 
4. Ansteuervorrichtung nach Anspruch 1, wobei der erste und zweite Schalter jeweils einen Optokoppler umfasst.
 
5. Ansteuervorrichtung nach einem der vorhergehenden Ansprüche, wobei der erste Schalter (S1) und der zweite Schalter (S2) mit Zeitversatz zueinander ansteuerbar sind und die erste und zweite Steuerungseinrichtung nach dem Master/Slave-Prinzip arbeiten.
 
6. Elektrische Maschine mit einem Lastkreis und einer Ansteuervorrichtung nach einem der vorhergehenden Ansprüche.
 
7. Elektrische Maschine nach Anspruch 6 mit weiterhin einem Not-Aus-Schalter (X) zum Liefern des Eingangssignals.
 
8. Verfahren zum Steuern oder Regeln einer sicherheitskritischen Komponente durch

- Bereitstellen einer Schalteinrichtung, die einen ersten Schalter (S1) und einen zweiten, mit dem ersten in Reihe verbundenen Schalter (S2) zum Schalten der sicherheitskritischen Komponente aufweist,

- Bereitstellen einer ersten Steuerungseinrichtung (C1), die mit dem Schalter (S1) verbunden ist, und einer zweiten Steuerungseinrichtung (C2), die mit dem zweiten Schalter (S2) verbunden ist,

- Aufnehmen eines Eingangssignals,

- Ausgeben eines ersten Ansteuersignals von der ersten Steuerungseinrichtung (C1) an den ersten Schalter (S1) der Schalteinrichtung auf der Basis des Eingangssignals und

- Ausgeben eines zweiten Ansteuersignals von der zweiten Steuerungseinrichtung (C2) an den zweiten Schalter (S2) der Schalteinrichtung auf der Basis des Eingangssignals.


 
9. Verfahren nach Anspruch 8, wobei das erste und zweite Ansteuersignal zeitversetzt zueinander ausgegeben werden.
 
10. Verfahren nach Anspruch 9, wobei das erste und das zweite Ansteuersignal in einem Master/Slave-Prozess in Abhängigkeit von dem Eingangssignal erzeugt werden, wodurch sich der definierte Zeitversatz ergibt.
 
11. Verfahren nach Anspruch 8, 9 oder 10, wobei mit der Schalteinrichtung ein Lastkreis einer elektrischen Maschine geschaltet wird.
 
12. Verfahren nach einem der Ansprüche 8 bis 11, wobei das Eingangssignal von einem Not-Aus-Schalter (X) geliefert wird.
 




Zeichnung







Recherchenbericht