Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem

Abstract

 Sichere Schalteinrichtung für ein modulares fehlersicheres Steuerungssystem (10,20) zum Ein- und sicheren Ausschalten eines elektrischen Verbrauchers (12), mit zumindest einem verschleißbehafteten Schaltelement (46), das ausgelegt ist, durch ein vom Steuerungssystem (10,20) generiertes Steuersignal einen Schaltvorgang auszuführen, um den elektrischen Verbraucher (12) zu schalten, gekennzeichnet durch eine Vorrichtung zum Erfassen der Anzahl der getätigten Schaltvorgänge (44,48) (Erfassungsvorrichtung) mit einer Speichervorrichtung (48,50,52) zum dauerhaften fehlersicheren Speichern der erfassten Anzahl.

Beschreibung

[0001] Die vorliegende Erfindung betrifft eine sichere Schalteinrichtung für ein modulares fehlersicheres Steuerungssystem zum Ein- und sicheren Ausschalten einer Last, mit zumindest einem verschleißbehafteten Schaltelement, das ausgelegt ist, durch ein vom Steuerungssystem generiertes Steuersignal einen Schaltvorgang auszuführen, um die Last zu schalten. Die Erfindung betrifft ferner ein modulares fehlersicheres Steuerungssystem zum Ein- und sicheren Ausschalten eines elektrischen Verbrauchers, insbesondere einer elektrisch angetriebenen Maschine, über zumindest eine Schalteinrichtung, mit einer Steuerungsvorrichtung zum Auswerten von Eingangssignalen und zur Erzeugung eines für die Schalteinrichtung bestimmten Steuersignals abhängig von der Auswertung.

[0002] Derartige Schalteinrichtungen sind allgemein bekannt und bilden einen Bestandteil von fehlersicheren Steuerungssystemen, die allgemein auch als Sicherheitsschaltgeräte bezeichnet werden. Fehlersichere Steuerungssysteme dienen dazu, das Signal eines Sicherheitsgebers, beispielsweise eines Not-Aus-Schalters, eines Schutztürpositionsschalters etc. sicher auszuwerten und einen oder mehrere sichere Ausgangskontakte einer Schalteinrichtung anzusteuern. Über diese geschalteten Ausgangskontakte werden dann Aktoren, beispielsweise Schütze, Ventile, Motoren, gefährliche Maschinenteile, beispielsweise Sägeblätter, Roboterarme, Hochspannungseinrichtungen, etc., in einen sicheren Zustand gebracht. Die Anmelderin bietet unter dem Namen "PNOZ" eine Vielzahl von unterschiedlichen Sicherheitsschaltgeräte-Typen an. Ein Beispiel eines modular aufgebauten Sicherheitsschaltgeräts mit einem modularen fehlersicheren Steuerungssystem und einer sicheren Schalteinrichtung ist beispielsweise in DE 100 20 075 C2 offenbart. Auch in der Druckschrift DE 100 11 211 ist ein Sicherheitsschaltgerät der Anmelderin gezeigt.

[0003] Da derartige Sicherheitsschaltgeräte in sicherheitskritischen Umgebungen eingesetzt werden, müssen die Gefahren, die durch defekte Bauteile verursacht werden können, beherrscht werden. Neben den fehlerbeherrschenden Maßnahmen, z.B. mittels redundantem Aufbau und der Anwendung automatischer diagnostischer Prüfungen zur Erkennung von gefahrbringenden Hardware-Ausfällen, ist das Berücksichtigen der Ausfallraten der Bauteile, die in Sicherheitsschaltgeräten zum Einsatz kommen, zunehmend von Bedeutung.

[0004] Es ist bekannt, dass Sicherheitsschaltgeräte nicht absolut sicher sein können. Deshalb muss das Risiko, dass das Sicherheitsschaltgerät durch den Ausfall eines Bauteils ausfällt, bewertet werden, und dieses Risiko muss unter einem akzeptierten Grenzwert liegen.

[0005] Bei elektrischen und elektronischen Bauteilen wird üblicherweise angenommen, dass deren Ausfallrate konstant ist. Das Risiko eines Ausfalls ist deshalb bei einem neuen und bei einem alten, baugleichen Sicherheitsschaltgerät gleich hoch.

[0006] Bei mechanischen und elektromechanischen Bauteilen, wie beispielsweise Relais, Schütze, Bremsen, etc., muss üblicherweise mit Verschleiß gerechnet werden. Die Ausfallrate steigt deshalb ab einer Verschleißgrenze stark an, so dass das akzeptierte Risiko am Lebensdauerende des Bauteils überschritten wird. Es wird deshalb vorgeschrieben, diese Bauteile vor deren Verschleißgrenze auszutauschen oder die Bauteile so zu betreiben, dass die Verschleißgrenze im vorgesehenen Betrieb nicht erreicht wird.

[0007] Die Quantifizierung der Bauteilzuverlässigkeit ist erforderlich, um nachzuweisen, dass die aktuellen Normen IEC 61508 bzw. ISO 13849-1 eingehalten werden.

[0008] Die Vorgaben durch die Normen über Funktionssicherheit und das fortwährende Bestreben, die Sicherheit und die Verfügbarkeit von Sicherheitsschaltgeräten zu erhöhen, lassen den Wunsch entstehen, die Diagnose vor allem von verschleißbehafteten Bauteilen zu verbessern.

[0009] "Diagnose" wird im Rahmen der vorliegenden Anmeldung im Sinne der Normenreihe IEC 61508 verwendet.

[0010] Dort wird unter "Diagnose" die Anwendung automatischer diagnostischer Prüfungen zur Erkennung gefahrbringender Hardware-Ausfälle in sicherheitsbezogenen Systemen verstanden.

[0011] Vor diesem Hintergrund besteht die Aufgabe der vorliegenden Erfindung darin, die eingangs genannte Schalteinrichtung so weiterzubilden, dass eine bessere, insbesondere sicherere Diagnose möglich ist.

[0012] Diese Aufgabe wird bei der eingangs genannten Schalteinrichtung dadurch gelöst, dass eine Vorrichtung zum Erfassen der Anzahl der getätigten Schaltvorgänge (Erfassungsvorrichtung) vorgesehen ist, die eine Speichervorrichtung zum dauerhaften fehlersicheren Speichern der erfassten Anzahl aufweist.

[0013] Das heißt mit anderen Worten, dass dezentral in der Schalteinrichtung selbst ein Zähler geführt wird, der die Anzahl der getätigten Schaltvorgänge (auch "Schaltspielzahl" genannt) angibt, und der zentral auf Steuerungssystem-Ebene ausgewertet werden kann. Um den hohen Sicherheitsbedürfnissen Rechnung zu tragen, ist die Speichervorrichtung mit fehlersicheren Speichern ausgestattet, die zudem die Information "dauerhaft", das heißt auch bei Wegfall der Betriebsspannung (nullspannungssicher) speichern. Unter dem Begriff "fehlersicher" ist im Rahmen der vorliegenden Anmeldung zu verstehen, dass der Speicher zwar defekt sein darf, dies aber erkannt werden muss, um eine Fehlinterpretation des Speicherinhalts zu vermeiden.

[0014] Dem Benutzer eines modularen Sicherheitsschaltgeräts wird mit der erfindungsgemäßen Lösung ein Mittel in die Hand gegeben, eine Diagnose von verschleißbehafteten Schaltelementen auf der Basis der abgespeicherten fehlersicheren Anzahl der getätigten Schaltvorgänge vorzunehmen.

[0015] Gerade bei einem Einsatz von Relais als Schaltelemente kann mit Hilfe der fehlersicher gespeicherten Anzahl der Schaltvorgänge vermieden werden, dass sie über die von den Herstellern vorgegebenen Verschleißgrenzen hinaus betrieben werden. Darüber hinaus lässt sich auch beispielsweise ein Warnsystem auf der Grundlage der gespeicherten Anzahl der Schaltvorgänge realisieren, um den Benutzer rechtzeitig vor Erreichen der Verschleißgrenze zu informieren und/oder in einen anderen Betriebsmodus zu wechseln, um ein sicherheitskritisches Verhalten bei Ausfall des Schaltelements zu verhindern.

[0016] Bei einer bevorzugten Weiterbildung weist die Erfassungsvorrichtung eine Zählerschaltung auf, die durch ein Zählsignal einen Zählerstand, vorzugsweise um eins, inkrementiert und diesen Zählerstand in der Speichervorrichtung abspeichert.

[0017] Das bedeutet mit anderen Worten, dass die dezentrale sichere Schalteinrichtung alle Elemente aufweist, die zur Erfassung der Anzahl der Schaltvorgänge erforderlich sind, nämlich einerseits einen Zähler, der sich inkrementieren lässt mit Hilfe eines Zählsignals, und andererseits die bereits erwähnte Speichervorrichtung zum Speichern des Zählerstands. Es ist folglich damit nicht notwendig, dass das zentrale Steuerungssystem den Zählerstand liefert und dieser dezentral gespeichert wird.

[0018] Bei einer bevorzugten Weiterbildung wird das Zählsignal vom zentralen Steuerungssystem generiert und der dezentralen sicheren Schalteinrichtung zugeführt, so dass dort der Zähler entsprechend inkrementiert werden kann.

[0019] Noch bevorzugter ist es jedoch, die dezentrale Schalteinrichtung mit einer Vorrichtung zum Detektieren des Steuersignals und Erzeugen eines Zählsignals auszustatten. Das heißt mit anderen Worten, dass die dezentrale sichere Schalteinrichtung anhand des ihr sowieso zugeführten Steuersignals zum Schalten des Schaltelements ein Zählsignal erzeugt.

[0020] Diese Ausgestaltung ist besonders einfach und führt den Gedanken der dezentralen Struktur weiter, so dass die Erfassung der Anzahl der getätigten Schaltvorgänge ohne Mithilfe des Steuerungssystems dezentral von der sicheren Schalteinrichtung vorgenommen werden kann.

[0021] Bei einer bevorzugten Weiterbildung ist der Speichervorrichtung ein Mittel zur Fehlererkennung zugeordnet, um Fehler der Speichervorrichtung zu erkennen.

[0022] Ein solches Mittel hat also die Aufgabe, beispielsweise zu prüfen, ob die Speichervorrichtung fehlersicher funktioniert, das heißt beispielsweise, dass die einzelnen zum Abspeichern erforderlichen Speicherzellen funktionsfähig sind. Ein solcher Test kann beispielsweise zyklisch ausgeführt werden.

[0023] Alternativ oder in Ergänzung hierzu ist bevorzugt vorgesehen, die Speichervorrichtung mit zwei redundanten Speicherelementen auszustatten.

[0024] Diese Lösung hat den Vorteil, dass bei einer fehlerhaften Datenspeicherung mit den redundanten Daten aus dem anderen Speicherelement ein Betrieb weitergeführt werden kann. Es ist hiermit eine fehlersichere hochverfügbare dezentrale Diagnose möglich.

[0025] Alternativ zu zwei redundanten Speicherelementen ist es selbstverständlich auch möglich, dass das abgespeicherte Datum (das heißt die Anzahl der Schaltvorgänge) mit Paritätsbits versehen wird, so dass daran erkannt werden kann, ob das Datum fehlerhaft ist. Alternativ könnte beispielsweise auch eine zyklische Redundanzprüfung (CRC) ausgeführt werden, wobei ein entsprechender CRC-Wert zusammen mit dem entsprechenden Datum abgespeichert wird. Mit Hilfe einer solchen Prüfung ist es nicht nur möglich, einen Fehler grundsätzlich zu erkennen, sondern es ist auch möglich, den Fehler zu korrigieren. Damit lässt sich eine fehlersichere dezentrale Diagnose vorsehen.

[0026] Es versteht sich, dass andere Mittel und Verfahren ebenfalls denkbar sind, um fehlerhaft abgespeicherte Daten zu erkennen und gegebenenfalls korrigieren.

[0027] Bei einer bevorzugten Weiterbildung weist die erfindungsgemäße Schalteinrichtung ein Mittel zum Auslesen der gespeicherten Anzahl der Schaltvorgänge und zum Übermitteln der ausgelesenen Anzahl an das Steuerungssystem auf.

[0028] Das heißt mit anderen Worten, dass das zentrale Steuerungssystem die Anzahl der Schaltvorgänge von einer angeschlossenen Schalteinrichtung abfragen kann, um auf dieser Basis eine Diagnose bzw. Prüfung vorzunehmen.

[0029] Selbstverständlich wäre es alternativ auch denkbar, die Auswertung bzw. Diagnose auf der Basis der abgespeicherten Anzahl von Schaltvorgängen dezentral von der Schalteinrichtung vornehmen zu lassen. Es wäre denkbar, dass die sichere Schalteinrichtung dann lediglich Diagnosestatusmeldungen an das zentrale Steuerungssystem ausgibt. In diesem Fall sind die erforderlichen Parameter für die Diagnose, wie beispielsweise die Schaltspielzahl bis zum Erreichen der Verschleißgrenze, etc., in der Schalteinrichtung abgelegt.

[0030] Der Vorteil einer solchen dezentralen Diagnose liegt insbesondere in der Flexibilität, da durch den Austausch einer Schalteinrichtung oder einer Ergänzung keine Daten neu auf das zentrale Steuerungssystem aufgespielt werden müssen, sondern dass die Schalteinrichtung selbst die Diagnoseparameter "mitbringt".

[0031] Die der Erfindung zugrunde liegende Aufgabe wird auch von einem modularen fehlersicheren Steuerungssystem der eingangs genannten Art dadurch gelöst, dass eine Diagnoseparameter-Speichervorrichtung zum Speichern vorgebbarer Schaltvorgangs-Schwellenwerte für die zumindest eine Schalteinrichtung, und eine Diagnosedaten-Analysevorrichtung vorgesehen sind, die ausgelegt sind, die aus einer Schalteinrichtung ausgelesene Anzahl von Schaltvorgängen mit den abgespeicherten Schwellenwerten zu vergleichen und abhängig davon eine Aktion zu veranlassen.

[0032] Das heißt mit anderen Worten, dass die Diagnose zentral im Steuerungssystem vorgenommen wird, wobei die erforderlichen Diagnoseparameter, wie Schaltvorgangs-Schwellenwerte, dort abgelegt sind. Sollte die Diagnose zu dem Ergebnis führen, dass beispielsweise ein Schaltelement einer Schalteinrichtung in Kürze die Verschleißgrenze erreicht, kann das Steuerungssystem eine bestimmte Aktion auslösen. Unter einer solchen Aktion kann im einfachsten Fall die Ausgabe einer Warnung verstanden werden, dass die Verschleißgrenze bald erreicht wird und beispielsweise ein Austausch des Schaltelements erforderlich ist. Eine andere Aktion könnte darin bestehen, in einen eingeschränkten Betrieb zu wechseln, wobei in einem solchen eingeschränkten Betrieb beispielsweise nur eine reduzierte Geschwindigkeit der Maschine zugelassen wird oder der Normalbetrieb nur für eine eingeschränkte Zeit zugelassen wird. Eine weitere Aktion könnte darin bestehen, das Sicherheitssystem in den sicheren Zustand zu führen und den Betrieb zu unterbrechen.

[0033] Es versteht sich, dass die vorstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

[0034] Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung. Die einzige Figur zeigt in Form eines schematischen Blockschaltdiagramms den Aufbau eines Sicherheitsschaltgeräts, wobei nur die für die Erfindung notwendigen Baugruppen dargestellt sind.

[0035] In der einzigen Figur ist ein Sicherheitsschaltgerät als Blockschaltdiagramm dargestellt und mit dem Bezugszeichen 10 gekennzeichnet. Aus Übersichtlichkeitsgründen sind in diesem Blockschaltdiagramm nur die für die Erläuterung der Erfindung erforderlichen Baugruppen dargestellt. Im Hinblick auf einen konkreten mechanischen und elektrotechnischen Aufbau eines solchen Sicherheitsschaltgeräts 10 wird auf die in der Beschreibungseinleitung genannten Druckschriften verwiesen oder auf die von der Anmelderin erhältlichen schriftlichen Unterlagen zu dem Sicherheitsschaltgerät "PNOZmulti" oder "PSSu".

[0036] Das Sicherheitsschaltgerät 10 dient ganz allgemein dazu, einen Verbraucher 12, beispielsweise einen Elektromotor, mit einer Spannungsversorgung 14 zu verbinden bzw. davon zu trennen. Die Trennung des Verbrauchers 12 von der Spannungsversorgung 14 erfolgt mit Hilfe des Sicherheitsschaltgerät 10 auf sichere Weise dann, wenn beispielsweise ein Not-Aus-Schalter 16 betätigt wird. An dieser Stelle sei angemerkt, dass diese Beschaltung eines Sicherheitsschaltgeräts 10 rein beispielhaft ist und für eine von vielen unterschiedlichen Beschaltungen steht. Insbesondere sind andere Schalter anstelle des Not-Aus-Schalters 16 denkbar, wie beispielsweise Lichtgitter, Lichtschranken, etc.

[0037] Das in der Figur gezeigte Sicherheitsschaltgerät 10 ist modular aufgebaut und umfasst ein Zentralmodul 20, das nachfolgend auch als Steuerungssystem bezeichnet wird, und zumindest ein Relaismodul 40, das nachfolgend auch als Schalteinrichtung bezeichnet wird. Das Steuerungssystem 20 ist mit der Schalteinrichtung 40 über einen Datenbus 60 verbunden. Als Bus 60 kommen unterschiedliche Systeme in Frage, wobei die Anmelderin beispielsweise auch ein sicheres Bussystem anbietet, das hier zum Einsatz kommen könnte.

[0038] Um eine Kommunikation zwischen Steuerungssystem 20 und Schalteinrichtung 40 über den Bus 60 abwickeln zu können, ist jeweils ein Interface 22 bzw. 42 vorgesehen, wobei diese Interfaces bzw. Schnittstellen 22, 42 an das jeweils benutzte Bussystem angepasst sind.

[0039] Sowohl das Steuerungssystem 20 als auch die Schalteinrichtung 40 verfügen jeweils über eine Steuerungseinheit 24 bzw. 44, die mit den jeweiligen Schnittstellen 22 bzw. 44 verbunden sind. Die Steuerungseinheiten 24, 44 sind für die Steuerung der kompletten Abläufe innerhalb des jeweiligen Moduls 20, 40 zuständig, wobei an dieser Stelle auf eine detaillierte Beschreibung verzichtet werden kann. Vielmehr wird auf die bereits erwähnten Druckschriften verwiesen, in denen der Aufbau erläutert ist.

[0040] Die zentrale Steuerungseinheit 24 umfasst eine Auswerteeinheit 26, die bestimmte Daten für Diagnosezwecke auswertet. Es handelt sich hierbei insbesondere um die Auswertung der Anzahl von Schaltvorgängen (Schaltspielzahl), die die Schaltelemente 46 der angeschlossenen Schalteinrichtungen 40 ausgeführt haben. Diese Anzahl ist dann von Bedeutung, wenn es sich bei den Schaltelementen 46 um verschleißbehaftete Schaltelemente handelt, wie beispielsweise Relais.

[0041] Der zentralen Steuerungseinheit 24 ist eine Speichereinheit 28 zugeordnet, die zumindest zwei Speicherelemente 30, 32 umfasst. Die Speichereinheit 28 dient dazu, Diagnoseparameter abzuspeichern, wobei aus Sicherheitsgründen eine redundante Speicherung erforderlich ist. Das heißt mit anderen Worten, dass die beiden vorgesehenen Speicherelemente 30, 32 jeweils identische Diagnoseparameter speichern, so dass auch bei einem fehlerhaften Datum das im redundanten Speicherelement abgespeicherte Datum für den Weiterbetrieb verwendet werden kann.

[0042] Selbstverständlich sind andere Möglichkeiten der fehlersicheren Datenspeicherung denkbar. So wäre es beispielsweise auch möglich, zu jedem abgespeicherten Datum einen CRC-Wert zu speichern, so dass beim Auslesen dieses Datums einerseits festgestellt werden kann, ob ein Fehler vorliegt, und andererseits dieser Fehler korrigiert werden kann.

[0043] Bei den abzuspeichernden Diagnoseparametern handelt es sich beispielsweise um Werte für Schaltvorgänge von verschleißbehafteten Schaltelementen 46. Ein solcher Diagnoseparameter kann folglich beispielsweise die Anzahl der Schaltvorgänge eines Schaltelements sein, die der Hersteller dieses Schaltelements zulässt. Das heißt mit anderen Worten, dass das Schaltelement bei Erreichen dieser Anzahl von Schaltvorgängen ausgewechselt werden sollte.

[0044] Es versteht sich, dass andere Diagnoseparameter ebenfalls in der Speichereinheit 28 abgespeichert werden können. Darüber hinaus sei an dieser Stelle angemerkt, dass sich die abgespeicherten Diagnoseparameter auf eine einzelne modulare Schalteinrichtung 40 beziehen. Für den Fall, dass mehrere unterschiedliche Schalteinrichtungen 40 am Bus 60 angeschlossen sind, enthält die Speichereinheit 28 für jede Schalteinrichtung die entsprechenden Diagnoseparameter.

[0045] Die modulare Schalteinrichtung 40 umfasst ebenfalls eine Speichereinheit 48, die der Steuerungseinheit 44 zugeordnet ist, also mit dieser über entsprechende Daten und Steuerleitungen verbunden ist. Die Speichereinheit 48 ist als redundante Speichereinheit aufgebaut, so dass Speicherelemente 50, 52 vorgesehen sind, die identische Daten speichern.

[0046] Die Speichereinheit 48 ist dazu ausgelegt, Diagnosedaten abzuspeichern, wobei im vorliegenden Ausführungsbeispiel ein Diagnosedatum die Anzahl der Schaltvorgänge des Schaltelements 46 ist.

[0047] Um die Anzahl der Schaltvorgänge einerseits zu erfassen und andererseits dauerhaft und fehlersicher zu speichern, sind ein erstes Zähler-Register 54 und ein zweites Zähler-Register 56 vorgesehen, die Teil der Speichereinheit 48 sein können. Die beiden Zähler-Register 54, 56 speichern einen Zählwert, der bei Eintreten eines bestimmten Ereignisses, hier das Einschalten des Schaltelements 46, um eins inkrementiert wird.

[0048] Wichtig bei den beiden Zähler-Registern 54, 56 ist, dass sie auch bei Wegfall der Versorgungsspannung ihren Registerwert behalten, also nullspannungssicher sind.

[0049] Darüber hinaus muss gewährleistet sein, dass der gespeicherte Zähler, der die Anzahl der Schaltvorgänge angibt, fehlersicher ist. Das heißt nicht notwendigerweise, dass das Abspeichern redundanter Daten erforderlich ist, um bei einem fehlerhaften Datum mit dem redundanten zweiten Datum weiterarbeiten zu können, sondern zunächst nur, dass eine fehlerhafte Speicherung eines Datums erkannt wird.

[0050] Hierfür existieren unterschiedliche Verfahren, wobei - wie bereits zuvor erwähnt - das Abspeichern von zusätzlichen Paritätsbits eine Möglichkeit bietet, fehlerhafte Abspeicherungen zu erkennen. Eine andere Möglichkeit besteht darin, zusätzlich zu dem Datum einen so genannten CRC-Wert (zyklische Redundanzprüfung) mit abzuspeichern, so dass anhand dieses CRC-Werts nicht nur ein Fehler erkannt sondern auch der Fehler unter Umständen korrigiert werden kann.

[0051] Um einen Betrieb der Schalteinrichtung auch bei fehlerhaftem Zähler-Wert zu gewährleisten, ist bevorzugt jedoch das in der Figur dargestellte zweite Zähler-Register 56 als Redundanz vorgesehen. Das heißt mit anderen Worten, dass die Anzahl der Schaltvorgänge identisch in zwei unterschiedlichen Zähler-Registern 54, 56 abgelegt ist.

[0052] Um die Werte in den Zähler-Registern 54, 56 um eins zu inkrementieren, generiert die Steuerungseinheit 44 ein Zählsignal und überträgt dies zu den beiden Zähler-Registern 54, 56, immer dann, wenn sie ein Einschaltsignal an das Schaltelement 46 überträgt.

[0053] Alternativ wäre selbstverständlich auch denkbar, dass ein Zählsignal von dem Steuerungssystem 20 generiert und über den Bus 60 an die jeweilige Schalteinrichtung 40 übertragen wird.

[0054] Zur Auswertung des im Zähler-Register 54 bzw. 56 abgespeicherten Werts ruft das Steuerungssystem 20 ein Diagnoseprogramm auf, das das im Zähler-Register 54, 56 der Schalteinrichtung 40 abgespeicherte Datum anfordert. Dies hat zur Folge, dass die Schalteinrichtung 40 dieses Datum zur Schnittstelle 42 und über diese und den Bus 60 zum Steuerungssystem 20 überträgt. Nach Empfang dieses Datums, das beispielsweise die Anzahl der aufgetretenen Schaltvorgänge angibt, wird ein Vergleich mit einem oder mehreren Diagnoseparametern vorgenommen, die in der Speichereinheit 28 abgelegt sind. Bei diesen Diagnoseparametern handelt es sich beispielsweise um verschiedene Schwellenwerte, die üblicherweise vom Hersteller des Schaltelements 46 vorgegeben werden und bei Überschreiten eine bestimmte Aktion auslösen. Beschreibt beispielsweise ein Diagnoseparameter die Anzahl der Schaltvorgänge bis zur Verschleißgrenze, wird bei Erreichen dieses Werts die Schalteinrichtung 40 über das Steuerungssystem 20 sicher abgeschaltet.

[0055] Neben diesen Diagnoseparametern sind weitere, wie bereits angegeben, denkbar. So könnte ein weiterer Diagnoseparameter die Anzahl der Schaltvorgänge angeben, ab der eine Warnung ausgegeben werden muss, die den Anwender darauf aufmerksam macht, dass das entsprechende Schaltelement 46 der Schalteinrichtung 40 ausgewechselt werden muss.

[0056] Schließlich kann eine Aktion, die von dem Steuerungssystem veranlasst wird, auch darin bestehen, einen Betrieb des Verbrauchers 12 nur mit reduzierter Geschwindigkeit oder nur für eine bestimmte Zeit zuzulassen.

[0057] Es versteht sich also, dass für unterschiedliche Aktionen unterschiedliche Diagnoseparameter (beispielsweise als Schwellenwerte) in der Speichereinheit 28 abgespeichert sind. Diese Diagnoseparameter können vom Hersteller der Schalteinrichtung stammen, oder aber auch vom Anwender des Sicherheitsschaltgeräts 10. Das heißt mit anderen Worten, dass die in der Speichereinheit 28 abgelegten Diagnosedaten vorgebbar bzw. einstellbar sind.

[0058] Da die als Diagnoseparameter abgespeicherten Schwellenwerte häufig erst nach einigen Jahren des Betriebs des Sicherheitsschaltgeräts erreicht werden, ist es zum einen zwingend erforderlich, dass die in den beiden Speichereinheiten 28, 48 abgespeicherten Diagnoseparameter bzw. Diagnosedaten auch bei Wegfall der Betriebsspannung dauerhaft erhalten bleiben. Andererseits müssen die Zähler-Register mit ausreichend Bitbreite ausgestattet sein, so dass auch sehr große Werte gespeichert werden können, ohne dass ein Überlauf stattfindet.

[0059] Mit Hilfe der nullspannungssicheren und fehlersicheren Speicherung der Anzahl der Schaltvorgänge innerhalb einer modularen Schalteinrichtung 40 ist es möglich, eine Diagnose vorzunehmen, um das Ausfallrisiko anhand von abgespeicherten Diagnoseparametern erfassen und anhand einer Auswertung dann bestimmte Aktionen veranlassen zu können. Das Ergebnis besteht darin, dass die Verfügbarkeit des Sicherheitsschaltgeräts erhöht wird, da sich die durch Verschleiß von Schaltelementen hervorgerufenen Ausfälle durch frühzeitiges Reagieren im Wesentlichen vermeiden lassen.

[0060] Alternativ zu dem in der Figur gezeigten Ausführungsbeispiel wäre es auch denkbar, dass die zu einer Schalteinrichtung 40 gehörenden Diagnoseparameter nicht zentral sondern dezentral in der jeweiligen Schalteinrichtung abgespeichert sind. Das zentrale Steuerungssystem 20 kann dann diese Diagnoseparameter über den Bus anfordern, um sie in der eigenen Speichereinheit 28 abzulegen. Denkbar wäre natürlich auch, dass die Diagnose dezentral in der jeweiligen Schalteinrichtung 40 stattfindet und nur das Ergebnis an das zentrale Steuerungssystem übermittelt wird.

Ansprüche

1. Sichere Schalteinrichtung für ein modulares fehlersicheres Steuerungssystem (10, 20) zum Ein- und sicheren Ausschalten eines elektrischen Verbrauchers (12), mit zumindest einem verschleißbehafteten Schaltelement (46), das ausgelegt ist, durch ein vom Steuerungssystem (10, 20) generiertes Steuersignal einen Schaltvorgang auszuführen, um den elektrischen Verbraucher (12) zu schalten, gekennzeichnet durch eine Vorrichtung zum Erfassen der Anzahl der getätigten Schaltvorgänge (44, 48) (Erfassungsvorrichtung) mit einer Speichervorrichtung (48, 50, 52) zum dauerhaften fehlersicheren Speichern der erfassten Anzahl.

2. Schalteinrichtung nach Anspruch 1, dadurch gekennzeichnet, dass das Schaltelement ein Relais (46) ist.

3. Schalteinrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Erfassungsvorrichtung eine Zählerschaltung (54, 56) aufweist, die durch ein Zählsignal einen Zählerstand, vorzugsweise um eins, inkrementiert, und diesen Zählerstand in der Speichervorrichtung abspeichert.

4. Schalteinrichtung nach Anspruch 3, dadurch gekennzeichnet, dass die Zählerschaltung (54, 56) und die Speichervorrichtung (48, 50, 52) als eine Einheit (28) ausgebildet sind.

5. Schalteinrichtung nach Anspruch 3, dadurch gekennzeichnet, dass das Zählsignal vom Steuerungssystem (20) generiert und zugeführt ist.

6. Schalteinrichtung nach Anspruch 3, dadurch gekennzeichnet, dass die Erfassungsvorrichtung eine Vorrichtung zum Detektieren des Steuersignals und Erzeugen eines Zählsignals aufweist.

7. Schalteinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Speichervorrichtung (48) ein Mittel zur Fehlererkennung zugeordnet ist, um Fehler der Speichervorrichtung zu erkennen.

8. Schalteinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Speichervorrichtung (48) zwei redundante Speicherelemente (50, 52) aufweist.

9. Schalteinrichtung nach Anspruch 8, dadurch gekennzeichnet, dass in beiden Speicherelementen die Anzahl der Schaltvorgänge gespeichert ist.

10. Schalteinrichtung nach Anspruch 8, dadurch gekennzeichnet, dass in einem der beiden Speicherelemente eine Prüfsumme der im anderen Speicherelement abgespeicherten Anzahl gespeichert ist.

11. Schalteinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Mittel zum Auslesen der gespeicherten Anzahl der Schaltvorgänge und Übermitteln der ausgelesenen Anzahl an das Steuerungssystem vorgesehen ist.

12. Modulares fehlersicheres Steuerungssystem zum Ein- und sicheren Ausschalten eines elektrischen Verbrauchers, insbesondere einer elektrisch angetriebenen Maschine, über zumindest eine, vorzugsweise externe Schalteinrichtung (40), insbesondere nach einem der Ansprüche 1 bis 11, mit einer Steuerungsvorrichtung (24, 26) zum Auswerten von Eingangssignalen und zur Erzeugung eines für die Schalteinrichtung (40) bestimmten Steuersignals abhängig von der Auswertung, gekennzeichnet durch eine Diagnoseparameter-Speichervorrichtung (28) zum Speichern vorgebbarer Schaltvorgangs-Schwellenwerte für die zumindest eine Schalteinrichtung (40), und eine Diagnosedaten-Analysevorrichtung (26), die ausgelegt ist, die aus einer Schalteinrichtung ausgelesene Anzahl von Schaltvorgängen mit den abgespeicherten Schwellenwerten zu vergleichen und abhängig davon eine Aktion zu veranlassen.

13. Steuerungssystem nach Anspruch 12, dadurch gekennzeichnet, dass eine Aktion die Ausgabe einer Warnmeldung ist und/oder das Umschalten in einen eingeschränkten Betrieb des Verbrauchers und/oder das Umschalten des Verbrauchers in einen sicheren Zustand.

14. Steuerungssystem nach Anspruch 12 oder 13, dadurch gekennzeichnet, dass die Diagnoseparameter-Speichereinrichtung (28) fehlersicher und/oder redundant ausgebildet ist.

15. Steuerungssystem nach Anspruch 12, 13 oder 14, dadurch gekennzeichnet, dass die Diagnoseparameter-Speichereinrichtung (28) nullspannungssicher ausgebildet ist.

Zeichnung