安全指向の信号を検出、伝送および評価するための方法およびシステム
本発明は、少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するための方法およびシステムに関する。少なくとも1つの安全指向の信号(S1...Sn)が、少なくとも1つの検出ユニット(EE1...EEn)によって検出され、無線システム(FS)によって、少なくとも1つの評価ユニット(AE1...AE4)へ送信される。安全指向の信号の検出を簡素化し、かつ、障害のある無線リンクによる信号の伝達を改善するためには、危険な動作を解除すべく少なくとも2つの安全指向の信号(S1、S2)を互いに別々に検出し、かつ、無線システム(FS)によって、評価ユニット(AE1...AE4)に送信すること、および、危険な動作を解除するための出力信号(FRS)を、受信された安全指向の信号(S1...Sn)を論理演算することによって発生させることが意図されている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、安全指向の信号を検出、伝送および評価するための方法および該方法を実施するためのシステムに関する。
【背景技術】
【0002】
明細書の最初の部分に記載されたタイプの方法およびシステムは、特許文献1に記載されている。公知の方法では、安全指向の信号は、少なくとも1つの検出手段によって検出され、かつ、無線伝送路を介して、少なくとも1つの信号処理手段に伝送される。
【0003】
安全指向の信号は、送信側では、物理的に少なくとも2チャンネルで検出され、検出されたデータは、論理的に、少なくとも2チャンネルで、安全な技術で、無線によって、受信側に伝送される。受信側の受信されたデータは、同様に、物理的に少なくとも2チャンネルで処理されかつモニタされる。
【0004】
知られた方法で、更に、意図されていることは、少なくとも2チャンネルの処理のために、信号データとして。冗長信号が、少なくとも複の、電気機械的な、電気的なまたは電子的な入力要素によって発生され、かつ、各々の検出手段によって、信号データから、伝送の目的で、モニタを可能にする追加の保護データが発生されることである。
【0005】
知られた回路装置またはシステムは、安全関連のキー、例えばイネーブルスイッチ、緊急停止コマンド装置、緊急遮断コマンド装置、移動キーの形態の入力手段を有する。該入力手段は、2チャンネルで形成されている。入力手段を2チャンネルで評価するために、第1のおよび第2の検出ユニットが設けられており、該検出ユニットの出力端は、第1のおよび第2のチャンネルとして、送信機に接続されている。該送信機は、無線モジュールによって、安全指向の信号を処理ユニットの受信モジュールに送信する。処理ユニットでは、受信された信号は、第1のおよび第2の処理手段によって、2チャンネルで処理および評価される。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】DE-A-199 20 299
【発明の概要】
【0007】
このことを前提として、明細書の最初の部分に記載のタイプの方法およびシステムを、安全指向の信号の検出が簡素化され、かつ、障害のある無線リンクによる信号の伝達が改善されるように、改善するという課題が、本発明の基礎になっている。
【0008】
他の課題は、機械の危険な動作が、複数の観測者の同意によって解除されるが、危険な場合には、1人または複数の観測者によって停止されることができてなる状況が、制御可能であるように、方法およびシステムを改善することにある。以下、危険な動作の停止は、解除の取消/リセットと同義である。
【0009】
実際また、課題は、無線リンクの到達範囲および使用可能性を改善するために用いられる方法およびシステムを提供することである。
【0010】
更に、検出ユニットが簡単な方法で構成されているように、方法およびシステムを改善するという課題が、本発明の基礎になっている。
【0011】
最後に、本発明の課題は、顧客固有の拡張または変更を再保証なしに行なうことができるシステムを提供することである。
【課題を解決するための手段】
【0012】
本発明の課題は、特に方法では、危険な動作の解除のために、少なくとも2つの安全指向の信号を別々に発生させ、かつ、無線システムによって評価ユニットへ送信し、該評価ユニットの中では、危険な動作を解除するための出力信号が、受信された安全指向の信号の論理演算により発生されることによって、解決される。
【0013】
好ましい実施の形態によれば、受信された安全指向の信号が少なくとも2チャンネルで論理演算および/または出力されることが意図されている。使用可能信号は、受信された安全指向の信号の論理AND演算子によって発生される。
【0014】
安全指向の信号の伝送が、無線技術によってなされ、該伝送が、周波数法、コード法および/または時分割多重法で実行されることが意図される。この場合、安全指向の信号の伝達が、只1つの無線システムまたは只1つの無線リンクによってなされる。各々の検出ユニットには、無線チャンネル(FDM,周波数分割多重)、タイムスロット(TDM,時分割多重)または拡張コード(CDM,コード分割多重)が割り当てられている。
【0015】
他の好ましい方法によれば、検出ユニットに接続されており、または該検出ユニットに統合された少なくとも1つのスイッチング装置、例えば、イネーブルスイッチまたは緊急停止コマンド装置および/または緊急遮断コマンド装置の接点の導電性または非導電性の状態が、少なくとも2チャンネルで検出され、好ましくは周期的に、好ましくは25ms毎に、評価ユニットに伝送されることが、意図されている。
【0016】
信号の伝達の時間挙動が、評価ユニットによって事前設定されることは好ましい。検出ユニットは、評価ユニットから、明確な識別を用いて順々に問い合わせを受け、好ましくは2.5msの範囲の事前設定された時間窓内で応答する。
【0017】
安全指向の信号の受信または送信が、閉鎖回路原理に基づいてなされることは好ましい。
【0018】
更に、本発明は、少なくとも1つの安全指向の信号を検出、伝送および評価するためのシステムであって、無線システムによって少なくとも1つの安全指向の信号を検出し、かつ、無線システムを介して評価ユニットに伝送するための検出ユニットを有するシステムに関する。このようなシステムは、該システムが少なくとも2つの検出ユニットを有し、該検出ユニットによって、夫々別々に、危険な動作を解除するための安全指向の信号を発生させることができること、安全指向の信号が、無線システムによって評価ユニットへ伝達可能であること、および、評価ユニットは、論理ユニットを有し、該論理ユニットによって、危険な動作を解除するための出力信号を発生させるために、受信された安全指向の信号の論理演算が実行可能であることを特徴とする。
【0019】
論理ユニットは、少なくとも1つのAND演算子を有し、好ましくは、マイクロコントローラのような処理ユニットにおいて、好ましくは2チャンネルで実現されている。
【0020】
検出ユニットの可動式の使用、従ってまた、以下の位置、すなわち、モニタされる設備または機械が最もよく見て取れてなる位置での作動を可能にするためには、検出ユニットが、該検出ユニットに接続されまたは統合されたスイッチング装置と、マイクロコントローラのような計算ユニットと、トランスシーバのような送受信機ユニットとを有する移動ユニット(移動局)として形成されていることが意図されている。検出ユニットの少なくとも1つのスイッチング装置は、イネーブルスイッチ、または緊急停止コマンド装置および/または緊急遮断コマンド装置として形成されていることは好ましい。評価ユニットは、計算ユニットおよび入出力ユニットを有する好ましくは固定式の処理ユニットと、トランシーバのような1つまたは複数の分散型の送受信ユニットと、を具備する。
【0021】
検出ユニットの少なくとも1つのスイッチング装置は、イネーブルスイッチ、または緊急停止コマンド装置または緊急遮断コマンド装置として形成されていてもよい。
【0022】
評価ユニットは、好ましくは、マイクロコントローラのような計算ユニットおよび入出力ユニットを有する固定式の処理ユニット(基地局)として形成されており、1つのまたは複数の空間的に分散配置されたトランシーバあるいは1つの統合されたトランシーバを有してもよい。
【0023】
安全指向の無線伝送路の作用範囲を柔軟に最適化するために、独自の発明思想によれば、少なくとも1つの検出ユニットから放射される安全指向の信号が、空間的に分散配置されたトランシーバユニットによって受信され、少なくとも1つのトランシーバユニットは、バスシステムを介して、処理ユニット(基地局)に接続されているが意図されている。
【0024】
このことによって可能とされるのは、1つまたは複数の検出ユニットが、好ましくは移動局の形態で、無線リンクを介して、評価ユニットと通信することができることである。
【0025】
移動局から空間的に遠隔された少なくとも1つのトランシーバユニットによって、無線システムの無線カバレージを、最も簡単な方法で、柔軟に環境に適応させることができる。
【0026】
空間的に分散配置されたトランシーバユニットは、受信された安全指向の信号を処理し、かつ、該信号を、ディジタル形式で、バスシステムによって処理ユニット(基地局)に送信する。
【0027】
伝送品質を高めるために、トランシーバユニットの送受信品質が決定される。このことは、処理ユニット(基地局)と検出ユニットとの間の通信にとって、最高の送受信品質を有するトランシーバユニットのみが使用されるという結果をもたらす。
【0028】
更に、基地局が、周期的に、好ましくは25ms毎にフレーム(トークン)の形態でテレグラムをリング状のバス構造体に送信することが意図される。フレーム(トークン)は、すべてのトランシーバユニットを、所定の伝搬時間で順々に通過し、各々のトランシーバユニットは、テレグラムの中、すなわち、フレームのヘッダの中で実行されるカウンタを増加させる。
【0029】
更に、好ましい実施の形態では、フレーム(トークン)が、有効な無線テレグラムを受信した各々のトランシーバユニットによって処理され、受信されたデータは、フレーム(トークン)に入力されおよび/または、自己の受信品質が、入力された受信品質よりも高いときは、品質インデックスが置き換えられることが意図されている。
【0030】
任意の或るトランシーバユニットを介して任意の或るテレグラムの送信が行なわれることは好ましい。基地局は、フレーム(トークン)の送信識別フィールドにおいて、最後のフレーム(トークン)の最高の受信品質を有するトランシーバユニットの受信識別を入力し、かつ、送信識別フィールドに入力されている識別を有するトランシーバユニットは、送信テレグラムを送信する。
【0031】
トランシーバユニットは、異なった無線チャンネルで、特に、2つの無線チャンネル上での冗長な伝送のために、複数の移動局を評価ユニットにおいて動作させるために、追加のアクチュエータまたはセンサを評価ユニットに接続させるために、および/または2つの評価ユニットの間で双方向の安全指向の伝送のために、動作されることができる。
【0032】
少なくとも1つの検出ユニットによって検出され、かつ、無線リンクを介して少なくとも1つの評価ユニットに送信される少なくとも1つの安全指向の信号を検出、伝送および評価するためのシステムは、評価ユニットが、少なくとも1つの検出ユニットによって送信された安全指向の信号を受信するための少なくとも1つの空間的に分散配置されたトランシーバユニットを有する処理ユニットを具備し、少なくとも1つのトランシーバユニットは、バスシステムを介して、処理ユニットに接続されていることを特徴とする。
【0033】
最適の無線カバレージのために、システムは、多数の、空間的に分散されたトランシーバを有することができる。空間的に分散されたトランシーバユニットは、少なくとも1つのアンテナと、少なくとも1つのバス接続部、好ましくは高速バス接続部とを有する。
【0034】
受信された信号を処理するために、トランシーバユニットは、信号を、トランシーバのない場合より長い距離に亘って伝送するための信号処理ユニットを有することができる。
【0035】
バスシステムは、光学的および/または電気的信号伝送機能を有するリング状のバス構造物として形成されていてもよい。
【0036】
更に、好ましい実施の形態によれば、トランシーバユニットが、リング状のバスシステムにカスケード状に設けられていることが意図されている。トランシーバユニットは、給電のために、基地局に接続されており、好ましくは電気絶縁された各々の分散型の電源を有する。
【0037】
更に、本発明は、独自の発明思想によれば、安全指向の信号を検出、伝送および評価するための方法であって、安全指向の信号は、スイッチング装置の少なくとも2つのスイッチ接点の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システムによって評価ユニットに伝送され、受信された安全指向の信号は、評価され、かつ、必要な場合には、危険な動作を解除するための、または危険な動作を遮断するための出力信号が発生されてなる方法に関する。該方法は、スイッチング装置の各々のスイッチ接点に、テストシーケンスを作用させること、および、スイッチ接点に存するテストシーケンスを、直ちに無線システムを介して評価ユニットに伝送することを特徴とする。
【0038】
テストシーケンスを、評価ユニットによって動的に事前設定し、あるいは、検出ユニットにおいて、評価ユニットによって送信されたシーケンス番号に基づいて発生させることは好ましい。伝送されるデータ容量を減じるために、評価ユニットが、シーケンス番号を、検出ユニットに伝達し、該検出ユニットでは、受信されたシーケンス番号から、各々の接続されたスイッチ接点のための明確なテストシーケンス、例えば2進のテストパターンを発生させることが意図されている。2進のテストパターンは、少なくとも2チャンネルで、スクランブリング、コード拡散、またはハードウェアおよび/またはソフトウェアの形態のルックアップテーブルによって発生される。
【0039】
シーケンス番号を、乱数発生器によって、送信テレグラムによって検出ユニットに送信される擬似乱数として、発生させ、受信された擬似乱数から、2つの異なったスクランブラによって、2チャンネルのスイッチング装置のスイッチ接点をテストするために、2つの2進のテストパターンを発生させることができる。
【0040】
スイッチング素子のスイッチ接点の任意の或る出力端に存する2進のテストパターンを、送信テレグラムによって評価ユニットに返送し、該評価ユニットにおいて2チャンネルで評価することは好ましい。
【0041】
この場合、評価ユニットでは、2つのマイクロコントローラによって、送信テレグラムの2チャンネルの評価が行なわれ、各々のマイクロコントローラは、完全な安全指向の信号を処理することは好ましい。
【0042】
受信された信号の評価の際には、2進のテストパターンが、「デスクランブル」され、接点が閉じている際に、デスクランブルの結果が、元の返送された擬似乱数に一致しているか否かが、デスクランブリング後に試験される。
【0043】
2つの結果のうちの1つが、伝送された擬似乱数またはテストパターンと一致しないとき、すなわち、スイッチング素子のスイッチ接点が開いていても、この信号は、安全指向で遮断される。
【0044】
他の好ましい実施の形態によれば、スイッチング素子の接触状態の検出および伝送は、閉回路原理により無線リンクを介して行なわれる。
【0045】
スイッチング素子の各々のチャンネルのために、別個の2進のテストパターンを用いることは好ましい。
【0046】
少なくとも2チャンネルのスイッチング素子のテストから決定された少なくとも2チャンネルの信号は、シングルチャンネルで評価ユニットへ伝送される只1つの情報である。該情報が、各々のチャンネルのテストパターンの合計から形成されることは好ましい。
【0047】
伝送されるデータシーケンスを生成させるために、選択されたテストパターンは、以下のように、すなわち、データシーケンスが、例えば6または12の最小限のハミング距離を有するコード化された信号を発生させ、該ハミング距離が、安全指向の信号を更なるデータ保護なしに無線により伝送することができるように、使用される。
【0048】
本発明は、更に、安全指向の信号を検出し、伝送および評価するためのシステムであって、該システムは、少なくとも1つの接続されまたは統合されており、かつ、スイッチ接点を有する2チャンネルのスイッチング装置を備えた検出ユニットを具備し、安全指向の信号は、複数のスイッチ接点の1つのスイッチ接点の導電性または非導電性の状態を表わし、前記システムは、安全指向の信号を、受信された安全指向の信号が、好ましくは2チャンネルで評価されてなる評価ユニットに伝送するための無線システムを具備し、必要な場合には、危険な動作を解除または遮断するための出力信号を発生させてなるシステムに関する。該システムは、評価ユニットおよび/または受信ユニットが、スイッチ接点の各々のためのテストシーケンスを発生させるための手段を有すること、スイッチ接点は、入力側で、テストシーケンスが存していてなる各々の接続部に接続されており、出力側では、テストシーケンスを検出しかつ評価ユニットに伝送するための計算ユニットの入力端に接続されていることを特徴とする。
【0049】
シーケンス番号を事前設定するために、評価ユニットは、擬似乱数発生器を有し、シーケンス番号は、無線システムによって検出ユニットへ伝送可能であり、シーケンス番号からテストシーケンスを発生させるための手段には、テストシーケンスが発生可能である。
【0050】
テストパターンを発生させるための手段が、ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラとして、あるいは、ハードウェアおよび/またはソフトウェアの形態のルックアップテーブルとして形成されていることは、好ましい。この場合、ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラは、2チャンネルで設計されていてもよい。
【0051】
検出ユニットは、2チャンネルのスクランブラの入力端に接続されている出力端を有するマイクロコントローラを具備する。スクランブラの出力端は、スイッチング素子の接点に接続されており、スイッチ接点の出力端は、マイクロコントローラの入力端が接続されている。
【0052】
システムの他の好ましい実施の形態によれば、検出ユニットは、マイクロコントローラおよびハードウェア論理回路を有し、マイクロコントローラには、第1のルックアップテーブル、およびハードウェア論理回路には、第2のルックアップテーブルが実施されており、ルックアップテーブルの各々の入力端は、シーケンス番号を供給するため、トランシーバの出力端に接続されており、ルックアップテーブルの各々の出力端は、緊急遮断のような2チャンネルのスイッチング装置の各々のスイッチ接点に接続されており、入力側でマイクロコントローラのルックアップテーブルに接続されているスイッチ接点が、出力側には、ハードウェア論理回路の論理ブロックに接続されており、ルックアップテーブルに接続されたスイッチ接点は、出力側で、マイクロコントローラに統合された論理ブロックに接続されており、論理ブロックの出力端は、シングルチャンネルで論理ユニットへ伝送可能な只1つの信号(情報)を発生させるための加算器に接続されていることが意図されている。
【0053】
この実施の形態によって、マルチチャンネルの信号を検出することができる。個々のチャンネル、すなわち、スイッチ接点は、互いに別々に、適切な2進のテストパターンに接続される。結果は、無線リンクによる安全な伝送のために適切な最小限のハミング距離を有する信号が生じるように、最も簡単な方法で、例えば、加算器における簡単な演算(aneinderreihen)によって、組み合わされる。
【0054】
スイッチング装置は、好ましくは、2チャンネルで形成されており、2つのスイッチ接点を有する。
【0055】
実際また、評価ユニットにおける処理ユニットは、各々、2チャンネルで形成されており、各々のチャンネルは、好ましくは、2チャンネルのスイッチング装置の各々の接点のための、デスクランブラ・ユニットを有する。
【0056】
他の独自の発明思想によれば、本発明は、安全指向の信号を検出、伝送および評価するための方法であって、安全指向の信号は、スイッチング装置の少なくとも1つのスイッチ接点の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システムによって評価ユニットへ伝送され、受信された安全指向の信号は評価され、必要な場合には、危険な動作を解除または遮断するための出力信号が発生されてなる方法に関する。このような方法は、ソフトウェアおよびハードウェアの形態の少なくとも2チャンネルの信号の検出および/または処理がなされ、第1のチャンネルはソフトウェアで、第2のチャンネルはハードウェアで形成されていることを特徴とする。
【0057】
ハードウェアのチャンネルに、固定プログラム技術、例えばFPGA技術またはPLD技術で構成されていることは好ましい。他方、ソフトウェアのチャンネルは、ソフトウェア・プログラムとしてマイクロコントローラにおいて実現されている。
【0058】
検出ユニットにおけるハードウェアおよび/またはソフトウェアのエラーを検出するために、該エラーを、定められた時間間隔で、評価ユニットによって点検することができる。
【0059】
更に意図されているのは、ハードウェアおよび/またはソフトウェアを点検するために、特殊なシーケンス番号を評価ユニットから検出ユニットへ送ること、および、従って、該検出ユニットの中で、開いているスイッチ接点をシミュレートすることである。
【0060】
この場合、評価ユニットは、テストシーケンスの受信に関して、期待値を有する。それ故に、検出ユニットにおいてソフトウェア および/またはハードウェアのエラーが認識される。
【0061】
他の、独自の、本発明に係わる思想によれば、本発明は、少なくとも1つの安全保証された検出ユニットと、少なくとも1つの無線リンクと、少なくとも1つの安全保証された処理ユニットとを有する、安全指向の信号を検出、伝送および評価するためのシステムであって、安全保証された処理ユニットは、少なくとも1つの安全指向の入力端、操作可能な入出力端と、無線リンクを介して無線通信するための送受信ユニットとを有し、安全保証された処理ユニットは、安全指向の入出力端および操作可能な入出力端を有してなるシステムに関する。このようなシステムは、安全保証された検出ユニットおよび安全保証された処理ユニットが、各々、汎用のデータインタフェースを有することを特徴とする。
【0062】
このことによって、他の非安全関連のデータの透過伝送のための固定のまたは可変の帯域(トンネル)が、利用される。汎用のデータインタフェースは、他の用途による透過の伝送用チャンネルを使用するために用いられる。
【0063】
汎用のデータインタフェースの入力端は、顧客固有のモジュールの出力端に接続されており、該モジュールは、入力側で、顧客固有のインタフェースを使用可能にする。
【0064】
システムの好ましい実施の形態では、汎用のデータインタフェースによって、アナログ式の入出力端および/またはRS232のようなシリアル入出力端が既に提案される。
【0065】
汎用のデータインタフェースを、ハードウェアおよび/またはソフトウェアの形態での各々の顧客固有の用途に適合させることはできることは好ましい。汎用のデータインタフェースが、制御データのためのデータ保護モジュールによって、マルチプレクサまたはデマルチプレクサに接続されており、該マルチプレクサまたはデマルチプレクサの出力端が、トランシーバに接続されていることは好ましい。
【0066】
方法は、安全保証されたシステムが、非安全関連のデータを透過伝送するための固定および/または可変の帯域幅を使用可能にすることを特徴とする。データが、ハードウェアの形態の先行の多重化によって、または、ソフトウェアの形態の伝送プロトコルにパックし、および/または該伝送プロトコルからアンパックすることによって、挿入および/または取り出すことは好ましい。
【0067】
本発明の複数の他の詳細、利点および特徴は、複数の請求項と、これらの請求項から読み取れる、単独および/または組合せで生じる複数の特徴とからのみならず、図面から見て取れる複数の好ましい実施の形態の以下の記述からも明らかである。
【図面の簡単な説明】
【0068】
【図1】移動局として形成された2つの検出ユニットの略図を示す。該検出ユニットは、無線によって、遠隔されたトランシーバを有する基地局として形成された評価ユニットと通信する。
【図2】バスシステムによって基地局に接続されている複数のトランシーバユニットと無線によってリンクされている、移動局の略図を示す。
【図3】リング状構造に設けられておりかつ移動局に接続されている、図2に示されたトランシーバを示す。
【図4】受信ユニットおよび評価ユニットを有する無線システムのブロック図を示す。
【図5】検出ユニット(移動局)のブロック図を示す。
【図6】評価ユニット(基地局およびトランシーバ)のブロック図を示す。
【図7】論理ブロック(移動局)のブロック図を示す。
【図8】安全保証された検出ユニットおよび処理ユニットにより安全関連のおよび用途固有のデータを伝送するためのシステムを示す。
【発明を実施するための形態】
【0069】
図1は、安全指向の信号S1...Snを検出、伝送および処理するためのシステムSYS1の第1の実施の形態の略図を示す。システムSYS1は、少なくとも2つの、好ましくは可動式の検出ユニットEE1,EE2を有する。該検出ユニットは、夫々1つの無線リンクFS1,FS2を介して、好ましくは固定式の評価ユニットAE1に接続されている。無線リンクFS1,FS2は、無線システムFSの部分である。
【0070】
検出ユニットEE1,EE2は、夫々少なくとも1つのスイッチング装置SG1,SG2、例えばイネーブルスイッチ、緊急遮断コマンド装置および/または緊急停止コマンド装置、マイクロコントローラMCE1,MCE2ならびに送受信ユニットTRE1,TRE2、例えばトランシーバを有する。評価ユニットAEは、少なくとも1つの送受信ユニットTRA1,例えばトランシーバと、マイクロコントローラMCAおよび入出力ポートIOAを有する処理ユニットVE1とを具備する。
【0071】
図1に示した安全指向のシステムSYS1は、複数の検出ユニットEE1,EE2からの安全指向の信号の無線伝送と、評価ユニットAE1における検出ユニットの論理演算とを可能にする。検出ユニットEE1,EE2を介して、安全指向の信号が、少なくとも2チャンネルで検出され、夫々1つの無線リンクFS1,FS2を介して、但し、夫々の無線リンクが1つの無線チャンネルに対応するのであって、評価ユニットAEの、少なくとも2チャンネルで形成された処理ユニットVE1に送られる。2つの無線チャンネルを有する無線システム(FDM,周波数分割多重)の代わりに、TDM(時分割多重)またはCDM(符号分割多重)も用いることができる。
【0072】
無線によって受信された安全指向の信号は、評価ユニットAE1に統合された処理ユニットVE1によって、マイクロコントローラMCAを用いて、少なくとも2チャンネルで論理演算される。次に、論理演算の結果に基づいて、出力信号FGSが、危険な動作を解除するためにセットされ、あるいは、動作を停止させるために、許可信号が取り消される。
【0073】
いわゆる閉回路原理では、複数の安全指向の信号、例えば、挙例すればイネーブルスイッチとしてまたは緊急停止コマンド装置または緊急遮断コマンド装置として形成されているスイッチング装置SG1,SG2の接点の状態は、検出ユニットEE1,EE2によって、夫々少なくとも2チャンネルで検出され、周期的に、例えば25ms毎に、多重方式で、無線リンクFS1,FS2を通って、評価ユニットAE1へ伝送される。
【0074】
検出ユニットEE1,EE2との通信の際の時間挙動は、評価ユニットAE1によって事前設定される。検出ユニットEE1,EE2は、評価ユニットAE1による明確な識別ID1,ID2を用いて、順々に問い合わされる(ポーリング)。夫々にアドレス指定された検出ユニットEE1,EE2は、例えば2.5ms+/−0.5msの、事前設定された時間窓内で、問い合わせに応答する。
【0075】
評価ユニットAE1は、受信された安全指向の信号またはデータを検査し、かつ、信号の論理演算を実行しおよび/または信号を入出力ユニットIOによって出力する。論理演算は、安全指向で行なわれる。このことは、例えば、イネーブルスイッチの同意がないか、または緊急停止コマンド装置および/または緊急遮断コマンド装置が作動されたとき、あるいは、所定の時間間隔に亘って、1つまたは複数の検出ユニットEE1,EE2から何ら応答が受信されないとき、出力信号(FGS)が安全指向でオフにされることを意味する。
【0076】
セーフティクリティカルな設備領域または機械領域では、検出ユニットとしては、例えばイネーブルスイッチが使用される。イネーブルスイッチの作動は、危険な動きの導入のために必要である。
【0077】
無線のイネーブルスイッチEE1,EE2の使用の際には、設備または機械の危険な動きが最もよく認められてなる位置での作動が行なわれることができる。
【0078】
危険な動きが止むべきであってなる領域を、今や、一人の人間が完全に認めることができないとき、場合によっては、複数の観測者が必要である。
【0079】
上記の発明によって、すべての観測者の同意の後にはじめて、例えば、論理AND演算によって、危険な動きが解除される、という可能性が与えられる。
【0080】
本発明によれば、複数の安全指向の信号を、只1つの無線システムFSを介して伝送し、かつ、安全指向の信号を適切な方法で論理演算することが、いまや、まず可能である。
【0081】
図2は、安全指向の信号を検出ユニットEE3から評価ユニットAE2へ伝送するための無線システムSYS2を略示する。安全指向の無線システムSYS2の作用領域の柔軟な最適化のために、トランシーバユニットTRA1...TRANが、バスシステムBUSを介して、処理ユニットVE2(基地局)に接続されており、トランシーバユニット自体は、無線リンクFS1,FS2...FSnを介して、少なくとも1つの受信ユニットEE3に結合されている。
【0082】
図2に示した無線システムSYS2では、移動局として形成されている1つまたは複数の検出ユニットEE3は、無線リンクFS1,FS2...FSnを介して、評価ユニットAE2に接続されている。該評価ユニットは、固定式に設置された処理ユニット(基地局)および空間的に遠隔されたトランシーバユニットTRA1...TRAnを有する。
【0083】
無線システムSYS2の無線カバレットは、処理ユニットVE2(基地局)から空間的に遠隔したトランシーバユニットTRA1,TRA2...TRAnによって、環境に柔軟に適合される。
【0084】
図3は、リングバスとして形成されたバスBUSを介してトランシーバユニットTRA1...TRAnを評価ユニットAE2の処理ユニットVE2(基地局)に結合する様を示す。トランシーバユニットTRA1...TRAnの各々は、アンテナANT1,ANT2...ANTnならびに各々のバス入力端BE1...BEnおよびバス出力端BA1...BAnを有する。同様に、処理ユニット(基地局)VE2は、データ出力端DOおよびデータ入力端DIを有する。データ出力端およびデータ入力端は、夫々、リングバスBUSの端部に接続されている。トランシーバユニットへ電源を供給するために、トランシーンバユニットは、電源供給ラインEVを介して、処理ユニット(基地局)VE2または分散型供給システムに接続されている。
【0085】
空間的に遠隔されたトランシーバTRA1...TRAnによって、無線信号が、トランシーバを有しない実施の形態の場合よりも長い距離に亘って、処理ユニット(基地局)VE2に転送されることができるように、受信された無線信号を処理するという可能性がある。環状のバスBUSでは、任意の数のトランシーバTRA1...TRAnを、カスケード状にスイッチオンされることができる。バスBUS自体は、光学バスまたは電気バスとして形成されていてもよい。
【0086】
処理ユニットが最高の送受信品質をもってトランシーバTRA1...TRAnと通信することによって、処理ユニット(基地局)の負荷が軽減されることが意図される。
【0087】
まず、受信テレグラムRxTの受信は、評価ユニットAE2によって記述することが意図される。この目的のために、処理ユニット(基地局)VE2が、周期的に、例えば25ms毎に、図3に示したフレーム(トークン)TをリングバスBUSに送ることが意図される。トークンTは、所定の伝搬時間で、すべてのトランシーバユニットTRA1...TRAnを順々に通過する。図3に示したトークンTは、該トークンがフラグFLAG、フラグ番号FNR、受信カウンタRxCNT、受信品質インデックスRxRSSI、受信識別RxID、受信データRxDATA、送信識別TxID、送信データTx−DATAおよび終了フラグFLAGを有するように、構成されていることは好ましい。
【0088】
トークンTがトランシーバTRA1...TRAnを順々に通過するとき、各々のトランシーバユニットは、ヘッダにおいて受信カウンタRxCTNを増加させる。
【0089】
最後に、トークンTは、有効な無線テレグラムを受信したトランシーバユニットTRA1...TRAnによって、処理される。有効な無線テレグラムを受信した第1のトランシーバユニットは、受信されたデータRxDATAをトークンTへ入力する。更に、受信品質インデックスRxSSIおよび受信識別RxIDが置き換えられるのは、独自の受信品質が、入力された受信品質よりも高い場合である。その結果、トークンTは、トランシーバTRA1...TRAxの通過後に、トランシーバユニットの受信されたデータを得る。トランシーバユニットは、最高の受信品質インデックスRxRSS1を有する。
【0090】
テレグラムの送信は、只1つのトランシーバTRAxによってなされる。すなわち、処理ユニット(基地局)VE2を、送信識別TxIDの領域で、最後の受信されたトークンTの最高の受信品質を有するトランシーバのモジュール識別RxIDを入力するのである。モジュール識別TxIDにおける入力されている識別IDを有するトランシーバTRAxは、次に、テレグラムTx−DATAを送信する。
【0091】
最適な無線カバレージのためには、バスBUSのリング構造を、ほぼ任意に拡張することができる。実際また、トランシーバTRA1...TRAnのための分散型電源を、完全な電気的絶縁の際に実現することができる。トランシーバTRA1...TRAnを、異なった無線チャンネルで動作させることができるのは、例えば、a)2つの無線チャンネル上の冗長な伝送、b)評価ユニットAEに接続された複数の検出ユニットEE1...EEn、c)評価ユニットAEに接続された追加のアクチュエータまたはセンサ、およびd)2つの評価ユニットAE1とAE2の間の双方向性の、安全指向の伝送のためである。
【0092】
複数のトランシーバTRA1...TRAnを使用することによって、無線カバレージを、局所的な状況に適合させることができる。高周波の無線信号を、処理ユニット(基地局)VE2からトランシーバTRA1...TRAnへおよびトランシーバから処理ユニットへ伝送する際に、例えばアンテナの全くの多様性の故に発生するところの減衰損失(Daempfungsverluste)を避けるために、前記の方法では、トランシーバからの無線信号を処理し、かつ、バスシステムBUSを介して、ディジタル形式で交換する。システムは、高い柔軟性の故に、特に、強い電磁波妨害(EMI)を有する環境の中での使用のために適切である。
【0093】
図4は、安全指向の信号を検出ユニットEE3から無線リンクFS3を介して評価ユニットAE3へ伝送するための無線システムSYS3の原理構造を示している。
【0094】
独自の発明思想によれば、安全指向の信号を検出しかつ無線リンクFS3を介して伝送するための、以下に記述する方法は、検出ユニットEE3(移動局)が、安全指向の信号を、少なくとも2チャンネルで検出し、かつ、信号を、評価ユニットAE3にある、安全な、少なくとも2チャンネルの処理ユニット(基地局)VE3に送信することを特徴とする。この実施の形態では、処理ユニット(基地局)VE3は、2チャンネルで形成されており、マイクロコンピュータMCA3を有する第1のチャンネルAと、マイクロコンピュータMCB3を有する第2のチャンネルBとを具備する。マイクロコンピュータMCA3は、擬似乱数PRNを発生させるための乱数発生器PRNGを有する。更に、マイクロコントローラMCA3およびMCB3は、各々、受信された擬似乱数PRNをチェックするための、かつ、関連の接点K1A,K1B;K2A,K2Bの対応の信号SK1A,SK1B,SK2AおよびSK2Bを解除するためのユニットDIVPRNA1、DIVPRNA2ならびにDIVPRNB1、DIVPRNB2を具備する。これらの接点は、検出ユニットEE3に接続されておりかつ該検出ユニットによってモニタされる。
【0095】
マイクロコントローラMCA3およびMCB3は、ラインL1,L2を介して、交差したデータ比較のために、相互接続されている。
【0096】
更に、2つのマイクロコントローラMCA3およびMCB3のうちの少なくとも1つが送受信機ユニット、例えばトランシーバTRAE3に接続されている。
【0097】
検出ユニットEE3は、同様に、例えば2つの、2チャンネルのスイッチング素子K1,K2の検出を制御するためのマイクロコントローラMCE3を有する。各々のスイッチング素子K1,K2は、夫々、2つのスイッチ接点K1A,K1BおよびK2A,K2Bを有する。該スイッチ接点の接触状態が読み込まれる。受信された擬似乱数PRNが存してなるマイクロコントローラMCE3の出力端は、スクランブラSCR1,SCR2の各々の入力端に接続されている。スクランブラSCR1の出力端は、スイッチング素子K1の第1の接点K1Bの入力端に接続されており、第2のスイッチング素子K2の第2の接点K2Bの入力端に接続されている。スクランブラSCR2の出力端は、スイッチング素子K1の第2の接点K1Bの入力端に接続されており、スイッチング素子K2の第2の接点K2Bの入力端に接続されている。接点K1A,K1B,K2B,K2AおよびK2Bの各々の出力端は、マイクロコントローラMCE3の他の入力端に接続されている。マイクロコントローラMCE3は、トランシーバTREE3を介して、無線リンクFS3に接続されている。
【0098】
以下、無線システムSYS3の機能を説明する。乱数発生器PRNGは、擬似乱数PRNを発生させる。該擬似乱数は、例えば、マイクロコントローラMCA3によって、送信テレグラムTxTに入力される。受信ユニットEEには、着信する乱数PRNは、2つの異なった好ましくはハードウェアまたはソフトウェアのスクランブラSCR1,SCR2を介して、導かれる。スクランブラSR1,SR2の出力端には、ビットパターンまたは夫々にテストシーケンスは、2進のテストパターンまたはビットシーケンスBF1,BF2として存する。2進のテストパターンまたはビットシーケンスは、2チャンネルのスイッチング素子K1,K2またはスイッチング接点K1A,K1B,K2A,K2Bの動的テストまたは問い合わせのために使用される。スイッチング接点K1A,K1B,K2A,K2Bを介して供給されたビットシーケンスは、マイクロコントローラMCに供給され、かつ、トランシーバTREE3を介して、評価ユニットAE3に送られる。送信テレグラムRxTは、個々の接点のビットシーケンスを含む。
【0099】
複数のマイクロコンピュータのうちの1つ、例えばMCB3は、送信テレグラムRxTを受信し、平行なチェックのために、この送信テレグラムをマイクロコントローラMCA3へ転送する。2チャンネルの評価がなされる。各々のマイクロコントローラMCA3,MCB3は、2チャンネルのスイッチング素子K1,K2のスイッチ接点K1A,K1B,K2A,K2Bを評価する。各々のマイクロコントローラMCA,MCBに含まれているデスクランブラDESCR1,DESCR2において、ビットシーケンスBF1,BF2のデスクランブリングがなされる。その後続いて、スイッチ接点K1A,K1B,K2A,K2Bが閉じられている際には、デスクランブリングの結果が、元の乱数PRNと一致するか否かが、試験される。2つの結果のうちの1つが、テストパターンすなわち乱数PRNと一致しないとき、すなわち、スイッチング素子のスイッチ接点が開いているときでも、受信された信号は、安全指向でスイッチオフにされる。
【0100】
選択的な拡張段階では、安全指向のスイッチオフは、スイッチング装置のスイッチ接点が開いている際に、無線リンクを介して伝送される、他の、安全指向のおよび非安全指向の信号の同時的なスイッチオフとつながれている。
【0101】
以下の考えが、システムSYS3の基礎になっている:
-システムは、危険になってはならない、すなわち、開いている接点が、閉じていると認識されてはならず、および、
-開いた2チャンネルのスイッチング装置が閉じていると認識されるためには、以下の条件が満たされていなければならない:
-送信テレグラムRxTでは、スイッチング素子K1およびK2の2つの接点またはチャンネルK1AおよびK1BあるいはK2AおよびK2Bのデータを、両者が、デスクランブラDESCR1,DESCR2の後に、元の乱数PRNと一致するように、変形させる必要がある。
【0102】
-このための確率は、乱数PRNまたはビットシーケンスBF1/BF2の長さに決定的に依存している。長さの適切な選択によって、各々の用途のために必要な見逃し誤り率(例えば、<10−7)を達成することができる。
【0103】
-Hd=12のハミング距離を有する24ビットの乱数またはビットシーケンスによって、単位時間当たりの危険な故障の確率が、例えば、約1.4×10−10であり、無線リンク上では10−2のビット誤り率が仮定され、約25msのテレグラムサイクルが生じる。
【0104】
2チャンネルのスイッチング装置K1,K2の懸架型のまたは貼着型のスイッチ接点も、遅くとも次の操作の際には、確実に検出されるだろう。
【0105】
上記の方法によって、以下の可能性が開かれる。すなわち、チェックビットとも呼ばれるビットシーケンスBF1,BF2を、適切な方法で、以下のように、すなわち、ビットシーケンスが、信号の検出のために、テストパターンとして直接使用されるように、選択すること、および、結果、すなわち、テストパターンによって生成された信号SK1A,SK1B,SK2A,SK2Bが、更なる後処理なしに、無線リンクFS3を介して確実に伝送されることができ、すなわち、必要な、最大限の見逃し誤り率を維持しつつ伝送されることができるという可能性である。更に、使用されたテストパターンBF1,BF2の選択は、評価ユニットAE3によって、動的になされる。それ故に、検出ユニットEEが、最も簡単な方法で構成されることができ、必要な、安全なかつ2チャンネルの評価が、評価ユニットAEにおいてのみなされる。
【0106】
既に前述したように、テストパターンまたはビットシーケンスBF1,BF2が、評価ユニットAE3からの乱数PRNによって動的に事前設定される。
【0107】
伝送されるデータ量を減じるために、評価ユニットAE3は、乱数PRNまたはシーケンス番号のみを送信する。検出ユニットEE3は、乱数またはシーケンス番号から、各々の接続されたスイッチ接点K1A,K1B,K2A,K2Bための明確なビットシーケンスBF1,BF2をすなわち少なくとも2チャンネルで発生させる。安全指向の信号を検出するためのビットシーケンスBF1,BF2は、少なくとも2チャンネル方式で、スクランブリングによって、コードの拡散によって、またはハードウェアまたはソフトウェアのルックアップテーブルによって発生される。
【0108】
既に前述したように、各々のチャンネルK1A,K1BおよびK2A,K2Bのための少なくとも2チャンネルの信号を検出するために、別個のビットシーケンスBF1、BF2を使用することは有利である。
【0109】
独自発明的な提案によれば、試験から決定された少なくとも2チャンネルの信号が、評価ユニットAEへシングルチャンネルで伝送される只1つの情報であることが意図されている。
【0110】
この方法を、図5を参照して説明しよう。図5は、検出ユニットEE5のブロック図を示している。2チャンネルのスイッチング装置の接点SA,SBおよび緊急遮断の状態を検出するために、検出ユニットEE5は、2チャンネルで形成されており、チャンネルAおよびBを有する。チャンネルAは、マイクロコントローラMCE5として実現されており、該マイクロコントローラ上に、論理回路LBAがソフトウェアとして実現されている。チャンネルBは、ハードウェアの論理回路HWLとして、好ましくは、自由にプログラム可能な論理ビルディング・ブロック、例えばCPLDまたはFPGAとして実現されている。更に、マイクロコントローラMCE5を無線リンクFSに接続するためのトランシーバTRXが設けられている。評価ユニットAE1..AE3から無線リンクFSを介して送信されるシーケンス番号SNによって、ルックアップテーブルLUTA,LUTBにおいて、2進のテストパターンまたはビットパターンBMA,BMBのようなテストシーケンスが発生される。該テストシーケンスは、スイッチ接点SA,SBを介して導かれる。2進のテストパターンBMA,BMBによって、検出ユニットに接続されたスイッチ接点SA,SBの接触状態が試験される。
【0111】
2チャンネルのスイッチング素子「緊急遮断」のスイッチ接点SA,SBを介して導かれるビットパターンBMA,BMBは、他方のチャンネルの各々の論理ブロックLBA,LBBを通過する。1つの開いた接点SA,SBによってまたは2つの開いた接点SA,SBによって発生されかつ伝送のために不適切な「永久状態-0」(Dauerlage-0)が、特殊なビットパターンIA,IBと置き換えられる。最後に、2つのビットパターンが、情報またはビットパターンBMCに組み合わされ、例えば合計され、かつ、トランシーバおよび無線リンクを介して評価ユニットに送信される。
【0112】
図6は、評価ユニットAE3のブロック図を示している。該評価ユニットは、トランシーバTRAE3ならびに2チャンネルの処理ユニットVE3を有する。該処理ユニットは、マイクロコントローラMCA3(チャンネルA)およびマイクロコントローラMCB3(チャンネルB)を有する。トランシーバの受信ユニットは、完全な情報BMCを2つのマイクロコントローラMCA3,MCB3へ転送する。結果の交差した比較を維持しつつ冗長な処理がなされる。既に前述したように、評価ユニットAE3のマイクロコントローラMCA3,MCB3は、ラインL1,L2によって交差して互いに結合されている。その目的は、結果の交差した比較を実行するためである。
【0113】
図7は、図5に示した論理ブロックLBA,LBBのブロック図を示している。
【0114】
論理ブロックLBA,LBBの構造は、同一である。それ故に、以下に、論理ブロックLBAの構造を説明する。論理ブロックは、特に、スイッチ接点SBによって導かれたビットパターンBMAを読み取るためのシフトレジスタSRAを有する。シフトレジスタの平行な出力端には、「永久状態0」(開いた接点)を検出するためのチェックブロックNORが接続されている。チェックブロックの出力端は、スイッチング素子S1およびS2を制御するための組合せ論理回路XOR,NORに接続されている。スイッチング素子S1およびS2は、読み取られた「永久状態0」を、他方のチャンネル(チャンネルB,信号B0)に従って、特殊なビットパターン(SAX,SAY)と置き換える。
【0115】
組合せ論理回路XOR,NORでは、2つのスイッチ接点SA,SBのすべてのビットが「0」に等しいか否かがチェックされる。イエスの場合には、読み取られたビットパターンBMAは、特殊なビットパターンSAXに置き換えられる。
【0116】
只1つの接点SA,SBが開いていると認識されたとき、評価ユニットAEのこの状態、例えば「接点が未接続である」あるいは「スイッチ装置の作動の際の過渡段階」のような故障状態は、伝達によって、論理ブロックLBBの情報SAY(および情報SBY)に通知される。
【0117】
2つの接点SA,SBが閉じられているとき、読み戻されたテストパターンBMA,BMBは、加算器SUMにおける連結によって、例えば「緊急停止」/「緊急遮断」が未作動」の情報に対応する情報BMCにまとめられる。
【0118】
検出ユニットEE5の、図5に示した構造は、安全指向の信号を2つのチャンネルまたはマルチチャンネルで検出および/または処理するための可能性を開く。この構造は、少なくとも2チャンネルの信号、例えば、スイッチ接点SA,SBから発信されるビットパターンBMA、BMAの検出および/または処理が、ソフトウェアおよびハードウェアの形態で、なされることを特徴とする。この目的のために、各々1つのチャンネル、例えばチャンネルAが、マイクロコントローラMCE5によって実現されるソフトウェアチャンネルとして構成されており、他方、ハードウェアチャンネルHWLであるチャンネルBは、自由にプログラム可能な論理ビルディングブロック、例えばCPLDまたはFPGAとして構成されていることが意図されている。
【0119】
検出ユニットEE5におけるハードウェアおよび/またはソフトウェアのエラーを検出するために、評価ユニットAEは、定められた時間間隔で、追加的にテストシーケンス番号SNを送信する。検出ユニットのルックアップテーブルLUTA,LUTBでは、テストシーケンス番号には、特殊なテストパターンが割り当てられている。該テストパターンは、1つの開いた接点(チャンネルAまたはB)あるいは2つの開いた接点(チャンネルAおよびB)をシミュレートする。従って、評価ユニットの期待値によって、論理ブロックLBA,LBBにおけるエラーを検出することができる。
【0120】
更に、本発明は、安全関連のデータを検出ユニットEE4と評価ユニットAE4との間で無線リンクFS4を介して伝送するための、図8に示したシステムSYS3に関する。評価ユニットAE4は、処理ユニットVE4および空間的に遠隔されたトランシーバTRA4を有する。
【0121】
移動局として形成された検出ユニットEE4は、検出ユニットZMMEの保証されたモジュールを有する。該モジュールは、標準インタフェースSIEEと、安全指向の入力端SnIと、操作可能な入力端BnIと、操作可能な出力端BnOと、汎用のデータインタフェースUDIEEとを有する。安全指向の入力端SnIは、安全指向のデータ用のデータ保護モジュールDSMSを介してマルチプレクサまたはデマルチプレクサMUXに接続されている。操作可能な入力端BnIと、操作可能な出力端BnOのためのインタフェースと、汎用のデータインタフェースUDIEEは、制御データのためのデータ保護モジュールDSMCに接続されている。出力側では、制御データのためのデータ保護モジュールは、マルチプレクサまたはデマルチプレクサMUXの第2の入力端に接続されている。マルチプレクサまたはデマルチプレクサMUXの出力端は、送受信ユニットTRE5に接続されている。該送受信ユニットによって、信号を、無線リンクFS4を介して、トランシーバTRA4に送信または受信することができる。
【0122】
処理ユニットVE4は、同様に、処理ユニットZMVEの保証されたモジュールを有する。このモジュールは、出力側で、標準インタフェースSIVEを有する。該標準インタフェースは、安全指向の入出力端SnIO、操作可能な入力端BnI、操作可能な出力端BnOおよび汎用のデータインタフェースUDIEEを有する。インタフェースSnIOは、安全指向のデータのためのデータ保護モジュールDSMCを介して、マルチプレクサまたはデマルチプレクサMUXに接続されている。インタフェースBnI、BnOおよびUDIVEは、制御データのためのデータ保護モジュールDSMCを介して、マルチプレクサまたはデマルチプレクサMUXの第2の入力端に接続されている。マルチプレクサまたはデマルチプレクサの出力端は、データを送信および/または受信するためのトランシーバTR4に接続されている。
【0123】
保証されたモジュールZMEEおよびZMVEは、従来の技術に比べて、該モジュールが、他の安全指向の入力端SnIと、安全指向の出力端SnOと、安全指向の入力端および出力端BnI,BnOとのほかに、汎用のデータインタフェースUDIEEおよびUDIVEを有することを特徴とする。従来の技術では、保証されたモジュールによって、顧客固有のデータ、例えばディジタルまたはアナログの入力/出力データおよびシリアルデータを処理することは不可能であった。
【0124】
本発明によれば、保証されたモジュールZMEE,ZMVEは、非安全関連の顧客固有のデータを伝送するための汎用のデータインタフェースUDIEE,UDIVEを使用可能にすることが意図されている。
【0125】
更に、標準インタフェースSIEE,SIVEが顧客固有のモジュールKSMEE,KSMVEに接続されており、該モジュールは、出力側で、顧客固有のインタフェースKSIEE,KSIVEを使用可能にすることが意図されている。安全指向の入力端および出力端S1I,S1Oまたは操作可能な入力端および出力端B1I、B2I,B1O,B2Oのほかに、本発明によれば、アナログ式の電圧出力端のようなアナログ式の出力端AO、あるいは、シリアルインタフェースSI、例えばRS232が用いられる。出力端またはインタフェースは、次に、保証されたユニットZMEE/ZMの汎用のデータインタフェースUDIEE,UDIVEによって、処理される。
【0126】
保証された検出ユニットZVEの標準インタフェースSIVEは、出力側で、顧客固有のモジュールKSMVEに接続されており、モジュールの出力端には、顧客固有のインタフェースKSIが使用可能である。このインタフェースは、特に、安全指向の出力端S1O、S2Oならびに操作可能な入力端および出力端B1O,B2OならびにB1Iを使用可能にすることができる。実際また、アナログ式の電圧出力端のようなアナログ式の出力端およびシリアルインタフェースSI、例えばRS232を用いることができる。
【0127】
従って、システムSYS3は、安全保証されたモジュールによって用途固有のデータの柔軟な伝送を可能にする。保証されたモジュールZMEE,ZMVEに各々統合されている汎用のデータインタフェースUDIEE,UDIVEに接続している顧客固有のモジュールKSMEE,KSMVEによって、非安全関連のデータの透過伝送のための固定のまたは可変の帯域(トンネル)が、使用可能となる。
【0128】
汎用のデータインタフェースUDIEE,UDIVEを、ハードウェアおよびソフトウェアの形態でも各々の用途に適合させることができる。しかしながら、変更は、システムの安全が保証された部分への影響を少しも有しない。
【0129】
好ましい実施の形態では、汎用インタフェースUDIのデータを、ハードウェアの形態のマルチプレクサまたはデマルチプレクサMUXの先行の多重化によって、あるいは、ソフトウェアの形態の伝送プロトコルからのアンパックによって挿入または削除される。
【0130】
本発明によれば、保証された検出ユニットまたは保証された処理ユニットZMEE,ZMVEが利用される。これらのユニットは、標準では、汎用のデータインタフェースUDIEE,UDIVEを有し、該データインタフェースは、ハードウェアのおよび/またはソフトウェアの部品、例えば顧客固有のモジュールKSMEE,KSMVEによって全く別の顧客固有の用途に適合させることができる。
【0131】
安全指向の機能を有するモジュールZMEE,ZMVEの保証の際には、あらゆる可能なエラー状態が、汎用のデータインタフェースに発生し、それ故に、他の、顧客固有の回路部分KSMEE,KSMVEの起動による、安全指向機能への影響を、汎用のデータインタフェースUDIの適合および利用のために、除外することができることが、仮定される。
【0132】
従って、汎用のインタフェースUDIにおける顧客固有の拡張または変更の際には、新たな保証は不要である。
【0133】
誤り制御のための処理:
基本的には、安全機能は、基地局で実現される。移動局では、特別な状態を検出しかつ伝達するための追加の処置が実行されている。これらの処置(論理ブロックおよび/またはソフトウェアルーチン)は、2チャンネルであって、評価ユニット(基地局)によって、同期的に検査される。
【0134】
無線リンク上のビットエラー:
基地局が安全指向でオフになるのは、受信されたコード語が、事前設定されたシーケンスの拡散コードまたはスクランブルコードに対応しないときである。すべての使用されたコードは、互いに、Hd=12の最小のハミング距離を有する。従って、GS-ET-26によれば、以下のことが生じる。
【0135】
見逃し誤り率(ガウス) R(p)=2.42E-18
単位時間当たりの危険な故障確率 AU =1.3936E-10
DIN EN ISO 13849−1に基づく、パフーマンス・レベルのための見逃し誤り率への要件は、従って、満たされている。
【0136】
-エラー、すなわち接点が開いていないこと:
開いた接点は、12ビットのテストパターンを零に「置き換える」。閉じた接点によって、第2のテストパターンが読み戻される。2つの読み戻されたコード語部分の組み合わせの際に、無効なコード語、すなわち、Hd<12であるコード語が発生されるだろう。従って、検出ユニット(移動局)には、Hd=12を有する「無効なコード語が、特殊なコード語(「1つの接点が開/1つの接点が閉」)と置き換えられる。このコード語を得る際に、BSは、安全指向でオフになる。
【0137】
-検出ユニットの論理ブロックにおけるエラー:
基地局は、定められた時間間隔で、1つのまたは2つの開いた接点のシミュレーションを起動するテストシーケンス番号を送る。シミュレーションは、1つのまたは2つのチャンネルのテストパターンとして、「永続状態-0」が選択されることによってなされる。従って、基地局の期待値によって、移動局の論理ブロックにおけるエラーを確実に検出することができる。
【0138】
-接点に接続されたピンの出力端と入力端との間の短絡:
テストパターンの出力と、接点を介して導かれるビットパターンの読み込みが、分離した構成要素(CPLDおよびμC)によってなされるので、エラー分析の際には、構成要素の入力端と出力端との間の、認識されていない短絡は除外される。
【技術分野】
【0001】
本発明は、安全指向の信号を検出、伝送および評価するための方法および該方法を実施するためのシステムに関する。
【背景技術】
【0002】
明細書の最初の部分に記載されたタイプの方法およびシステムは、特許文献1に記載されている。公知の方法では、安全指向の信号は、少なくとも1つの検出手段によって検出され、かつ、無線伝送路を介して、少なくとも1つの信号処理手段に伝送される。
【0003】
安全指向の信号は、送信側では、物理的に少なくとも2チャンネルで検出され、検出されたデータは、論理的に、少なくとも2チャンネルで、安全な技術で、無線によって、受信側に伝送される。受信側の受信されたデータは、同様に、物理的に少なくとも2チャンネルで処理されかつモニタされる。
【0004】
知られた方法で、更に、意図されていることは、少なくとも2チャンネルの処理のために、信号データとして。冗長信号が、少なくとも複の、電気機械的な、電気的なまたは電子的な入力要素によって発生され、かつ、各々の検出手段によって、信号データから、伝送の目的で、モニタを可能にする追加の保護データが発生されることである。
【0005】
知られた回路装置またはシステムは、安全関連のキー、例えばイネーブルスイッチ、緊急停止コマンド装置、緊急遮断コマンド装置、移動キーの形態の入力手段を有する。該入力手段は、2チャンネルで形成されている。入力手段を2チャンネルで評価するために、第1のおよび第2の検出ユニットが設けられており、該検出ユニットの出力端は、第1のおよび第2のチャンネルとして、送信機に接続されている。該送信機は、無線モジュールによって、安全指向の信号を処理ユニットの受信モジュールに送信する。処理ユニットでは、受信された信号は、第1のおよび第2の処理手段によって、2チャンネルで処理および評価される。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】DE-A-199 20 299
【発明の概要】
【0007】
このことを前提として、明細書の最初の部分に記載のタイプの方法およびシステムを、安全指向の信号の検出が簡素化され、かつ、障害のある無線リンクによる信号の伝達が改善されるように、改善するという課題が、本発明の基礎になっている。
【0008】
他の課題は、機械の危険な動作が、複数の観測者の同意によって解除されるが、危険な場合には、1人または複数の観測者によって停止されることができてなる状況が、制御可能であるように、方法およびシステムを改善することにある。以下、危険な動作の停止は、解除の取消/リセットと同義である。
【0009】
実際また、課題は、無線リンクの到達範囲および使用可能性を改善するために用いられる方法およびシステムを提供することである。
【0010】
更に、検出ユニットが簡単な方法で構成されているように、方法およびシステムを改善するという課題が、本発明の基礎になっている。
【0011】
最後に、本発明の課題は、顧客固有の拡張または変更を再保証なしに行なうことができるシステムを提供することである。
【課題を解決するための手段】
【0012】
本発明の課題は、特に方法では、危険な動作の解除のために、少なくとも2つの安全指向の信号を別々に発生させ、かつ、無線システムによって評価ユニットへ送信し、該評価ユニットの中では、危険な動作を解除するための出力信号が、受信された安全指向の信号の論理演算により発生されることによって、解決される。
【0013】
好ましい実施の形態によれば、受信された安全指向の信号が少なくとも2チャンネルで論理演算および/または出力されることが意図されている。使用可能信号は、受信された安全指向の信号の論理AND演算子によって発生される。
【0014】
安全指向の信号の伝送が、無線技術によってなされ、該伝送が、周波数法、コード法および/または時分割多重法で実行されることが意図される。この場合、安全指向の信号の伝達が、只1つの無線システムまたは只1つの無線リンクによってなされる。各々の検出ユニットには、無線チャンネル(FDM,周波数分割多重)、タイムスロット(TDM,時分割多重)または拡張コード(CDM,コード分割多重)が割り当てられている。
【0015】
他の好ましい方法によれば、検出ユニットに接続されており、または該検出ユニットに統合された少なくとも1つのスイッチング装置、例えば、イネーブルスイッチまたは緊急停止コマンド装置および/または緊急遮断コマンド装置の接点の導電性または非導電性の状態が、少なくとも2チャンネルで検出され、好ましくは周期的に、好ましくは25ms毎に、評価ユニットに伝送されることが、意図されている。
【0016】
信号の伝達の時間挙動が、評価ユニットによって事前設定されることは好ましい。検出ユニットは、評価ユニットから、明確な識別を用いて順々に問い合わせを受け、好ましくは2.5msの範囲の事前設定された時間窓内で応答する。
【0017】
安全指向の信号の受信または送信が、閉鎖回路原理に基づいてなされることは好ましい。
【0018】
更に、本発明は、少なくとも1つの安全指向の信号を検出、伝送および評価するためのシステムであって、無線システムによって少なくとも1つの安全指向の信号を検出し、かつ、無線システムを介して評価ユニットに伝送するための検出ユニットを有するシステムに関する。このようなシステムは、該システムが少なくとも2つの検出ユニットを有し、該検出ユニットによって、夫々別々に、危険な動作を解除するための安全指向の信号を発生させることができること、安全指向の信号が、無線システムによって評価ユニットへ伝達可能であること、および、評価ユニットは、論理ユニットを有し、該論理ユニットによって、危険な動作を解除するための出力信号を発生させるために、受信された安全指向の信号の論理演算が実行可能であることを特徴とする。
【0019】
論理ユニットは、少なくとも1つのAND演算子を有し、好ましくは、マイクロコントローラのような処理ユニットにおいて、好ましくは2チャンネルで実現されている。
【0020】
検出ユニットの可動式の使用、従ってまた、以下の位置、すなわち、モニタされる設備または機械が最もよく見て取れてなる位置での作動を可能にするためには、検出ユニットが、該検出ユニットに接続されまたは統合されたスイッチング装置と、マイクロコントローラのような計算ユニットと、トランスシーバのような送受信機ユニットとを有する移動ユニット(移動局)として形成されていることが意図されている。検出ユニットの少なくとも1つのスイッチング装置は、イネーブルスイッチ、または緊急停止コマンド装置および/または緊急遮断コマンド装置として形成されていることは好ましい。評価ユニットは、計算ユニットおよび入出力ユニットを有する好ましくは固定式の処理ユニットと、トランシーバのような1つまたは複数の分散型の送受信ユニットと、を具備する。
【0021】
検出ユニットの少なくとも1つのスイッチング装置は、イネーブルスイッチ、または緊急停止コマンド装置または緊急遮断コマンド装置として形成されていてもよい。
【0022】
評価ユニットは、好ましくは、マイクロコントローラのような計算ユニットおよび入出力ユニットを有する固定式の処理ユニット(基地局)として形成されており、1つのまたは複数の空間的に分散配置されたトランシーバあるいは1つの統合されたトランシーバを有してもよい。
【0023】
安全指向の無線伝送路の作用範囲を柔軟に最適化するために、独自の発明思想によれば、少なくとも1つの検出ユニットから放射される安全指向の信号が、空間的に分散配置されたトランシーバユニットによって受信され、少なくとも1つのトランシーバユニットは、バスシステムを介して、処理ユニット(基地局)に接続されているが意図されている。
【0024】
このことによって可能とされるのは、1つまたは複数の検出ユニットが、好ましくは移動局の形態で、無線リンクを介して、評価ユニットと通信することができることである。
【0025】
移動局から空間的に遠隔された少なくとも1つのトランシーバユニットによって、無線システムの無線カバレージを、最も簡単な方法で、柔軟に環境に適応させることができる。
【0026】
空間的に分散配置されたトランシーバユニットは、受信された安全指向の信号を処理し、かつ、該信号を、ディジタル形式で、バスシステムによって処理ユニット(基地局)に送信する。
【0027】
伝送品質を高めるために、トランシーバユニットの送受信品質が決定される。このことは、処理ユニット(基地局)と検出ユニットとの間の通信にとって、最高の送受信品質を有するトランシーバユニットのみが使用されるという結果をもたらす。
【0028】
更に、基地局が、周期的に、好ましくは25ms毎にフレーム(トークン)の形態でテレグラムをリング状のバス構造体に送信することが意図される。フレーム(トークン)は、すべてのトランシーバユニットを、所定の伝搬時間で順々に通過し、各々のトランシーバユニットは、テレグラムの中、すなわち、フレームのヘッダの中で実行されるカウンタを増加させる。
【0029】
更に、好ましい実施の形態では、フレーム(トークン)が、有効な無線テレグラムを受信した各々のトランシーバユニットによって処理され、受信されたデータは、フレーム(トークン)に入力されおよび/または、自己の受信品質が、入力された受信品質よりも高いときは、品質インデックスが置き換えられることが意図されている。
【0030】
任意の或るトランシーバユニットを介して任意の或るテレグラムの送信が行なわれることは好ましい。基地局は、フレーム(トークン)の送信識別フィールドにおいて、最後のフレーム(トークン)の最高の受信品質を有するトランシーバユニットの受信識別を入力し、かつ、送信識別フィールドに入力されている識別を有するトランシーバユニットは、送信テレグラムを送信する。
【0031】
トランシーバユニットは、異なった無線チャンネルで、特に、2つの無線チャンネル上での冗長な伝送のために、複数の移動局を評価ユニットにおいて動作させるために、追加のアクチュエータまたはセンサを評価ユニットに接続させるために、および/または2つの評価ユニットの間で双方向の安全指向の伝送のために、動作されることができる。
【0032】
少なくとも1つの検出ユニットによって検出され、かつ、無線リンクを介して少なくとも1つの評価ユニットに送信される少なくとも1つの安全指向の信号を検出、伝送および評価するためのシステムは、評価ユニットが、少なくとも1つの検出ユニットによって送信された安全指向の信号を受信するための少なくとも1つの空間的に分散配置されたトランシーバユニットを有する処理ユニットを具備し、少なくとも1つのトランシーバユニットは、バスシステムを介して、処理ユニットに接続されていることを特徴とする。
【0033】
最適の無線カバレージのために、システムは、多数の、空間的に分散されたトランシーバを有することができる。空間的に分散されたトランシーバユニットは、少なくとも1つのアンテナと、少なくとも1つのバス接続部、好ましくは高速バス接続部とを有する。
【0034】
受信された信号を処理するために、トランシーバユニットは、信号を、トランシーバのない場合より長い距離に亘って伝送するための信号処理ユニットを有することができる。
【0035】
バスシステムは、光学的および/または電気的信号伝送機能を有するリング状のバス構造物として形成されていてもよい。
【0036】
更に、好ましい実施の形態によれば、トランシーバユニットが、リング状のバスシステムにカスケード状に設けられていることが意図されている。トランシーバユニットは、給電のために、基地局に接続されており、好ましくは電気絶縁された各々の分散型の電源を有する。
【0037】
更に、本発明は、独自の発明思想によれば、安全指向の信号を検出、伝送および評価するための方法であって、安全指向の信号は、スイッチング装置の少なくとも2つのスイッチ接点の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システムによって評価ユニットに伝送され、受信された安全指向の信号は、評価され、かつ、必要な場合には、危険な動作を解除するための、または危険な動作を遮断するための出力信号が発生されてなる方法に関する。該方法は、スイッチング装置の各々のスイッチ接点に、テストシーケンスを作用させること、および、スイッチ接点に存するテストシーケンスを、直ちに無線システムを介して評価ユニットに伝送することを特徴とする。
【0038】
テストシーケンスを、評価ユニットによって動的に事前設定し、あるいは、検出ユニットにおいて、評価ユニットによって送信されたシーケンス番号に基づいて発生させることは好ましい。伝送されるデータ容量を減じるために、評価ユニットが、シーケンス番号を、検出ユニットに伝達し、該検出ユニットでは、受信されたシーケンス番号から、各々の接続されたスイッチ接点のための明確なテストシーケンス、例えば2進のテストパターンを発生させることが意図されている。2進のテストパターンは、少なくとも2チャンネルで、スクランブリング、コード拡散、またはハードウェアおよび/またはソフトウェアの形態のルックアップテーブルによって発生される。
【0039】
シーケンス番号を、乱数発生器によって、送信テレグラムによって検出ユニットに送信される擬似乱数として、発生させ、受信された擬似乱数から、2つの異なったスクランブラによって、2チャンネルのスイッチング装置のスイッチ接点をテストするために、2つの2進のテストパターンを発生させることができる。
【0040】
スイッチング素子のスイッチ接点の任意の或る出力端に存する2進のテストパターンを、送信テレグラムによって評価ユニットに返送し、該評価ユニットにおいて2チャンネルで評価することは好ましい。
【0041】
この場合、評価ユニットでは、2つのマイクロコントローラによって、送信テレグラムの2チャンネルの評価が行なわれ、各々のマイクロコントローラは、完全な安全指向の信号を処理することは好ましい。
【0042】
受信された信号の評価の際には、2進のテストパターンが、「デスクランブル」され、接点が閉じている際に、デスクランブルの結果が、元の返送された擬似乱数に一致しているか否かが、デスクランブリング後に試験される。
【0043】
2つの結果のうちの1つが、伝送された擬似乱数またはテストパターンと一致しないとき、すなわち、スイッチング素子のスイッチ接点が開いていても、この信号は、安全指向で遮断される。
【0044】
他の好ましい実施の形態によれば、スイッチング素子の接触状態の検出および伝送は、閉回路原理により無線リンクを介して行なわれる。
【0045】
スイッチング素子の各々のチャンネルのために、別個の2進のテストパターンを用いることは好ましい。
【0046】
少なくとも2チャンネルのスイッチング素子のテストから決定された少なくとも2チャンネルの信号は、シングルチャンネルで評価ユニットへ伝送される只1つの情報である。該情報が、各々のチャンネルのテストパターンの合計から形成されることは好ましい。
【0047】
伝送されるデータシーケンスを生成させるために、選択されたテストパターンは、以下のように、すなわち、データシーケンスが、例えば6または12の最小限のハミング距離を有するコード化された信号を発生させ、該ハミング距離が、安全指向の信号を更なるデータ保護なしに無線により伝送することができるように、使用される。
【0048】
本発明は、更に、安全指向の信号を検出し、伝送および評価するためのシステムであって、該システムは、少なくとも1つの接続されまたは統合されており、かつ、スイッチ接点を有する2チャンネルのスイッチング装置を備えた検出ユニットを具備し、安全指向の信号は、複数のスイッチ接点の1つのスイッチ接点の導電性または非導電性の状態を表わし、前記システムは、安全指向の信号を、受信された安全指向の信号が、好ましくは2チャンネルで評価されてなる評価ユニットに伝送するための無線システムを具備し、必要な場合には、危険な動作を解除または遮断するための出力信号を発生させてなるシステムに関する。該システムは、評価ユニットおよび/または受信ユニットが、スイッチ接点の各々のためのテストシーケンスを発生させるための手段を有すること、スイッチ接点は、入力側で、テストシーケンスが存していてなる各々の接続部に接続されており、出力側では、テストシーケンスを検出しかつ評価ユニットに伝送するための計算ユニットの入力端に接続されていることを特徴とする。
【0049】
シーケンス番号を事前設定するために、評価ユニットは、擬似乱数発生器を有し、シーケンス番号は、無線システムによって検出ユニットへ伝送可能であり、シーケンス番号からテストシーケンスを発生させるための手段には、テストシーケンスが発生可能である。
【0050】
テストパターンを発生させるための手段が、ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラとして、あるいは、ハードウェアおよび/またはソフトウェアの形態のルックアップテーブルとして形成されていることは、好ましい。この場合、ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラは、2チャンネルで設計されていてもよい。
【0051】
検出ユニットは、2チャンネルのスクランブラの入力端に接続されている出力端を有するマイクロコントローラを具備する。スクランブラの出力端は、スイッチング素子の接点に接続されており、スイッチ接点の出力端は、マイクロコントローラの入力端が接続されている。
【0052】
システムの他の好ましい実施の形態によれば、検出ユニットは、マイクロコントローラおよびハードウェア論理回路を有し、マイクロコントローラには、第1のルックアップテーブル、およびハードウェア論理回路には、第2のルックアップテーブルが実施されており、ルックアップテーブルの各々の入力端は、シーケンス番号を供給するため、トランシーバの出力端に接続されており、ルックアップテーブルの各々の出力端は、緊急遮断のような2チャンネルのスイッチング装置の各々のスイッチ接点に接続されており、入力側でマイクロコントローラのルックアップテーブルに接続されているスイッチ接点が、出力側には、ハードウェア論理回路の論理ブロックに接続されており、ルックアップテーブルに接続されたスイッチ接点は、出力側で、マイクロコントローラに統合された論理ブロックに接続されており、論理ブロックの出力端は、シングルチャンネルで論理ユニットへ伝送可能な只1つの信号(情報)を発生させるための加算器に接続されていることが意図されている。
【0053】
この実施の形態によって、マルチチャンネルの信号を検出することができる。個々のチャンネル、すなわち、スイッチ接点は、互いに別々に、適切な2進のテストパターンに接続される。結果は、無線リンクによる安全な伝送のために適切な最小限のハミング距離を有する信号が生じるように、最も簡単な方法で、例えば、加算器における簡単な演算(aneinderreihen)によって、組み合わされる。
【0054】
スイッチング装置は、好ましくは、2チャンネルで形成されており、2つのスイッチ接点を有する。
【0055】
実際また、評価ユニットにおける処理ユニットは、各々、2チャンネルで形成されており、各々のチャンネルは、好ましくは、2チャンネルのスイッチング装置の各々の接点のための、デスクランブラ・ユニットを有する。
【0056】
他の独自の発明思想によれば、本発明は、安全指向の信号を検出、伝送および評価するための方法であって、安全指向の信号は、スイッチング装置の少なくとも1つのスイッチ接点の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システムによって評価ユニットへ伝送され、受信された安全指向の信号は評価され、必要な場合には、危険な動作を解除または遮断するための出力信号が発生されてなる方法に関する。このような方法は、ソフトウェアおよびハードウェアの形態の少なくとも2チャンネルの信号の検出および/または処理がなされ、第1のチャンネルはソフトウェアで、第2のチャンネルはハードウェアで形成されていることを特徴とする。
【0057】
ハードウェアのチャンネルに、固定プログラム技術、例えばFPGA技術またはPLD技術で構成されていることは好ましい。他方、ソフトウェアのチャンネルは、ソフトウェア・プログラムとしてマイクロコントローラにおいて実現されている。
【0058】
検出ユニットにおけるハードウェアおよび/またはソフトウェアのエラーを検出するために、該エラーを、定められた時間間隔で、評価ユニットによって点検することができる。
【0059】
更に意図されているのは、ハードウェアおよび/またはソフトウェアを点検するために、特殊なシーケンス番号を評価ユニットから検出ユニットへ送ること、および、従って、該検出ユニットの中で、開いているスイッチ接点をシミュレートすることである。
【0060】
この場合、評価ユニットは、テストシーケンスの受信に関して、期待値を有する。それ故に、検出ユニットにおいてソフトウェア および/またはハードウェアのエラーが認識される。
【0061】
他の、独自の、本発明に係わる思想によれば、本発明は、少なくとも1つの安全保証された検出ユニットと、少なくとも1つの無線リンクと、少なくとも1つの安全保証された処理ユニットとを有する、安全指向の信号を検出、伝送および評価するためのシステムであって、安全保証された処理ユニットは、少なくとも1つの安全指向の入力端、操作可能な入出力端と、無線リンクを介して無線通信するための送受信ユニットとを有し、安全保証された処理ユニットは、安全指向の入出力端および操作可能な入出力端を有してなるシステムに関する。このようなシステムは、安全保証された検出ユニットおよび安全保証された処理ユニットが、各々、汎用のデータインタフェースを有することを特徴とする。
【0062】
このことによって、他の非安全関連のデータの透過伝送のための固定のまたは可変の帯域(トンネル)が、利用される。汎用のデータインタフェースは、他の用途による透過の伝送用チャンネルを使用するために用いられる。
【0063】
汎用のデータインタフェースの入力端は、顧客固有のモジュールの出力端に接続されており、該モジュールは、入力側で、顧客固有のインタフェースを使用可能にする。
【0064】
システムの好ましい実施の形態では、汎用のデータインタフェースによって、アナログ式の入出力端および/またはRS232のようなシリアル入出力端が既に提案される。
【0065】
汎用のデータインタフェースを、ハードウェアおよび/またはソフトウェアの形態での各々の顧客固有の用途に適合させることはできることは好ましい。汎用のデータインタフェースが、制御データのためのデータ保護モジュールによって、マルチプレクサまたはデマルチプレクサに接続されており、該マルチプレクサまたはデマルチプレクサの出力端が、トランシーバに接続されていることは好ましい。
【0066】
方法は、安全保証されたシステムが、非安全関連のデータを透過伝送するための固定および/または可変の帯域幅を使用可能にすることを特徴とする。データが、ハードウェアの形態の先行の多重化によって、または、ソフトウェアの形態の伝送プロトコルにパックし、および/または該伝送プロトコルからアンパックすることによって、挿入および/または取り出すことは好ましい。
【0067】
本発明の複数の他の詳細、利点および特徴は、複数の請求項と、これらの請求項から読み取れる、単独および/または組合せで生じる複数の特徴とからのみならず、図面から見て取れる複数の好ましい実施の形態の以下の記述からも明らかである。
【図面の簡単な説明】
【0068】
【図1】移動局として形成された2つの検出ユニットの略図を示す。該検出ユニットは、無線によって、遠隔されたトランシーバを有する基地局として形成された評価ユニットと通信する。
【図2】バスシステムによって基地局に接続されている複数のトランシーバユニットと無線によってリンクされている、移動局の略図を示す。
【図3】リング状構造に設けられておりかつ移動局に接続されている、図2に示されたトランシーバを示す。
【図4】受信ユニットおよび評価ユニットを有する無線システムのブロック図を示す。
【図5】検出ユニット(移動局)のブロック図を示す。
【図6】評価ユニット(基地局およびトランシーバ)のブロック図を示す。
【図7】論理ブロック(移動局)のブロック図を示す。
【図8】安全保証された検出ユニットおよび処理ユニットにより安全関連のおよび用途固有のデータを伝送するためのシステムを示す。
【発明を実施するための形態】
【0069】
図1は、安全指向の信号S1...Snを検出、伝送および処理するためのシステムSYS1の第1の実施の形態の略図を示す。システムSYS1は、少なくとも2つの、好ましくは可動式の検出ユニットEE1,EE2を有する。該検出ユニットは、夫々1つの無線リンクFS1,FS2を介して、好ましくは固定式の評価ユニットAE1に接続されている。無線リンクFS1,FS2は、無線システムFSの部分である。
【0070】
検出ユニットEE1,EE2は、夫々少なくとも1つのスイッチング装置SG1,SG2、例えばイネーブルスイッチ、緊急遮断コマンド装置および/または緊急停止コマンド装置、マイクロコントローラMCE1,MCE2ならびに送受信ユニットTRE1,TRE2、例えばトランシーバを有する。評価ユニットAEは、少なくとも1つの送受信ユニットTRA1,例えばトランシーバと、マイクロコントローラMCAおよび入出力ポートIOAを有する処理ユニットVE1とを具備する。
【0071】
図1に示した安全指向のシステムSYS1は、複数の検出ユニットEE1,EE2からの安全指向の信号の無線伝送と、評価ユニットAE1における検出ユニットの論理演算とを可能にする。検出ユニットEE1,EE2を介して、安全指向の信号が、少なくとも2チャンネルで検出され、夫々1つの無線リンクFS1,FS2を介して、但し、夫々の無線リンクが1つの無線チャンネルに対応するのであって、評価ユニットAEの、少なくとも2チャンネルで形成された処理ユニットVE1に送られる。2つの無線チャンネルを有する無線システム(FDM,周波数分割多重)の代わりに、TDM(時分割多重)またはCDM(符号分割多重)も用いることができる。
【0072】
無線によって受信された安全指向の信号は、評価ユニットAE1に統合された処理ユニットVE1によって、マイクロコントローラMCAを用いて、少なくとも2チャンネルで論理演算される。次に、論理演算の結果に基づいて、出力信号FGSが、危険な動作を解除するためにセットされ、あるいは、動作を停止させるために、許可信号が取り消される。
【0073】
いわゆる閉回路原理では、複数の安全指向の信号、例えば、挙例すればイネーブルスイッチとしてまたは緊急停止コマンド装置または緊急遮断コマンド装置として形成されているスイッチング装置SG1,SG2の接点の状態は、検出ユニットEE1,EE2によって、夫々少なくとも2チャンネルで検出され、周期的に、例えば25ms毎に、多重方式で、無線リンクFS1,FS2を通って、評価ユニットAE1へ伝送される。
【0074】
検出ユニットEE1,EE2との通信の際の時間挙動は、評価ユニットAE1によって事前設定される。検出ユニットEE1,EE2は、評価ユニットAE1による明確な識別ID1,ID2を用いて、順々に問い合わされる(ポーリング)。夫々にアドレス指定された検出ユニットEE1,EE2は、例えば2.5ms+/−0.5msの、事前設定された時間窓内で、問い合わせに応答する。
【0075】
評価ユニットAE1は、受信された安全指向の信号またはデータを検査し、かつ、信号の論理演算を実行しおよび/または信号を入出力ユニットIOによって出力する。論理演算は、安全指向で行なわれる。このことは、例えば、イネーブルスイッチの同意がないか、または緊急停止コマンド装置および/または緊急遮断コマンド装置が作動されたとき、あるいは、所定の時間間隔に亘って、1つまたは複数の検出ユニットEE1,EE2から何ら応答が受信されないとき、出力信号(FGS)が安全指向でオフにされることを意味する。
【0076】
セーフティクリティカルな設備領域または機械領域では、検出ユニットとしては、例えばイネーブルスイッチが使用される。イネーブルスイッチの作動は、危険な動きの導入のために必要である。
【0077】
無線のイネーブルスイッチEE1,EE2の使用の際には、設備または機械の危険な動きが最もよく認められてなる位置での作動が行なわれることができる。
【0078】
危険な動きが止むべきであってなる領域を、今や、一人の人間が完全に認めることができないとき、場合によっては、複数の観測者が必要である。
【0079】
上記の発明によって、すべての観測者の同意の後にはじめて、例えば、論理AND演算によって、危険な動きが解除される、という可能性が与えられる。
【0080】
本発明によれば、複数の安全指向の信号を、只1つの無線システムFSを介して伝送し、かつ、安全指向の信号を適切な方法で論理演算することが、いまや、まず可能である。
【0081】
図2は、安全指向の信号を検出ユニットEE3から評価ユニットAE2へ伝送するための無線システムSYS2を略示する。安全指向の無線システムSYS2の作用領域の柔軟な最適化のために、トランシーバユニットTRA1...TRANが、バスシステムBUSを介して、処理ユニットVE2(基地局)に接続されており、トランシーバユニット自体は、無線リンクFS1,FS2...FSnを介して、少なくとも1つの受信ユニットEE3に結合されている。
【0082】
図2に示した無線システムSYS2では、移動局として形成されている1つまたは複数の検出ユニットEE3は、無線リンクFS1,FS2...FSnを介して、評価ユニットAE2に接続されている。該評価ユニットは、固定式に設置された処理ユニット(基地局)および空間的に遠隔されたトランシーバユニットTRA1...TRAnを有する。
【0083】
無線システムSYS2の無線カバレットは、処理ユニットVE2(基地局)から空間的に遠隔したトランシーバユニットTRA1,TRA2...TRAnによって、環境に柔軟に適合される。
【0084】
図3は、リングバスとして形成されたバスBUSを介してトランシーバユニットTRA1...TRAnを評価ユニットAE2の処理ユニットVE2(基地局)に結合する様を示す。トランシーバユニットTRA1...TRAnの各々は、アンテナANT1,ANT2...ANTnならびに各々のバス入力端BE1...BEnおよびバス出力端BA1...BAnを有する。同様に、処理ユニット(基地局)VE2は、データ出力端DOおよびデータ入力端DIを有する。データ出力端およびデータ入力端は、夫々、リングバスBUSの端部に接続されている。トランシーバユニットへ電源を供給するために、トランシーンバユニットは、電源供給ラインEVを介して、処理ユニット(基地局)VE2または分散型供給システムに接続されている。
【0085】
空間的に遠隔されたトランシーバTRA1...TRAnによって、無線信号が、トランシーバを有しない実施の形態の場合よりも長い距離に亘って、処理ユニット(基地局)VE2に転送されることができるように、受信された無線信号を処理するという可能性がある。環状のバスBUSでは、任意の数のトランシーバTRA1...TRAnを、カスケード状にスイッチオンされることができる。バスBUS自体は、光学バスまたは電気バスとして形成されていてもよい。
【0086】
処理ユニットが最高の送受信品質をもってトランシーバTRA1...TRAnと通信することによって、処理ユニット(基地局)の負荷が軽減されることが意図される。
【0087】
まず、受信テレグラムRxTの受信は、評価ユニットAE2によって記述することが意図される。この目的のために、処理ユニット(基地局)VE2が、周期的に、例えば25ms毎に、図3に示したフレーム(トークン)TをリングバスBUSに送ることが意図される。トークンTは、所定の伝搬時間で、すべてのトランシーバユニットTRA1...TRAnを順々に通過する。図3に示したトークンTは、該トークンがフラグFLAG、フラグ番号FNR、受信カウンタRxCNT、受信品質インデックスRxRSSI、受信識別RxID、受信データRxDATA、送信識別TxID、送信データTx−DATAおよび終了フラグFLAGを有するように、構成されていることは好ましい。
【0088】
トークンTがトランシーバTRA1...TRAnを順々に通過するとき、各々のトランシーバユニットは、ヘッダにおいて受信カウンタRxCTNを増加させる。
【0089】
最後に、トークンTは、有効な無線テレグラムを受信したトランシーバユニットTRA1...TRAnによって、処理される。有効な無線テレグラムを受信した第1のトランシーバユニットは、受信されたデータRxDATAをトークンTへ入力する。更に、受信品質インデックスRxSSIおよび受信識別RxIDが置き換えられるのは、独自の受信品質が、入力された受信品質よりも高い場合である。その結果、トークンTは、トランシーバTRA1...TRAxの通過後に、トランシーバユニットの受信されたデータを得る。トランシーバユニットは、最高の受信品質インデックスRxRSS1を有する。
【0090】
テレグラムの送信は、只1つのトランシーバTRAxによってなされる。すなわち、処理ユニット(基地局)VE2を、送信識別TxIDの領域で、最後の受信されたトークンTの最高の受信品質を有するトランシーバのモジュール識別RxIDを入力するのである。モジュール識別TxIDにおける入力されている識別IDを有するトランシーバTRAxは、次に、テレグラムTx−DATAを送信する。
【0091】
最適な無線カバレージのためには、バスBUSのリング構造を、ほぼ任意に拡張することができる。実際また、トランシーバTRA1...TRAnのための分散型電源を、完全な電気的絶縁の際に実現することができる。トランシーバTRA1...TRAnを、異なった無線チャンネルで動作させることができるのは、例えば、a)2つの無線チャンネル上の冗長な伝送、b)評価ユニットAEに接続された複数の検出ユニットEE1...EEn、c)評価ユニットAEに接続された追加のアクチュエータまたはセンサ、およびd)2つの評価ユニットAE1とAE2の間の双方向性の、安全指向の伝送のためである。
【0092】
複数のトランシーバTRA1...TRAnを使用することによって、無線カバレージを、局所的な状況に適合させることができる。高周波の無線信号を、処理ユニット(基地局)VE2からトランシーバTRA1...TRAnへおよびトランシーバから処理ユニットへ伝送する際に、例えばアンテナの全くの多様性の故に発生するところの減衰損失(Daempfungsverluste)を避けるために、前記の方法では、トランシーバからの無線信号を処理し、かつ、バスシステムBUSを介して、ディジタル形式で交換する。システムは、高い柔軟性の故に、特に、強い電磁波妨害(EMI)を有する環境の中での使用のために適切である。
【0093】
図4は、安全指向の信号を検出ユニットEE3から無線リンクFS3を介して評価ユニットAE3へ伝送するための無線システムSYS3の原理構造を示している。
【0094】
独自の発明思想によれば、安全指向の信号を検出しかつ無線リンクFS3を介して伝送するための、以下に記述する方法は、検出ユニットEE3(移動局)が、安全指向の信号を、少なくとも2チャンネルで検出し、かつ、信号を、評価ユニットAE3にある、安全な、少なくとも2チャンネルの処理ユニット(基地局)VE3に送信することを特徴とする。この実施の形態では、処理ユニット(基地局)VE3は、2チャンネルで形成されており、マイクロコンピュータMCA3を有する第1のチャンネルAと、マイクロコンピュータMCB3を有する第2のチャンネルBとを具備する。マイクロコンピュータMCA3は、擬似乱数PRNを発生させるための乱数発生器PRNGを有する。更に、マイクロコントローラMCA3およびMCB3は、各々、受信された擬似乱数PRNをチェックするための、かつ、関連の接点K1A,K1B;K2A,K2Bの対応の信号SK1A,SK1B,SK2AおよびSK2Bを解除するためのユニットDIVPRNA1、DIVPRNA2ならびにDIVPRNB1、DIVPRNB2を具備する。これらの接点は、検出ユニットEE3に接続されておりかつ該検出ユニットによってモニタされる。
【0095】
マイクロコントローラMCA3およびMCB3は、ラインL1,L2を介して、交差したデータ比較のために、相互接続されている。
【0096】
更に、2つのマイクロコントローラMCA3およびMCB3のうちの少なくとも1つが送受信機ユニット、例えばトランシーバTRAE3に接続されている。
【0097】
検出ユニットEE3は、同様に、例えば2つの、2チャンネルのスイッチング素子K1,K2の検出を制御するためのマイクロコントローラMCE3を有する。各々のスイッチング素子K1,K2は、夫々、2つのスイッチ接点K1A,K1BおよびK2A,K2Bを有する。該スイッチ接点の接触状態が読み込まれる。受信された擬似乱数PRNが存してなるマイクロコントローラMCE3の出力端は、スクランブラSCR1,SCR2の各々の入力端に接続されている。スクランブラSCR1の出力端は、スイッチング素子K1の第1の接点K1Bの入力端に接続されており、第2のスイッチング素子K2の第2の接点K2Bの入力端に接続されている。スクランブラSCR2の出力端は、スイッチング素子K1の第2の接点K1Bの入力端に接続されており、スイッチング素子K2の第2の接点K2Bの入力端に接続されている。接点K1A,K1B,K2B,K2AおよびK2Bの各々の出力端は、マイクロコントローラMCE3の他の入力端に接続されている。マイクロコントローラMCE3は、トランシーバTREE3を介して、無線リンクFS3に接続されている。
【0098】
以下、無線システムSYS3の機能を説明する。乱数発生器PRNGは、擬似乱数PRNを発生させる。該擬似乱数は、例えば、マイクロコントローラMCA3によって、送信テレグラムTxTに入力される。受信ユニットEEには、着信する乱数PRNは、2つの異なった好ましくはハードウェアまたはソフトウェアのスクランブラSCR1,SCR2を介して、導かれる。スクランブラSR1,SR2の出力端には、ビットパターンまたは夫々にテストシーケンスは、2進のテストパターンまたはビットシーケンスBF1,BF2として存する。2進のテストパターンまたはビットシーケンスは、2チャンネルのスイッチング素子K1,K2またはスイッチング接点K1A,K1B,K2A,K2Bの動的テストまたは問い合わせのために使用される。スイッチング接点K1A,K1B,K2A,K2Bを介して供給されたビットシーケンスは、マイクロコントローラMCに供給され、かつ、トランシーバTREE3を介して、評価ユニットAE3に送られる。送信テレグラムRxTは、個々の接点のビットシーケンスを含む。
【0099】
複数のマイクロコンピュータのうちの1つ、例えばMCB3は、送信テレグラムRxTを受信し、平行なチェックのために、この送信テレグラムをマイクロコントローラMCA3へ転送する。2チャンネルの評価がなされる。各々のマイクロコントローラMCA3,MCB3は、2チャンネルのスイッチング素子K1,K2のスイッチ接点K1A,K1B,K2A,K2Bを評価する。各々のマイクロコントローラMCA,MCBに含まれているデスクランブラDESCR1,DESCR2において、ビットシーケンスBF1,BF2のデスクランブリングがなされる。その後続いて、スイッチ接点K1A,K1B,K2A,K2Bが閉じられている際には、デスクランブリングの結果が、元の乱数PRNと一致するか否かが、試験される。2つの結果のうちの1つが、テストパターンすなわち乱数PRNと一致しないとき、すなわち、スイッチング素子のスイッチ接点が開いているときでも、受信された信号は、安全指向でスイッチオフにされる。
【0100】
選択的な拡張段階では、安全指向のスイッチオフは、スイッチング装置のスイッチ接点が開いている際に、無線リンクを介して伝送される、他の、安全指向のおよび非安全指向の信号の同時的なスイッチオフとつながれている。
【0101】
以下の考えが、システムSYS3の基礎になっている:
-システムは、危険になってはならない、すなわち、開いている接点が、閉じていると認識されてはならず、および、
-開いた2チャンネルのスイッチング装置が閉じていると認識されるためには、以下の条件が満たされていなければならない:
-送信テレグラムRxTでは、スイッチング素子K1およびK2の2つの接点またはチャンネルK1AおよびK1BあるいはK2AおよびK2Bのデータを、両者が、デスクランブラDESCR1,DESCR2の後に、元の乱数PRNと一致するように、変形させる必要がある。
【0102】
-このための確率は、乱数PRNまたはビットシーケンスBF1/BF2の長さに決定的に依存している。長さの適切な選択によって、各々の用途のために必要な見逃し誤り率(例えば、<10−7)を達成することができる。
【0103】
-Hd=12のハミング距離を有する24ビットの乱数またはビットシーケンスによって、単位時間当たりの危険な故障の確率が、例えば、約1.4×10−10であり、無線リンク上では10−2のビット誤り率が仮定され、約25msのテレグラムサイクルが生じる。
【0104】
2チャンネルのスイッチング装置K1,K2の懸架型のまたは貼着型のスイッチ接点も、遅くとも次の操作の際には、確実に検出されるだろう。
【0105】
上記の方法によって、以下の可能性が開かれる。すなわち、チェックビットとも呼ばれるビットシーケンスBF1,BF2を、適切な方法で、以下のように、すなわち、ビットシーケンスが、信号の検出のために、テストパターンとして直接使用されるように、選択すること、および、結果、すなわち、テストパターンによって生成された信号SK1A,SK1B,SK2A,SK2Bが、更なる後処理なしに、無線リンクFS3を介して確実に伝送されることができ、すなわち、必要な、最大限の見逃し誤り率を維持しつつ伝送されることができるという可能性である。更に、使用されたテストパターンBF1,BF2の選択は、評価ユニットAE3によって、動的になされる。それ故に、検出ユニットEEが、最も簡単な方法で構成されることができ、必要な、安全なかつ2チャンネルの評価が、評価ユニットAEにおいてのみなされる。
【0106】
既に前述したように、テストパターンまたはビットシーケンスBF1,BF2が、評価ユニットAE3からの乱数PRNによって動的に事前設定される。
【0107】
伝送されるデータ量を減じるために、評価ユニットAE3は、乱数PRNまたはシーケンス番号のみを送信する。検出ユニットEE3は、乱数またはシーケンス番号から、各々の接続されたスイッチ接点K1A,K1B,K2A,K2Bための明確なビットシーケンスBF1,BF2をすなわち少なくとも2チャンネルで発生させる。安全指向の信号を検出するためのビットシーケンスBF1,BF2は、少なくとも2チャンネル方式で、スクランブリングによって、コードの拡散によって、またはハードウェアまたはソフトウェアのルックアップテーブルによって発生される。
【0108】
既に前述したように、各々のチャンネルK1A,K1BおよびK2A,K2Bのための少なくとも2チャンネルの信号を検出するために、別個のビットシーケンスBF1、BF2を使用することは有利である。
【0109】
独自発明的な提案によれば、試験から決定された少なくとも2チャンネルの信号が、評価ユニットAEへシングルチャンネルで伝送される只1つの情報であることが意図されている。
【0110】
この方法を、図5を参照して説明しよう。図5は、検出ユニットEE5のブロック図を示している。2チャンネルのスイッチング装置の接点SA,SBおよび緊急遮断の状態を検出するために、検出ユニットEE5は、2チャンネルで形成されており、チャンネルAおよびBを有する。チャンネルAは、マイクロコントローラMCE5として実現されており、該マイクロコントローラ上に、論理回路LBAがソフトウェアとして実現されている。チャンネルBは、ハードウェアの論理回路HWLとして、好ましくは、自由にプログラム可能な論理ビルディング・ブロック、例えばCPLDまたはFPGAとして実現されている。更に、マイクロコントローラMCE5を無線リンクFSに接続するためのトランシーバTRXが設けられている。評価ユニットAE1..AE3から無線リンクFSを介して送信されるシーケンス番号SNによって、ルックアップテーブルLUTA,LUTBにおいて、2進のテストパターンまたはビットパターンBMA,BMBのようなテストシーケンスが発生される。該テストシーケンスは、スイッチ接点SA,SBを介して導かれる。2進のテストパターンBMA,BMBによって、検出ユニットに接続されたスイッチ接点SA,SBの接触状態が試験される。
【0111】
2チャンネルのスイッチング素子「緊急遮断」のスイッチ接点SA,SBを介して導かれるビットパターンBMA,BMBは、他方のチャンネルの各々の論理ブロックLBA,LBBを通過する。1つの開いた接点SA,SBによってまたは2つの開いた接点SA,SBによって発生されかつ伝送のために不適切な「永久状態-0」(Dauerlage-0)が、特殊なビットパターンIA,IBと置き換えられる。最後に、2つのビットパターンが、情報またはビットパターンBMCに組み合わされ、例えば合計され、かつ、トランシーバおよび無線リンクを介して評価ユニットに送信される。
【0112】
図6は、評価ユニットAE3のブロック図を示している。該評価ユニットは、トランシーバTRAE3ならびに2チャンネルの処理ユニットVE3を有する。該処理ユニットは、マイクロコントローラMCA3(チャンネルA)およびマイクロコントローラMCB3(チャンネルB)を有する。トランシーバの受信ユニットは、完全な情報BMCを2つのマイクロコントローラMCA3,MCB3へ転送する。結果の交差した比較を維持しつつ冗長な処理がなされる。既に前述したように、評価ユニットAE3のマイクロコントローラMCA3,MCB3は、ラインL1,L2によって交差して互いに結合されている。その目的は、結果の交差した比較を実行するためである。
【0113】
図7は、図5に示した論理ブロックLBA,LBBのブロック図を示している。
【0114】
論理ブロックLBA,LBBの構造は、同一である。それ故に、以下に、論理ブロックLBAの構造を説明する。論理ブロックは、特に、スイッチ接点SBによって導かれたビットパターンBMAを読み取るためのシフトレジスタSRAを有する。シフトレジスタの平行な出力端には、「永久状態0」(開いた接点)を検出するためのチェックブロックNORが接続されている。チェックブロックの出力端は、スイッチング素子S1およびS2を制御するための組合せ論理回路XOR,NORに接続されている。スイッチング素子S1およびS2は、読み取られた「永久状態0」を、他方のチャンネル(チャンネルB,信号B0)に従って、特殊なビットパターン(SAX,SAY)と置き換える。
【0115】
組合せ論理回路XOR,NORでは、2つのスイッチ接点SA,SBのすべてのビットが「0」に等しいか否かがチェックされる。イエスの場合には、読み取られたビットパターンBMAは、特殊なビットパターンSAXに置き換えられる。
【0116】
只1つの接点SA,SBが開いていると認識されたとき、評価ユニットAEのこの状態、例えば「接点が未接続である」あるいは「スイッチ装置の作動の際の過渡段階」のような故障状態は、伝達によって、論理ブロックLBBの情報SAY(および情報SBY)に通知される。
【0117】
2つの接点SA,SBが閉じられているとき、読み戻されたテストパターンBMA,BMBは、加算器SUMにおける連結によって、例えば「緊急停止」/「緊急遮断」が未作動」の情報に対応する情報BMCにまとめられる。
【0118】
検出ユニットEE5の、図5に示した構造は、安全指向の信号を2つのチャンネルまたはマルチチャンネルで検出および/または処理するための可能性を開く。この構造は、少なくとも2チャンネルの信号、例えば、スイッチ接点SA,SBから発信されるビットパターンBMA、BMAの検出および/または処理が、ソフトウェアおよびハードウェアの形態で、なされることを特徴とする。この目的のために、各々1つのチャンネル、例えばチャンネルAが、マイクロコントローラMCE5によって実現されるソフトウェアチャンネルとして構成されており、他方、ハードウェアチャンネルHWLであるチャンネルBは、自由にプログラム可能な論理ビルディングブロック、例えばCPLDまたはFPGAとして構成されていることが意図されている。
【0119】
検出ユニットEE5におけるハードウェアおよび/またはソフトウェアのエラーを検出するために、評価ユニットAEは、定められた時間間隔で、追加的にテストシーケンス番号SNを送信する。検出ユニットのルックアップテーブルLUTA,LUTBでは、テストシーケンス番号には、特殊なテストパターンが割り当てられている。該テストパターンは、1つの開いた接点(チャンネルAまたはB)あるいは2つの開いた接点(チャンネルAおよびB)をシミュレートする。従って、評価ユニットの期待値によって、論理ブロックLBA,LBBにおけるエラーを検出することができる。
【0120】
更に、本発明は、安全関連のデータを検出ユニットEE4と評価ユニットAE4との間で無線リンクFS4を介して伝送するための、図8に示したシステムSYS3に関する。評価ユニットAE4は、処理ユニットVE4および空間的に遠隔されたトランシーバTRA4を有する。
【0121】
移動局として形成された検出ユニットEE4は、検出ユニットZMMEの保証されたモジュールを有する。該モジュールは、標準インタフェースSIEEと、安全指向の入力端SnIと、操作可能な入力端BnIと、操作可能な出力端BnOと、汎用のデータインタフェースUDIEEとを有する。安全指向の入力端SnIは、安全指向のデータ用のデータ保護モジュールDSMSを介してマルチプレクサまたはデマルチプレクサMUXに接続されている。操作可能な入力端BnIと、操作可能な出力端BnOのためのインタフェースと、汎用のデータインタフェースUDIEEは、制御データのためのデータ保護モジュールDSMCに接続されている。出力側では、制御データのためのデータ保護モジュールは、マルチプレクサまたはデマルチプレクサMUXの第2の入力端に接続されている。マルチプレクサまたはデマルチプレクサMUXの出力端は、送受信ユニットTRE5に接続されている。該送受信ユニットによって、信号を、無線リンクFS4を介して、トランシーバTRA4に送信または受信することができる。
【0122】
処理ユニットVE4は、同様に、処理ユニットZMVEの保証されたモジュールを有する。このモジュールは、出力側で、標準インタフェースSIVEを有する。該標準インタフェースは、安全指向の入出力端SnIO、操作可能な入力端BnI、操作可能な出力端BnOおよび汎用のデータインタフェースUDIEEを有する。インタフェースSnIOは、安全指向のデータのためのデータ保護モジュールDSMCを介して、マルチプレクサまたはデマルチプレクサMUXに接続されている。インタフェースBnI、BnOおよびUDIVEは、制御データのためのデータ保護モジュールDSMCを介して、マルチプレクサまたはデマルチプレクサMUXの第2の入力端に接続されている。マルチプレクサまたはデマルチプレクサの出力端は、データを送信および/または受信するためのトランシーバTR4に接続されている。
【0123】
保証されたモジュールZMEEおよびZMVEは、従来の技術に比べて、該モジュールが、他の安全指向の入力端SnIと、安全指向の出力端SnOと、安全指向の入力端および出力端BnI,BnOとのほかに、汎用のデータインタフェースUDIEEおよびUDIVEを有することを特徴とする。従来の技術では、保証されたモジュールによって、顧客固有のデータ、例えばディジタルまたはアナログの入力/出力データおよびシリアルデータを処理することは不可能であった。
【0124】
本発明によれば、保証されたモジュールZMEE,ZMVEは、非安全関連の顧客固有のデータを伝送するための汎用のデータインタフェースUDIEE,UDIVEを使用可能にすることが意図されている。
【0125】
更に、標準インタフェースSIEE,SIVEが顧客固有のモジュールKSMEE,KSMVEに接続されており、該モジュールは、出力側で、顧客固有のインタフェースKSIEE,KSIVEを使用可能にすることが意図されている。安全指向の入力端および出力端S1I,S1Oまたは操作可能な入力端および出力端B1I、B2I,B1O,B2Oのほかに、本発明によれば、アナログ式の電圧出力端のようなアナログ式の出力端AO、あるいは、シリアルインタフェースSI、例えばRS232が用いられる。出力端またはインタフェースは、次に、保証されたユニットZMEE/ZMの汎用のデータインタフェースUDIEE,UDIVEによって、処理される。
【0126】
保証された検出ユニットZVEの標準インタフェースSIVEは、出力側で、顧客固有のモジュールKSMVEに接続されており、モジュールの出力端には、顧客固有のインタフェースKSIが使用可能である。このインタフェースは、特に、安全指向の出力端S1O、S2Oならびに操作可能な入力端および出力端B1O,B2OならびにB1Iを使用可能にすることができる。実際また、アナログ式の電圧出力端のようなアナログ式の出力端およびシリアルインタフェースSI、例えばRS232を用いることができる。
【0127】
従って、システムSYS3は、安全保証されたモジュールによって用途固有のデータの柔軟な伝送を可能にする。保証されたモジュールZMEE,ZMVEに各々統合されている汎用のデータインタフェースUDIEE,UDIVEに接続している顧客固有のモジュールKSMEE,KSMVEによって、非安全関連のデータの透過伝送のための固定のまたは可変の帯域(トンネル)が、使用可能となる。
【0128】
汎用のデータインタフェースUDIEE,UDIVEを、ハードウェアおよびソフトウェアの形態でも各々の用途に適合させることができる。しかしながら、変更は、システムの安全が保証された部分への影響を少しも有しない。
【0129】
好ましい実施の形態では、汎用インタフェースUDIのデータを、ハードウェアの形態のマルチプレクサまたはデマルチプレクサMUXの先行の多重化によって、あるいは、ソフトウェアの形態の伝送プロトコルからのアンパックによって挿入または削除される。
【0130】
本発明によれば、保証された検出ユニットまたは保証された処理ユニットZMEE,ZMVEが利用される。これらのユニットは、標準では、汎用のデータインタフェースUDIEE,UDIVEを有し、該データインタフェースは、ハードウェアのおよび/またはソフトウェアの部品、例えば顧客固有のモジュールKSMEE,KSMVEによって全く別の顧客固有の用途に適合させることができる。
【0131】
安全指向の機能を有するモジュールZMEE,ZMVEの保証の際には、あらゆる可能なエラー状態が、汎用のデータインタフェースに発生し、それ故に、他の、顧客固有の回路部分KSMEE,KSMVEの起動による、安全指向機能への影響を、汎用のデータインタフェースUDIの適合および利用のために、除外することができることが、仮定される。
【0132】
従って、汎用のインタフェースUDIにおける顧客固有の拡張または変更の際には、新たな保証は不要である。
【0133】
誤り制御のための処理:
基本的には、安全機能は、基地局で実現される。移動局では、特別な状態を検出しかつ伝達するための追加の処置が実行されている。これらの処置(論理ブロックおよび/またはソフトウェアルーチン)は、2チャンネルであって、評価ユニット(基地局)によって、同期的に検査される。
【0134】
無線リンク上のビットエラー:
基地局が安全指向でオフになるのは、受信されたコード語が、事前設定されたシーケンスの拡散コードまたはスクランブルコードに対応しないときである。すべての使用されたコードは、互いに、Hd=12の最小のハミング距離を有する。従って、GS-ET-26によれば、以下のことが生じる。
【0135】
見逃し誤り率(ガウス) R(p)=2.42E-18
単位時間当たりの危険な故障確率 AU =1.3936E-10
DIN EN ISO 13849−1に基づく、パフーマンス・レベルのための見逃し誤り率への要件は、従って、満たされている。
【0136】
-エラー、すなわち接点が開いていないこと:
開いた接点は、12ビットのテストパターンを零に「置き換える」。閉じた接点によって、第2のテストパターンが読み戻される。2つの読み戻されたコード語部分の組み合わせの際に、無効なコード語、すなわち、Hd<12であるコード語が発生されるだろう。従って、検出ユニット(移動局)には、Hd=12を有する「無効なコード語が、特殊なコード語(「1つの接点が開/1つの接点が閉」)と置き換えられる。このコード語を得る際に、BSは、安全指向でオフになる。
【0137】
-検出ユニットの論理ブロックにおけるエラー:
基地局は、定められた時間間隔で、1つのまたは2つの開いた接点のシミュレーションを起動するテストシーケンス番号を送る。シミュレーションは、1つのまたは2つのチャンネルのテストパターンとして、「永続状態-0」が選択されることによってなされる。従って、基地局の期待値によって、移動局の論理ブロックにおけるエラーを確実に検出することができる。
【0138】
-接点に接続されたピンの出力端と入力端との間の短絡:
テストパターンの出力と、接点を介して導かれるビットパターンの読み込みが、分離した構成要素(CPLDおよびμC)によってなされるので、エラー分析の際には、構成要素の入力端と出力端との間の、認識されていない短絡は除外される。
【特許請求の範囲】
【請求項1】
少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記少なくとも1つの安全指向の信号(S1...Sn)を、少なくとも1つの検出ユニット(EE1...EEn)によって検出し、無線システム(FS)によって、少なくとも1つの評価ユニット(AE1...AE4)へ送信する方法において、
危険な動作を解除するためには、少なくとも2つの安全指向の信号(S1、S2)を互いに別々に検出し、かつ、前記無線システム(FS)によって、前記評価ユニット (AE1...AE4)に送信すること、および、危険な動作を解除するための出力信号(FRS)を、前記受信された安全指向の信号を論理演算することによって発生させることを特徴とする方法。
【請求項2】
前記出力信号(FRS)を、前記受信された安全指向の信号(S1,S2)の論理的なAND演算によって発生させることを特徴とする請求項1に記載の方法。
【請求項3】
前記評価ユニット(AE1...AE4)によって受信された安全指向の信号(S1,S2)を、少なくとも2チャンネルで論理的演算および/または出力することを特徴とする請求項1または2に記載の方法。
【請求項4】
前記安全指向の信号(S1,S2)を、周波数法、コード法および/または時分割多重法で、前記無線システム(FS)によって送信することを特徴とする請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
前記安全指向の信号(S1,S2)を、前記只1つの無線システム(FS)によって送信し、各々の検出ユニット(EE1...EEn)には、無線チャンネル(FS1...FSn)(FDM,周波数分割多重)、タイムスロット(TDM,時分割多重)または拡張コード(CDM,コード分割多重)が割り当てられていることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
前記検出ユニット(EE1...EEn)に接続されており、または該検出ユニットに統合された少なくとも1つのスイッチング装置(SG1...SGn)、例えば、イネーブルスイッチまたは緊急停止コマンド装置および/または緊急遮断コマンド装置の接点(S1,SB;K1A,K1B;K2A,K2B)の導電性または非導電性の状態を、少なくとも2チャンネルで検出し、好ましくは周期的に、好ましくは25ms毎に、多重方式で、前記評価ユニット(AE1...AE4)に伝送することを特徴とする請求項1ないし5のいずれか1項に記載の方法。
【請求項7】
前記信号の伝達の時間挙動を、前記評価ユニット(AE1...AE4)によって事前設定し、前記検出ユニット(EE1...EEn)は、前記評価ユニット(AE1...AE4)から明確な識別を用いて順々に問い合わせを受け、好ましくは2.5msの範囲の事前設定された時間窓内で応答することを特徴とする請求項1ないし6のいずれか1項に記載の方法。
【請求項8】
少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するためのシステムであって、前記少なくとも1つの前記安全指向の信号(S1,S2)を検出し、かつ、無線システム(FS)を介して評価ユニット(AE1...AE4)に伝送するための検出ユニット(EE1...EEn)を有するシステムにおいて、
該システムは、少なくとも2つの検出ユニット(EE1...EEn)を有し、該検出ユニットによって、各々別々に、危険な動作を解除するための安全指向の信号(S1...Sn)を発生させることができること、前記安全指向の信号(S1...Sn)は、前記無線システム(FS1)によって前記評価ユニット(AE1...AE4)に伝送可能であること、および、前記評価ユニット(AE1...AE4)は、論理ユニット(LE)を有し、該論理ユニットによって、危険な動作を解除するための出力信号(FRS)を発生させるために前記受信された安全指向の信号(S1...Sn)の論理演算が実行可能であることを特徴とするシステム。
【請求項9】
前記論理ユニット(LE)は、少なくとも1つのAND演算回路を有し、好ましくは、マイクロコントローラのような処理ユニット(VE1...VE4)へ、好ましくは2チャンネルで実現可能であることを特徴とする請求項8に記載のシステム。
【請求項10】
前記検出ユニット(EE1...EEn)は、該検出ユニットに接続されまたは統合されたスイッチング装置(SG1,SG2)と、マイクロコントローラのような計算ユニット(MC)と、トランスシーバ(TRE)のような送受信機ユニットとを夫々有する移動ユニット(移動局)として形成されていることを特徴とする請求項8または9に記載のシステム。
【請求項11】
前記検出ユニットの前記少なくとも1つのスイッチング装置(SG1,SG2)は、イネーブルスイッチ、緊急停止コマンド装置および/または緊急遮断コマンド装置として形成されていることを特徴とする請求項8ないし10のいずれか1項に記載のシステム。
【請求項12】
前記評価ユニット(AE1...AE4)は、計算ユニット(MC)および入出力ユニット(IO)を有する好ましくは固定式の処理ユニット(VE1...VE4)と、トランシーバ(TRA1...TRAn)のような1つまたは複数の分散型の送受信ユニットと、を具備することを特徴とする請求項8または11のいずれか1項に記載のシステム。
【請求項13】
少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記安全指向の信号(S1...Sn)を、少なくとも1つの評価ユニット(EE1...EEn)によって検出し、無線システム(FS)によって、少なくとも1つの評価ユニット(AE2)に伝送してなる方法において、
前記少なくとも1つの検出ユニット(EE1...EEn)から放射される安全指向の信号(S1...Sn)を、空間的に分散配置されたトランシーバユニット(TRA1...TRAn)によって受信し、該トランシーバユニットは、前記バスシステム(BUS)を介して、前記評価ユニット(AE2)の処理ユニット(VE2)(基地局)に接続されていることを特徴とする方法。
【請求項14】
前記空間的に分散配置されたトランシーバユニット(TRA1...TRAn)は、前記受信された無線信号を処理し、かつ、ディジタル形式で、前記バスシステム(BUS)を介して前記処理ユニット(VE2)(基地局)に送信することを特徴とする請求項13に記載の方法。
【請求項15】
前記トランシーバユニット(TRA1...TRAn)の各々に関する送受信品質を決定させること、および、前記処理ユニットへの無線伝送のために、最高の送受信品質を有するトランシーバユニット(TRA1...TRAn)のみを使用することを特徴とする請求項13または14に記載の方法。
【請求項16】
前記処理ユニット(VE2)(基地局)は、周期的に、好ましくは25ms毎にフレーム(トークン)の形態でテレグラムをリング状のバス(BUS)に送信することを特徴とする請求項13ないし15のいずれか1項に記載の方法。
【請求項17】
前記フレーム(トークン)は、すべてのトランシーバユニット(TRA1...TRAn)を、所定の伝搬時間で順々に通過することを特徴とする請求項13ないし16のいずれか1項に記載の方法。
【請求項18】
各々のトランシーバユニット(TRA1...TRAn)は、前記フレーム(トークン)のヘッダの中で実行されるカウンタを増加させることを特徴とする請求項13ないし17のいずれか1項に記載の方法。
【請求項19】
前記フレーム(トークン)を、有効な無線テレグラムを受信した各々のトランシーバユニット(TRA1...TRAn)によって処理し、第1のトランシーバユニット(TRA)は、前記受信されたデータを、前記フレーム(トークン)に入力させおよび/または、自己の受信品質が、前記入力された受信品質よりも高いときは、RSSI値(または他の品質インデックス)および/または受信識別(RXID)を置き換えることを特徴とする請求項13ないし18のいずれか1項に記載の方法。
【請求項20】
任意の或るトランシーバユニット(TRA1...TRAn)を介して任意の或るテレグラムの送信を行ない、前記処理ユニット(VE2)(基地局)は、前記フレーム(トークン)の送信識別フィールド(TXID)において、最後のフレーム(トークン)の最高の受信品質を有する前記トランシーバユニットの受信識別(RXID)を入力し、かつ、前記送信識別フィールド(TXID)に入力されている識別(ID)を有する前記トランシーバユニットは、前記送信テレグラム(TXT)を送信することを特徴とする請求項13ないし19のいずれか1項に記載の方法。
【請求項21】
前記トランシーバユニット(TRA1...TRAn)のための給電を、分散方式、好ましくは、電気絶縁によって、あるいは、集中方式では、処理ユニット(VE)(基地局)によって行なうことを特徴とする請求項13ないし20のいずれか1項に記載の方法。
【請求項22】
前記トランシーバユニット(TRA1...TRAn)を、異なった無線チャンネルで、特に、2つの無線チャンネル(FS1,FS2)上での冗長な伝送のために、複数の好ましくは移動式の検出ユニット(EE1...EEn)を評価ユニット(AE2)において動作させるために、および/または追加のアクチュエータまたはセンサを前記評価ユニットに接続させるために、および/または2つの評価ユニットの間で双方向の安全指向の伝送のために、動作させることができることを特徴とする請求項13ないし21のいずれか1項に記載の方法。
【請求項23】
少なくとも1つの検出ユニット(EE1...EEn)によって検出され、かつ、無線システム(FS)によって少なくとも1つの評価ユニット(AE2)に送信される少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するためのシステムにおいて、
前記評価ユニット(AE2)は、前記少なくとも1つの検出ユニット(EE1...EEn)によって送信された安全指向の信号(S1...Sn)を受信するための少なくとも1つの空間的に分散配置されたトランシーバユニット(TRA1...TRAn)を有する処理ユニット(VE2)を具備し、前記少なくとも1つのトランシーバユニット(TRA1...TRAn)は、バスシステム(BUS)を介して、前記処理ユニット(VE2)(基地局)に接続されていることを特徴とするシステム。
【請求項24】
前記空間的に分散されたトランシーバユニット(TRA1...TRAn)は、1つまたは複数のアンテナ(ANT1...ANTn)と、少なくとも1つのバス接続部(BE1...BEn;BA1...BAn)、好ましくは高速バス接続部とを有することを特徴とする請求項23に記載のシステム。
【請求項25】
前記トランシーバユニット(TRA1...TRAn)は、無線信号を、トランシーバのない場合より長い距離に亘って伝送するための信号処理ユニットを有することを特徴とする請求項23または24に記載のシステム。
【請求項26】
前記バスシステム(BUS)は、光学的および/または電気的信号伝送機能を有する好ましくはリング状のバス構造物として形成されていることを特徴とする請求項23ないし25のいずれか1項に記載のシステム。
【請求項27】
前記トランシーバユニット(TRA1...TRAn)は、前記リング状のバスシステムにカスケード状に設けられていることを特徴とする請求項23ないし26のいずれか1項に記載のシステム。
【請求項28】
前記トランシーバユニット(TRA1...TRAn)は、給電のために、前記処理ユニット(基地局)に接続されており、好ましくは電気絶縁された各々の分散型の電源を有することを特徴とする請求項23ないし27のいずれか1項に記載のシステム。
【請求項29】
安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記安全指向の信号(S1...Sn)は、スイッチング装置(SG;K1,K2)の少なくとも1つのスイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システム(FS)によって評価ユニット(AE)に伝送され、前記受信された安全指向の信号(S1...Sn)は、評価され、かつ、必要な場合には、危険な動作を解除するための、または危険な動作を遮断するための出力信号(FRS)が発生されてなる方法において、
前記スイッチング装置(SG;K1,K2)の各々のスイッチ接点(SA,SB;K1A,K1B;K2A,K2B)に、テストシーケンス(BF1,BF2;BMA,BMB)を作用させること、および、前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)に存するテストシーケンスを、直ちに前記無線システム(FS)を介して前記評価ユニット(AE)に伝送することを特徴とする方法。
【請求項30】
前記テストシーケンス(BF1,BF2;BMA,BMB)を、前記評価ユニット(AE)によって動的に事前設定し、あるいは、前記検出ユニット(EE1...EEn)において、前記評価ユニット(AE)によって送信されたシーケンス番号(SN;PRN)に基づいて発生させることを特徴とする請求項29に記載の方法。
【請求項31】
前記評価ユニット(AE)は、前記シーケンス番号(SN;PRN)を、前記検出ユニット(EE1...EEn)に伝達し、該検出ユニット(EE1...EEn)では、前記受信されたシーケンス番号(SN;PRN)から、各々の接続されたスイッチ接点のための明確なテストシーケンス、例えば2進のテストパターン(BF1,BF2;BMA,BMB)を発生させることを特徴とする請求項29または30に記載の方法。
【請求項32】
前記2進のテストパターン(BF1,BF2;BMA,BMB)を、少なくとも2チャンネルで、スクランブリング、コード拡散、またはハードウェアおよび/またはソフトウェアの形態のルックアップテーブル(LUTA,LUTB)によって発生させることを特徴とする請求項29ないし31のいずれか1項に記載の方法。
【請求項33】
前記シーケンス番号(SN;PRN)を、乱数発生器(PRNG)によって、送信テレグラム(TxT)によって前記検出ユニット(EE1...EEn)に送信される擬似乱数(SN,PRN)として、発生させ、前記受信された擬似乱数(SN,PRN)から、2つの異なったスクランブラ(SCR1,SCR2)によって、前記2チャンネルのスイッチング装置の前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)をテストするために、2つの2進のテストパターン(BF1,BF2)を発生させることを特徴とする請求項29ないし32のいずれか1項に記載の方法。
【請求項34】
前記スイッチング素子(SG;K1,K2)の前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の任意の或る出力端に存する2進の前記テストパターン(BF1,BF2;BMA,BMB)を、送信テレグラム(RxT)によって前記評価ユニット(AE)に返送し、該評価ユニットにおいて2チャンネルで評価することを特徴とする請求項29ないし33のいずれか1項に記載の方法。
【請求項35】
前記評価ユニット(AE)では、2つのマイクロコントローラ(MCA,MCD)によって、前記送信テレグラム(RxT)の2チャンネルの評価が行なわれ、各々のマイクロコントローラ(MCA,MCD)は、完全な安全指向の信号を処理することを特徴とする請求項29ないし34のいずれか1項に記載の方法。
【請求項36】
前記受信された2進のテストパターン(BF1,BF2;BMA,BMB)を、「デスクランブル」すること、および、接点(SA,SB;K1A,K1B;K2A,K2B)が閉じている際に、デスクランブルの結果が、元の伝送された擬似乱数(PRN)に一致しているか否かを、デスクランブリング後に試験することを特徴とする請求項29ないし35のいずれか1項に記載の方法。
【請求項37】
2つの結果のうちの1つが、前記伝送された擬似乱数(PRN)またはテストパターン(BF1,BF2;BMA,BMB)と一致しないとき、前記スイッチング素子のスイッチ接点が開いていても、この信号を安全指向で遮断することを特徴とする請求項29ないし36のいずれか1項に記載の方法。
【請求項38】
前記スイッチング素子(SG;K1,K2)の接触状態の検出および伝送は、閉回路原理により前記無線リンクを介して行なわれることを特徴とする請求項29ないし37のいずれか1項に記載の方法。
【請求項39】
前記スイッチング素子(SG;K1,K2)の各々のチャンネルまたは各々の接点(SA,SB;K1A,K1B;K2A,K2B)のために、別個の2進のテストパターン(BF1,BF2;BMA,BMB)を用いることを特徴とする請求項29ないし38のいずれか1項に記載の方法。
【請求項40】
前記少なくとも1つの2チャンネルのスイッチング素子(SG;K1,K2)のテストから決定された少なくとも2チャンネルの信号は、シングルチャンネルで前記評価ユニット(AE)へ伝送される只1つの情報(BMC)であり、好ましくは、該只1つの情報(BMC)を、各々のチャンネルの前記テストパターン(BF1,BF2;BMA,BMB)の合計から形成することを特徴とする請求項29ないし39のいずれか1項に記載の方法。
【請求項41】
送信されるデータシーケンスを生成するための選択されたテストパターン(BF1,BF2;BMA,BMB)を、以下のように、すなわち、前記データシーケンスが、例えば6または12の最小限のハミング距離を有するコード化された信号を発生させ、該ハミング距離は、前記安全指向の信号を、更なるデータ保護なしに無線により伝送することができるように、使用することを特徴とする請求項29ないし40のいずれか1項に記載の方法。
【請求項42】
安全指向の信号(S1...Sn)を検出し、伝送および評価するためのシステムであって、該システムは、少なくとも1つの接続されまたは統合されており、かつ、スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)を有する2チャンネルのスイッチング装置(SG;K1,K2)を備えた検出ユニット(EE1...EEn)を具備し、前記安全指向の信号(S1...Sn)は、前記複数のスイッチ接点の1つのスイッチ接点の導電性または非導電性の状態を表わし、前記システムは、前記安全指向の信号(S1...Sn)を、前記受信された安全指向の信号(S1...Sn)が、好ましくは2チャンネルで評価されてなる評価ユニット(AE)に伝送するための無線システム(FS)を具備し、必要な場合には、危険な動作を解除または遮断するための出力信号(FGS)を発生させてなるシステムにおいて、
前記評価ユニット(AE)および/または前記受信ユニット(EE1...EEn)は、前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の各々のためのテストシーケンス(SCR1,SCR2;LUTA,LUTB)を発生させるための手段を有すること、前記スイッチ接点は、入力側で、テストシーケンス(BF1,BF2;BMA,BMB)が存していてなる各々の接続部に接続されており、出力側では、前記テストシーケンス(BF1,BF2;BMA,BMB)を検出しかつ前記評価ユニット(AE)に伝送するための計算ユニット(MC;CPLD)の入力端に接続されていることを特徴とするシステム。
【請求項43】
シーケンス番号(SN;PRN)を事前設定するために前記評価ユニット(AE)は、擬似乱数発生器(PRNG)を有すること、前記シーケンス番号(SN;PRN)は、前記無線システム(FS)によって前記検出ユニット(EE1...EEn)へ伝送可能であること、および、前記シーケンス番号(SN;PRN)からテストシーケンスを発生させるための手段には、前記テストシーケンス(BF1,BF2;BMA,BMB)が発生可能であることを特徴とする請求項42に記載のシステム。
【請求項44】
テストパターンを発生させるための手段は、ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラ(SCR1,SCR2)として、あるいは、ハードウェアおよび/またはソフトウェアの形態のルックアップテーブル(LUTA,LUTB)として形成されていることを特徴とする請求項42または43に記載のシステム。
【請求項45】
ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラ(SCR1,SCR2)は、2チャンネルで設計されていることを特徴とする請求項44に記載のシステム。
【請求項46】
前記検出ユニット(EE1...EEn)は、前記2チャンネルのスクランブラ(SCR1,SCR2)の入力端に接続されている出力端を有するマイクロコントローラ(MC)を具備すること、前記スクランブラ(SCR1,SCR2)のうちの各の、その出力端は、前記スイッチング素子(K1,K2)の接点に接続されていること、および、前記スイッチ接点(K1A,K1B;K2A,K2B)の出力端は、前記マイクロコントローラ(MC)の入力端が接続されていることを特徴とする請求項42ないし45のいずれか1項に記載のシステム。
【請求項47】
前記検出ユニット(EE1...EEn)は、マイクロコントローラ(MC)およびハードウェアの論理回路(CPLD;プログラム可能な複合論理デバイス)を有し、前記マイクロコントローラ(MC)には、第1のルックアップテーブル(LUTA)および前記ハードウェアの論理回路(CPLD)には、第2のルックアップテーブル(LUTB)が実施されており、前記ルックアップテーブル(LUTA,LUTB)の各々の入力端は、前記シーケンス番号(SN,PRN)を供給するため、前記トランシーバ(TRE)の出力端に接続されていること、前記ルックアップテーブル(LUTA,LUTB)の各々の出力端は、緊急遮断のような前記2チャンネルのスイッチング装置(SG)の各々のスイッチ接点(SA,SB)に接続されており、入力側で前記マイクロコントローラ(MC)の前記ルックアップテーブル(LUTA,LUTB)に接続されているスイッチ接点(SA)が、出力側には、前記ハードウェアの論理回路(CPLD)の論理ブロック(LBB)に接続されており、前記ルックアップテーブル(LUTB)に接続された前記スイッチ接点(SB)は、出力側で、前記マイクロコントローラ(MC)に統合された論理ブロック(LBA)に接続されており、前記論理ブロック(LBA,LBB)の前記出力端は、シングルチャンネルで前記論理ユニット(AE)へ伝送可能な只1つの信号(BMC)(情報)を発生させるための加算器(SUM)に接続されていることを特徴とする請求項42ないし46のいずれか1項に記載のシステム。
【請求項48】
前記スイッチング装置(SG;K1,K2)は、2チャンネルで形成されており、各々、2つのスイッチ接点(SA,SB)を有することを特徴とする請求項42ないし47のいずれか1項に記載のシステム。
【請求項49】
前記評価ユニット(AE)における前記処理ユニット(VE)(基地局)は、各々、2チャンネルで形成されており、各々のチャンネルは、好ましくは、前記2チャンネルのスイッチング装置の各々の接点(SA,SB)のための、デスクランブラ・ユニット(DESCR1,DESCR2)を有することを特徴とする請求項42ないし48のいずれか1項に記載のシステム。
【請求項50】
安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記安全指向の信号(S1...Sn)は、スイッチング装置(SG;K1,K2)の少なくとも1つのスイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システム(FS)によって評価ユニット(AE)へ伝送され、前記受信された安全指向の信号(S1...Sn)は評価され、必要な場合には、危険な動作を解除または遮断するための出力信号(FRS)が発生されてなる方法において、
ソフトウェアおよびハードウェの形態で前記少なくとも2チャンネルの信号(S1...Sn)の検出および/または処理がなされ、第1のチャンネル(チャンネルA)はソフトウェアで、および第2のチャンネル(チャンネルB)はハードウェアで形成されていることを特徴とする方法。
【請求項51】
前記ハードウェアのチャンネル(チャンネルB)は、好ましくは、固定プログラム技術、例えばFPGA技術またはPLD技術で構成されていることを特徴とする請求項50に記載の方法。
【請求項52】
前記検出ユニット(EE1...EEn)における前記ハードウェアのエラーを検出するために、該エラーを、定められた時間間隔で、前記評価ユニット(AE)によって点検することを特徴とする請求項50または51に記載の方法。
【請求項53】
前記ハードウェア(CPLD)および/またはソフトウェア(MC)を点検するために、特殊なシーケンス番号(SN)を前記評価ユニット(AE)から前記検出ユニット(EE1...EEn)へ送ること、および、従って、該検出ユニット(EE1...EEn)の中で、開いているスイッチ接点をシミュレートすることを特徴とする請求項50ないし52のいずれか1項に記載の方法。
【請求項54】
前記評価ユニット(AE)は、テストシーケンスの受信に関して、期待値を有し、かつ、前記検出ユニット(EE1...EEn)においてソフトウェアおよび/またはハードウェアのエラーを認識することを特徴とする請求項50ないし53のいずれか1項に記載の方法。
【請求項55】
少なくとも1つの安全保証された検出ユニット(ZMEE)と、少なくとも1つの無線リンク(FS)と、少なくとも1つの安全保証された処理ユニット(ZMVE)とを有する、安全指向の信号(S1...Sn)を検出、伝送および評価するためのシステム(SYS3)であって、前記安全保証された処理ユニット(ZMVE)は、少なくとも1つの安全指向の入力端(Sn1)、操作可能な入力端/出力端(Bni,BnO)と、前記無線リンク(FS)を介して無線通信するための送受信ユニット(TRS)とを有し、前記安全保証された処理ユニット(ZMVE)は、安全指向の入力端/入出力端(SnI,SnO)および操作可能な入力端/出力端(BnI,BnO)を有してなるシステムにおいて、
前記安全保証された検出ユニット(ZMEE)および前記安全保証された処理ユニット(ZMVE)は、各々、汎用のデータインタフェース(UDIEE,UDIVE)を有することを特徴とするシステム。
【請求項56】
前記汎用のデータインタフェース(UDIEE,UDIVE)の入力端は、顧客固有のモジュールの出力端に接続されており、該モジュールは、入力側で、顧客固有のインタフェースを使用可能にすることを特徴とする請求項55に記載のシステム。
【請求項57】
前記汎用のデータインタフェース(UDIEE,UDIVE)によって、アナログ式の電圧出力端および/またはRS232のようなシリアル入出力端が既に使用可能にされることを特徴とする請求項55または56に記載のシステム。
【請求項58】
前記汎用のデータインタフェース(UDIEE,UDIVE)は、ハードウェアおよび/またはソフトウェアの形態の各々の顧客固有の用途に適合可能であることを特徴とする請求項55ないし57のいずれか1項に記載のシステム。
【請求項59】
前記汎用のデータインタフェース(UDIEE,UDIVE)は、制御データのためのデータ保護モジュールをマルチプレクサまたはデマルチプレクサ(MUX)に接続されており、該マルチプレクサまたはデマルチプレクサの出力端は、トランシーバ(TR4,TR5)に接続されていることを特徴とする請求項56ないし58のいずれか1項に記載のシステム。
【請求項60】
前記安全保証されたシステムによる用途向きのデータを伝送するための方法において、
前記安全保証されたシステムは、非安全関連のデータを透過伝送するための固定および/または可変の帯域幅を使用可能にすることを特徴とする方法。
【請求項61】
前記データを、ハードウェアの形態の先行の多重化によって、または、ソフトウェアの形態の伝送プロトコルにパックし、および/または該伝送プロトコルからアンパックすることによって、挿入および/または取り出すことを特徴とする請求項60に記載の方法。
【請求項1】
少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記少なくとも1つの安全指向の信号(S1...Sn)を、少なくとも1つの検出ユニット(EE1...EEn)によって検出し、無線システム(FS)によって、少なくとも1つの評価ユニット(AE1...AE4)へ送信する方法において、
危険な動作を解除するためには、少なくとも2つの安全指向の信号(S1、S2)を互いに別々に検出し、かつ、前記無線システム(FS)によって、前記評価ユニット (AE1...AE4)に送信すること、および、危険な動作を解除するための出力信号(FRS)を、前記受信された安全指向の信号を論理演算することによって発生させることを特徴とする方法。
【請求項2】
前記出力信号(FRS)を、前記受信された安全指向の信号(S1,S2)の論理的なAND演算によって発生させることを特徴とする請求項1に記載の方法。
【請求項3】
前記評価ユニット(AE1...AE4)によって受信された安全指向の信号(S1,S2)を、少なくとも2チャンネルで論理的演算および/または出力することを特徴とする請求項1または2に記載の方法。
【請求項4】
前記安全指向の信号(S1,S2)を、周波数法、コード法および/または時分割多重法で、前記無線システム(FS)によって送信することを特徴とする請求項1ないし3のいずれか1項に記載の方法。
【請求項5】
前記安全指向の信号(S1,S2)を、前記只1つの無線システム(FS)によって送信し、各々の検出ユニット(EE1...EEn)には、無線チャンネル(FS1...FSn)(FDM,周波数分割多重)、タイムスロット(TDM,時分割多重)または拡張コード(CDM,コード分割多重)が割り当てられていることを特徴とする請求項1ないし4のいずれか1項に記載の方法。
【請求項6】
前記検出ユニット(EE1...EEn)に接続されており、または該検出ユニットに統合された少なくとも1つのスイッチング装置(SG1...SGn)、例えば、イネーブルスイッチまたは緊急停止コマンド装置および/または緊急遮断コマンド装置の接点(S1,SB;K1A,K1B;K2A,K2B)の導電性または非導電性の状態を、少なくとも2チャンネルで検出し、好ましくは周期的に、好ましくは25ms毎に、多重方式で、前記評価ユニット(AE1...AE4)に伝送することを特徴とする請求項1ないし5のいずれか1項に記載の方法。
【請求項7】
前記信号の伝達の時間挙動を、前記評価ユニット(AE1...AE4)によって事前設定し、前記検出ユニット(EE1...EEn)は、前記評価ユニット(AE1...AE4)から明確な識別を用いて順々に問い合わせを受け、好ましくは2.5msの範囲の事前設定された時間窓内で応答することを特徴とする請求項1ないし6のいずれか1項に記載の方法。
【請求項8】
少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するためのシステムであって、前記少なくとも1つの前記安全指向の信号(S1,S2)を検出し、かつ、無線システム(FS)を介して評価ユニット(AE1...AE4)に伝送するための検出ユニット(EE1...EEn)を有するシステムにおいて、
該システムは、少なくとも2つの検出ユニット(EE1...EEn)を有し、該検出ユニットによって、各々別々に、危険な動作を解除するための安全指向の信号(S1...Sn)を発生させることができること、前記安全指向の信号(S1...Sn)は、前記無線システム(FS1)によって前記評価ユニット(AE1...AE4)に伝送可能であること、および、前記評価ユニット(AE1...AE4)は、論理ユニット(LE)を有し、該論理ユニットによって、危険な動作を解除するための出力信号(FRS)を発生させるために前記受信された安全指向の信号(S1...Sn)の論理演算が実行可能であることを特徴とするシステム。
【請求項9】
前記論理ユニット(LE)は、少なくとも1つのAND演算回路を有し、好ましくは、マイクロコントローラのような処理ユニット(VE1...VE4)へ、好ましくは2チャンネルで実現可能であることを特徴とする請求項8に記載のシステム。
【請求項10】
前記検出ユニット(EE1...EEn)は、該検出ユニットに接続されまたは統合されたスイッチング装置(SG1,SG2)と、マイクロコントローラのような計算ユニット(MC)と、トランスシーバ(TRE)のような送受信機ユニットとを夫々有する移動ユニット(移動局)として形成されていることを特徴とする請求項8または9に記載のシステム。
【請求項11】
前記検出ユニットの前記少なくとも1つのスイッチング装置(SG1,SG2)は、イネーブルスイッチ、緊急停止コマンド装置および/または緊急遮断コマンド装置として形成されていることを特徴とする請求項8ないし10のいずれか1項に記載のシステム。
【請求項12】
前記評価ユニット(AE1...AE4)は、計算ユニット(MC)および入出力ユニット(IO)を有する好ましくは固定式の処理ユニット(VE1...VE4)と、トランシーバ(TRA1...TRAn)のような1つまたは複数の分散型の送受信ユニットと、を具備することを特徴とする請求項8または11のいずれか1項に記載のシステム。
【請求項13】
少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記安全指向の信号(S1...Sn)を、少なくとも1つの評価ユニット(EE1...EEn)によって検出し、無線システム(FS)によって、少なくとも1つの評価ユニット(AE2)に伝送してなる方法において、
前記少なくとも1つの検出ユニット(EE1...EEn)から放射される安全指向の信号(S1...Sn)を、空間的に分散配置されたトランシーバユニット(TRA1...TRAn)によって受信し、該トランシーバユニットは、前記バスシステム(BUS)を介して、前記評価ユニット(AE2)の処理ユニット(VE2)(基地局)に接続されていることを特徴とする方法。
【請求項14】
前記空間的に分散配置されたトランシーバユニット(TRA1...TRAn)は、前記受信された無線信号を処理し、かつ、ディジタル形式で、前記バスシステム(BUS)を介して前記処理ユニット(VE2)(基地局)に送信することを特徴とする請求項13に記載の方法。
【請求項15】
前記トランシーバユニット(TRA1...TRAn)の各々に関する送受信品質を決定させること、および、前記処理ユニットへの無線伝送のために、最高の送受信品質を有するトランシーバユニット(TRA1...TRAn)のみを使用することを特徴とする請求項13または14に記載の方法。
【請求項16】
前記処理ユニット(VE2)(基地局)は、周期的に、好ましくは25ms毎にフレーム(トークン)の形態でテレグラムをリング状のバス(BUS)に送信することを特徴とする請求項13ないし15のいずれか1項に記載の方法。
【請求項17】
前記フレーム(トークン)は、すべてのトランシーバユニット(TRA1...TRAn)を、所定の伝搬時間で順々に通過することを特徴とする請求項13ないし16のいずれか1項に記載の方法。
【請求項18】
各々のトランシーバユニット(TRA1...TRAn)は、前記フレーム(トークン)のヘッダの中で実行されるカウンタを増加させることを特徴とする請求項13ないし17のいずれか1項に記載の方法。
【請求項19】
前記フレーム(トークン)を、有効な無線テレグラムを受信した各々のトランシーバユニット(TRA1...TRAn)によって処理し、第1のトランシーバユニット(TRA)は、前記受信されたデータを、前記フレーム(トークン)に入力させおよび/または、自己の受信品質が、前記入力された受信品質よりも高いときは、RSSI値(または他の品質インデックス)および/または受信識別(RXID)を置き換えることを特徴とする請求項13ないし18のいずれか1項に記載の方法。
【請求項20】
任意の或るトランシーバユニット(TRA1...TRAn)を介して任意の或るテレグラムの送信を行ない、前記処理ユニット(VE2)(基地局)は、前記フレーム(トークン)の送信識別フィールド(TXID)において、最後のフレーム(トークン)の最高の受信品質を有する前記トランシーバユニットの受信識別(RXID)を入力し、かつ、前記送信識別フィールド(TXID)に入力されている識別(ID)を有する前記トランシーバユニットは、前記送信テレグラム(TXT)を送信することを特徴とする請求項13ないし19のいずれか1項に記載の方法。
【請求項21】
前記トランシーバユニット(TRA1...TRAn)のための給電を、分散方式、好ましくは、電気絶縁によって、あるいは、集中方式では、処理ユニット(VE)(基地局)によって行なうことを特徴とする請求項13ないし20のいずれか1項に記載の方法。
【請求項22】
前記トランシーバユニット(TRA1...TRAn)を、異なった無線チャンネルで、特に、2つの無線チャンネル(FS1,FS2)上での冗長な伝送のために、複数の好ましくは移動式の検出ユニット(EE1...EEn)を評価ユニット(AE2)において動作させるために、および/または追加のアクチュエータまたはセンサを前記評価ユニットに接続させるために、および/または2つの評価ユニットの間で双方向の安全指向の伝送のために、動作させることができることを特徴とする請求項13ないし21のいずれか1項に記載の方法。
【請求項23】
少なくとも1つの検出ユニット(EE1...EEn)によって検出され、かつ、無線システム(FS)によって少なくとも1つの評価ユニット(AE2)に送信される少なくとも1つの安全指向の信号(S1...Sn)を検出、伝送および評価するためのシステムにおいて、
前記評価ユニット(AE2)は、前記少なくとも1つの検出ユニット(EE1...EEn)によって送信された安全指向の信号(S1...Sn)を受信するための少なくとも1つの空間的に分散配置されたトランシーバユニット(TRA1...TRAn)を有する処理ユニット(VE2)を具備し、前記少なくとも1つのトランシーバユニット(TRA1...TRAn)は、バスシステム(BUS)を介して、前記処理ユニット(VE2)(基地局)に接続されていることを特徴とするシステム。
【請求項24】
前記空間的に分散されたトランシーバユニット(TRA1...TRAn)は、1つまたは複数のアンテナ(ANT1...ANTn)と、少なくとも1つのバス接続部(BE1...BEn;BA1...BAn)、好ましくは高速バス接続部とを有することを特徴とする請求項23に記載のシステム。
【請求項25】
前記トランシーバユニット(TRA1...TRAn)は、無線信号を、トランシーバのない場合より長い距離に亘って伝送するための信号処理ユニットを有することを特徴とする請求項23または24に記載のシステム。
【請求項26】
前記バスシステム(BUS)は、光学的および/または電気的信号伝送機能を有する好ましくはリング状のバス構造物として形成されていることを特徴とする請求項23ないし25のいずれか1項に記載のシステム。
【請求項27】
前記トランシーバユニット(TRA1...TRAn)は、前記リング状のバスシステムにカスケード状に設けられていることを特徴とする請求項23ないし26のいずれか1項に記載のシステム。
【請求項28】
前記トランシーバユニット(TRA1...TRAn)は、給電のために、前記処理ユニット(基地局)に接続されており、好ましくは電気絶縁された各々の分散型の電源を有することを特徴とする請求項23ないし27のいずれか1項に記載のシステム。
【請求項29】
安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記安全指向の信号(S1...Sn)は、スイッチング装置(SG;K1,K2)の少なくとも1つのスイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システム(FS)によって評価ユニット(AE)に伝送され、前記受信された安全指向の信号(S1...Sn)は、評価され、かつ、必要な場合には、危険な動作を解除するための、または危険な動作を遮断するための出力信号(FRS)が発生されてなる方法において、
前記スイッチング装置(SG;K1,K2)の各々のスイッチ接点(SA,SB;K1A,K1B;K2A,K2B)に、テストシーケンス(BF1,BF2;BMA,BMB)を作用させること、および、前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)に存するテストシーケンスを、直ちに前記無線システム(FS)を介して前記評価ユニット(AE)に伝送することを特徴とする方法。
【請求項30】
前記テストシーケンス(BF1,BF2;BMA,BMB)を、前記評価ユニット(AE)によって動的に事前設定し、あるいは、前記検出ユニット(EE1...EEn)において、前記評価ユニット(AE)によって送信されたシーケンス番号(SN;PRN)に基づいて発生させることを特徴とする請求項29に記載の方法。
【請求項31】
前記評価ユニット(AE)は、前記シーケンス番号(SN;PRN)を、前記検出ユニット(EE1...EEn)に伝達し、該検出ユニット(EE1...EEn)では、前記受信されたシーケンス番号(SN;PRN)から、各々の接続されたスイッチ接点のための明確なテストシーケンス、例えば2進のテストパターン(BF1,BF2;BMA,BMB)を発生させることを特徴とする請求項29または30に記載の方法。
【請求項32】
前記2進のテストパターン(BF1,BF2;BMA,BMB)を、少なくとも2チャンネルで、スクランブリング、コード拡散、またはハードウェアおよび/またはソフトウェアの形態のルックアップテーブル(LUTA,LUTB)によって発生させることを特徴とする請求項29ないし31のいずれか1項に記載の方法。
【請求項33】
前記シーケンス番号(SN;PRN)を、乱数発生器(PRNG)によって、送信テレグラム(TxT)によって前記検出ユニット(EE1...EEn)に送信される擬似乱数(SN,PRN)として、発生させ、前記受信された擬似乱数(SN,PRN)から、2つの異なったスクランブラ(SCR1,SCR2)によって、前記2チャンネルのスイッチング装置の前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)をテストするために、2つの2進のテストパターン(BF1,BF2)を発生させることを特徴とする請求項29ないし32のいずれか1項に記載の方法。
【請求項34】
前記スイッチング素子(SG;K1,K2)の前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の任意の或る出力端に存する2進の前記テストパターン(BF1,BF2;BMA,BMB)を、送信テレグラム(RxT)によって前記評価ユニット(AE)に返送し、該評価ユニットにおいて2チャンネルで評価することを特徴とする請求項29ないし33のいずれか1項に記載の方法。
【請求項35】
前記評価ユニット(AE)では、2つのマイクロコントローラ(MCA,MCD)によって、前記送信テレグラム(RxT)の2チャンネルの評価が行なわれ、各々のマイクロコントローラ(MCA,MCD)は、完全な安全指向の信号を処理することを特徴とする請求項29ないし34のいずれか1項に記載の方法。
【請求項36】
前記受信された2進のテストパターン(BF1,BF2;BMA,BMB)を、「デスクランブル」すること、および、接点(SA,SB;K1A,K1B;K2A,K2B)が閉じている際に、デスクランブルの結果が、元の伝送された擬似乱数(PRN)に一致しているか否かを、デスクランブリング後に試験することを特徴とする請求項29ないし35のいずれか1項に記載の方法。
【請求項37】
2つの結果のうちの1つが、前記伝送された擬似乱数(PRN)またはテストパターン(BF1,BF2;BMA,BMB)と一致しないとき、前記スイッチング素子のスイッチ接点が開いていても、この信号を安全指向で遮断することを特徴とする請求項29ないし36のいずれか1項に記載の方法。
【請求項38】
前記スイッチング素子(SG;K1,K2)の接触状態の検出および伝送は、閉回路原理により前記無線リンクを介して行なわれることを特徴とする請求項29ないし37のいずれか1項に記載の方法。
【請求項39】
前記スイッチング素子(SG;K1,K2)の各々のチャンネルまたは各々の接点(SA,SB;K1A,K1B;K2A,K2B)のために、別個の2進のテストパターン(BF1,BF2;BMA,BMB)を用いることを特徴とする請求項29ないし38のいずれか1項に記載の方法。
【請求項40】
前記少なくとも1つの2チャンネルのスイッチング素子(SG;K1,K2)のテストから決定された少なくとも2チャンネルの信号は、シングルチャンネルで前記評価ユニット(AE)へ伝送される只1つの情報(BMC)であり、好ましくは、該只1つの情報(BMC)を、各々のチャンネルの前記テストパターン(BF1,BF2;BMA,BMB)の合計から形成することを特徴とする請求項29ないし39のいずれか1項に記載の方法。
【請求項41】
送信されるデータシーケンスを生成するための選択されたテストパターン(BF1,BF2;BMA,BMB)を、以下のように、すなわち、前記データシーケンスが、例えば6または12の最小限のハミング距離を有するコード化された信号を発生させ、該ハミング距離は、前記安全指向の信号を、更なるデータ保護なしに無線により伝送することができるように、使用することを特徴とする請求項29ないし40のいずれか1項に記載の方法。
【請求項42】
安全指向の信号(S1...Sn)を検出し、伝送および評価するためのシステムであって、該システムは、少なくとも1つの接続されまたは統合されており、かつ、スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)を有する2チャンネルのスイッチング装置(SG;K1,K2)を備えた検出ユニット(EE1...EEn)を具備し、前記安全指向の信号(S1...Sn)は、前記複数のスイッチ接点の1つのスイッチ接点の導電性または非導電性の状態を表わし、前記システムは、前記安全指向の信号(S1...Sn)を、前記受信された安全指向の信号(S1...Sn)が、好ましくは2チャンネルで評価されてなる評価ユニット(AE)に伝送するための無線システム(FS)を具備し、必要な場合には、危険な動作を解除または遮断するための出力信号(FGS)を発生させてなるシステムにおいて、
前記評価ユニット(AE)および/または前記受信ユニット(EE1...EEn)は、前記スイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の各々のためのテストシーケンス(SCR1,SCR2;LUTA,LUTB)を発生させるための手段を有すること、前記スイッチ接点は、入力側で、テストシーケンス(BF1,BF2;BMA,BMB)が存していてなる各々の接続部に接続されており、出力側では、前記テストシーケンス(BF1,BF2;BMA,BMB)を検出しかつ前記評価ユニット(AE)に伝送するための計算ユニット(MC;CPLD)の入力端に接続されていることを特徴とするシステム。
【請求項43】
シーケンス番号(SN;PRN)を事前設定するために前記評価ユニット(AE)は、擬似乱数発生器(PRNG)を有すること、前記シーケンス番号(SN;PRN)は、前記無線システム(FS)によって前記検出ユニット(EE1...EEn)へ伝送可能であること、および、前記シーケンス番号(SN;PRN)からテストシーケンスを発生させるための手段には、前記テストシーケンス(BF1,BF2;BMA,BMB)が発生可能であることを特徴とする請求項42に記載のシステム。
【請求項44】
テストパターンを発生させるための手段は、ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラ(SCR1,SCR2)として、あるいは、ハードウェアおよび/またはソフトウェアの形態のルックアップテーブル(LUTA,LUTB)として形成されていることを特徴とする請求項42または43に記載のシステム。
【請求項45】
ハードウェアのスクランブラおよび/またはソフトウェアのスクランブラ(SCR1,SCR2)は、2チャンネルで設計されていることを特徴とする請求項44に記載のシステム。
【請求項46】
前記検出ユニット(EE1...EEn)は、前記2チャンネルのスクランブラ(SCR1,SCR2)の入力端に接続されている出力端を有するマイクロコントローラ(MC)を具備すること、前記スクランブラ(SCR1,SCR2)のうちの各の、その出力端は、前記スイッチング素子(K1,K2)の接点に接続されていること、および、前記スイッチ接点(K1A,K1B;K2A,K2B)の出力端は、前記マイクロコントローラ(MC)の入力端が接続されていることを特徴とする請求項42ないし45のいずれか1項に記載のシステム。
【請求項47】
前記検出ユニット(EE1...EEn)は、マイクロコントローラ(MC)およびハードウェアの論理回路(CPLD;プログラム可能な複合論理デバイス)を有し、前記マイクロコントローラ(MC)には、第1のルックアップテーブル(LUTA)および前記ハードウェアの論理回路(CPLD)には、第2のルックアップテーブル(LUTB)が実施されており、前記ルックアップテーブル(LUTA,LUTB)の各々の入力端は、前記シーケンス番号(SN,PRN)を供給するため、前記トランシーバ(TRE)の出力端に接続されていること、前記ルックアップテーブル(LUTA,LUTB)の各々の出力端は、緊急遮断のような前記2チャンネルのスイッチング装置(SG)の各々のスイッチ接点(SA,SB)に接続されており、入力側で前記マイクロコントローラ(MC)の前記ルックアップテーブル(LUTA,LUTB)に接続されているスイッチ接点(SA)が、出力側には、前記ハードウェアの論理回路(CPLD)の論理ブロック(LBB)に接続されており、前記ルックアップテーブル(LUTB)に接続された前記スイッチ接点(SB)は、出力側で、前記マイクロコントローラ(MC)に統合された論理ブロック(LBA)に接続されており、前記論理ブロック(LBA,LBB)の前記出力端は、シングルチャンネルで前記論理ユニット(AE)へ伝送可能な只1つの信号(BMC)(情報)を発生させるための加算器(SUM)に接続されていることを特徴とする請求項42ないし46のいずれか1項に記載のシステム。
【請求項48】
前記スイッチング装置(SG;K1,K2)は、2チャンネルで形成されており、各々、2つのスイッチ接点(SA,SB)を有することを特徴とする請求項42ないし47のいずれか1項に記載のシステム。
【請求項49】
前記評価ユニット(AE)における前記処理ユニット(VE)(基地局)は、各々、2チャンネルで形成されており、各々のチャンネルは、好ましくは、前記2チャンネルのスイッチング装置の各々の接点(SA,SB)のための、デスクランブラ・ユニット(DESCR1,DESCR2)を有することを特徴とする請求項42ないし48のいずれか1項に記載のシステム。
【請求項50】
安全指向の信号(S1...Sn)を検出、伝送および評価するための方法であって、前記安全指向の信号(S1...Sn)は、スイッチング装置(SG;K1,K2)の少なくとも1つのスイッチ接点(SA,SB;K1A,K1B;K2A,K2B)の導電性または非導電性の状態を表わし、2チャンネルで検出され、かつ無線システム(FS)によって評価ユニット(AE)へ伝送され、前記受信された安全指向の信号(S1...Sn)は評価され、必要な場合には、危険な動作を解除または遮断するための出力信号(FRS)が発生されてなる方法において、
ソフトウェアおよびハードウェの形態で前記少なくとも2チャンネルの信号(S1...Sn)の検出および/または処理がなされ、第1のチャンネル(チャンネルA)はソフトウェアで、および第2のチャンネル(チャンネルB)はハードウェアで形成されていることを特徴とする方法。
【請求項51】
前記ハードウェアのチャンネル(チャンネルB)は、好ましくは、固定プログラム技術、例えばFPGA技術またはPLD技術で構成されていることを特徴とする請求項50に記載の方法。
【請求項52】
前記検出ユニット(EE1...EEn)における前記ハードウェアのエラーを検出するために、該エラーを、定められた時間間隔で、前記評価ユニット(AE)によって点検することを特徴とする請求項50または51に記載の方法。
【請求項53】
前記ハードウェア(CPLD)および/またはソフトウェア(MC)を点検するために、特殊なシーケンス番号(SN)を前記評価ユニット(AE)から前記検出ユニット(EE1...EEn)へ送ること、および、従って、該検出ユニット(EE1...EEn)の中で、開いているスイッチ接点をシミュレートすることを特徴とする請求項50ないし52のいずれか1項に記載の方法。
【請求項54】
前記評価ユニット(AE)は、テストシーケンスの受信に関して、期待値を有し、かつ、前記検出ユニット(EE1...EEn)においてソフトウェアおよび/またはハードウェアのエラーを認識することを特徴とする請求項50ないし53のいずれか1項に記載の方法。
【請求項55】
少なくとも1つの安全保証された検出ユニット(ZMEE)と、少なくとも1つの無線リンク(FS)と、少なくとも1つの安全保証された処理ユニット(ZMVE)とを有する、安全指向の信号(S1...Sn)を検出、伝送および評価するためのシステム(SYS3)であって、前記安全保証された処理ユニット(ZMVE)は、少なくとも1つの安全指向の入力端(Sn1)、操作可能な入力端/出力端(Bni,BnO)と、前記無線リンク(FS)を介して無線通信するための送受信ユニット(TRS)とを有し、前記安全保証された処理ユニット(ZMVE)は、安全指向の入力端/入出力端(SnI,SnO)および操作可能な入力端/出力端(BnI,BnO)を有してなるシステムにおいて、
前記安全保証された検出ユニット(ZMEE)および前記安全保証された処理ユニット(ZMVE)は、各々、汎用のデータインタフェース(UDIEE,UDIVE)を有することを特徴とするシステム。
【請求項56】
前記汎用のデータインタフェース(UDIEE,UDIVE)の入力端は、顧客固有のモジュールの出力端に接続されており、該モジュールは、入力側で、顧客固有のインタフェースを使用可能にすることを特徴とする請求項55に記載のシステム。
【請求項57】
前記汎用のデータインタフェース(UDIEE,UDIVE)によって、アナログ式の電圧出力端および/またはRS232のようなシリアル入出力端が既に使用可能にされることを特徴とする請求項55または56に記載のシステム。
【請求項58】
前記汎用のデータインタフェース(UDIEE,UDIVE)は、ハードウェアおよび/またはソフトウェアの形態の各々の顧客固有の用途に適合可能であることを特徴とする請求項55ないし57のいずれか1項に記載のシステム。
【請求項59】
前記汎用のデータインタフェース(UDIEE,UDIVE)は、制御データのためのデータ保護モジュールをマルチプレクサまたはデマルチプレクサ(MUX)に接続されており、該マルチプレクサまたはデマルチプレクサの出力端は、トランシーバ(TR4,TR5)に接続されていることを特徴とする請求項56ないし58のいずれか1項に記載のシステム。
【請求項60】
前記安全保証されたシステムによる用途向きのデータを伝送するための方法において、
前記安全保証されたシステムは、非安全関連のデータを透過伝送するための固定および/または可変の帯域幅を使用可能にすることを特徴とする方法。
【請求項61】
前記データを、ハードウェアの形態の先行の多重化によって、または、ソフトウェアの形態の伝送プロトコルにパックし、および/または該伝送プロトコルからアンパックすることによって、挿入および/または取り出すことを特徴とする請求項60に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公表番号】特表2012−533197(P2012−533197A)
【公表日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願番号】特願2012−518926(P2012−518926)
【出願日】平成22年7月2日(2010.7.2)
【国際出願番号】PCT/EP2010/059491
【国際公開番号】WO2011/003835
【国際公開日】平成23年1月13日(2011.1.13)
【出願人】(399121759)エラン・シャルテレメンテ・ゲーエムベーハー・ウント・コンパニー・カーゲー (1)
【Fターム(参考)】
【公表日】平成24年12月20日(2012.12.20)
【国際特許分類】
【出願日】平成22年7月2日(2010.7.2)
【国際出願番号】PCT/EP2010/059491
【国際公開番号】WO2011/003835
【国際公開日】平成23年1月13日(2011.1.13)
【出願人】(399121759)エラン・シャルテレメンテ・ゲーエムベーハー・ウント・コンパニー・カーゲー (1)
【Fターム(参考)】
[ Back to top ]