阅读说明：本技术 安全开关设备和用于设置至少一个操作参数的方法 (Safety switching device and method for setting at least one operating parameter ) 是由 乔纳斯·魏登穆勒 弗雷德里克·贝雷 于 2020-04-15 设计创作，主要内容包括：本申请涉及安全开关设备和用于设置至少一个操作参数的方法。该安全开关设备(10)具有：多个开关元件(24；S0…S9),以用于设置安全开关设备的至少一个操作参数；以及控制和评估单元(20；20a-20b),其被设计用于根据开关元件的开关位置设置操作参数。在此,在开关元件与控制和评估单元之间设置了读出装置(26),该读出装置具有至少一个移位寄存器(28A-28B),该移位寄存器的至少一个第一输入端(A0…A7；B0…B7)与开关元件连接,并且输出端(Q<Sub>B</Sub>)与控制和评估单元连接,其中移位寄存器的输出端经由逻辑元件(30)被引回到移位寄存器的第二输入端(SI<Sub>A</Sub>),以产生校验位,并且其中控制和评估单元被设计用于根据校验位检查借助于读出装置读入的开关位置的完整性。(The present application relates to a safety switching device and a method for setting at least one operating parameter. The safety switching device (10) comprises: a plurality of switching elements (24; S0 … S9) for setting at least one operating parameter of the safety switchgear; and a control and evaluation unit (20; 20a-20b) which is designed to set the operating parameters as a function of the switching position of the switching element. A readout device (26) is arranged between the switching element and the control and evaluation unit, said readout device having at least one shift register (28A-28B), at least one first input (A0 … A7; B0 … B7) of which is connected to the switching element and an output (Q) B ) Connected to the control and evaluation unit, the output of the shift register being fed back to the shift register via a logic element (30)Second input terminal (SI) A ) To generate check bits, and wherein the control and evaluation unit is designed to check the integrity of the switch positions read in by means of the read-out device on the basis of the check bits.)

安全开关设备和用于设置至少一个操作参数的方法

本发明涉及根据权利要求1或12的前序部分的具有多个开关元件的安全开关设备，特别是安全继电器，以及用于设置至少一个操作参数的方法。

通用的安全开关设备是安全控制装置的一种形式，其功能是当存在危险信号时对预定类型做出正确反应。安全技术的典型应用是对危险的机器(如，压力机或机器人)的防护，如果操作人员以未经许可的方式接近，则必须立即切断机器或对机器进行防护。为此，设置了识别接近的传感器，例如光栅或安全相机。如果这种传感器识别到危险，则与该传感器连接的安全控制装置必须绝对可靠地生成切断信号。

以这种方式用于人身保护的安全开关设备须满足其可靠性及防错性(Fehlersicherheit)方面的高要求。这在相关的安全标准中进行了规定，以及例如意味着评估和连接是冗余的或多元冗余的以便实现多通道结构，以及/或者，设置短周期的自检来发现错误。

安全继电器是功能范围小或功能不可改变的简单的安全控制装置的示例。为了能够提供廉价的设备，这种安全继电器不具有使其与计算机连接并且从此处进行配置的接口。然而，用户仍然希望在一定程度上具有至少一些配置选项，这是因为否则就须提供和使用过多的变型。一个示例是具有延迟断开触点的安全继电器，其中如果可以设置延迟时间则是理想的。在危险情况下，即当安全开关设备应可靠地履行其所需的安全功能或开关功能时，配置会对设备的行为产生影响。因此，根据安全性要求，由于随机错误而使配置中发生危险变化的风险应是低的。

在某些情况下，输入选项直接作用于电路，例如，在电位计中为RC环节中的电阻。然而，这对于许多配置来说不够灵活。于是需要读入并解释例如借助于旋转开关或DIP开关实现的输入。在此，为了保障足够的防错性，开关位置通常由双通道的微控制器架构有冗余地读入并进行比较。虽然通过该方式可以确保正确地读入预期的配置，但是冗余的读入占用了两个通道中的硬件资源，例如GPIO(通用输入/输出)、AD转换器或SPI(串行外设接口)。

从电信领域中已知的是，通过协议和错误识别方法来确保单通道的数据传输，并且此类方法也用于经由计算机来配置控制器。然而，这需要更多的硬件资源，而简单的安全开关设备不能提供这些硬件资源。

EP 1 847 891 A1公开了一种用于安全地参数化安全开关设备的方法。它设置了一系列DIP开关，这些DIP开关的开关状态被传输到具有相应数量的LED的显示器上。用户接收操作参数设置，该操作参数设置借助于DIP开关指定并通过确认经由这些LED显示。WO2016/008945 A1也描述了类似的配置。然而，这将在读入DIP开关时是否出现错误的控制留给了用户。

从光栅中已知的另一种示例性的措施是奇偶校验开关，除了多个开关之外，该奇偶校验开关也被提供用于设置配置，并且本身不对该配置产生影响。更确切地，应以如下方式设置奇偶校验开关，使得总共奇数个开关被置于激活状态。对于所有开关位置，仅利用单个奇偶校验位的安全级别不是特别高，此外奇偶校验位也必须手动地产生。

因此，本发明的任务在于能够实现简单及同时防错地读入开关位置，以用于配置安全开关设备。

该任务通过根据权利要求1或12的具有多个开关元件的安全开关设备，特别是安全继电器，以及用于设置至少一个操作参数的方法来解决。安全开关设备具有以下功能：根据例如无接触式保护设备(BWS)的输入信号安全地接通或断开连接到该保护设备的输出端或输出触点的执行器，特别是将被监控的机器置于安全状态。在这种情况下，安全或安全性意味着根据安全标准实现某一安全级别的防错性，例如通过多通道结构、周期性测试和如在开篇中已经提到的类似措施来实现。

为了设置操作参数，安全开关设备具有多个开关元件，用户可以操作这些开关元件，并且这些开关元件为此可以选择性地在两种状态之间转换，这两种状态在这里有时被称为激活和非激活。出于谨慎起见应提到的是，这些开关元件与安全开关设备的实际的开关功能无关，而是表示对配置的输入选项。

对于以这种方式设置的开关元件，操作参数的相关的值或状态被存储在控制和评估单元内部。控制和评估单元评估开关位置，并且对应地设置操作参数。优选地，控制和评估单元被构造为防错的，特别是通过该控制和评估单元具有例如两个微控制器形式的两个数字模块这种方式来构造。

本发明基于以下基本思想：使具有至少一个移位寄存器的读出装置在输入侧与开关元件连接，并且在输出侧与控制和评估单元连接，以便串行传输开关位置。在此，移位寄存器的输出端经由逻辑元件被引回到移位寄存器的输入端，以生成校验位。优选地，为此使用同一输出端，控制和评估单元还经由该输出端读出开关位置，但是还可以引回移位寄存器中的另一个位。控制和评估单元根据校验位检查读入的开关位置的完整性。

本发明的优点在于，用非常简单的硬件装置来确保开关位置的读入。特别地，可以用更少的微控制器资源(GPIO)读入配置，而同时不会增加错误配置的风险。系统架构变得更简单，并且因此同时也更廉价而且更不易出错。

优选地，操作参数具有延迟时间和/或安全开关设备的至少一个输入端的评估的变化。延迟时间是操作参数的示例，应对该操作参数分配值。为此，开关元件例如提供大量可能的值，可以在这些可能的值之间进行选择。操作参数也可以在待选择的操作模式的意义上来理解。例如，多个安全评估程序被存储在控制和评估单元中，其中激活一个安全评估程序，或者设定这些评估程序的参数。评估程序确定施加在输入侧的信号是否会导致输出端处的切换，例如安全继电器是否断开其触点。通过配置评估程序，同一安全开关设备可以用于不同的应用，例如，安全开关设备随后可以选择性地评估来自传感器的在输入侧连接的OSSD(输出信号开关设备)的信号、紧急停止开关或脚踏式警报垫(Trittmatte)。

优选地，读出装置具有多个彼此串联连接的移位寄存器(“菊花链排列(Daisy-Chain-Anordnung)”)。从功能的角度来看，由此将产生更大的移位寄存器，例如由两个8位移位寄存器组成的16位移位寄存器。串联连接的移位寄存器可以接收更大数量的开关位置。

优选地，读出装置仅具有用于接收开关位置的移位寄存器，这些移位寄存器还以双重功能的方式经由逻辑元件产生校验位。因此，读出装置中的所有存在的移位寄存器实际上都用于实际的读出。附加地，移位寄存器中的至少一个移位寄存器也用于产生校验位。不存在只负责校验位的附加的移位寄存器。由此，读出装置是特别简单并且成本低廉的。

优选地，移位寄存器具有多个第一输入端，这些第一输入端被设计为并行输入端，其中开关元件分别与第一输入端连接。如果存在多个移位寄存器，则这优选地适用于所有移位寄存器。例如，一个移位寄存器具有八个并行的第一输入端。在多于八个开关元件的情况下，开关元件则相应地分布到多个移位寄存器的第一输入端上。接着介绍以下实施方式，其中第一输入端中的几个第一输入端被用于其他目的，由此，在该实例中，移位寄存器的八个第一输入端并非全部都可供开关元件使用。因此，相应地需要更多的移位寄存器。

优选地，至少一个第一输入端被确定为高(High)或低(Low)的固定输入端。因此，存在在这些位置处须读入哪些位的固定预期。特别优选地，在移位寄存器的起始和/或结束处设置至少一个固定输入端。在这种情况下，是指移位寄存器的一个或更多个开头和/或末尾的并行的第一输入端。在多个彼此串联连接的移位寄存器的情况下，是指第一移位寄存器的起始和最后移位寄存器的结束。

优选地，控制和评估单元被设计用于检查固定输入端的状态的正确读入。因此，在利用固定输入端的状态的固定预期的情况下，控制和评估单元检查读入的数据的完整性。在此，通过多个固定输入端还可以产生标识符，例如高-低-高(High-Low-High)，这些标识符特别是起始标识符(Anfangskennung)和结束标识符(Endkennung)。

优选地，第二输入端被设计为串行输入端。该串行输入端(Serial-In)在移位寄存器的起始处用于反馈(Rückkopplung)，以产生校验位。在多个移位寄存器串联的情况下，使用下一个移位寄存器的第二输入端用于串行连接。

优选地，逻辑元件是XOR元件，该XOR元件产生奇偶校验位作为校验位，并且该XOR元件的两个XOR输入端与移位寄存器的不同的输出端连接。优选地，XOR输入端中的一个XOR输入端与同一输出端连接，开关位置经由该同一输出端被传输到控制和评估单元。另一XOR输入端与移位寄存器的另一位连接。在每种情况下，移位寄存器的两个不同的位被组合成一个奇偶校验位。随后，借助于第二输入端将奇偶校验位附加于读出的位流(Bitstrom)。在多个移位寄存器串联的情况下，XOR元件的输入端优选地与其中的两个移位寄存器的输出端连接。因此可以说，XOR自身挂接到移位寄存器之间的、无论如何都必须有输出端的传输路径中。优选地，为此使用最后的移位寄存器和另一个移位寄存器，例如第一个移位寄存器或倒数第二个移位寄存器。

优选地，读出装置被设计为单通道的。所需的防错性通过检查校验位来建立。优选地，开关元件也只是简单存在，并且仅控制和评估单元的一个数字模块或微控制器读出开关位置。虽然优选地设置了控制和评估单元的第二数字模块，其中两个数字模块相互检验，因此它们是防错的。然而，在该优选的实施方式中，这些数字模块中的仅一个数字模块承担读入。随后，读入的数据在控制和评估单元的内部被传输到另一数字模块。在另一个数字模块中，根据校验位识别至少大部分可能的传输错误并且否决无效的配置。

优选地，控制和评估单元被设计用于多次读入开关位置并检查多个读入过程的一致性(Konsistenz)。这更进一步提高了防错性。可以要求，在n次重复的m次中读入的位必须一致，特别是在所有的重复中读入的位必须一致。

根据本发明的方法可以以类似的方式进一步发展并同时显示出类似的优点。这些有利的特征示例性地、但非穷尽地在从属于独立权利要求的从属权利要求中描述。

具体实施方式

下面还示例性地根据实施例并参考附图对本发明的进一步的特征和优点进行更详细的阐述。其中：

图1示出了安全开关设备的概览图，该安全开关设备在输入侧具有无接触式作用的保护设备并且在输出侧具有待监控的机器；

图2示出了读出装置的简化的电路图，该读出装置具有两个移位寄存器以用于将开关位置单通道地传输到控制和评估装置；

图3示出了根据图2的读出装置的示例性的串行位流；以及

图4示出了具有多于两个移位寄存器的读出装置的实施方式的图示。

图1示出了安全开关设备10的概览视图，该安全开关设备10例如在借助于无接触式作用的保护设备14来防护机器12的应用中被设计为安全继电器。该应用仅被理解为示例，特别地，可以设想代替光栅的多个和另外的输入侧的信号发生器以及与使机器人臂停止运转不同的开关任务。

安全开关设备10具有：被设计为双通道的输入端16a-16b，无接触式作用的保护设备被连接在该输入端16a-16b处；以及同样被设计为双通道的输出端18a-18b，该输出端18a-b待被切换并且机器12被连接在该输出端18a-18b处。控制和评估单元20评估输入侧的信号，并且根据评估程序决定是否以及何时切换输出端18a-18b。典型的开关过程包括通过使被设计为继电器触点的输出端18a-18b断开来使机器断电。

如在开篇已经简要讨论的，安全开关设备10在安全标准的意义上是防错的(fehlersicher)设备。为此，在所示的示例中，设置了双通道的输入端16a-16b和输出端18a-18b。在这里，控制和评估单元20同样被设计为双通道的，为此设置了两个相互监控的CPU或微控制器20a-20b。对于端口16a-16b、18a-18b以及控制和评估，其他措施(例如，周期性测试)同样是可行的。

安全开关设备10具有开关装置22，该开关装置22具有多个开关元件24，特别是DiP开关。以此，设定或改变安全开关设备10的操作参数，例如设置输出端18a-18b切换的延迟时间，或者选择或参数化评估程序，控制和评估单元20借助于该评估程序来决定切换。

控制和评估单元20经由读出装置26检测开关元件24的开关位置。根据本发明，该读出过程应优选地仅以单个通道的方式进行，这就是为什么在图1中两个微控制器中仅一个微控制器20a与读出装置26连接。随后，读入的开关位置在内部从一个微控制器20a传递到另一个微控制器20b。

在单通道读出的情况下存在数据可靠性损失的问题。现在，不再存在第二通道，该第二通道确保数据是否被正确地读入、是否未被读入微控制器20a歪曲以及是否从读入微控制器20a正确地传输至第二微控制器20b。因此，根据本发明，基于校验位来检查读入的数据，并且现在将对此进行阐述。

图2示出了开关装置22和读出装置26的实施方式的简化的电路图。在这个示例中，有十个开关元件S0…S9，其中纯示例性地，开关元件S0、S1和S4是接通的并且因此是激活的，而其余的开关元件是断开的并且因此是非激活的。

开关元件S0…S9与两个串联连接的移位寄存器28A-28B的多个并行的输入端A0…A7；B0…B7连接。例如，具有八个并行的输入端A0…A7；B0…B7的74HC165可以用作移位寄存器28A-28B，但是每个移位寄存器28A-28B的具体的硬件设计以及八个数量的输入端A0…A7；B0…B7对本发明并不重要。借助于移位寄存器28A-28B串行读入的优点在于，仅占用微控制器20a上的一个输入端(GPIO)，而与可能仍然大数量的开关元件24无关。

这两个移位寄存器28A-28B串联连接，以有效地获得具有十六个并行的输入端A0…A7；B0…B7的更大的移位寄存器。为此，第一移位寄存器28A的输出端Q_A与第二移位寄存器的串行输入端SI_B连接。

第二移位寄存器28B的输出端Q_B一方面与CPU、微控制器20a连接。在此，根据并行的输入端A0…A7；B0…B7连同与其连接的开关元件S0…S9的开关状态还输出位流。

此外，输出端Q_B经由逻辑元件30被引回到第一移位寄存器28A的串行输入端SI_A。逻辑元件30将在Q_B处输出的相应的位与移位寄存器28A-28B的另一个位进行组合。为此，优选地，第一移位寄存器28A的输出端Q_A也被引回，并且为此与逻辑元件30的另一个输入端组合。可替代地，可以设想用于移位寄存器28A的另一个位置的位的附加输出端。在每种情况下，将校验位推到输出的位流后面，控制和评估单元20基于这些校验位来检查读入的开关状态的完整性。优选地，逻辑元件30被实施为XOR元件，例如74AHC1G86IC的形式的XOR元件。在这种XOR逻辑中，从移位寄存器28A-28B的每两个位中各产生一个奇偶校验位，并且将该奇偶校验位附加到开关状态的位流。因此，待读入的位流总体上被再次加长了一半，并且这是能够实现完整性检验的期望的冗余。

为了进一步提高安全性，输入端A0…A7；B0…B7中的一些输入端可以可选地固定地置于低(Low)或高(High)。在图2的示例中，分别是前面的输入端和后面的输入端A0…A2；B5…B7，这些输入端以高-低-高的模式形成起始标识符和结束标识符，也就是说，开关元件S0…S9的状态介于这些标识符之间。

图3示例性地示出了在图2的情况下输出的位流。在此，首先在输入端A0…A7；B0…B7处的位以最高的序数输出到第二移位寄存器28B的Q_B，即以序列B7…B0输出。因此，第一移位寄存器28A以此序列A7…A0中经由Q_A推移到SI_B。

因此，位流从输入端B7…B5的三个固定位101开始。接下来是第二移位寄存器28B的输入端B4…B0处的开关状态S0…S4，随后是第一移位寄存器28A的输入端A7…A3处的经由SI_B推移的开关状态S5…S9。由于开关元件S0、S1、S4在图2中是示例性地闭合的，因此得出位模式1100100000。在输入端A2…A0处的结束标识符101构成移位寄存器28A-28B的原始内容的结尾。

随后，由于经由逻辑元件30的反馈，仍然附加有奇偶校验位，即B7 XOR A7…B0XOR A0作为由此得出的位模式10111100。控制和评估单元20可以根据这些奇偶校验位检查位流的完整性，更确切地说，在从移位寄存器28A-28B读出之后在微控制器20a中以及在微控制器20b(微控制器20a将位流复制到该微控制器20b)中进行。

为了通过时间冗余进一步提高安全性，可以执行n次读入过程，并且对读入的位进行比较。在这种情况下，可以根据安全级别要求在每次重复中或n次重复中的m次重复中读取相同的位。

图2示出了两个串联连接的移位寄存器28A-28B的实施方式。如果已经提供了与应读出的开关元件一样多的输入端，除此之外还有可能提供用于固定位的另外的输入端，那么就还可以设想只有唯一一个移位寄存器的实施方式。在这种情况下，除了Q之外，应提供移位寄存器的可供使用的另一输出端，以便在逻辑元件30中实现与另一个位或开关状态的组合。

反过来，图4示出了具有多于两个的移位寄存器28A-28C的实施方式。还可设想多于三个的移位寄存器28A-28C。由此，不会改变基本的结构或工作模式。关于经由逻辑元件30使移位寄存器28A-28C中的哪些位被返回，有更多的选项。原理上，移位寄存器28A-28C中的任何两个不同的位置都可以考虑像先前一样用于此目的。然而，为了确保所有的开关位置，所使用的位置中的一个位置应优选地是最后一个位置，即这里为Q_C，在该位置处还实现向微控制器20a的输出。进而有利地，仍然存在的输出端Q_A…Q_B用于任何其他输入端。图4中用实线或虚线描绘了两种选项。在这种情况下，逻辑元件30的一个输入端与最后一个移位寄存器28C的输出端Q_C连接。逻辑元件30的另一个输入端与第一个移位寄存器28A的输出端Q_A或与第二个移位寄存器或倒数第二个移位寄存器28B的输出端Q_B连接。

在多于三个移位寄存器的情况下同样存在这种可能性：使第一个移位寄存器和最后一个移位寄存器反馈、第二个移位寄存器和最后一个移位寄存器反馈、或倒数第二个移位寄存器和最后一个移位寄存器反馈，也可以考虑其他的组合选项。为此，根据情况，即使在图4的状况下也可能会发生以下情况：在原始输入端A0…A7；B0…B7；C0…C7之间不再产生奇偶校验位，而是利用已经附加于串行输入端SI_A的奇偶校验位。但是，这不会改变数据的冗余性，这些数据可以继续用于检查完整性。

因此，对于每种数量的开关元件24加上期望的固定位，都可以找到合适数量的移位寄存器，开关元件24根据图2被分布到这些移位寄存器的输入端上。这适用于各个移位寄存器的每种预定规格的长度，在这里示例性地假设为具有八个。在此，互连的顺序无关紧要，因为控制和评估单元20可以考虑或重建任何顺序。因此，可以通过微控制器20a的固定数量的输入端(GPIO)读入任意数量的开关元件24和必要时的固定位。