本發(fā)明總體上涉及安全自動化領(lǐng)域，特別地涉及安全至上(safety-critical)過程的控制和監(jiān)視。從本發(fā)明的意義上說，安全至上過程為在其期間必須確保無錯誤操作以避免對人或有價值的材料對象的任何風(fēng)險的技術(shù)序列、關(guān)系和/或事件。特別地，這包括在機械和設(shè)備工程領(lǐng)域中以自動化方式進行的操作的監(jiān)視和控制以便避免意外。典型的示例為沖壓設(shè)備的保護、以自動化方式操作的機器人的保護或者對于技術(shù)設(shè)備的維護工作的無害狀態(tài)的安全防護。

對于這樣的過程，EN ISO 13839-1和EN/IEC 62061標(biāo)準(zhǔn)設(shè)定了以下等級：一方面，指定在可預(yù)見的條件下執(zhí)行安全功能的控制器的安全相關(guān)部件的能力，以及另一方面，指示被分配給過程的安全功能的安全完整性。前者為所謂的性能等級(PL)，其具有從a至e的等級，其中，e為最高等級。關(guān)于安全完整性的規(guī)格，指定了具有等級1至等級3的安全完整性等級(SIL)，其中SIL3為最高等級。本發(fā)明涉及必須符合至少性能等級d和安全完整性等級2的安全關(guān)至上過程。

具有空間遠程輸入和輸出(I/O)單元的控制器(其經(jīng)由數(shù)據(jù)傳輸路徑，特別是經(jīng)由所謂的現(xiàn)場總線彼此連接)越來越多地被用于過程控制。用于記錄過程數(shù)據(jù)的傳感器和用于執(zhí)行控制操作的致動器連接至輸入和輸出單元。安全技術(shù)領(lǐng)域中典型的傳感器為緊急關(guān)斷開關(guān)、防護門、雙手開關(guān)、轉(zhuǎn)速計或擋光板裝置。例如，典型的致動器為可以用于關(guān)斷被監(jiān)視的設(shè)備的驅(qū)動的接觸器。在這樣的裝置中，輸入和輸出單元被主要用作空間分布信號傳感器和信號輸出站，然而過程數(shù)據(jù)實際被處理，并且用于致動器的控制信號由例如可編程邏輯控制器(PLC)的上級控制單元來生成。

為了能夠使用基于總線的系統(tǒng)控制安全至上過程，必須使從輸入和輸出單元至控制單元的數(shù)據(jù)的傳輸具有失效保護。特別地，必須確保在整個設(shè)備中不能出現(xiàn)由于所傳送的過程數(shù)據(jù)丟失、重復(fù)、毀壞、插入或改變和/或由于遠程輸入和輸出單元中的故障導(dǎo)致的危險狀態(tài)。

DE 197 42 716 A1公開了一種系統(tǒng)，在該系統(tǒng)中借助于存在于上級控制單元和遠程輸入和輸出單元兩者中的所謂的安全相關(guān)裝置來保護傳輸路徑。這涉及例如所有信號接收、信號處理和信號輸入路徑的冗余設(shè)計。因此，安全關(guān)斷可以由上級控制單元和遠程單元兩者來引發(fā)，因此使得可以確保不依賴于數(shù)據(jù)傳輸?shù)木哂惺ПＷo的關(guān)斷。因此，安全功能不依賴于所使用的傳輸技術(shù)或總線系統(tǒng)的結(jié)構(gòu)。然而，由于輸入和輸出單元自身借助于安全相關(guān)裝置承擔(dān)控制功能，因此這些單元是復(fù)雜并且昂貴的，并且不適合于其中必須安全控制多個致動器的系統(tǒng)。另外，采用該方法，在批準(zhǔn)程序的范圍內(nèi)必須針對遠程輸入和輸出單元證明完全真正的具有失效保護。這因此是復(fù)雜并昂貴的。

替選方法涉及將遠程輸入和輸出單元配置成“非具有失效保護”并且相反的采用兩個通道(即，采用兩個單獨信號路徑)來實現(xiàn)數(shù)據(jù)傳輸路徑。在該情況下，具有失效保護設(shè)計的上級控制單元具有訪問處理數(shù)據(jù)和執(zhí)行兩個通道中的必要錯誤檢查的可能性。輸入和輸出單元自身在該方法中可以具有單通道設(shè)計，但是由于針對用于數(shù)據(jù)傳輸路徑的冗余設(shè)計的每個I/O單元需要附加單獨的線，因此增加了線纜的量。

替選地，關(guān)于機器安全的安全傳輸還可以經(jīng)由使用適當(dāng)協(xié)議的單通道數(shù)據(jù)傳輸路徑來實現(xiàn)。該協(xié)議的一個示例為由申請人開發(fā)的用于失效保護現(xiàn)場總線通信的SafetyBUS p標(biāo)準(zhǔn)。SafetyBUS p技術(shù)上基于CAN現(xiàn)場總線系統(tǒng)，在該情況下，用于保護傳輸?shù)母郊訖C制被加入OSI參考系統(tǒng)的層2和層7中。在SafetyBUS p網(wǎng)絡(luò)中，僅使用安全相關(guān)裝置。因此，除了安全多通道控制之外，還使用了多通道輸入和輸出單元，其中多通道在邏輯層冗余處理從安全控制器接收的數(shù)據(jù)。

EP 1 620 768 B1描述了上述方法的中間路線，EP 1 620 768 B1公開了經(jīng)由單通道傳輸路徑從輸入單元至控制單元的處理數(shù)據(jù)的多重傳輸。多樣化傳輸旨在至少對于傳輸路徑的輸入信號確保失效保護讀取。在該情況下，使用用于傳輸?shù)目勺?、恒定改變關(guān)鍵字來編碼處理數(shù)據(jù)，從而生成確定的動態(tài)處理數(shù)據(jù)，這使得可以借助于上級控制單元冗余地評估輸入信號。這使得可以無需輸入單元的完全冗余設(shè)計。然而，在輸出側(cè)仍然需要未經(jīng)由現(xiàn)場總線選定線路的單獨關(guān)斷路徑以確保不依賴于傳輸中錯誤的安全關(guān)斷。因此，至少對于具有安全輸出的輸出仍需要附加線。

DE 199 27 635 B4公開了實現(xiàn)上述的中間路線的另一可能方式。因此，收聽傳輸路徑上的控制單元與遠程單元之間的數(shù)據(jù)流并且被設(shè)計成執(zhí)行安全相關(guān)功能的另外的安全分析器被插入用于保護具有遠程輸入和輸出單元的控制器的目的。通過監(jiān)視，安全分析器可以同時通過傳感器讀取所需要的數(shù)據(jù)并且可以借助于內(nèi)部邏輯單元來處理所述數(shù)據(jù)。為了控制致動器的目的，安全分析器可以從控制單元重寫入旨在用于致動器的數(shù)據(jù)消息，并且對于致動器插入其自身控制數(shù)據(jù)。以該方式，安全分析器可以控制所連接的致動器。然而，當(dāng)使用安全分析器以便獲得高安全類別時，還提供了另外的關(guān)斷路徑。通過被本地布置在安全分析器上的另外的安全輸出來提供該另外的關(guān)斷路徑。因此，安全分析器被設(shè)計成在沒有與遠程輸出單元交換控制數(shù)據(jù)的情況下能夠獨立地關(guān)斷被監(jiān)視的裝置以用于該目的。這使得可以無需經(jīng)由輸出單元路由的另外的關(guān)斷路徑，因此沒有減少線纜的量，更確切地，由于本地安全輸出還必須經(jīng)由另外的線被連接至被監(jiān)視的裝置而使線纜轉(zhuǎn)移。

例如，在AS-i SAFETY AT WORK中已經(jīng)實現(xiàn)了在先描述構(gòu)思的安全分析器。AS接口(對于致動器/傳感器接口縮寫為AS-i)為用于開發(fā)成連接致動器和傳感器的現(xiàn)場總線通信的標(biāo)準(zhǔn)，目的在于減少并行布線。安全導(dǎo)向型(safety-oriented)部件可以使用AS-i SAFETY AT WORK被合并在AS-i網(wǎng)絡(luò)中。然后，安全和標(biāo)準(zhǔn)部件在同一線纜上以并行方式操作，在該情況下，附加安全監(jiān)視器監(jiān)視安全導(dǎo)向型部件。安全監(jiān)視器具有用于安全導(dǎo)向型關(guān)斷的兩通道使能電路。因此，在沒有安全分析器上的附加本地安全輸出的情況下，采用AS-i SAFETY AT WORK，經(jīng)由遠程輸出單元的安全關(guān)斷也是不可能的。

針對該背景，目的是指定用于安全控制遠程周邊設(shè)備的替代方法，該方法更簡單并且更有成本效率，并且可以在沒有附加布線和/或附加安全導(dǎo)向型裝置的情況下被管理。

根據(jù)本發(fā)明的一個方面，本目的是借助于用于安全關(guān)斷電力負載的方法來實現(xiàn)，該方法包括步驟：

-提供多通道控制單元、單通道數(shù)據(jù)傳輸路徑以及具有第一處理單元和第二處理單元并且具有安全輸出的輸出單元，

-由多通道控制單元接收并且評估輸入信號，并且基于評估來生成使能信號，

-經(jīng)由單通道數(shù)據(jù)傳輸路徑將使能信號傳送至輸出單元，

-由第一處理單元接收使能信號，并且基于使能信號生成輸出信號，

-由第一處理單元提供使能信號的至少一部分以由第二處理單元進行評估，

-基于使能信號由第二處理單元生成動態(tài)時鐘信號，以及

-基于輸出信號和動態(tài)時鐘信號控制安全輸出。

根據(jù)本發(fā)明的另一方面，該目的是借助于用于安全關(guān)斷電力負載的裝置來實現(xiàn)，該裝置具有用于接收和評估輸入信號的多通道控制單元、單通道數(shù)據(jù)傳輸路徑以及具有第一處理單元和第二處理單元以及安全輸出的輸出單元，其中，多通道控制單元經(jīng)由單通道數(shù)據(jù)傳輸路徑連接至輸出單元，其中，多通道控制單元被配置成基于輸入信號生成使能信號，其中，單通道數(shù)據(jù)傳輸路徑被配置成將使能信號從控制單元傳送至輸出單元，其中，第一處理單元被配置成基于使能信號生成輸出信號，并且還至少部分地提供使能信號至第二處理單元以進行評估，其中，第二處理單元基于使能信號生成動態(tài)時鐘信號，并且其中，輸出單元被配置成基于輸出信號和動態(tài)時鐘信號控制安全輸出。

根據(jù)本發(fā)明的另一方面，該目的是借助于具有第一處理單元和第二處理單元以及安全輸出的輸出單元來實現(xiàn)，第一處理單元被配置成基于使能信號生成輸出信號并且還至少部分地提供使能信號至第二處理單元以進行評估，其中，第二處理單元基于使能信號生成動態(tài)時鐘信號，并且其中，輸出單元還被配置成基于輸出信號和動態(tài)時鐘信號驅(qū)動安全輸出。

因此，本發(fā)明的構(gòu)思是使得可以經(jīng)由同樣遠程的輸出單元從中央控制單元安全關(guān)斷空間遠程周邊設(shè)備。在該情況下，遠程輸出單元經(jīng)由單通道數(shù)據(jù)傳輸路徑連接至多通道控制單元。然而不過可以在原則上對于實現(xiàn)另外的關(guān)斷路徑，不需要附加關(guān)斷路徑或控制單元上的本地安全輸出。此外，有利的是，不需要設(shè)計具有完全多通道冗余的輸出單元。更確切地，本發(fā)明提出能夠適合于在由安全控制器提供的使能信號的輸出單元內(nèi)的信號處理的安全關(guān)斷。對于此所需要的部件所強加的要求低于被設(shè)計用于完全多通道冗余的輸出單元的情況。因此，根據(jù)本發(fā)明的輸出單元可以以更有成本效率的方式被制造。

特別地，與具有完全互控的完全兩通道輸出單元相比，不存在處理單元之間任何廣泛協(xié)商和同步的需要。處理單元僅處理與其相關(guān)的信息，使得兩個處理單元不需要被提供有所有信息。另外，在以下情況下是足夠的：如果僅一個處理單元經(jīng)由數(shù)據(jù)傳輸路徑與控制單元通信，同時第二處理單元接收來自第一處理單元的相關(guān)數(shù)據(jù)。除了對硬件部件較低的要求之外，還可以有利地簡化軟件結(jié)構(gòu)，因此還可以采用低性能處理單元來實現(xiàn)高性能。

與完全兩通道解決方案相比，根據(jù)本發(fā)明對軟件和硬件減少的要求還有利地減少輸出單元的能耗。減少的能耗以及與此相關(guān)的更低的熱輻射是非常重要的，特別是對于例如IP 67的必須具有高國際保護打分(marking)的遠程輸出單元。

另外，根據(jù)本發(fā)明的方法有利地不需要對單通道數(shù)據(jù)傳輸路徑的任何附加要求，使得可以使用所有公共總線系統(tǒng)。以這種方式，可以容易地改造或擴展現(xiàn)有系統(tǒng)。

總的來說，該新穎方法與現(xiàn)有解決方案相比減少了成本，這是由于安全關(guān)斷可以在一開始確保所提及的高安全等級標(biāo)準(zhǔn)而不必使用冗余布線、具有本地安全輸出的附加安全導(dǎo)向型裝置或具有完全多通道冗余的輸出單元。

因此，完全實現(xiàn)了上述目的。

在另一改進中，使能信號包括可變代碼，并且第二處理單元基于可變代碼生成動態(tài)時鐘信號。

根據(jù)該另一改進，可變代碼形式的信息的附加項經(jīng)由使能信號被傳送。可變代碼可以優(yōu)選地對可以被第二處理單元檢測的至少兩個狀態(tài)進行編碼。取決于由可變代碼指示的狀態(tài)，第二處理單元被配置成生成動態(tài)時鐘信號。以該方式，控制單元可以有利地通知第二處理單元的獨立于第一處理單元的安全輸出應(yīng)當(dāng)采取哪個狀態(tài)。

在一個特別優(yōu)選的改進中，可變代碼為具有指定順序的預(yù)定代碼序列的一部分。

該改進具有使能信號以單獨代碼的連續(xù)序列被傳送的優(yōu)點。在該情況下，例如，可以由遞增計數(shù)器來實現(xiàn)順序，其中，采用可變代碼來傳送遞增計數(shù)器并且遞增計數(shù)器指示代碼序列內(nèi)的布置代碼的位置。代碼序列的中斷或順序的改變可以由第二處理單元來檢測，并且導(dǎo)致通過暫停動態(tài)時鐘信號由第二處理單元來關(guān)斷輸出。以該方式，安全輸出的激活可以鏈接至另一條件。

在另一改進中，第二處理單元基于可變代碼提供動態(tài)時鐘信號達預(yù)定時間段。

根據(jù)該改進，進一步增加了針對提供動態(tài)時鐘信號的要求。僅當(dāng)代碼規(guī)律地(即，在預(yù)定間隔內(nèi))到達第二處理單元時，由第二處理單元生成動態(tài)時鐘信號。以這種方式，使能信號必須被上級控制單元連續(xù)確認。如果不存在確認，則由于沒有動態(tài)時鐘信號被生成，輸出單元關(guān)斷安全輸出。

不言而喻，在沒有偏離本發(fā)明的范圍的情況下，上述的特征和下面將說明的特征不僅可以在各所述的組合中使用，而且可以在其他組合中使用或單獨使用。

在附圖中圖示了本發(fā)明的示例性實施方式，并且在下面的描述中更詳細地說明了本發(fā)明的示例性實施方式。在附圖中：

圖1以框圖形式示出了根據(jù)本發(fā)明的裝置的示意圖，

圖2示出了控制單元的優(yōu)選示例性實施方式的示意圖，

圖3示出了輸出單元的優(yōu)選示例性實施方式的示意圖，

圖4示出了用于傳送使能信號的代碼序列的優(yōu)選實施方式的示意圖，以及

圖5示出了連接模塊的示例性實施方式的透視圖。

在圖1中，根據(jù)本發(fā)明的裝置的示例性實施方式整體上使用附圖標(biāo)記10來表示。

裝置10具有控制單元12，本文中通過示例的方式將四個I/O單元14、16、18、20連接至控制單元12。例如，控制單元為失效保護PLC，如以名義本發(fā)明的申請人所銷售的失效保護PLC。

I/O單元14-20空間上遠離控制單元12，并且經(jīng)由單通道數(shù)據(jù)傳輸路徑22連接至后者。數(shù)據(jù)傳輸路徑22可以是常規(guī)現(xiàn)場總線。就此而論，單通道表示數(shù)據(jù)傳輸路徑22本身不具有任何冗余硬件組件，特別是不具有冗余布線，這使得可以以安全至上方式傳送信號。數(shù)據(jù)傳輸路徑22優(yōu)選為基于商業(yè)上可用的以太網(wǎng)協(xié)議的以太網(wǎng)數(shù)據(jù)連接。

與多通道控制單元12相比，I/O單元14-20為具有被基本上用于接收和/或輸出信號的輸入和/或輸出的簡單單元，即，讀出傳感器和控制致動器。多個防護門24、緊急關(guān)斷開關(guān)26以及光柵28被圖示作為用于典型應(yīng)用的傳感器的示例。通常可以中斷向被監(jiān)視的機器32的電流供給的接觸器30在本文中被示出為致動器。根據(jù)根據(jù)圖1的示例性實施方式，為輸出和輸入提供分離單元。然而，與該簡化的圖示相比，I/O單元14-20還可以為組合的輸入和輸出單元。

I/O單元14-20的輸入和輸出狀態(tài)被稱為過程數(shù)據(jù)。過程數(shù)據(jù)優(yōu)選地在I/O單元14-20與控制單元12之間循環(huán)地交換。在本示例性實施方式中，例如，控制單元12評估經(jīng)由輸入單元14、18、20從傳感器24、26、28接收的輸入信號34，并且經(jīng)由輸出單元16提供相應(yīng)的輸出信號36用于控制致動器30。除了在本文中所示出的輸出單元16之外，在其他示例性實施方式中，還可以多個輸出單元連接至單通道數(shù)據(jù)傳輸路徑。I/O單元布置的順序同樣僅是示例性的。輸入信號34被分配至控制單元12中的輸出。

對于安全至上應(yīng)用，必須確保經(jīng)由單通道數(shù)據(jù)傳輸路徑22的過程數(shù)據(jù)的無錯誤傳輸。特別地，必須避免諸如丟失、重復(fù)、毀壞、插入以及順序的修改的錯誤，以確保從傳感器接收的信號在制動器處產(chǎn)生相應(yīng)的改變。在根據(jù)圖1的示例性實施方式中，控制單元12和I/O單元14-20以以下方式被相互調(diào)整用于該目的：在數(shù)據(jù)傳輸路徑22上有錯誤的情況下，被監(jiān)視的機器32也被安全地關(guān)斷。

為了該目的，例如通過多樣化多重傳輸?shù)姆绞皆谳斎雮?cè)將信號34從I/O單元14-20傳送至控制單元12，也就是說，在優(yōu)選的示例性實施方式中，數(shù)據(jù)第一次以純文本傳送，并且第二次以由控制單元12預(yù)定的編碼形式傳送。由于控制單元12指定了本示例性實施方式中的編碼，因此可以以該方式使能夠進行經(jīng)由數(shù)據(jù)傳輸路徑22的來自傳感器的輸入信號的失效保護讀入。以該方式，可以至少在輸入側(cè)控制傳輸期間的上述錯誤。然而，替選地，還可以使用不同安全類型的傳輸用于經(jīng)由單通道數(shù)據(jù)傳輸路徑22讀入輸入信號34。

根據(jù)本發(fā)明的一個方面，僅經(jīng)由單通道數(shù)據(jù)傳輸路徑22在本文中在輸出側(cè)同樣控制致動器30。為了該目的，控制單元12基于一個或更多個輸入信號34生成數(shù)字控制指令形式的使能信號38，其經(jīng)由單通道數(shù)據(jù)傳輸路徑被傳送至輸出單元16。輸出單元16具有執(zhí)行彼此不同的信號處理步驟的第一處理單元和第二處理單元。第一處理單元按邏輯電平處理使能信號38的數(shù)字控制指令，并且基于使能信號38生成可以用于將接觸器30(更一般地為致動器)接通或關(guān)斷的輸出信號。在一些示例性實施方式中，第一處理單元40可以在來自使能信號38的控制指令的邏輯處理期間考慮另外的控制信號，例如，來自裝置10的另一控制單元(本文中未圖示)的另一控制指令或本地生成的控制指令。另外，第一處理單元40向第二處理單元42提供使能信號38。如下面更詳細地描述的，如果使能信號38在時間方面最新，則第二處理單元生成預(yù)定時間段的動態(tài)時鐘信號。在有利的示例性實施方式中，第二處理單元未評估使能信號38中的控制指令的內(nèi)容，而是僅檢查經(jīng)由數(shù)據(jù)傳輸路徑22接收的使能信號38的最新程度。針對用于致動器30，來自第一處理單元40的輸出信號和來自第二處理單元42的動態(tài)時鐘信號兩者必須存在以能夠接通危險裝置。因此，僅當(dāng)兩種信號存在時，輸出單元的安全輸出被激活。由于從使能信號生成兩個獨立的輸出信號，因此可以控制關(guān)于安全關(guān)斷的上述傳輸錯誤。不需要各自的附加關(guān)斷路徑和本地安全輸出。

下面使用圖2、圖3和圖4更詳細說明本發(fā)明意義下的控制單元12、輸出單元16和使能信號38的優(yōu)選示例性實施方式。在該情況下，如在根據(jù)圖1的示例性實施方式中，相同的附圖標(biāo)記表示相同的部件。

圖2示意性示出了控制單元12的示例性實施方式。在本文中，控制單元12被設(shè)計有多通道冗余，并且以完全冗余方式處理來自傳感器24、26、28的所有輸入數(shù)據(jù)，以便確保所需要的固有失效安全。通過兩個微控制器40、42在本文中以簡單的方式來表示冗余信號處理通道，這兩個微控制器40、42基本上執(zhí)行相同的處理步驟、經(jīng)由連接件44交換結(jié)果，因此相互控制彼此。例如，連接44可以被實現(xiàn)為雙端口RAM，但是連接件44也可以以任何其他方式來實現(xiàn)。在一個優(yōu)選的示例性實施方式中，如在本文中通過第二微控制器42的斜體標(biāo)記所指示的，微控制器40、42具有不同的設(shè)計。由于不同的設(shè)計，可以排除具有相同功能的各處理通道中的系統(tǒng)誤差。

控制單元12還具有通信接口46，微控制器40、42可以經(jīng)由通信接口46訪問數(shù)據(jù)傳輸路徑22。通信接口46優(yōu)選為實現(xiàn)用于經(jīng)由單通道數(shù)據(jù)傳輸路徑周期地(cyclically)傳送數(shù)據(jù)的相應(yīng)協(xié)議的協(xié)議芯片。

控制單元12被設(shè)計成經(jīng)由單通道數(shù)據(jù)傳輸路徑22連續(xù)讀入輸入信號并且使用微控制器40、42采用多通道冗余來評估這些輸入信號。微控制器40、42兩者基于評估而周期地生成用于致動器的控制指令。如果來自傳感器24、26、28的輸入信號指示安全狀態(tài)，則這樣的控制指令可以表示用于接通機器32的危險移動的使能信號。像常規(guī)的過程數(shù)據(jù)一樣，使能信號38經(jīng)由單通道數(shù)據(jù)傳輸路徑被傳送至輸出單元。在一個優(yōu)選的示例性實施方式中，使能信號為具有限定比特數(shù)的數(shù)據(jù)字，并且以周期地循環(huán)的方式被傳送至輸出單元16。

在根據(jù)圖2的優(yōu)選示例性實施方式中，控制單元12還具有編碼單元48，編碼單元48被設(shè)計成以以下方式采用每個處理周期操縱使能信號38：可以由輸出單元16非?？焖俨⑶胰菀椎貦z查其最新程度。例如，第一比特序列可以指示第一狀態(tài)，并且與第一比特序列不同的第二位序列可以指示第二狀態(tài)。替選地或另外地，編碼單元48可以例如通過遞增地增大被包括在數(shù)據(jù)消息中的計數(shù)器在周期地傳送的使能信號上施加預(yù)定順序。優(yōu)選地，包括使能信號的每個數(shù)據(jù)消息與包括使能信號的在先傳送的數(shù)據(jù)消息不同，其中，預(yù)定順序由各使能信號來確定。如圖2中所示，編碼單元48可以被集成在兩個微控制器中的一個中作為軟件或硬件部件。替選地，也可以在兩個微控制器中或者由單獨的部件來執(zhí)行編碼。

圖3示出了基于I/O單元16的輸出單元16的有利示例性實施方式。正如控制單元12，本文中的輸出單元具有通信接口46，經(jīng)由通信接口46第一處理單元50可以訪問數(shù)據(jù)傳輸路徑22。替選地，通信接口46還可以被集成在第一處理單元50中。在優(yōu)選的示例性實施方式中，輸出單元16中的僅一個處理單元被直接連接至數(shù)據(jù)傳輸路徑22并且與控制單元12通信。

在本示例性實施方式中，例如，可以為微控制器、ASIC或FPGA形式的第一處理單元50周期地接收使能信號38并且評估其內(nèi)容。即，第一處理單元50邏輯上解釋包含在使能信號38中的控制指令，并且基于其以及可能的另外的信息生成用于控制輸出52的模擬輸出信號36。該另外的信息可以是來自整個裝置中的另外的控制單元(本文中未圖示)的有利的控制指令。此外，在有利的示例性實施方式中，該另外信息可以是來自本地存在于輸出單元16的區(qū)域中的傳感器的輸入信息。特別地，如果輸出單元16為從傳感器和控制致動器兩者讀入輸入信號的組合輸入/輸出單元時，則可以是這種情況。

另外，第一處理單元50本文中經(jīng)由本文中的內(nèi)部連接件56向第二處理單元58提供使能信號38。內(nèi)部連接56為其中數(shù)據(jù)僅從第一處理單元50被傳送至第二處理單元58的單向連接。因此，在優(yōu)選示例性實施方式中，第二處理單元不能經(jīng)由數(shù)據(jù)傳輸路徑傳送任何數(shù)據(jù)。第二處理單元58優(yōu)選同樣為微控制器、ASIC、FPGA或另一信號處理模塊，然而，其與第一處理單元50相比具有減少的功能集。在一個優(yōu)選實施方式中，其為具有僅一個輸入、CPU和一個輸出的最小化的控制器。輸入可以是簡單UART接口，經(jīng)由簡單UART接口第二處理單元58接收來自第一處理單元50的使能信號38，同時輸出可以是簡單數(shù)字輸出，經(jīng)由簡單數(shù)字輸出提供動態(tài)時鐘信號60。在一個特定優(yōu)選示例性實施方式中，僅針對接收使能信號38之后的有限的限定時間段61生成動態(tài)時鐘信號60。如果第二處理單元58在該限定時間段中未接收到另外有效使能信號38，則動態(tài)時鐘信號被暫停。這種方式確保了使能信號必須被控制單元12連續(xù)確認。在優(yōu)選示例性實施方式中，限定時間段61有些大于周期時間T并小于兩倍的周期時間T，控制單元12使用周期時間T讀入輸入信號并且生成周期性使能信號38。

因此，第二處理單元58大體上檢查使能信號38的最新程度。然而，在優(yōu)選示例性實施方式中，第二處理單元58沒有評估包括在使能信號38中的控制指令。因此，第二處理單元58獨立于大體上邏輯評估使能信號38并且特別地邏輯上處理包括在使能信號38中的控制指令的第一處理單元50而運行。如果存在最新使能信號并且因此存在有效使能信號，則第二處理單元58針對限定時間段61生成動態(tài)時鐘信號60。

第二處理單元58優(yōu)選評估與使能信號38一起傳送的來自控制單元12的元數(shù)據(jù)，并且可以包含運行計數(shù)器的狀態(tài)或其他周期地改變的數(shù)據(jù)。因此，在本示例性實施方式中，僅當(dāng)使能信號38表示限定狀態(tài)并且對應(yīng)于第二處理單元58的預(yù)定期望時，使能信號38從而是有效的。僅在最新使能信號38為經(jīng)由轉(zhuǎn)換器元件62生成并鏈接至第一輸出信號36的動態(tài)時鐘信號60，如本文中由邏輯AND符號所指示的。轉(zhuǎn)換器元件62優(yōu)選地為整流器，其使用動態(tài)時鐘信號60生成從第一處理單元50鏈接至輸出信號63的恒定模擬信號。

經(jīng)由來自第一處理單元50和第二處理單元58的鏈接信號來激活安全輸出52。在本示例性實施方式中，鏈接信號控制將電源53連接至安全輸出52的兩個開關(guān)元件54。如果開關(guān)元件關(guān)閉，即，來自第一處理單元的輸出信號與來自第二處理單元的動態(tài)時鐘信號兩者均存在，則給安全輸出52以能量并且所連接的致動器激活。在圖1中，僅示出了一個安全輸出52。替選地，也可以以該方式控制多個并聯(lián)輸出。

在該優(yōu)選的示例性實施方式中，輸出單元16還被設(shè)計成提供所生成的輸出信號的反饋。優(yōu)選地，這由第一處理單元50來單獨地執(zhí)行。在示例性實施方式中，一方面，第一處理單元50的輸入經(jīng)由第一反饋線64連接至安全輸出52，另一方面，經(jīng)由第二反饋線66連接至轉(zhuǎn)換器元件62的輸出。在一些示例性實施方式中，已經(jīng)被反饋的值被傳送至控制單元12，如輸入信號。在這些示例性實施方式中，控制單元12可以使用已經(jīng)被反饋的值以檢查輸出單元16內(nèi)的各部件的功能。為了該目的，控制單元12優(yōu)選地通過簡單地改變或暫停使能信號38來執(zhí)行周期性關(guān)斷測試?？刂茊卧?2使用已經(jīng)被反饋的值來確定在兩個使能路徑中是否發(fā)生相應(yīng)的狀態(tài)改變。

替選地或另外地，第一處理單元50自身可以評估反饋信號64、66，特別地，可以將它們從周期地傳送的使能信號38邏輯上鏈接至相應(yīng)控制指令。

圖4示意性示出了以周期地重復(fù)的方式傳送的使能信號38的示例性實施方式。使能信號38優(yōu)選為在一個或更多個包中周期地被傳送至輸出單元16的數(shù)據(jù)消息。在優(yōu)選示例性實施方式中，該傳輸沒有與其他處理數(shù)據(jù)的傳輸不同。對于周期性傳輸，在本文中以數(shù)據(jù)字的序列來圖示使能信號38。在本示例性實施方式中，數(shù)據(jù)字68包括第一部分70和第二部分72。在本示例性實施方式中，第一部分70包含隨每個數(shù)據(jù)消息遞增式增加的計數(shù)器的狀態(tài)。這生成了預(yù)定順序，其可以在接收器端被容易地重建和檢查，特別是在第二處理單元58中。在本示例性實施方式中，第二部分72在輸出單元16處對用于致動器的控制指令進行編碼。在本文中，控制指令在第一消息中為開(ON)并且在第四消息中為關(guān)(OFF)。

圖5最終示出了其中輸入單元14和輸出單元16在功能組件74中被組合的I/O單元的特定優(yōu)選示例性實施方式。輸入和輸出單元在本文中根據(jù)國際保護打分IP 67被集成在防水殼體76中。用于輸入和輸出的相應(yīng)連接件經(jīng)由插座78接出。另外的連接80、82被提供用于至數(shù)據(jù)傳輸路徑的連接。

傳感器和致動器優(yōu)選地經(jīng)由預(yù)制造的線纜連接至功能組件74。數(shù)據(jù)傳輸路徑22經(jīng)由第一總線連接80和第二總線連接82環(huán)通，結(jié)果是多個連接模塊74可以串聯(lián)連接至數(shù)據(jù)傳輸路徑22。功能組件74尺寸上特別緊湊，并且由于國際保護打分IP 67，其優(yōu)選地適合安裝在控制柜的外部的現(xiàn)場中。例如，LED形式的附加指示器84可以直接指示功能組件74處的輸入和輸出的各自的狀態(tài)。