Sicherheitsschaltvorrichtung und sicherheitsgerichtetes Gerät Die Erfindung betrifft eine Sicherheitsschaltvorrichtung und ein sicherheitsgerichtetes Gerät, das mit einer solchen Si ^¬ cherheitsschaltvorrichtung ausgestattet ist.

Aus DE 43 19 750 AI ist eine Vorrichtung zur Funktionsüberwa- chung von Schaltausgängen bekannt, die zwei Mikroprozessoren umfasst. Die Steuereinheiten sind dazu ausgebildet, Standard ^¬ relais zu betätigen, die zu einer Brückenschaltung kombiniert sind. In der Vorrichtung sind parallel zwei Stränge mit je zwei Standardrelais angeordnet. Beide Stränge sind mit den Anschlüssen eines Schaltausgangs verbunden und ermöglichen so ein sicheres Schalten. Ferner sind die beiden Stränge aus Standardrelais mit einer induktiven Übertragung verbunden, die zur Überwachung des Schaltzustandes des Standardrelais mit den Mikroprozessoren verbunden sind.

DE 10 2010 060 323 AI offenbart eine Schaltanordnung Betäti ^¬ gung von zwei Relais mittels eines MikroControllers, der von einem Watchdog überwacht wird. Die Schaltanordnung weist vier elektrische Schalter auf, die je Relais paarweise dem Mikro- Controller und dem Watchdog zugeordnet sind. Die Relais sind dabei ohne zwangsgeführte Kontakte ausgebildet. Der Watchdog ist dazu ausgebildet, den MikroController zu überwachen und bei einer Funktionsstörung des MikroControllers die Stromversorgung der Relais über einen separaten elektrischen Schalter zu unterbrechen.

Aus EP 2 383 762 Bl ist eine Sicherheitsschaltvorrichtung bekannt, die zwei MikroController aufweist. Jeder der Mikrocon- troller ist mit einer Treiberstufe gekoppelt, über die ein Relais betätigbar ist. Zur Überwachung des Schaltzustandes der Relais sind die Treiberstufen mit beiden MikroControllern gekoppelt . In vielen Anwendungen der Automatisierungstechnik besteht Bedarf an einer Schaltvorrichtung, die ein hohes Maß an Sicherheit bietet, bauraumsparend ist und mit einem Minimum an mög ^¬ lichst einfachen Komponenten herstellbar ist. Je höher die erreichte Sicherheitsstufe ist, umso komplexer und kostenin ^¬ tensiver sind Schaltvorrichtungen aus dem Stand der Technik. Der vorliegenden Erfindung liegt die Aufgabe zugrunde, eine Schaltvorrichtung bereitzustellen, die ein höchstmögliches Maß an Sicherheit bei gleichzeitig minimalem Bauaufwand, re- duzierter Komponentenanzahl und minimalen Platzbedarf bietet und die Nachteile aus dem Stand der Technik überwindet.

Diese Aufgabenstellung wird durch die erfindungsgemäße Si ^¬ cherheitsschaltvorrichtung gelöst. Die Sicherheitsschaltvor- richtung weist auf ihrer Steuerseite mindestens eine Ein-

Fehler-Toleranz , also eine Hardware-Fehlertoleranz von mindestens Eins auf. Dadurch ist auch bei Versagen einer Kompo ^¬ nente in der Sicherheitsschaltvorrichtung deren sichere Funktionsfähigkeit weiter gewährleistet. Die Sicherheitsschalt- Vorrichtung weist eine erste und eine zweite Steuereinheit auf, die jeweils dazu ausgebildet sind, einen Schaltbefehl, der beispielsweise über eine Kommunikationsleitung übermittelt wird, auszugeben um diesen in eine Betätigung umzusetzen. Die Sicherheitsschaltvorrichtung weist auch eine Überwa- chungseinheit auf, die mit einem ersten und einem zweiten Verknüpfungselement versehen ist. Darüber hinaus sind die Verknüpfungselemente in der Überwachungseinheit über Rückka- näle mit den Steuereinheiten unmittelbar verbunden. Die Überwachungseinheit dient so der Überwachung der Tätigkeit der Steuereinheiten und die Steuereinheiten dienen zur Überwachung der Überwachungseinheit. Die Steuereinheiten und die Überwachungseinheit gehören zur Steuerseite der erfindungsge ^¬ mäßen Sicherheitsschaltvorrichtung. Erfindungsgemäß ist das erste Verknüpfungselement über einen ersten Rückkanal mit der zweiten Steuereinheit verbunden. Das zweite Verknüpfungsele ^¬ ment wiederum ist über einen zweiten Rückkanal mit der ersten Steuereinheit verbunden. Hierdurch erfolgt eine differenzierte Überwachung der eingesetzten Komponenten auf der Steuer- seite, so dass ein hohes Maß an Betriebssicherheit erzielt wird .

Die Steuerseite wird durch die Betätigungsseite ergänzt, auf der mindestens ein Schaltelement angeordnet ist. Die Schalt ^¬ elemente sind mit einem Lastkreis verbunden, der zu einer An ^¬ wendung, beispielsweise einer Stromversorgung eines Elektromotors gehört, und dazu ausgebildet, den Lastkreis zu unter ^¬ brechen. Über die Überwachungseinheit wird der von den Steu- ereinheiten ausgegebene Schaltbefehl mindestens einem der

Schaltelemente zugeführt und in einen Schaltvorgang im Last ^¬ kreis umgesetzt. Erfindungsgemäß sind die Schaltelemente je ^¬ weils als Standard-Komponenten ausgebildet. Standard-Kompo ^¬ nenten sind Bauformen elektromechanischer Komponenten, bei denen für die Kontakte, mit denen der Lastkreis unterbrechbar ist, keine Zwangsführung vorgesehen ist. In einer Standard- Komponente, wie z.B. einem Standardrelais, ohne zwangsgeführ ^¬ te Kontakte kann beim Auftritt eines Fehlers, beispielsweise einem Kontaktkleben, ein Zustand eintreten, in dem ein Öff- ner-Kontakt und ein Schließer-Kontakt gleichzeitig schließbar sind .

Standard-Komponenten, also Komponenten ohne zwangsgeführte Kontakte, weisen eine reduzierte Komplexität auf und erfor- dern weniger Bauraum als Schaltelemente mit zwangsgeführten

Kontakten. Des Weiteren sind Standard-Komponenten kostengünstiger und bieten separat weniger Sicherheit als Schaltelemente mit zwangsgeführten Kontakten. Des Weiteren erfordert die Überwachungseinheit in der erfindungsgemäßen Sicherheits- schaltvorrichtung lediglich zwei Steuereinheiten und zwei

Verknüpfungselemente. Hierdurch wird gegenüber den bekannten Lösungen eine erhebliche Einsparung an elektronischen Komponenten erzielt. Infolge der Bauraumersparnis ist die erfin ^¬ dungsgemäße Sicherheitsschaltvorrichtung wesentlich wirt- schaftlicher und kompakter herstellbar und kann beispielsweise in ein einziges Gehäuse mit geringeren Abmessungen einge ^¬ baut werden als die bisher bekannten Lösungen. Ferner sind Standard-Komponenten kostengünstiger als Komponenten mit Kon- taktzwangsführung, so dass eine kosteneffiziente Wartung der beanspruchten Sicherheitsschaltvorrichtung möglich ist.

Gleichzeitig bietet die erfindungsgemäße Sicherheitsschalt ^¬ vorrichtung eine gegenüber den bekannten Lösungen ein zumin- dest gleichbleibendes Maß an Sicherheit.

Vorzugsweise ist in der erfindungsgemäßen Sicherheitsschalt ^¬ vorrichtung die erste Steuereinheit unmittelbar mit einem Ba- sis-Anschluss des ersten Verknüpfungselements zu dessen Betä- tigung verbunden. Die Ansteuerung des ersten Verknüpfungselements durch die erste Steuereinheit wird somit mittels des ersten Rückkanals durch die zweite Steuereinheit überwacht. Wenn dabei durch die zweite Steuereinheit ein Fehler festge ^¬ stellt wird, ist die zweite Steuereinheit zum Einleiten einer Gegenmaßnahme ausgebildet. Eine Gegenmaßnahme ist beispiels ^¬ weise eine Betätigung des Basis-Anschlusses des zweiten Ver ^¬ knüpfungselements zur Herstellung eines sicheren Zustands auf der Betätigungsseite. Alternativ oder ergänzend kann die zweite Steuereinheit un ^¬ mittelbar mit einem Basis-Anschluss des zweiten Verknüpfungs ^¬ elements zu dessen Betätigung verbunden seien. Die Ansteuerung des zweiten Verknüpfungselements durch die zweite Steu ^¬ ereinheit wird somit mittels des zweiten Rückkanals durch die erste Steuereinheit überwacht. Wenn dabei durch die erste Steuereinheit ein Fehler festgestellt wird, ist die erste Steuereinheit zum Einleiten einer Gegenmaßnahme ausgebildet. Eine Gegenmaßnahme ist beispielsweise eine Betätigung des Ba ^¬ sis-Anschlusses des ersten Verknüpfungselements zur Herstel- lung eines sicheren Zustands auf der Betätigungsseite. Hier ^¬ durch wird insgesamt eine zusätzliche Überwachung der Kompo ^¬ nenten auf der Steuerseite gewährleistet. Diese zusätzliche Überwachung gewährleistet, dass die Steuerseite einen Diagno ^¬ sedeckungsgrad von über 90%, insbesondere von 90% bis 99% er- reicht. Der Diagnosedeckungsgrad ist das Verhältnis von zwei Werten über einen Bezugszeitraum hinweg. Der erste Wert ist die Anzahl der erkannten gefährlichen Fehler, die im Bezugszeitraum eintraten. Der zweite Wert ist die Summe aus dem ersten Wert und der Anzahl der nicht erkannten gefährlichen Fehler im Bezugszeitraum. Der Diagnosedeckungsgrad ist der Quotient aus dem ersten und dem zweiten Wert und ist als Pro ^¬ zentwert darstellbar.

Folglich ist mit der erfindungsgemäßen Sicherheitsschaltvorrichtung eine Betriebssicherheit der Kategorie SIL 3 erreich ^¬ bar. Die skizzierte zusätzliche Überwachung erfolgt durch oh ^¬ nehin vorhandene Komponenten, so dass die Komplexität der Sicherheitsschaltvorrichtung und deren Bauaufwand minimiert sind .

In einer bevorzugten Ausführungsform der Erfindung weist die Betätigungsseite der Sicherheitsschaltvorrichtung mindestens eine Zwei-Fehler-Toleranz, also eine Hardware-Fehlertoleranz von mindestens Zwei, auf und/oder hat eine Safe-Failure- Fraction, kurz SFF, von mindestens 60%, bevorzugt von 70% bis 90%. Hierzu ist die Betätigungsseite mit mindestens drei Schaltelementen versehen, so dass bei einem Ausfall von zwei Schaltelementen zumindest ein drittes vorhanden ist, dass den Lastkreis unterbricht. Ferner sind die Schaltelemente derart ausgebildet, dass die Kombination deren einzelner Diagnosede ^¬ ckungsgrade mindestens 60% betragen, vorzugsweise 70% bis 90%. Hierdurch wird mit einfachen und platzsparenden Schalt- elementen, beispielsweise Standardrelais, weiterhin ein hohes Maß an Sicherheit erzielt. Die Betätigungsseite ist somit für Verwendungen mit einer erforderlichen Kategorisierung als SIL 3 oder SIL 4 geeignet, also auch für besonders sicherheits ^¬ kritische Anwendungen. Insgesamt ist die erfindungsgemäße Sicherheitsschaltvorrichtung dazu geeignet, in einfacher, kompakter und kosteneffizienter Bauweise zumindest eine Kate ^¬ gorisierung als SIL 3-Gerät zu erzielen.

Weiter bevorzugt weist das erste und/oder zweite Verknüp- fungselement jeweils einen Kollektor-Anschluss und einen

Emitter-Anschluss auf. In Verbindung mit dem Basis-Anschluss wirkt das erste bzw. zweite Verknüpfungselement damit als Lo ^¬ gik-Element. Bei einer anliegenden Betriebsspannung am Kol- lektor-Anschluss des ersten oder zweiten Verknüpfungselements dient die durch den Schaltbefehl ausgelöste Betätigung des Basis-Anschlusses dazu, einen Stromfluss durch den zugehöri ^¬ gen Emitter zu ermöglichen oder zu stoppen. Die im Bereich von Transistoren üblichen Begriffe Kollektor, Basis und Emitter sind beispielhaft zu verstehen. Sämtliche elektronischen Komponenten mit derselben technischen Schaltfunktionalität bilden Verknüpfungselemente im Sinne der Erfindung. Derartige Verknüpfungselemente sind in einfacher und schneller Weise verarbeitbar, bieten ein hohes Maß an Zuverlässigkeit und ei ^¬ ne hohe Betätigungsgeschwindigkeit. Hierdurch können Gegen ^¬ maßnahmen, beispielweise ein Trennen des Lastkreises durch die Schaltelemente, schnell eingeleitet werden.

Darüber hinaus kann in der erfindungsgemäßen Sicherheitsschaltvorrichtung der erste Emitter-Anschluss , der zur ersten Verknüpfungseinheit gehört, unmittelbar mit dem zweiten Kol- lektor-Anschluss verbunden sein, der wiederum zur zweiten Verknüpfungseinheit gehört. Alternativ kann auch der erste Kollektor-Anschluss an der ersten Verknüpfungseinheit mit dem zweiten Emitter-Anschluss der zweiten Verknüpfungseinheit un ^¬ mittelbar verbunden sein. Eine solche unmittelbare Verbindung der Verknüpfungselemente über ihre Kollektor- und Emitter- Anschlüsse gewährleistet im Betrieb der Überwachungseinheit eine fehlerrobuste gegenseitige Erkennung von Fehlerzuständen beim Senden des Schaltbefehls an die Schaltelemente.

Das erste und/oder zweite Verknüpfungselement ist vorteil ^¬ hafterweise jeweils als Transistor, Feldeffekttransistor, Thyristor, Triac, IGBT, Treiberbaustein, integrierter Schaltkreis oder als UND-Baustein ausgebildet. Diese Komponenten bieten für eine weite Spanne an Betriebsparametern, beispielsweise Stromstärke, Spannung, Temperaturbelastung, etc. ein hohes Maß an Zuverlässigkeit, Betätigungsgeschwindigkeit und minimale Verlustleistungen bei hoher Wirtschaftlichkeit. Durch ihr im Wesentlichen gleichartiges Funktionsprinzip ist die erfindungsgemäße Sicherheitsschaltvorrichtung an eine breite Spanne von Einsatzbereichen durch entsprechende Aus- wähl der Verknüpfungselemente anpassbar. Insbesondere erlaubt die beanspruchte Sicherheitsschaltvorrichtung eine einfache Skalierung an unterschiedlich hohe Ströme und Spannungen. In der erfindungsgemäßen Sicherheitsschaltvorrichtung kann die Überwachungseinheit zusammen mit der ersten und/oder zweiten Steuereinheit auch als zusammenhängender ASIC ausgebildet seien. Ein ASIC bietet ein hohes Maß an Integration und gewährleistet eine besonders hohe Platzersparnis. Der ASIC verfügt vorzugsweise über eine Kommunikationsschnitt ^¬ stelle, die eine Kommunikation mit einer übergeordneten Steuerinstanz, beispielsweise einer Speicherprogrammierbaren Steuerung, kurz SPS, ermöglicht. Ferner sind ASICs bei der Herstellung automatisch vollständig auf ihre Funktionstüch- tigkeit prüfbar. Hierdurch werden bei der Herstellung der erfindungsgemäßen Sicherheitsschaltvorrichtung die Anzahl der Arbeitsschritte, und damit an potentiellen Fehlerquellen, reduziert. Infolgedessen ist die beanspruchte Sicherheits ^¬ schaltvorrichtung mit einer minimalen Ausschussquote her- stellbar.

In einer weiteren vorteilhaften Ausführung der Erfindung weist die Sicherheitsschaltvorrichtung mindestens zwei Überwachungseinheiten auf. Die Überwachungseinheiten sind jeweils mit der ersten und zweiten Steuereinheit verbunden und dazu ausgebildet, jeweils an mindestens ein zugeordnetes Schalt ^¬ element einen Schaltbefehl auszugeben. Die erste Überwachungseinheit ist mit dem ersten Betätigungsmittel gekoppelt und die zweite Überwachungseinheit mit dem zweiten Betäti- gungsmittel. Dies ermöglicht eine separate, und damit unab ^¬ hängige Ansteuerung des ersten und zweiten Betätigungsmit ^¬ tels. Insbesondere ist die Sicherheitsschaltvorrichtung zu einem einstellbaren zeitlich gestaffelten Betätigen der

Schaltelemente ausgebildet. Die Überwachungseinheiten sind dabei vorzugsweise gleich aufgebaut, also mit zwei Verknüp ^¬ fungselementen, deren Basis-Anschlüsse jeweils durch die ers ^¬ te und zweite Steuereinheit betätigt werden. In jeder der Überwachungseinheiten ist das der Emitter-Anschluss des ers- ten Verknüpfungselements über einen ersten Rückkanal mit der zweiten Steuereinheit unmittelbar verbunden. Gleichermaßen ist in jeder der Überwachungseinheiten der Emitter-Anschluss des zweiten Verknüpfungselements über einen zweiten Rückkanal mit der ersten Steuereinheit unmittelbar verbunden. Durch die einstellbare zeitlich gestaffelte Betätigung ist ein geziel ^¬ ter Kontaktabbrand in den Schaltelementen einstellbar. Der auftretende Kontaktabbrand ist in einem einzelnen Schaltele ^¬ ment konzentrierbar oder wählbar auf mehrere Schaltelemente verteilbar. Infolge der räumlichen Kompaktheit der erfindungsgemäßen Lösung kann durch eine Mehrzahl an Überwachungseinheiten, die mit den Steuereinheiten in einem gemeinsamen Gehäuse aufgenommen sind, eine hochgradig parallelisierte Sicherheitsschaltvorrichtung mit hoher Redundanz, und damit Zuverlässigkeit bietet, bereitgestellt werden. Durch die kos ^¬ teneffiziente Bauweise der Überwachungseinheiten wird die Wirtschaftlichkeit der erfindungsgemäßen Lösung weiter gesteigert . Alternativ können die mindestens zwei Schaltelemente auch über eine gemeinsame Signalleitung mit der Überwachungseinheit verbunden seien. Ein Schaltbefehl von den Steuereinheiten wird darin als ein einziges Signal zur Betätigung der Schaltelemente weitergegeben. Eine gemeinsame Signalleitung erlaubt es, den Verdrahtungsaufwand auch bei einer hohen An ^¬ zahl an Schaltelementen zu minimieren. Ferner sind auch bei zahlreichen Schaltelementen nur zwei Übergangpunkte zwischen der Steuerseite und der Betätigungsseite notwendig. Besonders bevorzugt ist die erfindungsgemäße Sicherheitsschaltvorrich- tung in Modulbauweise ausgebildet. Dabei sind die Komponenten der Steuerseite jeweils als Modul in einem ersten Gehäuse aufgenommen und die Komponenten der Betätigungsseite in einem zweiten Gehäuse. Dabei definiert die Anzahl an Übergangspunkten zwischen der Steuerseite und der Betätigungsseite, wie viele elektrische Verbindungen, beispielsweise in Form von

Pins, zum bestimmungsgemäßen Betrieb nötig sind. Eine geringe notwendige Anzahl an elektrischen Verbindungen zwischen der Steuerseite und der Betätigungsseite reduziert die Komplexi- tat der Modulkopplung und erhöht damit deren Robustheit. Die erfindungsgemäße Sicherheitsschaltvorrichtung ist durch Auswahl elektrisch geeignet dimensionierter Module flexibel und bietet gleichzeitig ein erhebliches Maß an Robustheit.

Besonders bevorzugt sind die mindestens zwei Schaltelemente jeweils als Relais, Hilfsschütz, Hauptschütz oder als elektromagnetisches Ventil ausgebildet. Derartige Schaltelemente decken eine weite Spanne von Stromstärken und Spannungen im Lastkreis ab, so dass die erfindungsgemäße Sicherheitsschalt ^¬ vorrichtung im Wesentlichen gleichartig für sämtliche Formen von Lastkreisen geeignet ist. Die Steuerseite der erfindungs ^¬ gemäßen Sicherheitsschaltvorrichtung weist hierzu einen geeigneten universellen Aufbau auf.

Des Weiteren können in der erfindungsgemäßen Sicherheitsschaltvorrichtung die mindestens zwei Schaltelemente diversi- tär, als typenverschieden, ausgebildet seien. Eine diversitä- re Betätigungsseite weist einen reduzierten Beta-Faktor.

Durch diesen wird die Neigung zum gehäuften Eintreten von Fehlern in identischen Komponenten dargestellt. Derartige Fehler werden auch Fehler gemeinsamer Ursache oder Common- Cause-Fehler genannt. Folglich ist die erfindungsgemäße

Sicherheitsschaltvorrichtung dazu ausgebildet, auch Störein- Wirkungen standzuhalten, die unweigerlich zur Zerstörung von einzelnen Komponenten führen. Die Diversität kann beispielsweise in einer unterschiedlich starken Sicherung gegen Überlastströme, beispielsweise infolge von Kurzschlüssen, beste ^¬ hen. Hierdurch wird die erzielbare Sicherheit weiter gestei- gert.

Weiter bevorzugt können die erste und zweite Steuereinheit in der erfindungsgemäßen Sicherheitsschaltvorrichtung zur gegenseitigen Diagnose unmittelbar miteinander verbunden sein. Die Diagnoseverbindung zwischen den Steuereinheiten ist dazu ausgebildet, ein Signal zu transportieren, dass für den Zustand der absendenden Steuereinheit charakteristisch ist. Die Diagnoseleitung ist auch dazu ausgebildet, einen Befehl von einer Steuereinheit zur anderen zu transportieren, insbesondere ei ^¬ nen Abschaltbefehl. Den möglichen Folgen eines Funktionsfehlers einer der beiden Steuereinheiten kann so vor dem Eintreten weitergehender Schäden entgegengewirkt werden. Die ab- schaltende Steuereinheit ist auch dazu ausgebildet, nach ei ^¬ nem Abschaltbefehl an die andere Steuereinheit diesen nicht bestimmungsgemäßen Zustand in Form einer Fehlermeldung an einen Benutzer oder eine übergeordnete Controller-Einheit zu melden. Hierdurch wird bei gleichbleibender Komponentenanzahl eine weitere Überwachung innerhalb der erfindungsgemäßen

Sicherheitsschaltvorrichtung bereitgestellt, die die erziel ^¬ bare Betriebssicherheit steigert.

Die zugrundeliegende Aufgabenstellung wird auch durch das er- findungsgemäße sicherheitsgerichtete Gerät gelöst. Das sicherheitsgerichtete Gerät ist beispielsweise als Sicher ^¬ heitsschaltgerät, als sicheres Koppelrelais, als sichere Re ^¬ laisbaugruppe, als sicherer SPS-Relaisausgang, oder als

Sicherheitsmodul in einer SPS ausgebildet. Das sicherheitsge- richtete Gerät ist dabei mit einer der oben beschriebenen

Sicherheitsschaltvorrichtung versehen, die die erforderlichen Sicherheitsfunktionen bereitstellt. Infolge der kompakten Sicherheitsschaltvorrichtung weist das sicherheitsgerichtete Gerät geringe Abmessungen auf. Alternativ kann im Gehäuse des sicherheitsgerichteten Geräts lediglich die Steuerseite der erfindungsgemäßen Sicherheitsschaltvorrichtung aufgenommen seien. Dabei sind am Gehäuse des sicherheitsgerichteten Geräts Anschlüsse vorgesehen, die eine Kopplung mit einem sepa ^¬ raten Modul erlauben, in dem die Betätigungsseite der Sicher- heitsschaltvorrichtung aufgenommen ist. Das erfindungsgemäße sicherheitsgerichtete Gerät ist vorzugsweise als SIL 2-, SIL 3- oder SIL 4-Gerät ausgebildet.

Die Erfindung wird im Folgenden anhand der Ausführungsformen in den Figuren 1 bis 5 näher erläutert. Es zeigen im Einzelnen schematisch den Aufbau einer ersten Ausführungsform der erfindungsgemäßen Sicherheitsschaltvorrichtung; schematisch den Aufbau einer zweiten Ausführungsform der erfindungsgemäßen Sicherheitsschaltvorrichtung; schematisch den Aufbau einer dritten Ausführungsform der erfindungsgemäßen Sicherheitsschaltvorrichtung; schematisch den Aufbau einer vierten Ausführungsform der erfindungsgemäßen Sicherheitsschaltvorrichtung; schematisch die Kontakte eines als Standardkompo ^¬ nente ausgebildeten Schaltelements.

In FIG 1 ist eine erste Ausführungsform der erfindungsgemäßen Sicherheitsschaltvorrichtung 10 dargestellt, die im Wesentlichen in eine Steuerseite 40 und eine Betätigungsseite 50 ge ^¬ gliedert ist. Auf der Steuerseite 40 ist eine Spannungsver ^¬ sorgung 16 angeordnet, die zur Stromversorgung der Komponenten auf der Steuerseite 40 dient. Die Spannungsversorgung 16 stellt eine Betriebsspannung 18 für eine erste und zweite

Steuereinheit 12, 14 und eine Überwachungseinheit 30 bereit. Die Steuereinheiten 12, 14 und das Netzteil 16 sind jeweils mit einem Masse-Anschluss 49 verbunden. Über eine nicht näher dargestellte Steuerleitung werden Schaltbefehle 20 an die erste und eine zweite Steuereinheit 12, 14 ausgegeben, die von diesen in einen Schaltvorgang auf der Betätigungsseite 50 umgesetzt werden. Die Schaltbefehle 20 erreichen die Steuer ^¬ einheiten 12, 14 über deren nicht näher dargestellte Signaleingänge. Die Überwachungseinheit 30 umfasst eine erstes und ein zweites Verknüpfungselement 31, 36, die als Transistoren ausgebildet sind und in Reihe geschaltet sind. An einem ers ^¬ ten Kollektor-Anschluss 33 liegt die Betriebsspannung 18 an. Ein erster Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 ist mit einem Ausgang 17 der ersten Steuereinheit 12 verbunden. Der Schaltbefehl 20 wird von der ersten Steuereinheit 12 als Betätigung des ersten Basis-Anschlusses 32 in der ers ^¬ ten Verknüpfungselement 31 ausgegeben. Bei einer entsprechen- den Betätigung am ersten Basis-Anschluss 32 erlaubt das erste Verknüpfungselement 31 einen Stromfluss durch einen ersten Emitter-Anschluss 35. Ferner liegt im Bereich des ersten Emitter-Anschlusses 35 der zweite Kollektor-Anschluss 37 des zweiten Verknüpfungselements 36 und dazwischen eine erste Verzweigung 43, von der ein erster Rückkanal 42 abzweigt. Der erste Rückkanal 42 wiederum führt zur zweiten Steuereinheit 14. Über den ersten Rückkanal 42 wird der Schaltzustand des ersten Verknüpfungselements 31 an die zweite Steuereinheit 14 gemeldet. Die zweite Steuereinheit 14 ist dazu ausgebildet, den Eingang des Rückkanals mit dem an der zweiten Steuereinheit 14 vorliegenden Schaltbefehls 20 abzugleichen und so ei ^¬ nen bestimmungsgemäßen Schaltzustand am erste Verknüpfungs ^¬ element 31 zu verifizieren oder einen fehlerhaften Schaltzustand zu identifizieren.

Analog zur ersten Steuereinheit 12 wird der Schaltbefehl 20 von der zweiten Steuereinheit 14 über deren Ausgang 19 an den zweiten Basis-Anschluss 38 des zweiten Verknüpfungselements 36 ausgegeben. Durch die entsprechende Betätigung des zweiten Basis-Anschlusses 38 erlaubt das zweite Verknüpfungselement 36 einen Stromfluss über einen zweiten Emitter-Anschluss 39. Der Stromfluss vom zweiten Emitter-Anschluss 39 zum Kopp ^¬ lungspunkt 47 erfolgt über einen Signalausgang 46. Ein vorliegender Stromfluss im Signalausgang 46 bildet den vorlie- genden Schaltbefehl 20 an die Betätigungsseite 50 ab. Zwi ^¬ schen dem Kopplungspunkt 47 und dem zweiten Emitter-Anschluss 39 ist eine zweite Verzweigung 45 angeordnet, von der ein zweiter Rückkanal 44 zur ersten Steuereinheit 12 führt. Das über den zweiten Rückkanal 44 zur ersten Steuereinheit 12 ge- führt Signal stellt den Schaltzustand des zweiten Verknüp ^¬ fungselements 36 dar. Die erste Steuereinheit 12 ist dazu ausgebildet, das über den zweiten Rückkanal 44 transportierte Signal mit dem vorliegenden Schaltbefehl 20 abzugleichen. Hierdurch ist die erste Steuereinheit 12 dazu ausgebildet, einen bestimmungsgemäßen Schaltzustand am zweiten Verknüpfungselement 36 zu verifizieren oder einen fehlerhaften

Schaltzustand zu identifizieren.

Wenn die durch die erste Steuereinheit 12 ein fehlerhafter Schaltzustand am zweiten Verknüpfungselement 36 erkannt wird, ist die erste Steuereinheit 12 dazu ausgebildet, durch eine entsprechende Betätigung am ersten Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 den Stromfluss zum ersten Emit- ter-Anschluss 35 zu unterbinden. Dadurch wird ein weiterer Betrieb auf Basis eines fehlerhaften Schaltbefehls 20 oder eines Hardwaredefekts in der Sicherheitsschaltvorrichtung 10 verhindert. Gleichermaßen ist die zweite Steuereinheit 14 da- zu ausgebildet, bei Erkennung eines fehlerhaften Schaltzu ^¬ stands am ersten Verknüpfungselement 31 durch Betätigung des zweiten Basis-Anschlusses 38 den Stromfluss zum zweiten Emit- ter-Anschluss 39 zu unterbinden. In der erfindungsgemäßen Sicherheitsschaltvorrichtung wird so auf der Steuerseite 40 mindestens eine Ein-Fehler-Toleranz , auch Hardware-Fehlertoleranz von Eins genannt, verwirklicht. Über die Verknüpfungselemente 31, 36 der Überwachungseinheit wird zwischen den Steuereinheiten 12, 14 eine indirekte Über- kreuz-Überwachung ausgebildet. Ferner sind die erste und zweite Steuereinheit 12, 14 unmittelbar über eine Diagnose ^¬ leitung 15 miteinander verbunden. Die Diagnoseleitung umfasst auch eine Ansteuerleitung, die ein gegenseitiges Abschalten der Steuereinheiten ermöglicht. Hierdurch wird eine direkte gegenseitige Überwachung verwirklicht, so dass durch die Kom ^¬ bination mit der indirekten Überkreuz-Überwachung ein besonders hohes Maß an Sicherheit auf der Steuerseite 40 erzielt wird. Insbesondere wird auf der Steuerseite 40 bei einem vor ^¬ liegenden Hardwarefehler einen Diagnosedeckungsgrad von 90% bis 99% erzielt.

Die Verbindung zwischen der Steuerseite 40 und der Betäti ^¬ gungsseite 50 erfolgt über den Kopplungspunkt 47. Auf der Be- tätigungsseite 50 sind ein erstes, ein zweites und ein drit ^¬ tes Schaltelement 52, 54, 56 angeordnet, die als Standardre ^¬ lais ausgebildet sind. Die Schaltelemente 52, 54, 56 sind je ^¬ weils dazu ausgebildet, eine Leitung 25 eines nicht näher dargestellten Lastkreises 23 zu unterbrechen. Die Schaltele ^¬ ment 52, 54, 56 sind an eine gemeinsame Signalleitung 53 an ^¬ geschlossen, über die der Schaltbefehl 20 bei entsprechender Betätigung und Funktionstüchtigkeit der Komponenten auf der Steuerseite 40 an die Schaltelemente 52, 54, 56 ausgeben wird. Die Schaltelemente 52, 54, 56 sind jeweils an mit einem Masse-Anschluss 49 verbunden, über den der Schaltbefehl 20 abgeleitet wird. Hierdurch wird in jedem der Schaltelemente 52, 54, 56 eine pp-Schaltung verwirklicht. Die Reihenschal ^¬ tung der Schaltelemente 52, 54, 56 gewährleistet auch bei vorliegen von zwei Hardware-Fehlern auf der Betätigungsseite 50 noch ein sicheres Trennen der Leitung 25 des Lastkreises 23. Insgesamt weist die Betätigungsseite 50 mindestens eine Zwei-Fehler-Toleranz, auch als Hardware-Fehlertoleranz von Zwei bezeichnet, auf. Mindestens zwei der Schaltelemente 52, 54, 56 sind diversitär, als bautypenfremd ausgebildet, so dass die Fehlertoleranz der Betätigungsseite 50 weiter ge ^¬ steigert ist. Die Betätigungsseite 50 erreicht bei einem Vor ^¬ liegen von zwei Hardware-Fehlern eine Safe-Failure-Fraction von mindestens 60%, insbesondere von 70% bis 90%.

In FIG 2 ist eine zweite Ausführungsform der erfindungsgemä ^¬ ßen Sicherheitsschaltvorrichtung 10 dargestellt, die im Wesentlichen in eine Steuerseite 40 und eine Betätigungsseite 50 gegliedert ist. Auf der Steuerseite 40 ist eine Spannungs- Versorgung 16 angeordnet, die zur Stromversorgung der Komponenten auf der Steuerseite 40 dient. Die Spannungsversorgung 16 stellt eine Betriebsspannung 18 für eine erste und zweite Steuereinheit 12, 14 und eine Überwachungseinheit 30 bereit. Die Steuereinheiten 12, 14 und das Netzteil 16 sind jeweils mit einem Masse-Anschluss 49 verbunden. Über eine nicht näher dargestellte Steuerleitung werden Schaltbefehle 20 an die erste und eine zweite Steuereinheit 12, 14 ausgegeben, die von diesen in einen Schaltvorgang auf der Betätigungsseite 50 umgesetzt werden. Die Schaltbefehle 20 erreichen die Steuer ^¬ einheiten 12, 14 über nicht näher abgebildete Signaleingänge. Die Überwachungseinheit 30 umfasst eine erstes und ein zweites Verknüpfungselement 31, 36, die als Transistoren aus- gebildet sind. An einem ersten Kollektor-Anschluss 33 liegt die Betriebsspannung 18 an. Ein erster Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 ist mit einem Ausgang 17 der ersten Steuereinheit 12 verbunden. Der Schaltbefehl 20 wird von der ersten Steuereinheit 12 als Betätigung des ersten Ba- sis-Anschlusses 32 in der ersten Verknüpfungselement 31 aus ^¬ gegeben. Bei einer entsprechenden Betätigung am ersten Basis- Anschluss 32 erlaubt das erste Verknüpfungselement 31 einen Stromfluss durch einen ersten Emitter-Anschluss 35. Ferner liegt im Bereich des ersten Emitter-Anschlusses 35 eine erste Verzweigung 43, die zu einem Kopplungspunkt 47 zur Betäti ^¬ gungsseite führt und von der ein erster Rückkanal 42 ab ^¬ zweigt. Der erste Rückkanal 42 wiederum führt zur zweiten Steuereinheit 14. Über den ersten Rückkanal 42 wird der

Schaltzustand des ersten Verknüpfungselements 31 an die zwei- te Steuereinheit 14 gemeldet. Die zweite Steuereinheit 14 ist dazu ausgebildet, das Signal des Rückkanals 42 mit dem an der zweiten Steuereinheit 14 vorliegenden Schaltbefehls 20 abzu ^¬ gleichen und so einen bestimmungsgemäßen Schaltzustand am erste Verknüpfungselement 31 zu verifizieren oder einen feh- lerhaften Schaltzustand zu identifizieren.

Der Schaltbefehl 20 wird über die Betätigungsseite 40 über einen weiteren Kopplungspunkt 47 zu einer zweiten Verzweigung 45 rückgeführt. Die zweite Verzweigung 45 führt zu einem zweiten Emitter-Anschluss 39 der zweiten Verknüpfungseinheit 36.

Analog zur ersten Steuereinheit 12 wird der Schaltbefehl 20 von der zweiten Steuereinheit 14 über deren Ausgang 19 an den zweiten Basis-Anschluss 38 des zweiten Verknüpfungselements

36 ausgegeben. Durch die entsprechende Betätigung des zweiten Basis-Anschlusses 38 erlaubt das zweite Verknüpfungselement 36 einen Stromfluss zwischen dem zweiten Emitter-Anschluss 39 und dem mit einem Masse-Anschluss 49 verbundenen zweiten Kol ^¬ lektor-Anschlusses 37. Der Stromfluss vom Kopplungspunkt 47 zur zweiten Verzweigung 45 über den zweiten Emitter-Anschluss 39 erfolgt über einen Signalausgang 46. Ein vorliegender Stromfluss im Signalausgang 46 bildet den vorliegenden

Schaltbefehl 20 an die Betätigungsseite 50 ab. Zwischen dem Kopplungspunkt 47 und dem zweiten Emitter-Anschluss 39 ist die zweite Verzweigung 45 angeordnet, von der ein zweiter Rückkanal 44 zur ersten Steuereinheit 12 führt. Das über den zweiten Rückkanal 44 zur ersten Steuereinheit 12 geführt Sig ^¬ nal stellt den Schaltzustand des zweiten Verknüpfungselements 36 dar. Die erste Steuereinheit 12 ist dazu ausgebildet, das über den zweiten Rückkanal 44 transportierte Signal mit dem vorliegenden Schaltbefehl 20 abzugleichen. Hierdurch ist die erste Steuereinheit 12 dazu ausgebildet, einen bestimmungsge ^¬ mäßen Schaltzustand am zweiten Verknüpfungselement 36 zu ve- oder einen fehlerhaften Schaltzustand zu identifi ^¬ zieren . Wenn die durch die erste Steuereinheit 12 ein fehlerhafter

Schaltzustand am zweiten Verknüpfungselement 36 erkannt wird, ist die erste Steuereinheit 12 dazu ausgebildet, durch eine entsprechende Betätigung am ersten Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 den Stromfluss zum ersten Emit- ter-Anschluss 35 zu unterbinden. Dadurch wird ein weiterer Betrieb auf Basis eines fehlerhaften Schaltbefehls 20 oder eines Hardwaredefekts in der Sicherheitsschaltvorrichtung 10 verhindert. Gleichermaßen ist die zweite Steuereinheit 14 da ^¬ zu ausgebildet, bei Erkennung eines fehlerhaften Schaltzu- Stands am ersten Verknüpfungselement 31 durch Betätigung des zweiten Basis-Anschlusses 38 den Stromfluss zum zweiten Emit ^¬ ter-Anschluss 39 zu unterbinden.

In der erfindungsgemäßen Sicherheitsschaltvorrichtung wird so auf der Steuerseite 40 mindestens eine Ein-Fehler-Toleranz , auch Hardware-Fehlertoleranz von Eins genannt, verwirklicht. Über die Verknüpfungselemente 31, 36 der Überwachungseinheit wird zwischen den Steuereinheiten 12, 14 eine indirekte Über kreuz-Überwachung ausgebildet. Ferner sind die erste und zweite Steuereinheit 12, 14 unmittelbar über eine Diagnose ^¬ leitung 15 miteinander verbunden. Die Diagnoseleitung umfasst auch eine Ansteuerleitung, die ein gegenseitiges Abschalten der Steuereinheiten ermöglicht. Hierdurch wird eine direkte gegenseitige Überwachung verwirklicht, so dass durch die Kom ^¬ bination mit der indirekten Überkreuz-Überwachung ein besonders hohes Maß an Sicherheit auf der Steuerseite 40 erzielt wird. Insbesondere wird auf der Steuerseite 40 bei einem vor- liegenden Hardwarefehler einen Diagnosedeckungsgrad von 90% bis 99% erzielt.

Die Verbindung zwischen der Steuerseite 40 und der Betäti ^¬ gungsseite 50 erfolgt über die Kopplungspunkte 47. Die Ver- bindung zwischen der Steuerseite 40 und der Betätigungsseite 50 über zwei Kopplungspunkte 47 verwirklicht an den Schalt ^¬ elementen 52, 54, 56 jeweils eine pm-Schaltung . Auf der Betätigungsseite 50 sind ein erstes, ein zweites und ein drittes Schaltelement 52, 54, 56 angeordnet, die als Standardrelais ausgebildet sind. Die Schaltelemente 52, 54, 56 sind jeweils dazu ausgebildet, eine Leitung 25 eines nicht näher darge ^¬ stellten Lastkreises 23 zu unterbrechen. Die Schaltelement 52, 54, 56 sind an eine gemeinsame Signalleitung 53 ange ^¬ schlossen, über die der Schaltbefehl 20 bei entsprechender Betätigung und Funktionstüchtigkeit der Komponenten auf der Steuerseite 40 an die Schaltelemente 52, 54, 56 ausgeben wird. Die Parallelschaltung der Schaltelemente 52, 54, 56 ge ^¬ währleistet auch bei vorliegen von zwei Hardware-Fehlern auf der Betätigungsseite 50 noch ein sicheres Trennen der Leitung 25 des Lastkreises 23. Insgesamt weist die Betätigungsseite 50 mindestens eine Zwei-Fehler-Toleranz, auch als Hardware- Fehlertoleranz von Zwei bezeichnet, auf. Mindestens zwei der Schaltelemente 52, 54, 56 sind diversitär, als bautypenfremd ausgebildet, so dass die Fehlertoleranz der Betätigungsseite 50 weiter gesteigert ist. Die Betätigungsseite 50 erreicht bei einem Vorliegen von zwei Hardware-Fehlern eine Safe- Failure-Fraction SFF von mindestens 60%, insbesondere von 70% bis 90%. In FIG 3 ist eine dritte Ausführungsform der erfindungsgemä ^¬ ßen Sicherheitsschaltvorrichtung 10 dargestellt, die im Wesentlichen in eine Steuerseite 40 und eine Betätigungsseite 50 gegliedert ist. Auf der Steuerseite 40 ist eine Spannungs- Versorgung 16 angeordnet, die zur Stromversorgung der Komponenten auf der Steuerseite 40 dient. Die Spannungsversorgung 16 stellt eine Betriebsspannung 18 für eine erste und zweite Steuereinheit 12, 14 und Schaltelemente 52, 54, 56 auf der Betätigungsseite 50 bereit. Die Steuereinheiten 12, 14 und das Netzteil 16 sind jeweils mit einem Masse-Anschluss 49 verbunden. Über eine nicht näher dargestellte Steuerleitung werden Schaltbefehle 20 an die erste und eine zweite Steuer ^¬ einheit 12, 14 ausgegeben, die von diesen in einen Schaltvorgang auf der Betätigungsseite 50 umgesetzt werden. Die

Schaltbefehle 20 erreichen die Steuereinheiten 12, 14 über nicht näher abgebildete Signaleingänge. Die Überwachungsein ^¬ heit 30 umfasst eine erstes und ein zweites Verknüpfungsele ^¬ ment 31, 36, die als Transistoren ausgebildet sind und in Reihe geschaltet sind. Ein erster Kollektor-Anschluss 33 des ersten Verknüpfungselements 31 ist mit einem zweiten Emitter- Anschluss 39 des zweiten Verknüpfungselements 36 gekoppelt. Dazwischen liegt eine zweite Verzweigung 45, von der ein zweiter Rückkanal 44 zur ersten Steuereinheit 12 abzweigt. Ein erster Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 ist mit einem Ausgang 17 der ersten Steuereinheit 12 verbunden. Der Schaltbefehl 20 wird von der ersten Steuereinheit 12 als Betätigung des ersten Basis-Anschlusses 32 in der ers ^¬ ten Verknüpfungselement 31 ausgegeben. Bei einer entsprechenden Betätigung am ersten Basis-Anschluss 32 erlaubt das erste Verknüpfungselement 31 einen Stromfluss zwischen den ersten Kollektor-Anschluss 33 und einen ersten Emitter-Anschluss 35 zu einem Kopplungspunkt 47. Ferner liegt im Bereich des ers ^¬ ten Emitter-Anschlusses 35 eine erste Verzweigung 43, von der ein erster Rückkanal 42 abzweigt. Der erste Rückkanal 42 wie- derum führt zur zweiten Steuereinheit 14. Über den ersten

Rückkanal 42 wird der Schaltzustand des ersten Verknüpfungs ^¬ elements 31 an die zweite Steuereinheit 14 gemeldet. Die zweite Steuereinheit 14 ist dazu ausgebildet, den Eingang des Rückkanals mit dem an der zweiten Steuereinheit 14 vorliegenden Schaltbefehls 20 abzugleichen und so einen bestimmungsge ^¬ mäßen Schaltzustand am erste Verknüpfungselement 31 zu veri ^¬ fizieren oder einen fehlerhaften Schaltzustand zu identifi- zieren.

Analog zur ersten Steuereinheit 12 wird der Schaltbefehl 20 von der zweiten Steuereinheit 14 über deren Ausgang 19 an den zweiten Basis-Anschluss 38 des zweiten Verknüpfungselements 36 ausgegeben. Durch die entsprechende Betätigung des zweiten Basis-Anschlusses 38 erlaubt das zweite Verknüpfungselement 36 einen Stromfluss über einen zweiten Emitter-Anschluss 39. Der Stromfluss vom zweiten Emitter-Anschluss 39 zum Kopp ^¬ lungspunkt 47 erfolgt über einen Signalausgang 46. Ein vor- liegender Stromfluss im Signalausgang 46 bildet den vorlie ^¬ genden Schaltbefehl 20 an die Betätigungsseite 50 ab. Zwi ^¬ schen dem Kopplungspunkt 47 und dem zweiten Emitter-Anschluss 39 ist eine zweite Verzweigung 45 angeordnet, von der ein zweiter Rückkanal 44 zur ersten Steuereinheit 12 führt. Das über den zweiten Rückkanal 44 zur ersten Steuereinheit 12 ge ^¬ führt Signal stellt den Schaltzustand des zweiten Verknüp ^¬ fungselements 36 dar. Die erste Steuereinheit 12 ist dazu ausgebildet, das über den zweiten Rückkanal 44 transportierte Signal mit dem vorliegenden Schaltbefehl 20 abzugleichen. Hierdurch ist die erste Steuereinheit 12 dazu ausgebildet, einen bestimmungsgemäßen Schaltzustand am zweiten Verknüpfungselement 36 zu verifizieren oder einen fehlerhaften

Schaltzustand zu identifizieren. Wenn die durch die erste Steuereinheit 12 ein fehlerhafter

Schaltzustand am zweiten Verknüpfungselement 36 erkannt wird, ist die erste Steuereinheit 12 dazu ausgebildet, durch eine entsprechende Betätigung am ersten Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 den Stromfluss zum ersten Emit- ter-Anschluss 35 zu unterbinden. Dadurch wird ein weiterer Betrieb auf Basis eines fehlerhaften Schaltbefehls 20 oder eines Hardwaredefekts in der Sicherheitsschaltvorrichtung 10 verhindert. Gleichermaßen ist die zweite Steuereinheit 14 da- zu ausgebildet, bei Erkennung eines fehlerhaften Schaltzu ^¬ stands am ersten Verknüpfungselement 31 durch Betätigung des zweiten Basis-Anschlusses 38 den Stromfluss zum zweiten Emit- ter-Anschluss 39 zu unterbinden.

In der erfindungsgemäßen Sicherheitsschaltvorrichtung wird so auf der Steuerseite 40 mindestens eine Ein-Fehler-Toleranz , auch Hardware-Fehlertoleranz von Eins genannt, verwirklicht. Über die Verknüpfungselemente 31, 36 der Überwachungseinheit wird zwischen den Steuereinheiten 12, 14 eine indirekte Überkreuz-Überwachung ausgebildet. Ferner sind die erste und zweite Steuereinheit 12, 14 unmittelbar über eine Diagnose ^¬ leitung 15 miteinander verbunden. Die Diagnoseleitung umfasst auch eine Ansteuerleitung, die ein gegenseitiges Abschalten der Steuereinheiten ermöglicht. Hierdurch wird eine direkte gegenseitige Überwachung verwirklicht, so dass durch die Kom ^¬ bination mit der indirekten Überkreuz-Überwachung ein besonders hohes Maß an Sicherheit auf der Steuerseite 40 erzielt wird. Insbesondere wird auf der Steuerseite 40 bei einem vor- liegenden Hardwarefehler einen Diagnosedeckungsgrad von 90% bis 99% erzielt.

Die Verbindung zwischen der Steuerseite 40 und der Betäti ^¬ gungsseite 50 erfolgt über den Kopplungspunkt 47. Auf der Be- tätigungsseite 50 sind ein erstes, ein zweites und ein drit ^¬ tes Schaltelement 52, 54, 56 angeordnet, die als Standardre ^¬ lais ausgebildet sind. Die Schaltelemente 52, 54, 56 sind je ^¬ weils dazu ausgebildet, eine Leitung 25 eines nicht näher dargestellten Lastkreises 23 zu unterbrechen. Die Schaltele- ment 52, 54, 56 sind an eine gemeinsame Signalleitung 53 an ^¬ geschlossen, über die der Schaltbefehl 20 bei entsprechender Betätigung und Funktionstüchtigkeit der Komponenten auf der Steuerseite 40 an die Schaltelemente 52, 54, 56 ausgeben wird. Die Schaltelemente 52, 54, 56 sind über den Kopplungs- punkt 47, an dem die Betriebsspannung 18 anliegt mit einer gemeinsamen Signalleitung 53 jeweils mit der Steuerseite 40 verbunden. Ferner sind die Schaltelemente 52, 54, 56 auch über den weiteren Kopplungspunkt 47, der zur Überwachungsein- heit 30 führt, mit der Steuerseite 40 verbunden. Hierdurch wird in jedem der Schaltelemente 52, 54, 56 eine mm-Schaltung verwirklicht. Die Parallelschaltung der Schaltelemente 52, 54, 56 gewährleistet auch bei vorliegen von zwei Hardware- Fehlern auf der Betätigungsseite 50 noch ein sicheres Trennen der Leitung 25 des Lastkreises 23. Insgesamt weist die Betä ^¬ tigungsseite 50 mindestens eine Zwei-Fehler-Toleranz, auch als Hardware-Fehlertoleranz von Zwei bezeichnet, auf. Mindes ^¬ tens zwei der Schaltelemente 52, 54, 56 sind diversitär, als bautypenfremd ausgebildet, so dass die Fehlertoleranz der Be ^¬ tätigungsseite 50 weiter gesteigert ist. Die Betätigungsseite 50 erreicht bei einem Vorliegen von zwei Hardware-Fehlern eine Safe-Failure-Fraction SFF von 60%, insbesondere von 70% bis 90%.

In FIG 4 ist eine erste Ausführungsform der erfindungsgemäßen Sicherheitsschaltvorrichtung 10 dargestellt, die im Wesentlichen in eine Steuerseite 40 und eine Betätigungsseite 50 ge ^¬ gliedert ist. Auf der Steuerseite 40 ist eine Spannungsver- sorgung 16 angeordnet, die zur Stromversorgung der Komponenten auf der Steuerseite 40 dient. Die Spannungsversorgung 16 stellt eine Betriebsspannung 18 für eine erste und zweite Steuereinheit 12, 14 und eine erste Überwachungseinheit 30.1 bereit. Die Steuereinheiten 12, 14 und das Netzteil 16 sind jeweils mit einem Masse-Anschluss 49 verbunden. Über eine nicht näher dargestellte Steuerleitung werden Schaltbefehle 20 an die erste und eine zweite Steuereinheit 12, 14 ausgege ^¬ ben, die von diesen in einen Schaltvorgang auf der Betätigungsseite 50 umgesetzt werden. Die Schaltbefehle 20 errei- chen die Steuereinheiten 12, 14 über deren nicht näher dargestellte Signaleingänge. Die erste Überwachungseinheit 30.1 umfasst eine erstes und ein zweites Verknüpfungselement 31, 36, die als Transistoren ausgebildet sind und in Reihe ge ^¬ schaltet sind. An einem ersten Kollektor-Anschluss 33 liegt die Betriebsspannung 18 an. Ein erster Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 ist mit einem Ausgang 17 der ersten Steuereinheit 12 verbunden. Der Schaltbefehl 20 wird von der ersten Steuereinheit 12 als Betätigung des ersten Ba- sis-Anschlusses 32 in der ersten Verknüpfungselement 31 aus ^¬ gegeben. Bei einer entsprechenden Betätigung am ersten Basis- Anschluss 32 erlaubt das erste Verknüpfungselement 31 einen Stromfluss durch einen ersten Emitter-Anschluss 35. Ferner liegt im Bereich des ersten Emitter-Anschlusses 35 der zweite Kollektor-Anschluss 37 des zweiten Verknüpfungselements 36 und dazwischen eine erste Verzweigung 43, von der ein erster Rückkanal 42 abzweigt. Der erste Rückkanal 42 wiederum führt zur zweiten Steuereinheit 14. Über den ersten Rückkanal 42 wird der Schaltzustand des ersten Verknüpfungselements 31 an die zweite Steuereinheit 14 gemeldet. Die zweite Steuerein ^¬ heit 14 ist dazu ausgebildet, den Eingang des Rückkanals mit dem an der zweiten Steuereinheit 14 vorliegenden Schaltbefehls 20 abzugleichen und so einen bestimmungsgemäßen Schalt- zustand am erste Verknüpfungselement 31 zu verifizieren oder einen fehlerhaften Schaltzustand zu identifizieren. Die Steuerseite 40 weist auch eine zweite und dritte Überwachungsein ^¬ heit 30.2, 30.3 auf, die jeweils einem zweiten bzw. dritten Schaltelement 54, 56 auf der Betätigungsseite zugeordnet sind. Die zweite und dritte Überwachungseinheit 30.2, 30.3 sind jeweils analog der ersten Überwachungseinheit 30.1 aus ^¬ gebildet und in gleicher Weise mit der ersten und zweiten Steuereinheit 12, 14 verbunden. Die Ausführungsform gemäß FIG 4 verwirklicht das Prinzip eines parallelen Aufbaus der Steu- erseite 40. Bei Verwendung von lediglich zwei Steuereinheiten 12, 14 wird eine separate Sicherung der Ausgabe des Schaltbe ^¬ fehls 20 für jedes einzelne Schaltelement 52, 54, 56 durch die separaten Überwachungseinheiten 30.1, 30.2, 30.3 umgesetzt .

Analog zur ersten Steuereinheit 12 wird der Schaltbefehl 20 von der zweiten Steuereinheit 14 über deren Ausgang 19 an den zweiten Basis-Anschluss 38 des zweiten Verknüpfungselements 36 ausgegeben. Durch die entsprechende Betätigung des zweiten Basis-Anschlusses 38 erlaubt das zweite Verknüpfungselement 36 einen Stromfluss über einen zweiten Emitter-Anschluss 39. Der Stromfluss vom zweiten Emitter-Anschluss 39 zum Kopp ^¬ lungspunkt 47 erfolgt über einen Signalausgang 46. Ein vor- liegender Stromfluss im Signalausgang 46 bildet den vorliegenden Schaltbefehl 20 an die Betätigungsseite 50 ab. Zwi ^¬ schen dem Kopplungspunkt 47 und dem zweiten Emitter-Anschluss 39 ist eine zweite Verzweigung 45 angeordnet, von der ein zweiter Rückkanal 44 zur ersten Steuereinheit 12 führt. Das über den zweiten Rückkanal 44 zur ersten Steuereinheit 12 geführt Signal stellt den Schaltzustand des zweiten Verknüp ^¬ fungselements 36 dar. Die erste Steuereinheit 12 ist dazu ausgebildet, das über den zweiten Rückkanal 44 transportierte Signal mit dem vorliegenden Schaltbefehl 20 abzugleichen. Hierdurch ist die erste Steuereinheit 12 dazu ausgebildet, einen bestimmungsgemäßen Schaltzustand am zweiten Verknüpfungselement 36 zu verifizieren oder einen fehlerhaften

Schaltzustand zu identifizieren.

Wenn die durch die erste Steuereinheit 12 ein fehlerhafter Schaltzustand am zweiten Verknüpfungselement 36 erkannt wird, ist die erste Steuereinheit 12 dazu ausgebildet, durch eine entsprechende Betätigung am ersten Basis-Anschluss 32 der ersten Verknüpfungseinheit 31 den Stromfluss zum ersten Emit ^¬ ter-Anschluss 35 zu unterbinden. Dadurch wird ein weiterer Betrieb auf Basis eines fehlerhaften Schaltbefehls 20 oder eines Hardwaredefekts in der Sicherheitsschaltvorrichtung 10 verhindert. Gleichermaßen ist die zweite Steuereinheit 14 da- zu ausgebildet, bei Erkennung eines fehlerhaften Schaltzu ^¬ stands am ersten Verknüpfungselement 31 durch Betätigung des zweiten Basis-Anschlusses 38 den Stromfluss zum zweiten Emit ^¬ ter-Anschluss 39 zu unterbinden. In der erfindungsgemäßen Sicherheitsschaltvorrichtung wird so auf der Steuerseite 40 mindestens eine Ein-Fehler-Toleranz , auch Hardware-Fehlertoleranz von Eins genannt, verwirklicht. Über die Verknüpfungselemente 31, 36 der Überwachungseinheit wird zwischen den Steuereinheiten 12, 14 eine indirekte Über- kreuz-Überwachung ausgebildet. Ferner sind die erste und zweite Steuereinheit 12, 14 unmittelbar über eine Diagnose ^¬ leitung 15 miteinander verbunden. Die Diagnoseleitung umfasst auch eine Ansteuerleitung, die ein gegenseitiges Abschalten der Steuereinheiten ermöglicht. Hierdurch wird eine direkte gegenseitige Überwachung verwirklicht, so dass durch die Kom ^¬ bination mit der indirekten Überkreuz-Überwachung ein besonders hohes Maß an Sicherheit auf der Steuerseite 40 erzielt wird. Insbesondere wird auf der Steuerseite 40 bei einem vor ^¬ liegenden Hardwarefehler einen Diagnosedeckungsgrad von 90% bis 99% erzielt.

Die Verbindung zwischen der Steuerseite 40 und der Betäti- gungsseite 50 erfolgt über den Kopplungspunkt 47. Auf der Be ^¬ tätigungsseite 50 sind ein erstes, ein zweites und ein drit ^¬ tes Schaltelement 52, 54, 56 angeordnet, die als Standardre ^¬ lais ausgebildet sind. Die Schaltelemente 52, 54, 56 sind je ^¬ weils dazu ausgebildet, eine Leitung 25 eines nicht näher dargestellten Lastkreises 23 zu unterbrechen. Das erste

Schaltelement 52 ist über den Kopplungspunkt 47 an die ersten Überwachungseinheit 30.1 angeschlossen, über die der Schalt ^¬ befehl 20 bei entsprechender Betätigung und Funktionstüchtigkeit der Komponenten auf der Steuerseite 40 an das Schaltele- ment 52 ausgeben wird. Das zweite und dritte Schaltelement

54, 56 sind jeweils über eigene Kopplungspunkte mit der zwei ^¬ ten Überwachungseinheit 30.2 bzw. der dritten Überwachungs ^¬ einheit 30.3 gekoppelt. Hierdurch wird pro Schaltelement 52, 54, 56 ein hohes Maß an Betriebssicherheit. Jedes der Schalt- elemente 52, 54, 56 verfügt über einen separaten Masse-An- schluss 49, so dass jedes der Schaltelemente pp-geschaltet ist. Die Parallelschaltung der Schaltelemente 52, 54, 56 ge ^¬ währleistet auch bei vorliegen von zwei Hardware-Fehlern auf der Betätigungsseite 50 noch ein sicheres Trennen der Leitung 25 des Lastkreises 23. Insgesamt weist die Betätigungsseite 50 mindestens eine Zwei-Fehler-Toleranz, auch als Hardware- Fehlertoleranz von Zwei bezeichnet, auf. Mindestens zwei der Schaltelemente 52, 54, 56 sind diversitär, als bautypenfremd ausgebildet, so dass die Fehlertoleranz der Betätigungsseite 50 weiter gesteigert ist. Die Betätigungsseite 50 erreicht bei einem Vorliegen von zwei Hardware-Fehlern eine Safe- Failure-Fraction SFF von 60%, insbesondere von 70% bis 90%. In FIG 5 sind schematisch die Kontakte 62 eines Schaltele ^¬ ments 52, 54, 56 abgebildet, das als Standard-Komponente aus ^¬ gebildet ist. Die Kontakte 62 gehören als Kontaktfederpaare

68 zu einem Öffner 63 und zwei Schließern 64. Der vorliegende Schaltzustand ist durch einen Antrieb 67 einstellbar. Im

Schaltzustand nach FIG 5 liegt ein Kontaktkleben, also eine Verschweißung 69, am Schließer 64 vor. Bei der Betätigung des Antriebs 67 ist das Kontaktfederpaar 68 mit der Verschweißung

69 sich nicht wie der benachbarte Schließer 64 trennbar. An den Kontakten 62 geöffneten Öffners 63 liegt ein sicherer

Kontaktabstand 65 vor, so dass bei den vorliegenden Betriebs ^¬ spannungen auch kein Lichtbogen entstehen kann. Derartige sichere Kontaktabstände betragen mindestens 0,5 mm. Beim intak ^¬ ten Schließer 64, also der Schließer 64 ohne Verschweißung 69, hingegen bedeutet das Fehlen einer Zwangsführung der Kontakte 62, dass durch die Betätigung mittels des Antriebs 67 ein unsicherer Kontaktabstand 66 vorliegt. In einem solchen unsicheren Kontaktabstand 66 kann durch einen Lichtbogen ein Stromfluss eintreten. Ein unsicherer Kontaktabstand beträgt dabei bis zu 0,5 mm. Der Schließer 64 ohne Verschweißung nimmt damit einen unbestimmten Schaltzustand ein.