Die vorliegende Erfindung betrifft eine Vorrichtung mit einer individuellen Not-Aus- Funktion.

Not-Aus-Funktionen bilden heute einen wichtigen Bestandteil in Steuerungssystemen, um in einem Gefahrenfall oder zur Abwendung einer Gefahr eine Vorrichtung oder eine Maschine schnell in einen sicheren Zustand zu versetzen.

Dabei muss die einwandfreie Funktion der Not-Aus-Ketten stets durch den Aufbau und die Steuerungsarchitektur sichergestellt sein. Je mehr Bauteile in einer solchen Sicherheitskette verbaut werden, desto schlechter wird ihre Verfügbarkeit, da jedes Bauteil eine intrinsische Ausfallrate mit sich bringt. Diese Ausfallraten addieren sich im Gesamtsystem, so dass es wichtig ist, die Anzahl von Komponenten in solchen Sicherheitsketten zu minimieren.

Flerkömmliche Not-Aus-Anforderungen werden in der Regel mit Hilfe eines Schalters (Schütz, Relais, Transistor, etc.) in der Energiehauptversorgung (Zuleitung) gelöst. Dabei wird bei der Aktivierung eines Not-Aus-Schalters oder einer Notaus-Kette der Schalter geöffnet und dadurch die an die Energieversorgung angeschlossenen Teilsysteme energielos, so dass der sichere Zustand erreicht ist. Bei Systemen der Stopp-Kategorie 2 werden unabhängige Energiekreise aufgebaut, die dann durch eine spezielle Verschaltung der Steuerungen (Topologien), den gewünschten Zielzustand bereitstellen können.

Die unterschiedlichen Kategorien unterscheiden sich dabei wie folgt:

Bei der Stopp-Kategorie 0 wird die Energiezufuhr zu den Antriebselementen sofort getrennt, wobei dies aber nur sinnvoll ist, wenn das plötzliche Abschalten der Energie keine Gefährdung verursacht. Bei Systemen der Stopp-Kategorie 1 wird ein gesteuertes Stillsetzen durchgeführt. Dabei wir die Maschine in einen sicheren Zustand versetzt, und erst danach wird die Energie zu den Antriebselementen endgültig getrennt. Dies ist sinnvoll, wenn Klemmungen, Bremsen o. Ä. Energie benötigen. Systeme mit der Stopp-Kategorie 2 bewirken, dass die Maschine in einen sicheren Zustand versetzt, die Energie aber nicht getrennt wird. Diese Kategorie wird vor allem dann genutzt werden, wenn technisch keine Möglichkeit besteht, gefahrlos die Energie zu trennen. Zum Beispiel würde bei einem Kran mit Lasthebemagnet das Abschalten der Spannung am Magnet zum Abstürzen der Last führen. Hierfür werden oftmals in der Systemarchitektur unterschiedliche Schaltkreise mit unterschiedlichen Steuergeräten verwendet, um das Deaktivieren von Komponenten gezielt auf nur einen Teil zu richten.

Oftmals ist es bei Aktivierung eines Not-Aus-Schalters aber wünschenswert, dass nicht alle dedizierten Ausgänge eines Steuersystems energielos geschaltet werden, so dass nicht sicherheitsrelevante Ausgänge des Steuersystems weiter mit Energie versorgt werden.

Dabei ist es aber nach dem Stand der Technik so, dass für eine solche Funktionalität, die eine individuelle Steuerung von Ausgängen eines Steuergeräts bei einem Not-Aus zusammen mit einem 2. Abschaltweg ermöglicht, mindestens 3 Schaltungselemente benötigt werden. So werden bei n individuell zu schaltenden Ausgängen 2n Schalter (typischerweise 2n+1 Schalter) benötigt, wodurch eine hohe Anzahl an Fehlerquellen und auch eine hohe Anzahl an Bauteilen vorhanden ist.

Es ist demnach das Ziel der vorliegenden Erfindung, die vorstehend aufgeführten Probleme abzumildern oder zu überwinden, damit auch bei einer weniger Bauteile erfordernden Umsetzung ein Not-Aus dedizierte Ausgänge eines Steuerungssystems nicht abschaltet sondern ihren Zustand weiterhin beibehält.

Dies gelingt mit einer Vorrichtung, welche sämtliche Merkmale des Anspruchs 1 aufweist. Weitere vorteilhafte Ausgestaltungen sind dabei in den abhängigen Ansprüchen festgelegt.

Nach der Erfindung ist demnach vorgesehen, dass die Vorrichtung mit einer individuellen Not-Aus-Funktion versehen ist und eine Energiequelle zum Bereitstellen von elektrischer Energie, eine Last, die über die Energiequelle mit Energie versorgbar ist, einen ersten Schalter, der zwischen der Energiequelle und der Last angeordnet ist und in seinem geöffneten Zustand eine Versorgung von Energie an die Last unterbricht, einen zweiten Schalter, der zwischen der Energiequelle und der Last stromabwärts des ersten Schalters angeordnet ist und in seinem geöffneten Zustand eine Versorgung von Energie an die Last unterbricht, und eine Logikeinheit umfasst, die dazu ausgelegt ist, den ersten Schalter und den zweiten Schalter zu betätigen. Die Vorrichtung ist dadurch gekennzeichnet, dass die Logikeinheit ferner dazu ausgelegt ist, bei einer Not-Aus-Anforderung den zweiten Schalter zu öffnen, um die Last von der Energiequelle zu trennen, und zu überprüfen, ob das Öffnen des Schalters zu einem Trennen der Energiequelle von der Last geführt hat, und falls nicht, den ersten Schalter zu öffnen.

Die Not-Aus-Funktion der Vorrichtung wird deswegen als„individuell“ bezeichnet, da sie zuerst eine gezielte Abschaltung der Last vornimmt und nur dann, wenn dies fehlgeschlagen ist, die Haupt-Energiezufuhr über das Öffnen des ersten Schalters unterbricht. Es kann demnach vorgesehen sein, dass der zweite Schalter nur zum An- bzw. Ausschalten der daran angehängten Last dient und andere unabhängig davon schaltbare Lasten nicht durch Betätigen des zweiten Schalters geschaltet werden. Da der zweite Schalter auch zum Regulären Ein- und Ausschalten der Last dient, ist es also nicht erforderlich, einen weiteren separaten Schalter vorzusehen. Um die strengen Anforderungen an einen Not-Aus zu erfüllen, muss es einen zweiten Schaltweg zum Deaktivieren der Energiezufuhr an die Last geben, der nach der Erfindung über den ersten Schalter gegeben ist. Im Gegensatz zum Stand der Technik spart man sich somit eine Schalteinheit und kann eine kompaktere und weniger fehleranfällige Vorrichtung vorsehen.

Nach einer Fortbildung der Erfindung ist vorgesehen, dass der erste Schalter und der zweite Schalter zueinander in Reihe geschaltet sind. Durch die Reihenschaltung der beiden Schalter geht unmittelbar hervor, dass bereits das Öffnen von nur einem der Schalter zu einer Unterbrechung der Energiezufuhr an die Last führt, so dass sich die Last in einem sicheren Zustand befindet.

Vorzugsweise ist vorgesehen, dass mindestens eine weitere Last über eine stromabwärts des ersten Schalters und stromaufwärts des zweiten Schalters angeordnete Abzweigung mit der Energiequelle verbunden ist. Diese weitere Last kann dabei über einen zugehörigen Schalter angebunden sein, der ebenfalls in Reihe zu dem ersten Schalter der Vorrichtung angeordnet ist. So kann diese weitere Last durch die Logikeinheit gesteuert werden, indem der zugehörige Schalter durch die Logikeinheit schaltbar ist.

Dem Fachmann ist klar, dass es dabei eine Vielzahl von weiteren Lasten geben kann, die stromabwärts des ersten Schalters angebunden sind und dabei vorzugsweise über einen jeweiligen weiteren Schalter verfügen, der die Stromzufuhr unabhängig von dem ersten Schalter an die Last steuern kann. So kann vorgesehen sein, dass die Energiequelle mit dem ersten Schalter verbunden ist und stromabwärts des ersten Schalters eine Vielzahl von Lasten angebunden ist, die jeweils über einen zugehörigen Schalter mit der Energiequelle verbindbar sind. Dabei kann jeder Schalter durch die Logikeinheit steuerbar ausgebildet sein.

Erreicht die Logikeinheit nun eine Not-Aus-Anforderung für eine bestimmte der mehreren Lasten, wird nicht etwa durch Öffnen des ersten Schalters die Energie- Hauptversorgung gekappt, sondern es wird gezielt nur diejenige Last durch Öffnen des zugehörigen zweiten Schalters energielos geschaltet, für die die Anforderung eingegangen ist. Die anderen Lasten können dabei mit der Energieversorgung weiter versorgt werden.

Stellt die Logikeinheit nach einem Öffnungsversuch des zugehörigen zweiten Schalters hingegen fest, dass die Last weiterhin mit Energie versorgt wird, wird unverzüglich der erste Schalter geöffnet, so dass nun nicht nur die Last, für die die Anforderung des Not-Aus empfangen worden ist, sondern alle durch die Logikeinheit steuerbaren Lasten von der Energieversorgung getrennt werden.

So kann es Vorkommen, dass aufgrund eines durchlegierten zweiten Schalters ein Öffnen nicht möglich ist, so dass der 2. Weg zum Unterbrechen der Energiezufuhr mittels Öffnung des ersten Schalters durchgeführt werden muss.

Nach einer Fortbildung der Erfindung kann vorgesehen sein, dass das Öffnen des ersten Schalters ein Deaktivieren der Energie-Hauptversorgung der Vorrichtung ist und das Öffnen des zweiten Schalters nur das Deaktivieren der zugehörigen Last bewirkt.

Nach einer optionalen Modifikation kann vorgesehen sein, dass bei einer Anzahl von n Lasten, die mit einer Not-Aus-Funktion steuerbar sind, nur n+1 Schalter in der Vorrichtung zur Umsetzung der Not-Aus-Funktion vorhanden sein müssen, so dass bei genau einer Last nur zwei Schalter erforderlich sind. Dabei steigt also die erforderliche Anzahl an Schalter nicht linear um den Faktor 2 bei einer Erhöhung der verwendeten Lasten, sondern wird nur gleichlaufend mit der Anzahl der Lasten erhöht. Weiter kann vorgesehen sein, dass die Energiequelle eine Batterie eines Fahrzeugs ist, und insbesondere auch einen Anschluss an die Klemme 30 einer Fahrzeugbatterie darstellen kann. Die Klemme 30 beschreibt dabei die Plus-Leitung der Batterie. Nach der Erfindung kann ferner vorgesehen sein, dass die Not-Aus-Funktion eine Not-Aus-Funktion in der Stopp-Kategorie 2 ist. Durch den Aufbau der Vorrichtung ist es also möglich, trotz einer Not-Aus-Anforderung andere Bestandteile der Vorrichtung weiterhin in Betrieb zu halten. Lediglich dann, wenn der zweite Schalter defekt ist oder sich aus einem anderen Grund nicht öffnen lässt, erfolgt ein Abtrennen von der Haupt-Energiezufuhr, sodass auch die eventuell weiteren Lasten nicht mehr mit Energie versorgt werden. Nach der Erfindung ist dabei die Funktionsweise der Not-Aus-Funktion sichergestellt bis Performance Level„d“ nach ISO-13849. Weiter kann nach der vorliegenden Erfindung vorgesehen sein, dass wobei die

Logikeinheit ihre Energie von einer unabhängigen und aus Uv _ersorgung abgeleiteten Energiequelle bezieht.

Vorzugsweise wird zur Umsetzung der Not-Aus-Funktion der Last nur auf den ersten Schalter und den zweiten Schalter zurückgegriffen. Weitere Schalter sind demnach nicht erforderlich. So gibt es für jede mit der Not-Aus-Funktion der vorliegenden Erfindung versehene Last einen exklusiv dieser zugeordneten Schalter (sog. zweiter Schalter), der stromabwärts des ersten Schalters angeordnet ist und am dem nur die zu schaltende Last hängt. Weitere dazu in Reihe geschaltete Schalter sind vorzugsweise nicht vorgesehen. Nach der Erfindung kann weiter vorgesehen sein, dass der zweite Schalter derjenige Schalter ist, der auch zum regulären An- oder Ausschalter der Last genutzt wird. Durch das erfindungsgemäße Zusammenlegen der Not-Aus-Funktion und des normalen Schaltungsbetriebs, ist eine Einsparung eines Schalters möglich, wobei aber trotzdem die Funktion einer individuellen Not-Ausschaltung beibehalten wird. Der erforderliche zweite Abschaltweg (für den Fall, dass die erste Abschaltung über den zweiten Schalter aus nicht näher differenzierten Gründen fehlschlägt) ist der erste Schalter vorgesehen.

Die Erfindung betrifft ferner ein Steuerungssystem für ein Fahrzeug mit einer Vorrichtung nach einem der vorhergehend aufgeführten Aspekte.

Weitere Merkmale, Einzelheiten und Vorteile der Erfindung werden aus der nachfolgenden detaillierten Figurenbeschreibung ersichtlich. Dabei zeigen:

Fig. 1 : ein allgemeines Schema der vorliegenden Erfindung, in der ein erster

Abschaltweg bei einer Not-Aus-Anforderung hervorgehoben ist, und

Fig. 2: das allgemeine Schema der vorliegenden Erfindung, in der ein zweiter

Abschaltweg bei einer Not-Aus-Anforderung hervorgehoben ist.

Fig. 1 zeigt dabei eine Struktur einer möglichen Verschaltung der vorliegenden Erfindung.

Dabei weist die Vorrichtung 1 eine Energiequelle 2 auf, die vorliegend durch eine Versorgungsspannung „Uversorgung“ in der Figur dargestellt ist. Diese ist direkt an einen ersten Schalter 4 angeschlossen, der durch eine Logikeinheit 6 über die Leitung 8 steuerbar ist. Das andere Ende des ersten Schalters 8 ist dabei mit einem zweiten Schalter 5 verbunden, der ebenfalls durch die Logikeinheit 6 steuerbar ist. Die Steuerleitung trägt dabei das Bezugszeichen 9. Das andere Ende des zweiten Schalters 5 steht in direkter Verbindung mit einer Last 3, die mittels der Not-Aus- Funktion von der Energiequelle 2 trennbar sein soll.

Da in dem Abschnitt zwischen den beiden Schaltern 4, 5 weitere Lasten angehängt sein können (nicht dargestellt) ist das dortige Spannungsniveau mit „Ustopp“ bezeichnet und entspricht demnach nicht unbedingt der Versorgungsspannung

U Versorgung-

Die Last 3 ist dabei mit ihrem dem Schalter abgewandten Anschluss mit Erde verbunden, so dass bei geschlossenen Zuständen des ersten Schalters 4 und des zweiten Schalters 5 ein Spannungsabfall über der Last anliegt.

Weiter kann zur Stabilisierung der Not-Aus-Funktion eine parallel zur Last geschaltete Halbleiterdiode 11 vorgesehen sein, die mit ihrer Kathode an die zwischen dem zweiten Schalter und der Last führenden Leitung angeklemmt ist und mit ihrer Anode mit Erde verbunden ist. Die Diode befindet sich in der dargestellten Verschaltung der Fig. 1 demnach in Sperrrichtung.

Mit der Verbindung 10, die von der Logikeinheit 6 hin zur Last 3 verläuft, kann die Logikeinheit 6 prüfen, ob die Last 3 energielos ist oder nicht.

Zu beachten ist, dass die dargestellten Zustände der Schalterfrei gewählt sind und nichts über die eigentlichen Betriebszustände aussagen In einem Anwendungsbeispiel der Erfindung geht bei einer mit Energie versorgten Last 3 eine Not-Aus-Anforderung von der Einheit 7 an die Logikeinheit 6 Diese wiederum veranlasst mit Hilfe der Leitung 9 eine Öffnung des zweiten Schalters 5 aus seiner geschlossenen in seine geöffnete Position. Ist dieser Öffnungsvorgang erfolgreich, so ist die Last 3 von der Energiequelle getrennt und in den sicheren Zustand überführt worden. Dies ist in der Fig. 1 mit den gestrichelt ausgeführten Leitungen dargestellt. Stellt die Logikeinheit 6 mittels ihrer Leitung 10 hingegen fest, dass die Last trotz eines Öffnungsversuchs des zweiten Schalters 5 weiterhin mit Energie versorgt wird (durchgehend gezeichnete Leitung 10), so ist es erforderlich, die Abschaltung der Last 3 über einen alternativen Abschaltweg durchzuführen.

Fig. 2 zeigt den denn auszuführenden alternativen Abschaltweg in gestrichelter Ausführung.

Schlägt also das direkte Abschalten der Last fehl (bspw. wegen einem durchlegierten Schalter oder dergleichen), das das Beibehalten der Funktionalität von weiteren an der Leitung „Ustopp“ angehängten Lasten mit sich bringen würde, führt die Logikeinheit 6 ein Trennen der Energie-Hauptzufuhr durch, indem der ersten Schalter 4 in seine geöffnete Stellung überführt wird. Hierzu wird über die Leitung 8 der erste Schalter 4 in seine geöffnete Position überführt, so dass alle der zum ersten Schalter 4 stromabwärts angeordneten Lasten von der Energieversorgung getrennt werden.

Die von der Logikeinheit 6 abgehende Leitung 10 bestätigt (daher gestrichelt ausgeführt) dabei, dass die Last 3 von ihrer Energieversorgung 2 getrennt ist.

Somit ist es durch die Erfindung möglich, einen dedizierten elektrischen Ausgang mit Hilfe eine Not-Aus-Signals zu deaktivieren, während andere Ausgänge in ihrem Zustand unverändert beibehalten werden können. Dies ermöglicht das Weiterlaufen von nicht sicherheitsrelevanten Funktionen, obwohl ein Not-Aus-Signal eine Last erfolgreich abgekoppelt hat.

Die in Fig. 1 und Fig. 2 dargestellte Logikeinheit kann auch aus einer Verschaltung von mehreren unabhängigen Einzellogikeinheiten bestehen.