用于监视设备的方法和装置与流程

本发明涉及用于监视设备的方法和装置，其中经由通信接口来传输安全性相关信息。

背景技术：

从对人和环境的危险出发，设备(例如，在有爆炸危险的区域中的设备)通常由电子保护电路来监视。这些保护电路应当在检测到预定义的危险时使设备进入安全状态。在此，这些保护电路的可靠性以及安全性相关信息的安全处理尤其重要。

在ep1967831b1中介绍了一种用于温度监视的保护概念，其中测量电路(温度测量)、测量值分析、以及应当在检测到安全性相关危险(温度过高)时使被监视的设备进入安全状态的致动器被紧凑地安置在一装置中。

在特定的应用情形中，测量单元与致动器(触发单元)的空间分隔在技术上是有意义的或者是必要的。因此，必须针对可点燃的过高温度来监视例如专门设计成用于有爆炸危险的区域中的机器。该监视被视为与安全性相关，并且必须根据安全性要求特别可靠地起作用。通常由电开关元件(继电器；接触器)构成的致动器应当在检测到潜在的可点燃的过高温度时关闭机器，但其本身不能或仅以较高的耗费与机器一起被安置在处于有爆炸危险的区域中，因为致动器的任何开关火花本身可能构成点火源。在此种情形中，安全性相关的温度信息必须随后经由通信接口传送到致动器，该致动器被安置在安全的且在空间上与机器分开的区域中。在此种情形中适用高安全性要求，或者要求针对传送温度信息的高可靠性。

即使在工业4.0时代，经由通信接口来传输安全性相关信息也不再脱离构想。因此，高安全性要求也适用于测量单元、信号生成、通信接口、信息传输、信息接收和分析以及安全性相关任务的执行的整个处理链。这些安全性要求的实施通常需要较高的耗费，其中复杂度增加(这对于直接实施安全性要求而言通常是必需的)，并且还增加了混乱(这随后成为进一步的问题源)。

技术实现要素：

因此，本发明的任务在于，提出一种用于监视设备的简单明了的安全性概念，利用该安全性概念经由通信接口来传输安全性相关信息。

根据本发明，该任务通过权利要求1和11的特征来解决。

根据本发明的用于监视设备的方法的特征在于：

a.测量设备的至少一个安全性相关参数，

b.在第一分析单元中针对符合至少一个预定的极限值来分析该安全性相关参数，

c.第一分析单元被设置在通信接口的发送侧，而触发单元被设置在通信接口的接收侧，并且在发送侧与接收侧之间进行数据传输，并且其中此外

d.在三种运行状态(即，正常运行、第一临界运行状态和第二临界运行状态)之间进行区分，其中

d1.正常运行的特征在于，该至少一个测得的安全性相关参数符合该至少一个预定的极限值，并且不存在阻碍经由通信接口进行有效数据传输的技术故障，

d2.第一临界运行状态的特征在于，测得的安全性相关参数超出该至少一个预定的极限值，并且不存在阻碍经由通信接口进行有效数据传输的技术故障，

d3.第二临界运行状态的特征在于，存在阻碍经由通信接口进行有效数据传输的技术故障，并且其中

e.在数据传输时至少传送关于运行状态的信息，以及

f.在通信接口的接收侧设置有与触发单元相连接的第二分析单元，该第二分析单元在第一分析通道和第二分析通道中彼此独立地分析关于运行状态的信息，

g.其中在存在第一运行状态或第二运行状态时激活触发单元，以使该设备进入安全状态。

根据本发明的用于执行上述方法的装置至少包括：

a.至少一个测量单元，用于测量设备的安全性相关参数，

b.第一分析单元，用于针对符合至少一个预定的极限值来分析测得的安全性相关参数，

c.触发单元，以使设备进入安全状态，

d.运行状态确定单元，用于确定设备的运行状态，其中在三种运行状态(即，正常运行、第一临界运行状态和第二临界运行状态)之间进行区分，其中

d1.正常运行的特征在于，该至少一个测得的安全性相关参数符合该至少一个预定的极限值，并且不存在阻碍经由通信接口进行有效数据传输的技术故障，

d2.第一临界运行状态的特征在于，测得的安全性相关参数超出该至少一个预定的极限值，并且不存在阻碍经由通信接口进行有效数据传输的技术故障，

d3.第二临界运行状态的特征在于，存在阻碍经由通信接口进行有效数据传输的技术故障，

e.通信接口，用于在发送侧与接收侧之间进行运行状态的数据传输，其中第一分析单元和运行状态确定单元被设置在通信接口的发送侧，而触发单元被设置在通信接口的接收侧，以及

f.在通信接口的接收侧的与触发单元相连接的具有第一分析通道和第二冗余分析通道的第二分析单元，用于监视运行状态以及用于在存在第一运行状态或第二运行状态的情形中控制触发装置(9)。

虽然传统上仅传输关于测得参数的信息或由其得出的触发信号，但是现在根据本发明也考虑是否存在阻碍经由通信接口进行有效数据传输的技术故障。例如，如果由于所使用的usb电缆意外中断而导致传输链路中断，则将不再可能进行数据传输，并且因此无法基于测量值传输来对设备进行有效的状态检测。根据本发明，在这种情形中存在第二临界运行状态。

此外，例如可构想的是，信号电平由于在通信接口的发送侧的硬件错误而显著降低，由此不能再确保在通信接口的接收侧对所传送数据进行分析。根据本发明，通信接口和传输链路的阻碍有效数据传输的每个可能的错误状态被视为针对第二临界运行的传输形式。

本发明的其他构造设计是从属权利要求的主题，其中在从属权利要求中表达的特征也可以彼此组合。

本发明的一个特别的构造设计在于，为每个运行状态分配至少一个表征所确定的运行状态的在数据传输时使用的传输形式。在此，可以通过对传输形式的适当选择来确保可清楚明确地在正常运行与两个临界运行状态之间进行区分。阻碍经由通信接口(6)进行有效数据传输的通信接口(6)的每个错误状态被分配针对第二临界运行的传输形式。

根据本发明的另一构造设计，在第二分析单元中通过分析所传送的传输形式来进行对关于运行状态的信息的分析。在此情况下可构想的是，为了进行区分，表征正常运行的传输形式通过至少第一区别特征来与表征第一临界运行状态的传输形式区分开且通过至少第二区别特征来与表征第二临界运行状态的传输形式区分开。由此应当确保正常运行与第一或第二临界运行状态的清晰明确的分隔是可能的。例如，所定义的dc偏移可被设置为第一区别特征。因此，具有所定义的dc偏移的传输形式可能意味着正常运行，而具有在所定义的dc偏移的公差范围之外的dc偏移的传输形式表示存在第一临界运行状态。替换地，所定义的幅度也可被设置为第一区别特征，其中具有所定义的幅度的传输形式表示正常运行，而具有在所定义的幅度的公差范围之外的幅度的传输形式发信号通知第一临界运行状态。所定义的dc偏移又可被用作用于将正常运行与第二临界运行状态进行划界的第二区别特征。然而，替换地，在此也可以再次设置将正常运行与第二临界运行状态区分开的所定义的幅度。

第一区别特征和第二区别特征优选地具有共同的特性，该共同的特性实现了将正常运行与第一临界运行状态和第二临界运行状态两者区分开。然而，在本发明的范围内，还可构想的是，第一区别特征和第二区别特征是相同的，因为在许多应用情形中在接收侧仅重要的是，存在正常运行还是两个临界运行状态之一，因为在第一临界运行状态和第二临界运行状态两者的情况下都进行触发单元的激活。

在本发明的另一构造设计中，在正常运行中和/或在第一临界运行状态中进行数据传输时，除了关于运行状态的信息之外还传送关于测得的安全性相关参数的信息和/或其他运行数据。这具有的优点是，在正常运行中在通信接口的接收侧获得关于测得的安全性相关参数相对于其极限值的位置的信息。因此，可以在必要时例如通过以相应降低的功率运行设备来尽早采取对策。与之相反，如果存在第一临界运行状态，则可以从所传送的关于测得的安全性相关参数的信息中更精确地且详细地限定错误原因，尤其是在测量和分析不同的安全性相关参数时。

此外，当然可构想，也出于信息和诊断的目的而传送其他运行数据，这些运行数据不会负面地影响在接收侧对所传送的运行状态的分析。

此外，第一分析通道和第二分析通道优选地如此与触发单元连接，以使得在这两个分析通道中的至少一个分析通道生成触发信号时激活触发单元。例如，这可以经由或门来进行。为了进一步改进分析并且为了确保更高的安全性，以不同的方式来构造这两个分析通道，使得第一分析通道可基于软件控制的工作原理，而第二分析通道中的分析可基于硬件控制的工作原理。然而，两个分析通道均被构造成使得其可检测所传送的运行状态，其中第一分析通道除了运行状态之外还分析在必要时传送的安全性相关参数，而第二分析通道仅检测是否存在两个临界运行状态之一。

附图说明

根据下述说明和附图进一步阐述本发明的其它优点和设计构造。

附图中示出：

图1示出了根据本发明的装置的框图，

图2示出了在正常运行中和在第一临界运行中以所定义的极限频率作为第一区别特征的传输形式的信号变化过程，

图3示出了在正常运行中和在第一临界运行状态中以设置为零的极限频率作为第一区别特征的传输形式的信号变化过程，

图4示出了在正常运行中和在第一临界运行中以所定义的幅度作为第一区别特征的传输形式的信号变化过程，

图5示出了在正常运行中和在第一临界运行中以所定义的dc偏移作为第一区别特征的传输形式的信号变化过程，

图6示出了在正常运行中和在第一临界运行中的传输形式的信号变化过程，其中第一区别特征在于，数据传输在正常运行中连续地进行并且在第一临界运行状态中以足够的停顿进行，

图7示出了在正常运行中和在第二临界运行状态中的信号变化过程，其中在第二临界运行状态中的传输形式在于，不进行数据传输并且dc电平对应于接地，其中所定义的极限频率被视为第二区别特征，

图8示出了在正常运行中和在第二临界运行状态中的信号变化过程，其中在第二临界运行状态中的传输形式的特征在于，不进行数据传输并且存在处于未定义的高度的dc电平，其中所定义的极限频率被视为第二区别特征，

图9示出了在正常运行中和在第二临界运行状态中的信号变化过程，其中在第二临界运行状态中，dc偏移被移至与正常运行不同的电平，其中所定义的dc偏移被视为第二区别特征，

图10示出了在正常运行中和在第二临界运行状态中的信号变化过程，其中在第二临界运行状态中的传输形式的特征在于显著减小的传输信号的幅度，其中所定义的幅度被视为第二区别特征，以及

图11示出了在第二分析单元的区域中的示意性实施例。

具体实施方式

根据本发明的用于监视设备(例如冷却设备或泵站)的装置具有测量单元1，该测量单元1经由未进一步示出的传感器来测量该设备的至少一个安全性相关参数。在此，这可以是例如电动机的绕组温度。在第一分析单元2中针对符合至少一个所分配的极限值来分析测得的安全性相关参数。在此，在温度测量的情形中检查是否超过了预定的最大温度值。此外，还设置有触发单元9，以通过例如关闭设备或以降低的功率操作设备来使该设备进入安全状态。

以如下方式来确定设备的运行状态：

通过由第一分析单元2确定至少一个安全性相关参数是否超出极限值来在正常运行和第一临界运行状态之间进行区分。对第二临界运行状态的检测是接收侧的任务，因为在存在此类技术故障时不能再认为经由通信接口6进行的数据传输仍然有效或者不知晓通信接口处于哪种错误状态。

此外，在通信接口6的发送侧上还设置有信号生成单元5，该信号生成单元5生成要从发送侧向通信接口的接收侧传输的数据信号，其中该数据信号具有由运行状态确定单元3确定的表征性传输形式的运行状态。在通信接口6的接收侧，除了触发单元9之外还设置有第二分析单元8，该第二分析单元8设置有用于分析所传送的运行状态的第一分析通道80和第二冗余分析通道81。第一分析通道和第二分析通道80、81经由或门82与触发单元连接，以在这两个分析通道中的至少一个分析通道确定存在第一或第二临界运行状态以及生成相应的触发信号83或84时激活触发单元。

通信接口6与第二分析单元8之间的传输链路7尤其可以是有线连接的或者被构造为无线电连接。根据应用情形，尤其是在有爆炸危险的设备的情况下，经由传输链路7确保了有爆炸危险的设备区域与触发单元9的空间分隔。这在触发单元在触发过程中可能产生可构成点火源的开关火花的情况下尤为必要。

尽管在所示的实施例中仅设置有测量单元1，但是当然可以测量和分析设备的多个安全性相关的以及其他的运行参数。

在以下图2至10中示出了传输形式的不同示例，这些传输形式在数据传输时可被用于传送运行状态。

在经由通信接口6进行数据传输的情况下，至少关于运行状态的信息被传送。然而，传送常规数据信息是通信接口的基本任务。优选地，经由单个通信接口传输关于运行状态的信息和常规数据两者。因此，在优选的实施方式中，至少在正常运行中并且优选地还在第一临界运行状态中附加地传输关于至少一个测得的安全性相关参数的信息。

在图2中示出了在正常运行中和在第一临界运行状态中的传输形式的信号变化过程的第一实施例。为了将这两个运行状态彼此区分开，使用第一区分特征，该第一区分特征在此通过不同的传输频率来实现。因此，也包含关于测得的安全性相关参数的信息的信号在正常运行中以高于所确定的极限频率的频率来传输。然而，如果由运行状态确定单元3确定测得的安全性相关参数不符合预定的极限值，并且因此存在第一临界运行状态，则以低于所确定的极限频率的传输频率来进行数据传输，如由图2可见。

如果在第一临界运行状态的情形中不需要传送测得的安全性相关参数的信息，则例如也可以简单地停止在第一临界运行状态中的数据传输，如在根据图3的实施例中所示。

尽管在图2的实施例中在正常运行的传输形式与在第一临界运行状态中的传输形式之间的传输形式的第一区别特征是通过不同的传输频率来实现的，但是图4的实施例示出了其中在第一临界运行状态的情形中以显著减小的幅度来进行传输的传输形式。

在图5中示出了其中在正常运行中和在第一临界运行状态中以不同的dc偏移电压来传输信号的另一替换方案。因此，在正常运行中使用dc偏移电压u1，而在第一临界运行状态中采用高于uz的dc偏移电压u2。

最后，图6还示出了关于正常运行中的传输形式可如何与第一临界运行状态中的传输形式区分开的最后实施例。在此，在正常运行中进行连续的数据传输，而在第一临界运行状态的情形中通过足够的停顿来中断数据传输。

当然，在本发明的范围中还可构想其他区分准则，尤其是还可以使用所示出的示例的组合。

以下根据图7至图10描述了用于示出正常运行和第二临界运行状态的不同传输形式的不同示例。

在根据图7的实施例中，数据传输的取消被示出为第二临界运行状态。该错误状态在根据图3的实施例中被有针对性地选为针对第一临界运行状态的传输形式。因此，在正常运行与第一临界运行状态之间以及在正常运行与第二临界运行状态之间使用相同的区别特征。这尤其对于以下情形是足够的，其中不需要传送测得的安全性相关参数的信息，并且第一和第二临界运行状态导致以同样的方式激活触发单元。

但是，如果可以在第一临界运行状态与第二临界运行状态之间进行区分，则通常对接收侧是有帮助的。因此，对于第一临界运行状态，可以将dc电平移至根据图5中的实施例的所定义的、与接地不同的电平处，以便因此与通信接口6的根据图7中的实施例的第二临界运行状态的错误状态区分开。在该情形中，可以在接收侧利用其表征相应的运行状态的传输形式来不同地分析所有3种运行状态：图5中分别针对正常运行和第一临界运行状态的传输形式以及图7中针对第二临界运行状态的传输形式。根据图5中的实施例的具有所定义的dc偏移的第一区别特征和具有所定义的极限频率的第二区别特征具有共同的特性：在所定义的dc偏移范围中以及在所定义的频率范围中的数据信号。

根据图9和图10的实施例示出了第二临界运行状态的其他错误状态，如果期望正常运行与第一临界运行状态之间以及正常运行与第二临界运行状态之间存在相同的区别特征，则这些错误状态同样可在根据图5和图4的实施例中那样有针对性地被选为针对第一临界运行状态的相应的传输形式。如果本来仅在第二分析单元中进行关于存在正常运行还是两个临界运行状态之一的检查，其中在第一临界运行状态的情形中以及在第二临界运行状态的情形中均激活触发单元，则不存在通过不同的传输形式来将这两个临界运行状态彼此区分开的必要性。

以下根据图11进一步阐述针对第二分析单元8的可构想的实施例。为了确保提高的分析可靠性，第一分析通道80被构造为软件控制的实现，并且具有例如微控制器，该微控制器分析要从通信接口6经由传输链路7传输的数据信号。除了分析所传送的运行状态之外，当然还可以在第一分析通道中分析关于测得的安全性相关参数的信息，以便在必要时影响设备的运行。因此，例如可以在确定急剧升高的温度的情况下降低设备的功率，以防止触发装置的过早激活。如果在微控制器中确定存在第一或第二临界运行状态，则生成触发信号83，该触发信号经由或门82引起触发单元的激活。

第二分析通道81被构造为硬件控制的实现，并且优选地包含简单且稳健的电路技术，该电路技术仅被设计为检测所传送的运行状态，以便随后在检测到两个临界运行状态之一的情形中生成触发信号84。在所示出的实施例中，第二分析通道81具有高通滤波器81a和频率监视电路81b。对于(根据图5和图9)以所定义的dc偏移作为第一和第二区别特征的传输形式，高通滤波器81a可将电压限制器v1与端电压uz集成。端电压uz大于针对正常运行的dc偏移电压u1，然而小于针对第一临界运行(图5)的dc偏移电压u2，并且同样小于在针对第二临界运行(图9)的错误状态中的可能的dc偏移电压u2。频率监视电路81b利用所评估的静电流原理来监视通过高通滤波器81a的信号。据此，仅在通信接口6上的数据传输具有分配给正常运行的传输形式的情况下才开通被监视设备的运行。在根据图2的实施例中，正常运行的传输形式是通过以高于高通滤波器61a的极限频率的频率进行的连续数据传输。通过高通滤波器81a来减弱或阻止不符合正常运行的传输形式的具有较低频率的传输信号，使得频率监视电路81b生成用于激活触发单元9的触发信号84。

两个分析通道80、81的触发信号83和84被“或”链接，以在存在两个触发信号83、84中的至少一个触发信号的情况下激活触发单元9。为此，在或门82中，经由晶体管q3的第一触发信号83与经由晶体管q4的第二触发信号84如下链接，以形成经由触发单元9的输出信号：

在q3截止或q4截止的情况下激活触发单元。