安全检查装置的制作方法

1.本发明涉及一种用于运行包括多个安全部件的检查装置的方法，其中，所述安全部件分别具有用于接收数据包的信号输入端和用于发送数据包的信号输出端，其中，在所述安全部件上分别设置有可设置为激活或非激活的安全模块和可设置为激活或非激活的准备状态，其中，安全部件的所述安全模块在所属的安全部件的准备状态非激活时被设置为非激活的。


背景技术：

2.检查仪可以用于对危险的检查对象(例如电流转换器)实施测量。由于危险的检查对象可能存储危险量的能量，因此在实施测量时要采取足够的安全措施。出于这个原因，可以通过其它部件将检查仪扩展成检查装置。例如危险的工作区域可以设有警示灯和紧急停止开关作为部件。紧急停止开关能够实现快速且安全地切断检查仪中的电流放大器和电压放大器。而警示灯例如可以显示检查对象或工作区域是安全的(放电)还是不安全的(导流)。作为其它部件，可以设置有检查仪的接通保险装置(einschaltsicherung)，以便防止未经授权的接通。接通保险装置的激活尤其是在布线系统上工作时可以是重要的安全方面。检查装置通常包括多个部件，包括检查仪、警示灯、紧急停止开关、接通保险装置等。
3.构造这种检查装置的一种可能性是使用具有离散信号的安全电路。在此，检查装置的部件经由安全现场总线相互连接，其中，所述部件的通信通过安全实施的信号实现。因此，安全现场总线由制造商配置和测试。用户出于安全原因不能并且不允许改变安全现场总线。出于这个原因，对于用户来说不可能将其它部件结合到检查装置中或者传输例如用于诊断目的的附加信息。因此，除了关于所述部件之间的通信的高安全标准之外，还期望所有部件具有高的使用寿命。由于这些部件相互牢固地连接，因此在线缆敷设时产生高的耗费。此外，识别和避免线缆敷设中的故障(线缆断裂、短路、串扰等)是耗费的。


技术实现要素：

4.因此，本发明的任务在于，提供一种用于对检查对象实施测量的灵活的检查装置。
5.根据本发明，所述任务通过如下方式来解决，即安全部件的信号输入端和信号输出端这样连接，使得安全部件形成具有用于数据包的传输方向的环形的检查装置，其中，安全部件分别周期地实施多个功能测试，并且在多个功能测试成功时将所述安全部件的准备状态设置为激活的并且在所述功能测试中的至少一个功能测试失败时将所述安全部件的准备状态设置为非激活的，其中，作为其中一个功能测试，对数据包的周期的无故障的接收进行检查。选择所述安全部件中的一个安全部件作为总线主控，该总线主控周期地将数据包中的总线检查信号发送给下一个在传输方向上设置的安全部件，其中，总线检查信号分别在数据包中由安全部件继续传递，其中，所述总线主控在接收到数据包中的总线检查信号时确定闭合的环形检查装置。
6.因此，所述环形检查装置形成包括安全部件的环形总线。在此，安全部件的信号输
出端分别与另一个安全部件的信号输入端环形地连接，由此检查装置具有恰好一个用于传输数据包的传输方向。为了检查环形检查装置是否闭合，将其中一个安全部件确定为总线主控。总线主控周期地在数据包中通过检查装置的安全部件发送总线检查信号，其中，各个安全部件分别在数据包中继续传递总线检查信号。如果总线检查信号再次到达总线主控，则该总线主控可以确定闭合的检查装置。作为用于发送数据包的周期持续时间优选设置10ms至100ms，其中，尤其是对于功能测试失败的情况，较小的周期持续时间改善反应时间。
7.相应的安全部件是否实际上具有激活的准备状态取决于安全部件的类型和相应的功能测试。
8.不同于根据现有技术的安全总线，在所述安全部件本身之间的数据包的传输不是必须安全的。取而代之地，安全部件实施多个功能测试，其中，至少一个基本的功能测试以对数据包的周期的无故障的接收进行检查的形式进行。除了这种功能测试之外，还可以实施其它功能测试。只有当所有功能测试都成功时，才将相应的安全部件的准备状态设置为激活的。如果所述功能测试中的一个或多个失败，则安全部件的准备状态被设置为非激活的。所述安全部件之间的这种通信连接被称为所谓的“黑色通道”，这意味着安全部件之间的通信在功能上不被认为是安全的。
9.优选地，所述总线主控在确定闭合的环形检查装置时周期地测试其准备状态是否是激活的，并且在准备状态激活时在数据包中将准备信号发送给下一个位于传输方向上的安全部件，其中，安全部件分别在接收准备信号时检查其准备状态是否是激活的，并且在准备状态激活时在数据包中将准备信号发送给下一个位于传输方向上的安全部件。
10.因此，如果总线主控通过接收总线检查信号来确定闭合的环形检查装置并且其准备状态是激活的，则总线主控将准备信号发送给下一个在传输方向上布置的安全部件，也就是说发送给如下的安全部件，其信号输入端与总线主控的信号输出端连接。所述安全部件接收准备信号并且检查其自身的准备状态。如果其准备状态是激活的，则所述安全部件在数据包中将准备信号发送给又下一个在传输方向上布置的安全部件等。不同于总线检查信号，当环形检查装置闭合时，准备信号因此并非强制地在相应的数据包中被继续传递直至总线主控，而是仅当所有安全部件实际上也具有激活的准备状态时。
11.优选地，所述总线主控在接收到准备信号时确定准备运行的检查装置并且在数据包中将激活信号发送给下一个在传输方向上设置的安全部件，其中，所述安全部件分别在接收到激活信号时激活其安全模块并且在数据包中继续传递激活信号。
12.如果所有的安全模块都是激活的，则检查装置被激活并且能够通过安全部件交换与安全相关的信息。与安全相关的信息表示在检查结构中执行测量所需的信息。
13.因此，如果所有的安全部件具有激活的安全模块，则检查装置仅提供功能上安全的通信通道以便发送和接收与安全相关的信息。如果是这种情况，则作为安全部件之间的与安全相关的信息也可以设置合并检查装置中的所有安全部件。
14.所述安全部件例如可以包括用于输出与安全相关的信息的输出单元、用于输入与安全相关的信息的输入单元、用于输入/输出与安全相关的信息的功率单元等。然而，如果安全部件的安全模块是激活的，则安全部件仅能够从数据包中读取与安全相关的信息和/或将与安全相关的信息写入数据包。
15.作为输入单元，例如可以设置用于开启检查装置的开启单元或者用于保护检查装
置以防未经授权的人的钥匙开关。同样作为输入单元可以设置锁定单元、例如紧急停止开关，以便使单个或所有安全部件、或其功能停用。同样可以设置起动开关，以便通过检查装置最终开启测量。
16.作为功率单元，例如可以在安全部件中设置电流放大器、电压放大器、切断危险电压/电流的“开关盒”等。在安全模块未激活的情况下，在此必须确保切断功率单元。
17.作为输出单元，例如可以设置警示灯或测量值的显示单元，其中，例如在功率单元激活时可以显示警示色(例如红色)并且在功率单元无电流时可以显示准备色(例如绿色)。
18.安全部件可以包括一个或多个输出单元、输入单元、功率单元或其组合。
19.例如，安全部件可以基于在数据包中接收的与安全相关的信息而触发紧急停止。所述紧急停止再次作为数据包中与安全相关的信息被发送，其中，另一个安全部件读取这些与安全相关的信息并且显示警告灯。另一个安全部件例如又可以使其功率单元停用。作为与安全相关的信息，安全部件的功率单元的危险状态也可以作为数据包被发送并且再次被读取和输出。例如在标准iec61508中、优选在版本2.0或标准iso13849中、优选在版本iso13849-1：2015、iso13849-2：2012中，将“hazard”的定义视为危险的。
20.优选地，所述总线主控在发送准备信号之后并且在没有接收到准备信号时在数据包中将紧急停止信号发送给下一个在传输方向上设置的安全部件，其中，所述安全部件分别在接收到紧急停止信号时使其安全模块停用并且在数据包中继续传递紧急停止信号。如果总线主控没有在计划的周期内收回其准备信号，则总线主控推断出至少一个安全部件具有非激活的准备状态。接着发送紧急停止信号可以确保所有安全部件的所有安全模块也都是非激活的。
21.优选地，所述总线主控在发送总线检查信号之后并且在没有接收到总线检查信号时在数据包中将紧急停止信号发送给下一个在传输方向上设置的安全部件，其中，所述安全部件分别在接收到紧急停止信号时使其安全模块停用并且在数据包中继续传递紧急停止信号。因此，尤其是在安全部件的环断裂和如下配置的情况下，在所述配置中安全部件始终发出数据包，即使安全部件没有接收到数据包，也可以确保实际上使所有安全模块停用。
22.优选地，安全部件实施安全测试并且在安全测试失败的情况下使其准备状态停用并且在数据包中将紧急停止信号发送给下一个在传输方向上设置的安全部件，其中，所述安全部件在接收到紧急停止信号时使其安全模块停用并且在数据包中发送紧急停止信号。在安全测试期间，检查安全部件的对安全关键的功能。在安全测试失败时，就立即使准备状态停用并且因此也立即使安全模块停用并且也立即发出具有紧急停止信号的数据包，以便尽可能快速地使所有其它安全部件的所有其它安全模块停用。
23.优选地，通过安全部件的部件标识来选择总线主控。优选地，具有最低部件标识的安全部件被选择为总线主控。
24.所述安全部件可以利用数据包中的总线检查信号发送部件标识，其中，总线主控通过利用总线检查信号接收的部件标识来标识安全部件。
25.优选地，总线主控在数据包中将部件标识再次发回给相应的安全部件，其中，如果安全部件没有由总线主控接收其标识，则该安全部件将其准备状态设置为非激活的。
26.总线检查信号、准备信号、激活信号、紧急停止信号等可以由总线主控在相同的数据包或单个数据包中发送。如果在数据包中发送总线检查信号和准备信号，则可以在由总
线主控接收到数据包中的准备信号时确定环形检查装置继续闭合。仅当数据包在通过总线主控接收时也包含准备信号时，总线主控也可以确定所有安全部件具有激活的准备状态。
27.如果安全模块激活，则也可以发送关于相同的数据包的与安全相关的信息，如总线检查信号、准备信号、激活信号、紧急停止信号等。
附图说明
28.下面参照附图1至6更详细地阐述本发明，这些附图示例性地、示意性地并且非限制性地示出本发明的有利的设计方案。在此示出：
29.图1示出安全部件，
30.图2示出包括三个安全部件的检查装置，
31.图3示出总线检查信号的发送，
32.图4a示出准备信号的发送，其中，一个安全部件具有非激活的准备状态，
33.图4b示出准备信号的发送，其中，所有安全部件具有激活的准备状态，
34.图5示出激活信号的发送，
35.图6a示出环断裂，
36.图6b示出紧急停止信号的发送。
具体实施方式
37.在图1中示出安全部件11、12、13。安全部件11、12、13具有用于接收数据包dp1、dp2、dp3的信号输入端rx和用于发送数据包dp1、dp2、dp3的信号输出端tx。安全部件11、12、13还具有准备状态r，该准备状态可以设置为激活的或非激活的。安全部件11、12、13包括安全模块m，该安全模块可以设置为激活的或非激活的，然而该安全模块在准备状态非激活时始终设置为非激活的。然而这并不意味着，安全模块m在准备状态r激活时必须始终设置为激活的。
38.安全部件11、12、13周期地实施至少一个功能测试t。如果所有功能测试t都成功，则将准备状态r设置为激活的。如果仅一个功能测试t失败，则将准备状态r设置为非激活的，以此也将安全模块m设置为非激活的，或者如果安全模块已经是非激活的话，则保持非激活。
39.在所示出的附图中，激活的准备状态r以及激活的安全模块m基本上示出为“1”，而非激活的准备状态r以及非激活的安全模块m基本上示出为“0”。失败的功能测试t示出为划掉的t，如果功能测试t成功，则该功能测试t示出为t。
40.在图2中示出由多个安全部件11、12、13组成的检查装置的结构，如其借助图1所描述的那样。安全部件11、12、13作为环形检查装置以环形总线的形式相互连接，其方式为，安全部件11、12、13的信号输入端rx分别与另一个安全部件11、12、13的信号输出端tx连接。在图2中，例如第一安全部件11的信号输出端tx与第二安全部件12的信号输入端rx连接，第二安全部件12的信号输出端tx与第三安全部件13的信号输入端rx连接，以及第三安全部件13的信号输出端tx与第一安全部件11的信号输入端rx连接。
41.当然，在所示出的附图中仅示例性地选择多个三个安全部件11、12、13，检查装置可以包括任意多个安全部件11、12、13。
42.安全部件11、12、13实施对数据包dp周期的无故障接收的至少一次检查作为功能测试t。这例如可以通过校验和检查、序列检查、超时等进行。通过对所接收的数据包dp的无故障进行所述检查，在安全部件11、12、13之间构建所谓的黑色通道。
43.如果在当前的周期中安全部件11、12、13的所有功能测试t都成功，只要准备状态还未激活，则将安全部件11、12、13的准备状态r设置为激活的。如果安全模块m和准备状态r已经设置为激活的，只要没有其他安全措施使安全模块m停用，则安全模块m保持激活。在图2中，在安全部件11、12、13上仅设置有对数据包dp周期的无故障的接收的检查的基本功能测试t(dp1)、t(dp2)、t(dp3)。如果所述功能测试t(dp1)、t(dp2)、t(dp3)失败，则相应的准备状态r被设置为非激活的，功能测试t(dp1)、t(dp2)、t(dp3)成功(这在此导致每个安全部件11、12、13的“所有”功能测试t成功，因为这是唯一设置的功能测试t)，因此相应的准备状态被设置为激活的。
44.此外，根据本发明选择所述安全部件11、12、13中的一个安全部件作为总线主控bm，其中，总线主控bm的选择可以借助安全部件11、12、13的部件标识、例如标识号uid来进行。例如，可以选择具有最低标识号uid的那些安全部件11、12、13。在图3中示例性地选择具有uid1的第一安全部件11作为总线主控bm。总线主控bm根据本发明检查安全部件11、12、13是否实际上形成环形检查装置，即环形总线。为此，总线主控bm将数据包dp1中的总线检查信号b发送给下一个在传输方向上设置的安全部件，这里也就是第二安全部件12。如果安全部件11、12、13之间存在连接，则总线检查信号b在数据包dp1、dp2、dp3中由所有存在于环形总线中的安全部件11、12、13通过信号输入端rx接收并且通过信号输出端tx继续传递。
45.因为因此每个安全部件11、12、13预期(具有总线检查信号b的)周期的数据包dp1、dp2、dp3，所以作为(基本的)功能测试t能够实施对该数据包dp的周期的无故障的接收的检查。如果数据包dp1、dp2、dp3的接收没有如预期的那样进行或者故障检查以及因此(基本的)功能测试t失败，则相应的安全部件11、12、13使其准备状态r停用。
46.可选地，安全部件11、12、13在该情况下也可以在数据包dp1、dp2、dp3中发送紧急停止信号n，该紧急停止信号分别在数据包dp1、dp2、dp3中由所有安全部件11、12、13继续传递，并且接收紧急停止信号的所有安全部件11、12、13使其安全模块m停用，这是另一个安全机制。
47.在图3中，因此作为总线主控bm的第一安全部件11在数据包dp1中将总线检查信号b通过其信号输出端tx发送给第二安全部件12的信号输入端rx。第二安全部件12将数据包dp2中的总线检查信号b通过其信号输出端tx发送给第三安全部件13的信号输入端rx，并且第三安全部件13继续在数据包dp3中将总线检查信号b通过其信号输出端tx发送给第一安全部件11的信号输入端rx，该第一安全部件是总线主控bm。当然，总线主控bm仅在环形总线闭合时才接收到总线检查信号b。因此，可以通过总线主控bm通过接收到总线检查信号b来确保环形总线是闭合的。
48.安全部件11、12、13有利地设计成，使得它们分别利用数据包中的总线检查信号b传输其标识号uid1、uid2、uid3，如同样在图3中所示的那样。相应地，总线主控bm可以设计成，借助利用总线检查信号b接收的标识uid1、uid2、uid3来标识安全部件11、12、13。如在图3中所示，第二安全部件12因此利用总线主控bm的数据包dp1获得总线检查信号b，添加其标识号uid1并且将具有总线检查信号b的数据包dp2传输给第三安全部件13。所述第三安全部
件又添加其标识号uid3并且将数据包dp3中的总线检查信号b传输给第一安全部件11，该第一安全部件构成总线主控bm。总线主控bm在具有总线检查信号b的数据包dp中不仅获得环形总线闭合的提示，而且还获得其它安全部件12、13的标识号uid2、uid3；总线主控bm已经知道其自身的标识号uid1。因此，检查装置中的安全部件11、12、13通过其标识号uid1、uid2、uid3为总线主控bm所知。
49.安全部件11、12、13在进一步的过程中还永久地周期地实施功能测试t，然而至少实施基本的功能测试t(检查数据包dp1、dp2、dp3的周期的无故障的接收)。功能测试t在图3至图5中出于清楚的原因而未示出。
50.同样地，总线主控bm通过发送总线检查信号b进一步对闭合的环形检查装置进行检查。
51.总线主控bm现在可以将相应的标识号uid2、uid3同样再次发回给相应的安全部件12、13(未示出)。因此，可以通过每个安全部件11、12、13自身来检查环形总线是否也实际上是闭合的。优选地，安全部件12、13可以配置为，使得如果它们没有使它们的标识号uid2、uid3由总线主控bm收回，则安全部件将其准备状态r设置为非激活的，因为这可以推断出环形总线中的故障。
52.如果总线主控bm通过其信号输入端rx获得总线检查信号b(以此确定闭合的环形总线)并且总线主控bm的准备状态r是激活的，则总线主控bm通过其信号输出端tx将数据包dp中的准备信号r传输给其它在传输方向上设置的(这里是第二)安全部件12，如在图4a、4b中所示的那样。每个安全部件11、12、13在获得具有准备信号r的数据包dp1、dp2、dp3时检查其准备状态r是否是激活的。如果准备状态r是非激活的，则相应的安全部件11、12、13在数据包dp1、dp2、dp3中不发送准备信号r。然而，如果安全部件11、12、13在数据包dp中获得准备信号r并且其准备状态r是激活的，则安全部件11、12、13通过其信号输出端tx同样在数据包中将准备信号r传输给与其连接的安全部件11、12、13的信号输入端rx。
53.在图4a中假定，第三安全部件13具有非激活的准备状态r。因此，准备信号r在数据包dp1中由总线主控bm引导直至第二安全部件12。因为第二安全部件12具有激活的准备状态r，所以其在数据包dp2中将准备信号r继续传递给第三安全部件13。然而，第三安全部件13具有非激活的准备状态r并且因此不在数据包dp3中将准备信号r继续传递给第一安全部件11(在此作为总线主控bm)。因此总线主控bm得出的结论是，并非所有的安全部件都具有激活的准备状态r＝1。
54.如果总线主控bm没有接收到准备信号r，那么总线主控有利地在数据包dp1中发送紧急停止信号n(未示出)，该紧急停止信号由安全部件11、12、13继续传递。安全部件11、12、13在接收到紧急停止信号n时将其安全模块m切换为非激活的，只要其还没有非激活。这提供附加的安全措施并且确保所有安全模块m是非激活的。
55.而在图4b中假定，所有安全部件11、12、13具有激活的准备状态r。因此准备信号r才在数据包dp1中被引导至第二安全部件12，该第二安全部件由于其激活的准备状态r将数据包dp3中的准备信号r引导至第三安全部件13。第三安全部件13由于其激活的准备状态r将数据包dp3中的准备信号r引导至第一安全部件11，该第一安全部件为总线主控bm。因此，总线主控bm确定所有安全部件11、12、13具有激活的准备状态r并且因此检测准备运行的检查装置。要指出的是，不仅在第三安全部件13的准备状态r激活时(图4b)，而且在第三安全
部件的准备状态r非激活时(图4a)，总线主控bm获得数据包dp3中的总线检查信号b。这意味着，在这两种情况下都存在闭合的环形检查装置。如果不是这样，则总线主控bm将完全不会获得数据包dp3并且因此不会获得总线检查信号b(并且当然没有获得准备信号r等)。
56.图5示出如下情况，即总线主控bm通过接收到准备信号r已经确定准备运行的检查装置。因此，总线主控bm将激活信号a发送给所有的其它安全部件12、13，即才在数据包dp1中发送给下一个在传输方向上连接的安全部件(这里是第二安全部件12)，该安全部件又在数据包dp2中将激活信号a继续传输给又下一个在传输方向上连接的安全部件(这里是第三安全部件13)等。其它安全部件12、13分别在接收到数据包dp中的激活信号a时将其安全模块m切换为激活的，以此环形的检查装置是激活的。
57.只有当安全模块m分别是激活的时，才允许安全部件11、12、13发送和接收与安全相关的信息m1、m2、m3。
58.在图5中假定，所有安全部件11、12、13已经获得(此外周期地获得)激活信号a。
59.第一安全部件11包括输入单元、例如开关并且可以基于激活的安全模块m向数据包dp1添加与安全相关的信息m1。因此，可以通过第一安全部件11例如指示测量开始命令作为与安全相关的信息m1。
60.第二安全部件12包括功率单元。因为第二安全部件12的安全模块m是激活的，所以第二安全部件12因此可以从数据包dp1中读取与安全相关的信息m1，也将与安全相关的信息m2添加给数据包dp2。因此，第二安全部件12例如可以从来自第一安全部件11的与安全相关的信息m1中以测量开始命令的形式激活其功率单元并且此外将与安全相关的信息m2以测量值的形式添加给数据包dp2。
61.第三安全部件13包括输出单元，该输出单元现在可以输出包含在数据包dp2中的与安全相关的信息m1、m2，例如来自第一安全部件11的关于输入单元的与安全相关的信息m1，例如测量开始命令，或者来自第二安全部件12的关于功率单元的与安全相关的信息m2，例如测量值。因此，安全部件11、12、13可以在安全模块m激活的情况下分别将与安全相关的信息m1、m2、m3添加给数据包dp1、dp2、dp3和/或根据安全部件11、12、13的设计方案从数据包dp1、dp2、dp3中读取。输入单元、功率单元和输出单元仅在图5和6a中示出，因为仅在此安全部件11、12、13的安全模块m是激活的。
62.在图5中，数据包dp1、dp2、dp3如已经在图4中那样还包含总线检查信号b和准备信号r，其中，总线主控bm还监视闭合的环形检查装置以及所有安全部件11、12、13的激活的准备状态r。
63.安全部件11、12、13还可以实施安全测试s(未示出)并且在安全测试失败的情况下使其安全模块m停用并且将数据包dp1、dp2、dp3中的紧急停止信号n输出给其它布置在检查装置中的安全部件11、12、13，这些安全部件在获得紧急停止信号n时不仅在数据包dp1、dp2、dp3中继续传递该紧急停止信号，而且还使其安全模块m停用。失败的安全测试s因此立即引起具有紧急停止信号n的数据包dp1、dp2、dp3的发送，以便使所有安全部件11、12、13的安全模块m停用。如果总线主控bm没有在数据包dp3中在信号输入端rx上回收其发送的激活信号a，则也可以通过总线主控bm进行紧急停止信号n的发送。
64.与安全测试s不同，功能测试t(其不是对安全关键的)失败仅导致所述安全部件11、12、13的准备状态r停用。当总线主控bm发送并且没有接收准备信号r时，总线主控bm才
识别所述准备状态r停用。在此，其功能测试t失败的其它安全部件11、12、13可以保持在激活的准备状态r中。
65.在图6a、6b中示出第二安全部件12与第三安全部件13之间的环断裂、即通信线路的中断。假定在图6a中在通过总线主控bm接收数据包dp3之后出现环断裂，由此总线主控bm在发送数据包dp1时还没有对环断裂的提示。因此，具有总线检查信号b(并且在此也为准备信号r、激活信号a和与安全相关的信息m1、m2、m3)的数据包dp1到达第二安全部件12，该第二安全部件在该时刻同样还没有确定环断裂并且因此发出数据包dp2，但该数据包没有到达第三安全部件13。
66.在此，第三安全部件13配置成，使得如果其没有接收数据包dp2则不发送数据包dp3。因此，总线主控bm的周期的功能测试t失败并且总线主控bm将使其准备状态r停用。因此，总线主控bm将其准备状态r设置为非激活的并且发送具有紧急停止信号n的数据包dp，以便使所有安全部件11、12、13的安全模块m停用。紧急停止信号n在数据包dp1中到达第二安全部件12，由此第二安全部件12的安全模块m被停用。
67.如果第三安全部件13配置成，使得如果第三安全部件13没有接收数据包dp2(未示出)，也发送数据包dp3，则尽管总线主控bm的基本的功能测试t成功，总线主控bm仍保持其准备状态r激活。在这种情况下，如果总线主控bm配置成，使得它在没有接收到总线检查信号b时发出紧急停机信号n，则是有利的。然而，由于环断裂，总线主控bm仍将不会获得总线检查信号b，并且因此当数据包dp1这样配置时，可以发送数据包dp1中的紧急停止信号n。因此，总线主控bm在环断裂时在任何情况下都不会获得总线检查信号b并且因此确定不再闭合的环形检查装置(图6b)。
68.然而，第二安全部件12由于环断裂而不能在数据包dp2中将紧急停止信号n传输给第三安全部件13。然而，第三安全部件13周期地实施至少一个基本的功能测试t(dp)并且等待至少一个数据包dp2以用于检查。由此该功能测试t失败，由此第三安全模块13将其运行状态r切换成非激活的，由此安全模块m也被切换成非激活的。
69.因此，在所示出的检查装置中保留具有非激活的安全模块m的第一和第三安全部件11、12、13。只要所属的功能测试t没有失败，第二安全部件12就可以具有激活的准备状态r。然而，这仅在第一安全部件11配置成，使得即使其没有获得(例如具有总线检查信号b的)数据包dp也发送数据包dp时是可能的，因为否则第二安全部件12的基本的功能测试t将失败。
70.现在，例如可以以简单的方式通过在第二安全部件12与第三安全部件13之间的其它安全部件来补充检查装置。替代地，也可以进行安全部件11、12、13的其它布置，或者简单地闭合环断裂。
71.只有当环断裂被消除时，才如上所述确定总线主控bm，发送具有用于识别闭合的环形检查装置的总线检查信号b的数据包dp1、dp2、dp3，发送具有准备信号r的数据包dp1、dp2、dp3，并且如果所有安全部件11、12、13具有激活的准备状态r，则发送用于激活检查装置的安全部件11、12、13的安全模块m的激活信号a。接着又可以在安全部件11、12、13之间交换与安全相关的信息m1、m2、m3。