模块化安全控制的制作方法

1.本发明涉及一种模块化控制装置以及用于这样的装置的头部模块和外围模块部分。此外，本发明涉及对应的方法。


背景技术：

2.控制装置(也称为控制器)在自动化技术领域是众所周知的。控制装置控制技术系统、机器或过程。通过硬接线逻辑执行控制任务的链接编程控制器与能够自由编程并且因此可以执行各种控制任务的可编程逻辑控制器之间存在区别。由于其灵活性和适应性，已经针对过程和自动化技术中复杂或动态变化的控制任务而确立了可编程逻辑控制器。
3.如果控制装置由各自执行不同任务的各个部件组成，则控制装置称为模块化。通常，模块化控制装置具有至少一个中央计算单元，也称为头部模块，其规律地形成模块行的第一模块。模块行的其他模块可以是输入和输出模块等，这些输入和输出模块与技术系统的外围建立连接，并且因此也归结在统一术语外围模块下。输入模块通过将技术系统或机器的输入与对应的传感器连接来检测技术系统或机器的状态。在给定时间捕获的状态称为输入的处理图像(pii)。输出模块根据所需的控制任务并且依赖于输入对技术系统或机器进行控制。为此，输出模块的输出连接至对应的执行器。由输出模块设置的输出称为输出的处理图像(pio)。
4.特殊控制装置是安全控制装置(也称为安全控制装置或故障安全(fs，fail-safe)控制)。它们执行与正常控制装置相同的功能，但不同之处在于它们还能够执行与安全相关的任务。安全控制器允许以与正常控制装置类似的方式通过编程实现安全互连。虽然安全控制器的基本功能与用于标准任务的正常控制装置仅略有不同，但它们内部具有执行安全相关功能的附加硬件和软件。附加硬件和软件被显著地反映在控制装置的基本部件的冗余设计中以及能够确保各个部件的功能的测试设施中。
5.安全控制器必须考虑的一种特殊类型的故障是共因故障(ccf)，即单一故障原因或事件导致的故障。安全控制器必须能够处理这些错误，特别是在它们不希望从安全相关子系统中移除冗余的情况下。典型地，采用多样性即通过使用不同部件来提供特定功能，来解决ccf。然而，多样性对由公共电源引起例如由过电压引起的ccf的帮助有限。为此其他方法是必要的，除非第二独立电源用于每个元件。
6.安全控制器及与其连接的传感器和执行器一起实现安全功能，以保护操作人员、环境或货物。为了指定分配给安全相关系统的安全功能的安全完整性要求，相关标准(en 61508)区分了四个等级。安全完整性等级4(sil4)代表最高的安全完整性等级，并且安全完整性等级1(sil1)代表最低的安全完整性等级。以下所考虑的模块化控制装置是安全控制器，其允许系统结构高达至少sil3。
7.根据en 61508高达sil4的应用或具有特殊要求概要的应用(如铁路应用)通常难以使用标准模块化安全控制器来实现，或者只能通过极大的努力来实现，例如通过针对应用使用两个完全独立且单独配置的安全控制器来实现。
8.因此，目的是提供一种模块化控制装置，该模块化控制装置实现具有高安全完整性等级或具有特殊要求概要的应用，有效控制ccf并且仍然可以以经济高效的方式实现。


技术实现要素：

9.根据本发明的一个方面，提供了一种用于模块化控制装置的头部模块，该头部模块具有冗余信道单元，每个信道单元包括处理单元和故障揭示单元，其中，故障揭示单元被配置成监测信道单元的状态，并且其中，处理单元被配置成连续地刺激故障揭示单元，其中，冗余信道单元的至少一个处理单元耦接至通信总线的信号线，以提供到模块化控制装置的一个或更多个外围模块部分的通信链路，并且其中，故障揭示单元被配置成基于刺激和监测来控制总线断开单元，总线断开单元被配置成关闭通信总线。
10.根据本发明的另一方面，提供了一种用于模块化控制装置的外围模块部分，该外围模块部分具有冗余信道单元和输出单元，其中，输出单元被配置成响应于冗余信道单元的控制来设置一个或更多个输出，其中，信道单元各自包括处理单元和故障揭示单元，其中，故障揭示单元被配置成监测相应信道单元的状态，特别是监测信道单元共用的供电电压，其中，处理单元被布置成分别刺激故障揭示单元，并且其中，每个信道单元的故障揭示单元被集体地布置成响应于刺激和监测来控制输出单元的输出的设置。
11.根据本发明的另一方面，提供了一种模块化控制装置，其包括所述类型的头部模块和外围模块部分。
12.根据本发明的又一方面，提供了一种用于模块化控制器的头部模块的方法，头部模块具有冗余信道单元，每个信道单元包括处理单元和故障揭示单元，其中，故障揭示单元监测相应信道单元的状态，其中，处理单元连续地刺激故障揭示单元，其中，处理单元中的至少一个处理单元耦接至通信总线的信号线以提供到模块化控制装置的一个或更多个外围模块部分的通信链路，并且其中，故障揭示单元控制总线断开单元，以响应于刺激和监测来关闭通信总线。
13.因此，本发明的一个想法是以可以实现具有高安全要求的应用的方式调整模块化安全控制器，使得通过头部模块和外围模块(如果需要)中的扩展，这些模块之间的交互可以进行。扩展可以包括外围模块的多信道设计以及头部模块和外围模块中的附加故障揭示单元。通过以要求保护的方式在头部模块与外围模块之间分配扩展并且例如通过使用头部模块与外围模块之间定义的通信关系和适当设计的电源，可以实现具有高安全要求的应用。
14.头部模块以及外围模块部分可以具有多信道设计，以便可以经由通信总线根据黑信道原理(black channel principle)进行通信。外围模块部分也可以是本质安全的，并且在要实现的安全功能方面独立于相关联的头部模块。此外，头部模块和外围模块部分二者都可以实现状态监测，特别是电压监测，其在发生故障状况(例如过电压)的情况下带来安全状况，无论故障状况是发生在头部模块中还是发生在外围模块中。为此，头部模块中的状态监测作用于集成在头部模块中的总线断开单元，该总线断开单元可以中断头部模块与外围模块部分之间的通信。外围模块部分中的状态监测也可以被配置成直接作用于安全控制器的输出，以在故障情况下将其关断。
15.通信总线的断开结合独立故障揭示单元使得可以中断头部模块与外围模块之间
的通信，从而可以控制以下情况：两个处理单元同时发生故障，然而计算相同的错误的输出的处理图像并且基于此生成尽管有效但错误的电报，并通过总线传输这些电报。
16.以所要求的方式修改的模块化控制装置的部件的交互因此使得能够针对具有高于sil3的要求概要的应用使用单个模块化控制装置实现安全功能，因为可以充分考虑ccf等。
17.在头部模块的另外改进中，故障揭示单元可以每信道单元包括监测单元和故障检测单元，其中，监测单元被配置成各自监测信道单元的电源单元，并且其中，故障检测单元被配置成响应于刺激来提供信号。
18.例如，监测单元可以监测供电电压的过电压和欠电压。例如故障检测单元可以实现看门狗电路。监测单元和故障检测单元一起形成故障揭示单元。特别地，它们可以彼此独立地实现，即一个信道单元的监测单元和故障检测单元独立于相应的另一信道单元的监测单元和故障检测单元。
19.在头部模块的另外改进中，总线断开单元可以包括布置在通信总线的信号线中的用于每个信道单元的开关元件，并且其中，每个信道单元的每个故障揭示单元与开关元件中的一个开关元件相关联，并且其中，故障揭示单元被配置成共同作用于相关联的开关元件。
20.因此，总线断开单元可以断开通信总线的信号传输线，以关闭通信总线。该设计允许以简单有效的方式阻止经由总线的任何通信。
21.在头部模块的另外改进中，每个信道单元的监测单元可以被配置成基于监测生成动态控制信号，以便作用于相关联的开关元件，特别是经由各自相关联的电荷泵作用于相关联的开关元件。
22.根据这一改进，总线断开单元是动态可控的，因此可以有效地消除stuck-at-1(stuck-at-high)故障。总线断开单元仅在动态信号存在时才使得能够经由总线进行通信。电荷泵可以用于此目的，它仅由信号的交流分量馈给，并致动总线断开单元中的开关元件。因此，这种改进进一步增强了头部模块的本质安全性。
23.在头部模块的另外改进中，故障检测单元可以被配置成响应于相应处理单元的刺激来中断动态控制信号的生成。
24.根据这一改进，故障检测单元经由逻辑“与(and)”操作连接至监测单元(即它们的信号通过逻辑“与”组合)。例如，被实现为看门狗的故障检测单元可以在相关联的处理单元的刺激缺失的情况下将动态信号拉至“地”并且因此将其关断。因此，可以轻松、有效和安全地实现监测单元的“与”链接。
25.在头部模块的另外改进中，头部模块可以包括至少一个电容器，该至少一个电容器串联布置在信道单元中的每一信道单元中的故障揭示单元的在处理单元与总线断开单元之间的信号路径中。
26.从处理单元到总线断开单元的信号路径中的解耦可以经由电容器以简单有效的方式实现。
27.在头部模块的另外改进中，信道单元可以被配置成仅经由通信总线与模块化控制装置的一个或更多个外围模块部分进行通信。
28.根据这一改进，头部模块和外围模块部分仅经由通信总线相互通信，通信总线可
以通过总线断开单元起作用。由于在发生故障的情况下头部模块会关闭通信总线，因此不会向外围模块发送更多消息，以便它们关断其输出以带来安全状态。
29.在头部模块的另外改进中，每个信道单元的处理单元可以被配置成经由独立于通信总线的接口相互通信，以便其中处理单元相互监测。特别地，可以基于各自提供和监测的供电电压来设计对接口的过电压保护，并且特别地对接口的过电压保护可以由电阻器形成，电阻器的电阻值是基于监测单元的关断电压来设置的。
30.这种改进进一步增强了头部模块的本质安全性。由于监测单元仅允许限定的过电压，因此通过简单的电阻器对接口进行过电压保护就足够了。因此，过电压保护必须仅设计为达到特定电压，并且因此可以使用电阻器轻松实现。
31.在头部模块的另外改进中，每个信道单元的处理单元可以被配置成执行相关联的故障揭示单元的功能测试并读回测试结果，并且特别地将测试结果提供给相应的其他处理单元。
32.因此，处理单元可以经由测试连续检查监测单元和故障检测单元的功能，以便能够排除这些单元的故障。因此，这种改进进一步有助于头部模块的本质安全性。
33.在又一实施方式中，外围模块部分还可以具有与头部模块相关地描述的本质安全措施。因此，外围模块部分中的每个信道单元的监测单元可以被配置成响应于监测来生成动态控制信号，以便控制输出单元。可以经由电荷泵使控制生效。此外，外围模块部分中的每个信道单元的故障检测单元可以被配置成响应于第一处理单元的刺激来中断动态控制信号的生成。最后，外围模块部分的输出单元可以与冗余信道单元进行电隔离。
34.在另外改进中，模块化控制装置可以包括头部模块或外围模块部分的各种实施方式。此外，模块化控制装置可以包括电源模块，其被配置成提供公共模块电压作为用于头部模块和外围模块部分的电源，以及提供用于外围模块部分的输出单元的外围电压。电源模块可以是非故障安全单元。
35.模块化控制装置也可以具有背板模块部分，其为通信总线和电源提供总线结构。背板模块部分可以与一个或更多个外围模块部分组合以形成外围模块。
36.应理解，在不脱离本发明范围的情况下，上述特征和下文将要说明的特征不仅可以用于每种情况下指示的组合，而且还可以用于其他组合或其自身。
附图说明
37.本发明实施方式的示例在附图中示出，并在以下描述中更详细地说明。
38.图1示出了头部模块的实施方式的示意图。
39.图2示出了外围模块部分的实施方式的示意图。
40.图3示出了模块化控制装置的实施方式的示意图，该模块化控制装置具有用于具有高达sil3的要求概要的应用的配置。
41.图4示出了模块化控制装置的实施方式的示意图，该模块化控制装置具有用于具有高于sil3的要求概要的应用的配置。
42.图5示出了背板模块部分的实施方式的示意图。
43.图6示出了电源模块的实施方式的示意图。
具体实施方式
44.图1示出了根据本发明的实施方式的用于模块化控制装置的头部模块的示意图。头部模块用附图标记10整体表示。
45.在本实施方式中，头部模块10包括形成冗余信道单元的第一信道单元12和第二信道单元14。此外，头部模块10可以包括电源单元16。
46.第一信道单元12包括第一处理单元18(μc a)，并且此处包括作为第一故障揭示单元的第一故障检测单元20和第一监测单元22。第二信道单元14包括第二处理单元24(μc b)、第二故障检测单元26和第二监测单元28(第二故障揭示单元)。这些单元可以在功能上相同但来源于不同的制造商以增加系统的多样性。
47.电源单元16可以包括向第一信道单元12提供供电电压的第一电源30以及向第二信道单元14提供供电电压的第二电源32。此外，电源单元16可以包括第三电源34，第三电源34将提供给头部模块10的模块电压ms转换成用于第一电源30和第二电源32的中间电压。模块电压可以从外部源——特别地从集成在模块化控制装置中的电压供应模块——经由端子ms提供给头部模块10。模块电压可以均匀地提供给模块化控制装置的所有模块来为模块内部的电子设备供电。
48.在一个实施方式中，第三电源34可以将24v的模块电压ms转换为5v的中间电压。第一电源30和第二电源32可以分别将用于相应的信道单元12、14的该中间电压转换为用于处理单元18、24的各种供电电压，并生成例如3.3v的电压。在一个实施方式中，电源30、32、34可以是串联稳压器或开关稳压器。
49.由第一电源30和第二电源32提供的电压在信道单元12、14内被提供给相应的监测单元22、28。监测单元22、28独立于相应的处理单元18、24而设计，并且被配置成对过电压或欠电压进行响应。根据上述示例，监测单元22、28可以例如对大于3.5v的过电压和小于3.1v的欠电压进行响应。
50.此外，信道单元12、14各自具有与处理单元18、24分开设置的故障检测单元20、26。故障检测单元20、26可以设计为看门狗，并可以充当失能开关(dead man's switch)。为此目的，例如通过处理单元18、24以定义的间隔向故障检测单元20、26发送触发，处理单元18、24连续地刺激故障检测单元20、26，以便重置位于故障检测单元20、26中的定时器电路。
51.每个信道单元的故障检测单元20、26和监测单元22、28共同控制总线断开单元36(总线关闭单元)，总线断开单元36被配置成关闭通信总线。通信总线在头部模块与外围模块部分之间建立有效连接，并为模块之间的数据电报的交换提供服务。经由通信总线的通信可以通过协议实现，该协议被批准达到sil4并且以安全且强制动态的数据电报在头部模块与外围模块部分之间传输处理图像。
52.总线断开单元36可以例如通过物理地断开总线的信号线或将总线的信号线拉至地的单元来关闭通信总线。通信总线的信号线将至少一个处理单元(图1中是第一处理单元18)连接至头部模块的总线(bus)端子。总线断开单元36可以布置在它们之间，并且可以每信道单元包括开关元件38a、38b。在本实施方式中，第一故障检测单元20和第一监测单元22经由逻辑“与”链路40控制第一开关元件38a。第二故障检测单元26和第二监测单元28经由另一逻辑“与”链路40控制第二开关元件38b。在过电压或欠电压或看门狗过期的情况下，经由通信总线的通信被中断使得不再向外围模块部分发送更多电报。在被设置为输出模块的
本质安全外围模块部分的情况下，丢失的电报会导致超时异常，这最终导致输出模块的输出被关断。
53.在头部模块中，信道单元12、14的处理单元18、24可以经由专用接口42另外相互监测，并在发生故障的情况下，经由处理单元18、24内的关闭机制触发适当的响应。例如，接口42使得处理单元18、24能够监测彼此的供电电压，并在发生故障的情况下相应地进行响应。接口42可以包括过电压保护装置44。
54.除了故障检测单元20、26和监测单元22、28之外，信道单元12、14还可以各自包括监测处理单元18、24的相应温度的温度传感器46。如果这些单元的温度上升到临界阈值以上，则会触发对应的反应，并且例如处理数据被设置为零。
55.由于具有对应的部件多样性的双信道设计，根据en 61508，头部模块10可以被批准达到sil3。如下面将参考图4说明的，也可以将该头部模块用于具有高于sil3的要求概要的应用。
56.图2示出了根据本发明实施方式的模块化控制装置的外围模块部分的示意图。外围模块部分由附图标记50整体表示。如下面将参考图3和图4更详细地说明的，外围模块部分可以与背板模块部分一起形成外围模块。类似地，具有背板模块部分的多个外围模块部分可以形成模块化控制装置的外围模块。
57.在本实施方式中，外围模块部分50包括形成冗余信道单元的第一信道单元52和第二信道单元54。此外，外围模块部分50包括输出单元56。
58.第一信道单元52包括第一处理单元58(μc a)以及作为第一故障揭示单元的第一故障检测单元60和第一监测单元62。第二信道单元54包括第二处理单元64(μc b)以及作为第二故障揭示单元的第二故障检测单元66和第二监测单元68。
59.信道单元52、54、处理单元58、64、故障检测单元60、66和监测单元62、68可以类似于头部模块10的对应单元。这也适用于下文将关于头部模块10提及的这些单元的细节。
60.输出单元56包括可以耦接至执行器(此处未示出)的至少一个输出70以及可以设置输出70(即将其接通或关断)的开关元件72a和72b。第一信道单元52控制第一开关元件72a，并且第二信道单元54控制第二开关元件72b。因此，输出70被冗余地控制。此外，输出70经由开关元件72a和72b连接至向其供应外部外围电压的端子ps。接通输出70意味着闭合开关元件72a和72b使得向输出70施加外围电压。当设置输出70(接通)时，连接至输出70的执行器(例如接触器)由外围电压供电。
61.向处理单元58、64供电的来自外部的模块电压经由外围模块部分50上的另一端子ms来提供。模块电压可以是与可用于头部模块10的电压相同的电压，并且可以由电源模块提供。
62.处理单元58、64通过控制头部模块10来控制输出单元56。为此目的，至少一个处理单元(此处为第一处理单元58)经由总线连接74耦接至先前描述的通信总线，以从其接收输出的处理图像(pio)。处理单元58、64以双信道方式处理输出的处理图像，其中，处理单元58、64彼此同步。
63.此外，对每个信道单元的输出单元56的控制仍然依赖于故障检测单元60、66和监测单元62、68，如此处由逻辑“与”操作76所指示的。监测单元62、68监测处理单元58、64的供电电压，而故障检测单元60、66各自为处理单元58、64实现看门狗。只有在所有单元都同意
的情况下，开关元件72a、72b才会被致动，并且输出70才可以被接通。此外，处理单元58、64的温度监测可以通过温度传感器78以关于头部模块10所描述的方式提供。
64.输出单元56可以经由分离器80a、80b与信道单元52、54进行电隔离。分离器80a、80b可以是带有光耦合器的电路，其使得开关元件72a、72b通过信道单元52、54被致动，而无需为此目的与它们进行电连接。
65.由于具有对应的部件多样性的双信道设计，根据en 61508，外围模块部分50可以被批准达到sil3。如下面将说明的，然而可以将该外围模块部分与头部模块结合使用以实现具有高于sil3的要求概要的应用。
66.然而，图3首先示出了具有用于高达sil3的应用的配置的模块化控制装置的示例的示意图。此处用附图标记100整体表示模块化控制装置。
67.模块化控制装置100包括头部模块10和外围模块组件80，该外围模块组件80包括输入模块部分82和先前描述的作为输出模块部分的外围模块部分50。此外，模块化控制装置100包括电源模块84和使外围模块组件80完整的背板模块部分86。
68.电源模块84提供用于向模块化控制装置100供应先前描述的模块电压ms和外围电压ps的端子88、90。电源模块84可以包括用于监测所供应的电压的装置(此处未示出)，然而，原则上电源模块84不需要是故障安全单元。ms电压和ps电压可以由连接至端子88、90的电源(此处未示出)提供。例如这些电源可以是selv/plev电源，其将安全考虑降低到由selv/plev电源提供的电压水平。
69.电源模块84具有用于向头部模块提供模块电压ms的端子。此外，电源模块84具有也向背板模块部分86供应模块电压ms和外围电压ps的端子。从背板模块部分86，向外围模块组件80的输入模块部分和输出模块部分供应电压。电源模块84的其他端子可以将通信总线从头部模块10传递到背板模块部分86。还可以想到，电源模块84本身可以经由处理单元访问通信总线以与头部模块和/或外围模块部分通信。处理单元可以与端子88、90电隔离，通过端子88、90接收模块电压ms和外围电压ps。
70.背板模块部分86将通信总线和供电电压携载至外围模块部分。外围模块部分通常附接至背板模块部分86。背板模块部分86可以包括电源92，该电源92将模块电压ms转换为限定电压，用于为所附外围模块部分的电子部件供电。
71.背板模块部分86还可以包括控制部件94，尤其是asic(专用集成电路)，该控制部件94允许外围模块部分访问总线。控制部件94经由通信总线接收和发送信号或转发信号。目的地为背板模块86的外围模块部分的数据由控制部件94接收并经由接口(例如，spi(串行外围接口))传递至其。背板模块部分86本身没有安全功能。背板模块部分86中的故障通过头部模块10或本质安全外围模块部分(黑信道原理)进行检测和控制。这需要经由安全总线协议实现总线通信。总线协议可以是被批准达到sil4的协议。
72.输入模块部分82可以具有一个或更多个输入96以接收来自所连接编码器的输入信号。与输出模块部分类似，输入模块部分82可以具有用于输入96的双信道处理的两个信道单元。为此，在输入96处接收的每个信号被传递到双信道单元并由其处理，以有助于由头部模块10针对模块化控制装置的所有输入生成的输入的处理图像(pii)。不同信道单元的处理单元基本上相互监测并比较输入信号。所确定的输入的状态被传输至头部模块。为此目的，例如输入模块可以经由接口访问背板模块部分86中的通信总线。
73.头部模块10将关于输入的状态的信息组合成输入的统一处理图像，并执行将该处理图像作为输入的用户程序。用户程序可以包括在循环内逐个处理的指令列表。用户程序的执行更新输出的处理图像(pio)，其在循环结束时被传输到输出模块部分50。输出模块部分50接收输出的处理图像(pio)，并基于该输出的处理图像以参考图2描述的方式控制输出70。即，如果信道单元52、54的处理单元58、64未检测到故障，并且故障检测单元60、66和监测单元62、68同意接通输出70，则输出模块部分50根据输出的处理图像设置(接通)输出70。
74.由于头部模块10和外围模块部分二者均可以被批准达到sil3，并且通信根据黑信道原理进行，因此所描述的架构可以被批准用于高达sil3的应用。对于ccf的控制，例如不需要如铁路应用所要求的基本独立性，因为头部模块和输出模块中结合图1和图2描述的附加措施以及对应的框架条件(关键电路部分的稳健尺寸确定等)一起实现对ccf的充分控制。
75.输入模块部分82可以处理两个冗余输入i/i*，并且输出模块部分50可以处理两个冗余输出o/o*，并且模块化控制装置作为一个整体可以实现高达sil3的应用。由相关标准定义的相关实体(观察单元)此处在每种情况下通过阴影突出显示。
76.此外，通过所描述的部件，可以实现以下结构：该结构实现具有高于sil3的要求概要的应用，而无需从根本上改变部件的设计。在图4中示出了这样的结构的示例。
77.图4示出了具有用于具有高于sil3要求概要的应用的配置的模块化控制装置的示例的示意图。相同的附图标记指示与图3中相同的部分，使得在下面的描述中不再描述这些部分。
78.为了实现具有根据en 61508标准未被批准达到sil4的上述部件的架构(其允许具有高于sil3的要求概要的应用)，例如必须确保实体的基本独立性。例如在铁路应用中要求基本独立性。
79.基本独立性可以通过在两个组件102、104之间拆分冗余输入i/i*和输出o/o*来实现，每个组件包括输出模块部件分50、50'和输入模块部分82、82'，每个组件耦接至背板模块部分86。第一组件102的输入模块部分82和输出模块部分50以及头部模块10中的第一信道单元12形成第一规范实体，并且第二组件104的输入模块部分82'和输出模块部分50'以及头部模块10中的第二信道单元12形成第二规范实体(每个实体在此处用对应的阴影突出显示)。因此，每个实体由其自身的输入模块部分、头部模块的信道和其自身的输出模块部分形成。冗余输入i/i*和输出o/o*分别在实体之间划分，并且因此位于不同的输入或输出模块上。因此，输入部件和输出部件彼此分离，并且仅经由通信装置和背板的电源耦接。
80.在头部模块10中，还必须提供信道单元12、14及其电源的分离，因为此处这两个实体位于一个模块内。原则上，可以想到各种方法来提供这样的分离。分离要求可能取决于外部环境，使得如果做出某些假设，即使是简单的分离装置也可能足够了。
81.例如当电压超过限定的关断电压(例如3.5v)时，电压监测阻止经由通信总线进行通信。因此仅在达到该关闭电压之前才需要考虑处理单元18、24之间的互连，因为在高于关闭电压的电压下，总线上的通信被阻止，并且因此处理单元中的错误对外围模块部分没有影响。换句话说，鉴于电压监测，可以调整用于处理单元之间的通信链路的分离器。这种通信经由i/o接口规则地发生。关于电压监测，如果melf电阻器布置在i/o接口的端子之间的连接中就足够了。在信号的stuck-at-1故障和等于关闭电压的过电压的情况下，连接线上
的电流被限制为每个连接的最大值。然而，该电流不会损坏处理单元或其处理器核。最多，i/o接口的端子引脚被破坏。由于在通信线路上一个端子引脚始终被配置为输入(rx)并且另一个被配置为输出(tx)，因此只有输出引脚会被破坏。然而，这不是ccf，因为在每种情况下，其他处理单元的输入引脚都不会受到缺陷的影响。
82.应该针对过电压相关ccf设置电压监测单元以及故障检测单元本身。为此目的，如果只有总线断开单元承受限定的过电压就足够了，因为电压监测单元和故障检测单元动态控制总线断开单元，并且可以经由串联电容器来解耦。此外，限定的过电压可以被限制为特定电压，例如通过从selv/pelv电源向系统供电并且因此将限定的过电压限制为最大值(例如60v)。
83.可以理解，可以以这种简单的方式解耦与处理单元的其他连接。此处也可以使用简单的melf电阻器。
84.图5示出了背板模块部分86的实施方式的示意图。
85.背板模块部分86提供模块化控制装置的各个部件之间的供电和通信链路。为此目的，多个背板模块部分可以互连成一行以提供用于通信和电源二者的总线结构。每个背板模块部分86具有用于连接至左相邻模块的一组第一端子106和用于连接至右相邻模块的一组对应第二端子108。连接线110将第一端子106连接至对应的第二端子108的对应物。在此处所示的实施方式示例中，第一端子106和第二端子108包括用于模块电压的ms端子、用于外围电压的ps端子以及用于通信总线的总线端子。
86.另一组端子112将与背板模块部分86相关联的模块部分连接至总线结构。端子112可以包括与相应连接线110的直接或间接连接。例如如图5所示，可以直接向连接的模块部分供应外围电压，而模块电压首先由集成在背板模块部分86中的电源92转换。
87.此外如先前描述的，背板模块部分86可以为连接的模块部分提供与通信总线的连接。可以经由集成在背板模块部分86中的控制部件94实现连接。被布置成行的背板模块部分86的控制部件94形成通信总线的节点，并且可以例如被实现为asic。控制部件94可以将数据转发到下一个背板模块部分，或者如果数据意在用于该模块，则获取数据并将其馈送到连接的模块部分。控制部件94可以经由spi连接至所连接的模块部分的处理单元。经由spi，处理单元可以从通信总线接收数据并将数据传输到总线进行发送。
88.通过背板模块部分86的前述实施方式，背板模块部分86可以有助于处于外围模块部分形式的实体的安全相关分离。可以经由控制部件实现分离，每个外围模块部分可以经由spi与控制部件进行专用连接。此外，针对每个实体使用单独的背板模块部分86可以确保每个实体还具有用于供电的单独的电源92。
89.背板模块部分86被理解为仅是示例性的，并且可以想到互连外围模块部分和头部模块的其他实施方式。
90.最后，图6示出了电源模块的实施方式的示意图。电源模块由附图标记84整体表示。
91.电源模块84包括用于接收外部供电电压的端子88、90。将上述模块电压ms供应给端子88，并将上述外围电压ps供应给端子90。在本实施方式中，电源模块84还包括用于监测所供应的电压的措施。
92.用于ms的外部供电电压可以由selv/pelv电源单元提供。标称电压可以为行业标
准24v。端子88、90处的二极管(如transil二极管)(此处未示出)可以将电压峰值限制为约36v。供电电压通过变压器114供应至电隔离的供电电压轨道115，其标称电压也可以为24v。变压器114的初级侧和次级侧是例如被设置为38v的电压监测装置116。如果检测到大于38v的电压，则通过开关元件118将变压器114之前的连接断开。
93.用于ps的外部供电电压也可以来自selv/pelv电源。该电压可以由电源模块84的处理单元120经由开关元件122启用。为此，处理单元120可以使用电压监测装置124检测和评估开关元件122上游的电压，使用温度传感器126检测和评估ps轨道处的温度，以及使用另一电压监测装置124'检测和评估开关元件122下游的ps轨道的状态，并作相应地进行响应。
94.可以与背板模块部分86的第一端子106对应的端子128将模块电压ms和外围电压ps传递至连接的模块。此外，电源模块84可以耦接至通信总线。为此目的，可以在电源模块84内设置另一控制部件94，以允许处理单元120以先前描述的方式访问通信总线。处理单元120和控制部件94可以由另一电源92从供电电压轨道115供电。
95.电源模块84被理解为仅是示例性的，并且可以想到用于模块化控制装置的另一电源。原则上，电源模块84不需要是故障安全单元。