[0001] 本发明涉及一种安全控制系统，更具体地涉及一种其中单个控制器监控多个驱动电路的配置。

[0002] 为了确立生产现场(production sites)的作业安全，构建了安全控制系统，其中将电力以确保安全的状态供应至用于机械设备的诸如电机等动力源。这样的安全控制系统例如包括继电器单元和控制器。

[0003] 图9为典型安全控制系统的配置示例。参见图9，电机102用作动力源并且通过供应来自AC电源101的三相交流电而操作。该电机102例如被用来驱动工厂中的各种机械装置。安全控制系统151将来自AC电源101的驱动电力供应至电机102或者切断至电机102的驱动电力。

[0004] 安全控制系统151包括安全控制器110、紧急停止开关111、以及接触器112和113。紧急停止开关111在图9中被示出为连接至安全控制器110的输入装置的示例。该输入装置还可以是光幕或门开关。接触器112和113连接至AC电源101与电机102之间的供电线103。安全控制器110具有监控接触器112和113的功能。

[0005] 图10为具体说明用于监控接触器的配置的图示。参见图9和图10，供电线103包括与三相交流电各相分别对应的线L1、L2和L3。电机102通过接触器112的a-触头112a、接触器113的a-触头113a、以及断路器105连接至供电线103。

[0006] 安全控制器110设置有FB输出端子121和FB输入端子122。请注意术语“FB”表示“反馈”。接触器112的b-触头112b和接触器113的b-触头113b彼此串联地连接在FB输出端子121与FB输入端子122之间。请注意图10中省略了紧急停止开关111，以便专注于描述接触器112和113的配置。

[0007] 通常，对于通过将电流馈送给激励线圈来使触头开路或闭合的开关（例如继电器或接触器）而言，术语“a-触头”是指在没有电流流过激励线圈时开路而在电流流过激励线圈时闭合的触头。同时，术语“b-触头”是指在没有电流流过激励线圈时闭合而在电流流过激励线圈时开路的触头。以上“a-触头”和“b-触头”的定义也适用于下文的说明。

[0008] 在图9和图10示出的配置中，接触器112和113各自的a-触头112a和113a直接操作对危险源（例如对应于图11的电机102）的电流分流。在图9中，FB输入表示要被输入至安全控制器110的信号。该FB输入被输入至安全控制器110，以使得该安全控制器110能够确认接触器112和113各自的a-触头112a和113a操作正常而没有熔接失效(welding failure)。如果接触器112和113中任一接触器的a-触头熔接，则安全控制器110将无法切断到电机102的电流。因此，分别检测接触器112和113的a-触头112a和113a的失效（例如熔接）是必要的。

[0009] 在设计诸如图9和图10中所示的安全控制系统时，具有机械约束的触头被用于每个接触器112和113，在所述机械约束中a-触头和b-触头彼此关联地操作。在这种类型的接触器中，每当a-触头闭合时b-触头都开路，反之每当a-触头开路时b-触头都闭合。

[0010] 如图10所示，接触器112和113各自的b-触头112b和113b串联连接至安全控制器110的FB输入端子122。安全控制器110输出安全输出，该安全输出是一用于允许接触器112和113的操作的信号。接触器112和113各自的a-触头112a和113a响应于所述安全输出而闭合。

[0011] 在输出安全输出至接触器112和113之前，安全控制器110确认由接触器112和113各自的b-触头112b和113b所建立的反馈回路已经闭合。该操作对应于安全控制器
110所执行的FB监控。如果确认所述反馈回路还没有闭合，或是已经开路，则安全控制器
110不接通安全输出。

[0012] 在假定接触器112和113中至少一个接触器的a-触头熔接的情况下，该接触器的b-触头被强制开路。这导致反馈回路开路，使得用户能够得知该失效。之所以设置两个接触器，是为了当在一个接触器中检测到a-触头的熔接时，使另一个接触器的a-触头开路。据信，接触器112和113各自的a-触头112a和113a均熔接的可能性很低。因此，布置两个接触器使得能够更可靠地切断到电机102的电流。

[0013] 举一个示例，JP 09-212206A揭示了一种用于控制线路(control route)的控制器件。该控制器件例如控制无刷电机或DC电机。

[0014] 举另一示例，JP 2003-504863W揭示了一种用于驱动螺线管的方法及系统。该螺线管驱动器基于螺线管中的期望电流与其中流动的实际电流之间的差异来控制螺线管中流动的实际电流。

[0015] 图11为示出典型安全控制系统的另一示例的图示。参见图9和图11，安全控制系统152包括取代了接触器112和113的安全驱动电路114。该安全驱动电路114可以是诸如伺服驱动器、逆变器等电机控制装置。与图9中所示的安全控制系统151类似，安全控制器110监控安全驱动电路114的FB。

[0016] 图12是说明用于控制接触器的反馈回路的图示。图13是说明安全驱动电路中的反馈回路的图示。参见图12和图13，接触器的b-触头（在图12中由b-触头112b例示）连接在安全控制器110中的FB输出端子（OUT）121与FB输入端子（IN）122之间。同时，在很多类似的情况下，来自半导体元件116的输出信号被用作从安全驱动电路114输出的反馈监控。之所以使用半导体元件是为了延长负责信号输出功能的部分的寿命。

[0017] 安全控制器110的FB输出端子121输出恒定电压（例如，DC 24V）。通过接触器的b-触头或半导体元件将电压输入至安全控制器110的FB输入端子122。如果输入电压处于高电平，则安全控制器110确定反馈回路已经闭合。否则，如果输入电压处于低电平，则确定反馈回路已经开路。

[0018] 图14为更具体地说明图13中所示安全控制器与安全驱动电路之间的连接的图示。参见图14，安全控制器110包括FB输出端子121、FB输入端子122、安全输出（1）端子123、安全输出（2）端子124、以及安全输入端子126。安全输出（1）端子123和安全输出（2）端子124的每一个为输出用于允许安全驱动电路114的操作的信号（被称为“安全输出”）的端子。

[0019] 安全驱动电路114包括半导体元件116、电压输入端子131、FB监控输出端子132、安全输入（1）端子133、以及安全输入（2）端子134。所述半导体元件116设置在电压输入端子131与FB监控输出端子132之间。安全输入（1）端子133和安全输入（2）端子134的每一个为将安全输出从安全控制器110输入至安全驱动电路114的端子。要被输入至安全输入（1）端子133和安全输入（2）端子134二者之一的信号被称为“安全输入”。

[0020] 安全控制器110的安全输出（1）端子123直接连接至安全驱动电路114的安全输入（1）端子133。安全控制器110的安全输出（2）端子124直接连接至安全驱动电路114的安全输入（2）端子134。安全控制器110的FB输出端子121直接连接至安全驱动电路114的电压输入端子131。安全控制器110的FB输入端子122直接连接至安全驱动电路114的FB监控输出端子132。

[0021] 安全控制器110的FB输出端子121输出高电平的信号。安全控制器110检测到已经被输入至安全控制器110的FB输入端子122的信号为高电平的信号。在这种情况下，安全控制器110的安全输出（1）端子123和安全输出（2）端子124输出各自的高电平信号。之所以在安全控制器110中安全输出（1）端子123和安全输出（2）端子124均输出高电平的信号，是为了提高安全输出的可靠性。

[0022] 如果已经被输入至安全驱动电路114的安全输入1和2均处于高电平，则安全驱动电路114关断FB监控输出。否则，如果安全输入1和2二者之一不是处于高电平，也即它们中的至少一个处于低电平，则接通FB监控输出。

[0023] 图15为说明图14中所示安全控制系统的操作的时序图。参见图14和图15，首先，在初始阶段（在t11时刻之前的阶段），安全控制器110中的安全输出1和2（在图15中将统称为“安全输出1/2”）均处于低电平。尽管附图中未示出，但由于安全输出1/2处于低电平，所以FB监控输出处于“导通（ON）”状态。因而，安全驱动电路114的FB监控输出端子132输出电压。

[0024] 在t11时刻，接续，输入至安全控制器110的安全输入端子126的输入信号（安全输入）变为高电平。响应于此，安全输入也变为高电平。

[0025] 在t12时刻，随后，安全控制器110检测到输入至FB输入端子122的信号已经为高电平的信号。于此，在t13时刻，安全控制器110的安全输出1/2变为高电平。相应地，安全驱动电路114的安全输入1/2也变为高电平。一旦安全输入1/2变为高电平，则安全驱动电路114关断半导体元件116。结果，在t14时刻，FB监控输出被关断。

[0026] 然而，半导体元件116引起安全驱动电路中反馈回路的电压降(voltage drop)。在单个安全控制器110管理多个安全驱动电路114的情况下，安全驱动电路114的各个半导体元件116直接串联连接至安全控制器110的反馈输入端子，如图16所示。这一配置导致安全控制器110中反馈回路的显著电压降，使得FB输入端子122处的输入电压被大大降低。

[0027] 当FB输入端子122处的输入电压相当低时，安全控制器110会确定反馈回路已经开路。在这种情况下，安全控制器110并不接通安全输出。结果，即使在安全驱动电路114能够正常操作时，安全控制器110都不可能允许安全驱动电路114的操作。为了避免这种在反馈回路中引起的显著电压降，迄今为止已采用了这样一种配置，其中仅将限制数目的安全驱动电路114连接至安全控制器110。

[0028] 作为上述缺陷的解决方案，考虑到安全控制器或安全驱动电路的配置需要加以修改。然而，该解决方案会涉及致力于连同设计修改的开发的工时数增加的风险。结果，这引起整体成本的增加。另外，确认并保证经过修改的安全控制器或安全驱动电路满足目标安全规格是必要的。为此，会需要额外的成本和时间。

[0029] 至于上述的专利文献，JP 09-212206A提及伺服驱动器中的电压降（见JP09-212206A说明书的“0043”段），但没有关于上述缺陷的说明。类似地，JP 2003-504863W也没有描述这一缺陷。

[0030] 本发明的目的在于提供一种能够通过使用单个监控器监控更多个驱动电路而不用修改控制器和驱动电路的配置的安全控制系统。

[0053] 下文中，将参照说明书附图对本发明的实施例加以详细说明。请注意到附图中的相同或等效组件将被赋以相同的附图标记，并且将不会重复其描述。

[0054] （第一实施例）

[0055] 图1为示出根据本发明第一实施例的安全控制系统的配置示例的图示。

[0056] 参见图1，根据第一实施例的安全控制系统51包括安全控制器10、输入装置11、安全驱动电路14、以及继电器17和18。输入装置11例如是紧急停止开关，但其也可以是具有依据用户的操作而向安全控制器10输入信号的功能的任何其他器件。例如，光幕或门开关可以应用于输入装置11。此外，输入装置11不限于单个单元，而可以是由多个单元的组合来实施。

[0057] 电机2用作动力源，并且通过被供以来自AC电源1的三相交流电而操作。电机2由安全驱动电路14驱动。安全驱动电路14将驱动电力从AC电源1供应至电机2，并切断到电机2的电力。安全驱动电路14可以是诸如伺服驱动器、逆变器等电机控制装置。安全控制器10具有监控安全驱动电路14的功能。要注意到，AC电源1可以由DC电源所取代。

[0058] 在这里的说明书中，使用了术语“安全控制器”和“安全驱动电路”。然而，要注意到，“安全控制器”和“安全驱动电路”中的任意一个都不代表任何特殊装置。本发明可适用于任意给定的控制装置（控制器）和驱动装置（驱动电路或驱动器），只要它们符合预定的安全规格。

[0059] 安全控制器10包括FB（feedback，反馈）输出端子21、FB输入端子22、安全输出（1）端子23、安全输出（2）端子24、辅助输出端子25、以及安全输入端子26。FB输出端子21和FB输入端子22是建立反馈回路的端子，安全控制器10通过该反馈回路监控安全驱动电路14的状态。在该实施例中，“安全驱动电路14的状态”这一表述是指允许输出或切断输出的状态（例如，见图2）。安全输出（1）端子23和安全输出（2）端子24中的每个都是这样一个端子，安全控制器10通过该端子输出用于允许安全驱动电路14的操作的信号（称为“安全输出”）。辅助输出端子25是这样一个端子，安全控制器10通过该端子输出与所述安全输出同步的信号（称为“辅助输出”）。安全输入端子26是这样一个端子，通过该端子将来自输入装置11的信号（称为“安全输入”）输入至安全控制器10。输入装置11连接至安全控制器10的安全输入端子26。

[0060] 安全驱动电路14包括半导体元件16、电压输入端子31、FB监控输出端子32、安全输入（1）端子33、以及安全输入（2）端子34。安全输入（1）端子33和安全输入（2）端子34是这样的端子，通过所述端子将已分别从安全控制器10的安全输出（1）端子23和安全输出（2）端子24输出的安全输出输入至安全驱动电路14。输入至安全输入（1）端子33和安全输入（2）端子34二者之任一的信号被称为“安全输入”。

[0061] 只要设置有至少一套的安全控制器10的安全输出端子和安全驱动电路14的安全输入端子，就可应用本发明。然而，通过如本实施例中那样设置两套或更多套的安全输出端子和安全输入端子，能够进一步提高安全控制系统的可靠性。

[0062] 半导体元件16设置在电压输入端子31与FB监控输出端子32之间。FB监控输出端子32是这样一个监控输出端子，安全驱动电路14通过该监控输出端子将指示安全驱动电路14的状态的监控电压（FB监控）输出至安全控制器10。半导体元件16产生要从FB监控输出端子32输出的监控电压。电压输入端子31是这样一个电压输入端子，通过该电压输入端子将用于致使半导体元件16产生监控电压的电压输入至半导体元件16。在本实施例中，电压输入端子31连接至恒定电压源。要注意到，如下文将详细描述的，在来自安全控制器10的各输出信号（安全输出）输入至安全驱动电路14的安全输入（1）端子和安全输入（2）端子之前，安全驱动电路14从FB监控输出端子32输出FB监控。

[0063] 继电器17包括a-触头17a、b-触头17b、以及线圈17c。a-触头17a和b-触头17b之间有机械约束关系（mechanically restricted），以使得它们以互补方式彼此相关联地操作。在本实施例中，“互补方式”的表达指示a-触头17a和b-触头17b中的一个为“闭合”时另一个为“开路”的状态。具体地，当a-触头17a闭合时，b-触头17b开路。同时，当a-触头17a开路时，b-触头17b闭合。因此，a-触头17a和b-触头17b二者不会同时都闭合。通常，这种结构也称为“强制引导接触结构(force guided contact structure)”。
这样，只要配备有所述的强制引导接触结构，可将任意给定的继电器应用于继电器17。

[0064] 所述的a-触头17a对应于根据本发明的“第一继电器的第一触头”。所述的b-触头17b对应于根据本发明的“第一继电器的第二触头”。所述的线圈17c对应于根据本发明的“第一继电器的第一线圈”。

[0065] a-触头17a电性连接至安全控制器10的FB输出端子21和FB输入端子22。b-触头17b电性连接至安全控制器10的安全输出（1）端子23和安全驱动电路14的安全输入（1）端子33。线圈17c的一端电性连接至安全驱动电路14的FB监控输出端子32。这里，“电性连接”的表达不仅包括直接连接，还包括通过例如电线进行的连接。

[0066] 继电器18包括b-触头18b和线圈18c。b-触头18b的一端连接至继电器17的线圈17c的另一端，而b-触头18b的另一端接地。换言之，继电器17的线圈17c与继电器18的b-触头18b彼此串联地连接在安全驱动电路14的FB监控输出端子32与地之间。线圈18c的一端连接至安全控制器10的辅助输出端子25，而线圈18c的另一端与地连接。换言之，线圈18c电性连接在安全控制器10的辅助输出端子25与地之间。

[0067] 对于继电器18，强制引导接触结构不是必要的，并且任何通用的继电器都能用作为继电器18的示例。b-触头18b对应于根据本发明的“第二继电器的第三触头”，并且线圈18c对应于根据本发明的“第二继电器的第二线圈”。

[0068] 根据图1所示的配置，在安全控制器10的反馈回路中，也即，在安全控制器10的FB输出端子21与FB输入端子22之间的线路上，仅设置了继电器17的a-触头17a。a-触头17a的电阻远小于半导体元件16的导通电阻。因此，不存在对于以上反馈回路两端电压降的实质性因素。

[0069] 继电器18是由与安全控制器10的安全输出同步的辅助输出来驱动。继电器17是由继电器18的b-触头18b和安全驱动电路14的半导体元件16（即，安全驱动电路14的FB监控输出）来驱动。

[0070] 在本实施例中，仅需设置将配备有强制引导接触结构的继电器的b-触头连接于安全控制器10的两个安全输出端子中的至少一个与安全驱动电路14的对应于该至少一个安全输出端子的安全输入端子之间。因此，相对于图1中所示的配置，继电器17的b-触头17b可设置在安全控制器10的安全输出（2）端子24与安全驱动电路14的安全输入（2）端子34之间。或者，在图1所示的配置中，可将另一配备有强制引导接触结构的继电器的b-触头设置在安全控制器10的安全输出（2）端子24与安全驱动电路14的安全输入（2）端子34之间。

[0071] 图2为说明图1所示安全驱动电路的操作的图示。在图2中，“安全输入1”和“安全输入2”代表将要分别输入至安全驱动电路14的安全输入（1）端子33和安全输入（2）端子34的信号。如果用于安全驱动电路14的安全输入1和2均处于高电平，则允许安全驱动电路14的输出。在这种情况下，FB监控输出被关断。否则，如果用于安全驱动电路14的安全输入1和2二者之一不处于高电平，也即，如果它们中的至少一个处于低电平，则切断安全驱动电路14的输出。在这种情况下，FB监控输出被打开。安全驱动电路14的输出例如可以是从安全驱动电路14被供应至电机2的电力。

[0072] 图3为说明图1所示安全控制系统的操作的时序图。参见图1和图3，首先，在初始状态（或t1时刻之前的状态）下，安全控制器10的安全输出1和安全输出2（在图3中被统称为“安全输出1/2”）均处于低电平。虽然图3中未示出，但由于安全输出1/2处于低电平，所以FB监控输出处于导通（ON）状态。因而，在安全驱动电路14中，半导体元件16处于导通（ON）状态，并且FB监控输出端子32输出监控电压。

[0073] 由于安全控制器10的辅助输出处于低电平，所以没有电流流过线圈18c。因此，继电器18（RY2）的b-触头18b闭合。这导致电流从安全驱动电路14的FB监控输出端子32流向继电器17（RY1）的线圈17c和继电器18的b-触头18b。由于流过线圈17c的电流，使继电器17得以接通。

[0074] 在t1时刻，接续，从输入装置11输入至安全控制器10的安全输入端子26的信号（安全输入）变为高电平。具体而言，响应于用户利用输入装置进行的操作，安全输入变为高电平。要注意到在本实施例中，“信号变为高电平”意味着信号正在被输出。这将适用于下文的说明。

[0075] 在t2时刻，随后，继电器17的a-触头17a闭合。结果，反馈回路闭合。因此，输入至安全控制器10的FB输入端子22的信号（FB输入）变为高电平。这一高电平的FB输入致使安全控制器10的安全输出1/2在t3时刻变为高电平。辅助输出与安全输出1/2同步地变为高电平。该辅助输出变为高电平致使电流流过继电器18的线圈18c。这之后，继电器18接通。

[0076] 继电器18的接通致使b-触头18b开路。结果，没有电流流过继电器17的线圈17c，这致使继电器17在t4时刻关断。继电器17的关断致使a触头17a和b触头17b分别开路和闭合。因此，输入至安全驱动电路14的安全输入1/2变为高电平。该高电平的安全输入1/2致使安全驱动电路14的半导体元件16关断。结果，FB监控输出被关断。

[0077] 注意到在图3中，t1、t2、t3和t4时刻的标记互相远离，用以更好地理解操作的顺序。然而，这些操作基本是在同一时间执行的。

[0078] 从图3和图15的时序图之间的比较能够理解，根据本实施例的安全控制系统的操作与典型安全控制系统的操作基本相同。具体而言，在FB输入变为高电平后，安全输出1/2变为高电平。高电平的安全输出1/2致使安全输入1/2变为高电平。因此，可以将现有的安全控制器和安全驱动电路应用于根据本实施例的安全控制系统。

[0079] 根据本实施例，不存在对于安全控制器10所建立的FB回路两端的电压降的因素。因此，在将多个安全驱动电路连接至单个安全控制器的情况下，FB回路中引起的电压降的量与典型配置（见图16）中相比要更小。这使得与典型配置相比能够将更多的安全驱动电路连接至单个安全控制器。因此，能够增加单个安全控制器所能监控的安全驱动电路的数目。

[0080] 图4为示出根据第一实施例的安全控制系统的配置的图示，其中有多个安全驱动电路连接至单个安全控制器。参见图1和图4，安全控制系统52与安全控制系统51的不同之处在于还包括安全驱动电路14A和继电器19。安全驱动电路14A被配置为将AC电力从AC电源1A供应至电机2A，或者切断到电机2A的AC电力。注意到在图4中，示出了AC电源1和1A，但可代之以可由单个AC电源给电机2和2A供应AC电力。

[0081] 继电器19包括a-触头19a、b-触头19b、以及线圈19c。类似于继电器17，a-触头19a和b-触头19b之间有机械约束关系，以使得它们彼此关联地操作。

[0082] 安全驱动电路14A具有与安全驱动电路14相同的配置。更详细而言，安全驱动电路14A包括半导体元件16A、电压输入端子31A、FB监控输出端子32A、安全输入（1）端子33A、以及安全输入（2）端子34A。

[0083] 继电器17的a-触头17a和继电器19的a-触头19a彼此串联地电性连接在安全控制器10的FB输出端子21与FB输入端子22之间。安全输入（1）端子33A连同安全驱动电路14的安全输入（1）端子33一起连接至继电器17的b-触头17b。安全输入（2）端子34A连同安全驱动电路14的安全输入（2）端子34一起连接至继电器19的b-触头19b。

[0084] 特别地，继电器17的b-触头17b电性连接在安全控制器10的信号输出端子（或安全输出（1）端子23）与安全驱动电路14的对应于继电器17的信号输入端子（或安全输入（1）端子33）之间。同时，继电器19的b-触头19b电性连接在安全控制器10的信号输出端子（或安全输出（2）端子24）与安全驱动电路14A的对应于继电器19的信号输入端子（或安全输入（2）端子34A）之间。注意到继电器19的b-触头19b可插入到将安全输入（1）端子33电连接至安全输入（1）端子33A的线路中。

[0085] 线圈19c的一端连接至安全驱动电路14A的FB监控输出端子32A，而线圈19c的另一端连接至继电器18的b-触头18b。因此，线圈17c和19c并联地连接至继电器18的b-触头18b。

[0086] 图4所示安全控制系统52的操作与图3中所示的基本相同。在图3中，仅需将RY1替换成继电器17和19，并将安全输入1/2替换成安全驱动电路14和14A的安全输入1/2。

[0087] 虽然图4中示出两个安全驱动电路，但在本实施例中单个安全控制器10也可监控三个或更多的安全驱动电路。设置了与安全驱动电路的数目相同数目的继电器（其中每对a-触头和b-触头被配置为以机械的方式彼此相关联地操作），并且这些继电器的a-触头电性地串联连接在安全控制器10的FB输出端子21与FB输入端子22之间。此外，这些继电器的b-触头电性连接在对应的安全驱动电路的信号输入端子（或安全输入（1）端子和安全输入（2）端子中的一个）与安全控制器10的信号输出端子（或安全输出（1）端子23和安全输出（2）端子24中相对应的一个）之间。以上继电器的线圈并联连接至继电器18的b-触头18b。

[0088] 根据典型的配置，诸如图14、图16等所示的那样，由于安全控制器110的FB输入端子122的输入规格（高电平的电压）以及安全驱动电路中FB监控输出的电压降，使得仅有有限数目的安全驱动电路能够连接至单个安全控制器。因此，为了对更多个安全驱动电路执行安全控制，用户有必要准备多个安全控制器并且分别地将这些安全控制器连接至各个安全驱动电路。在这一配置中，不利地是，需要一种机制或方法来致使多个安全控制器彼此同步地操作。

[0089] 相比之下，根据所述第一实施例，简单地通过附加一个或多个继电器，单个安全控制器便能够监控和控制与典型配置中相比而言更多的安全驱动电路。因而，利用第一实施例，能够以低成本来简便地构建单个安全控制器监控多个安全驱动电路的配置。

[0090] 在该实施例中，使用了继电器17和19，其每个都存在机械约束关系而使得a-触头和b-触头彼此关联地操作。每个继电器的a-触头都设置在安全控制器10的FB输出端子21与FB输入端子22之间。同时，每个继电器的b-触头都设置在安全控制器10的安全输出端子与对应安全驱动电路的安全输入端子之间。利用以上配置的继电器，能够发现继电器17和19的失效。

[0091] 如图11所示，FB监控本质上是用来发现触头112和113各自的a-触头112a和113a的熔接（welding）。另外，当安全驱动电路114的驱动输出失效时，FB监控输出保持在关断（OFF）状态下，因而防止安全控制器110的安全输出保持在导通（ON）状态并避免危险状况。如果不能检测到a-触头112a和113a的诸如熔接等失效，则即使FB监控输出保持在关断（OFF）状态下时，安全控制器110的安全输出也可能会接通。

[0092] 相比之下，利用所述第一实施例，当继电器17的a-触头17a（或继电器19的a-触头19a）熔接时，继电器17的b-触头17b（或继电器19的b-触头19b）被强制开路。结果，安全驱动电路（14或14A）中的至少一个安全输入被关断。在这种情况下，安全驱动电路（14或14A）不操作，从而使动力源（或电机2）也不操作。

[0093] 同时，当继电器17的b-触头17b（或继电器19的b-触头19b）熔接时，继电器17的a-触头17a（或继电器19的a-触头19a）开路。在这种情况下，安全控制器10所建立的FB回路开路，从而使得安全控制器10的安全输出1和2均处于低电平。结果，安全驱动电路14（或14A）的输出被切断。

[0094] 继电器18可以是通用的继电器。继电器18的可能失效可为接通（ON）或关断（OFF）失效。然而，即使发生任何接通（ON）或关断（OFF）失效时，安全驱动电路14（或14A）的输出也会被切断。

[0095] 假设这样一种情况，其中继电器18出现接通（ON）失效，继电器18始终保持接通（ON）。结果，继电器17（或19）保持在接通（ON）状态下，而继电器17（或19）的b-触头（17b或19b）保持为开路。在这种情况下，从安全控制器10传递至安全驱动电路（14和14A）的安全输出被切断。这样，在每个安全驱动电路（14和14A）中，安全输入1和2没有同时处于高电平。因此，安全驱动电路（14和14A）的输出被切断。

[0096] 接续，假设这样一种情况，其中继电器18出现关断（OFF）失效，继电器18始终保持关断（OFF）。结果，继电器17（或19）保持在关断（OFF）状态下，而继电器17（或19）的a-触头（17a或19a）保持为开路。相应地，安全控制器10所建立的FB回路被开路。在这种情况下，安全控制器10的安全输出1和2变为低电平。因此，安全驱动电路（14和14A）的输出被切断。

[0097] （第二实施例）

[0098] 图5为示出根据本发明第二实施例的安全控制系统的配置示例的图示。参见图1和图5，根据第二实施例的安全控制系统53不同于根据第一实施例的安全控制系统51，其不同在于省略了继电器18。

[0099] 类似于第一实施例，安全控制器10可设有辅助输出端子25，但该辅助输出端子25在第二实施例中是可选项。因此，图5中未示出辅助输出端子25。继电器17的线圈17c的一端连接至安全驱动电路14的FB监控输出端子32。线圈17c的另一端接地。因而，在该实施例中，线圈17c电性连接在安全驱动电路14的FB监控输出端子32与地之间。根据第二实施例的安全控制系统53所具有的其它部分的配置与根据第一实施例的安全控制系统51所具有的对应部分的配置相同。因此，将略过其后的说明。

[0100] 图6为说明图5所示安全驱动电路的操作的图示。参见图2和图6，在第二实施例中，当“安全输入1”和“安全输入2”中的一个处于高电平且另一个处于低电平时，FB监控输出被关断。就该特征而言，第二实施例不同于第一实施例。

[0101] 图7为说明图5所示安全控制系统的操作的时序图。参见图5和图7，首先，在初始状态（或t1a时刻之前的状态）下，安全控制器10的安全输出1和安全输出2（图7中统称为“安全输出1/2”）均处于低电平。虽然图7中未示出，但由于安全输出1/2处于低电平，所以FB监控输出为导通（ON）状态。

[0102] 由于FB监控输出为导通（ON）状态，所以电流从安全驱动电路14的监控输出端子32流向继电器17（RY1）的线圈17c，从而接通继电器17。

[0103] 在t1a时刻，接续，输入至安全控制器10的安全输入端子26的安全输入变为高电平。在t2a时刻，随后，继电器17的a-触头17a闭合。相应地，输入至安全控制器10的FB输入端子22的信号（FB输入）变为高电平。该FB输入变为高电平致使安全控制器10的安全输出1/2在t3a时刻变为高电平。由于继电器17的a-触头17a闭合，所以继电器17的b-触头17b开路。相应地，安全驱动电路14的安全输入1在t3a时刻处于低电平。同时，安全驱动电路14的安全输入2处于高电平。

[0104] 安全驱动电路14中安全输入1和2分别变为低电平和高电平，这致使安全驱动电路14的FB监控输出被关断。结果，没有电流流过继电器17的线圈17c，使得继电器17关断。在t4a时刻，继电器17的a-触头17a开路但其b-触头17b闭合。结果，输入至安全驱动电路14的安全输入1变为高电平。在t4a时刻之后，安全输入1和2保持在高电平。当安全输入1和2均处于高电平时，FB监控输出处于低电平。因而，即使在t4a时刻后FB监控输出也保持在低电平。

[0105] 图8为示出根据第二实施例的安全控制系统的配置的图示，其中多个安全驱动电路连接至单个安全控制器。参见图5和图8，安全控制系统54与安全控制系统53不同之处在于还包括安全驱动电路14A和继电器19。注意到，由于安全驱动电路14A的配置与图4中所示的相同，所以将略过其后的说明。类似地，由于继电器19的配置与图4中所示的相同，所以将略过其后的说明。

[0106] 在图8所示的配置中，继电器17的b-触头17b和继电器19的b-触头19b彼此串联地连接在安全控制器10的安全输出（1）端子23与安全驱动电路（14或14A）的安全输入（1）端子（33或33A）之间。继电器19的线圈19c电性连接至安全驱动电路14A的FB监控输出端子32A和地。注意到，在图8所示的配置中，继电器17的线圈17c和继电器19的线圈19c一起接地，但也可分开接地。

[0107] 从图5和图8各自配置之间的比较可以看出，根据第二实施例的配置即使在将多个安全驱动电路连接至单个安全控制器时也能够使得没有存在继电器18的必要。

[0108] 与图8所示的配置相比对，继电器17的b-触头17b和继电器19的b-触头19b可彼此串联地连接在安全控制器10的安全输出（2）端子24与安全驱动电路（14或14A）的安全输入（2）端子（34或34A）之间。然而，要注意到，在所述第二实施例中，安全驱动电路（14和14A）按照图7中所示的关系来操作。相应地，有必要将每个安全驱动电路（14和14A）的两个安全输入端子中的一个连接至安全控制器10的对应安全输出端子，且二者之间不存在b-触头，也即为直接连接。

[0109] 第二实施例能够产生与第一实施例相同的效果。因而，能够以低成本来简便地构建单个安全控制器监控更多个安全驱动电路的配置。

[0110] 另外，与第一实施例相比，第二实施例能够减小其中所使用的继电器的数目。

[0111] 应理解此处已经揭示的实施例仅为示例且从各方面而言都是非限制性的。本发明的范围由权利要求而非由以上说明来限定。此外，本发明意欲包括在不脱离权利要求的精神或范围及其等同物条件下所有可能的修改和变化。