CN102591322A - 检验带有部件的控制系统的功能 - Google Patents
检验带有部件的控制系统的功能 Download PDFInfo
- Publication number
- CN102591322A CN102591322A CN2011104630660A CN201110463066A CN102591322A CN 102591322 A CN102591322 A CN 102591322A CN 2011104630660 A CN2011104630660 A CN 2011104630660A CN 201110463066 A CN201110463066 A CN 201110463066A CN 102591322 A CN102591322 A CN 102591322A
- Authority
- CN
- China
- Prior art keywords
- parts
- check
- control system
- function
- checked
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0243—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model
- G05B23/0245—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults model based detection method, e.g. first-principles knowledge model based on a qualitative model, e.g. rule based; if-then decisions
- G05B23/0251—Abstraction hierarchy, e.g. "complex systems", i.e. system is divided in subsystems, subsystems are monitored and results are combined to decide on status of whole system
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Hardware Redundancy (AREA)
Abstract
检验带有部件的控制系统的功能。本发明涉及一种用于检验控制系统的要检验的功能的方法,其中控制系统具有要检查的尤其是冗余的部件(100)和分析单元(200),该分析单元基于所述部件(100)的状态报告(131,141)来分析所述部件(100)的功能性,其中该方法包括:在部件方面检验要检查的部件(100)的要检验的功能,以及所述在系统范围内(3)的检验包括至少一个、而非所有所述在部件方面的已检验的功能。
Description
技术领域
本发明涉及一种用于对带有部件、尤其是带有冗余控制设备的控制系统的功能进行检验的方法以及相应的控制系统。
背景技术
由于在复杂系统的部件中的故障并不可以完全避免,所以容错地设计安全关键的系统。系统的如下能力称作容错,即在部件故障或失效的情况下以限定方式运行,例如进一步提供正确的或至少不错误的输出量。
在安全关键的应用中,使用了如下结构,其中部件冗余地设计。所谓的loo2结构(二选一)基于如下假设:两个冗余的部件相同地运行并且在相同输入量的情况下提供相同的输出量,只要没有部件有故障。比较器因此在这样的结构中连续地比较冗余的部件的输出量并且在有差异时停止输出。通过所谓的集成的非持续的行为尽管可能引起系统停止,但可靠地防止了错误输出量的进一步处理。对相应有故障的部件的直接识别通常是不可能的。
所谓的loo2D结构附加地包含故障检测和通过冗余的部件提供状态报告,其能够在输出量有差异时实现识别有故障的部件并且有针对性地关断有故障的部件。由此,系统的(应急)运行可以借助完好的部件至少维持一定时间(集成的持续行为)。
同样已知了如下结构,其基于状态报告而设置这种关断,但并不一定对输出量进行连续比较。此外已知的是,冗余的部件的一个或多个保持不活动,并且在活动的部件中出现故障时才激活完好的不活动的部件,其于是使运行相应持续。
在这种系统中,所谓的表决器基于状态报告的分析来提供分析信号或切换信号,其实现了相应的系统从有故障的部件切换到完好的部件,即必要时激活完好的部件,将输入量转发给部件并且部件的输出量在系统输出端提供。相应的表决器分别检验出现的状态报告的可信性并且例如通过真值表进行选择。状态报告包括例如多个配属于相应部件的激活建议。相应的表决器决定可以通过使用者干预而否决。
根据通用安全标准(例如IEC 61508),安全关键的系统的部件在故障情况下可以转移到安全状态。部件到达安全状态的路径通常必须也针对“睡眠”故障进行检验。借助例如在运行循环开始时进行的检查,保证了在故障情况下这些路径可供使用。在前面所阐述的冗余系统中例如在具有两个冗余控制设备的系统中,安全状态例如在通过表决器切换到完好的控制设备之后达到,因为在此情况下通过完好的控制设备保证了继续运行。
所有导致相应的切换的路径因此如所提及的那样通常在运行循环期间例如在初始化系统时被检验一次。然而所有路径的完全测试是耗时的并且在编程技术上是高要求的,因此在这样的测试之前必须使两个部件彼此同步。此外,在多个路径的情况下在两个控制设备之间多次来回切换,由此引起了相应零件的过量的负荷,其就其而言提高了易出故障性。
因此存在对改进用于对相应控制系统的功能进行检验的方案需求,其可以简单且可靠地实施并且并不具有所述的缺点。
发明内容
基于此背景,本发明提出了一种具有独立权利要求所述的特征的用于对带有部件、尤其带有冗余的控制设备的控制系统的功能进行检验的方法,以及提出了一种具有独立权利要求所述的特征的控制系统。优选的扩展方案是相应从属权利要求以及以下描述的主题。
根据本发明的解决方案提出,不对所有功能或遍经整个信号路径或所有冗余的部件(例如两个控制设备)的路径进行相应检验,而是仅对功能(即至少一个而非所有)的一部分进行系统范围的检验。在此,本发明利用的是,在冗余控制系统中要检验的功能可以分别划分成部件方面的部分和非部件方面的部分。功能的非部件方面的部分通过共同的信号路径来限定。功能的部件方面的部分在功能上独立地进行检验,而剩余的即非部件方面的部分对于多个功能共同地进行检验。
典型地,在冗余的部件中基于输入量分别提供输出量以及通过部件提供了状态报告。在有合适的控制信号可用时,相应系统的功能的相应部件方面的部分完全在相应的部件内运行并且因此可以完全在部件方面进行检验。根据本发明,相应部件的状态报告作为控制信号而被回读。
在第一步骤中,功能因此在部件方面被检验。部件方面的检验通过提供测试信号作为输入信号并且回读在至少一个部件中的相应的状态报告来实现。有利地,对所有部件的所有功能进行检验。
在接下来的步骤中,对在系统层上之前在部件方面已检验的的功能的所选部分进行完全检验。所述检验包括对通过分析单元(例如表决器)对状态报告的分析进行检验,和/或对通过分析单元提供相应(正确的)分析信号进行检验。为此又提供测试信号作为输入量,然而回读分析信号用于检验。分析信号可以直接回读或可以确定通过分析信号引起的开关单元的切换。
传统上,如所提及的那样,在系统起动时对相应冗余系统的所有功能在系统范围进行检验,即包括检验在通常借助继电器开关进行的在冗余的部件之间的切换过程。而根据本发明所提出的措施的特别优点在于,在部件方面对功能的检验可以更为快速地并且由此在相应系统的初始化阶段内运行,因为针对大部分检验技针对部件方面的部分可以避免继电器开关的(缓慢)切换。有利地,为此,在初始化阶段期间防止相应继电器开关的切换,在初始化阶段中例如否决表决器决定。
继电器开关通常仅设计用于有限数目的切换循环并且随着每个切换过程特别是在高负荷的情况下即在要切换大的电流的情况下而老化,所以通过根据本发明的措施可以实现显著延长使用寿命。
本发明附加地能够实现在相应的测试中简化的协调。仅仅针对检验的一部分即系统范围的测试而必须保证在部件之间的对于例如同步所需的无摩擦的相互作用。在控制设备内的测试于是可以在没有协调困难的情况下在初始化期间进行。
例如,对相应系统的过压监控和欠压监控的检验通过在提供相应的输入量的情况下模拟电压故障和检验在输出级中的作用来进行。如果其被关断,则测试成功并且至输出级的路径在睡眠故障方面得到保护。在初始化期间,通常避免在部件之间的切换,使得所述测试也不会导致切换。
例如在自测试期间,例如航空电子应用中在对飞行员规定的并且在手册中描述的测试协议期间进行系统范围内的具有在部件之间切换的检验。为此,两个控制设备必须在后续测试方面进行协调或同步。如果进行协调,则例如激活监控模块的切换路径并且由两个控制设备检验切换(及通过分析信号引起的开关状态)是否在一定时间内进行。接着,例如在部件之一中的故障复位之后以相同方式检验相反的切换。如果两个检验成功,则证明功能的非部件方面的部分除了决定模块例如表决器之外并且由此整个信号路径没有睡眠故障。
本发明的其他优点和扩展方案从说明书和所附的附图中得到。
应理解的是,前面所描述的和以下还要阐述的特征不仅以相应所描述的组合方式而且以其他组合方式或单独地可以应用,而不离开本发明的范围。
借助附图中的实施例示意性地示出了本发明并且以下参照附图详细地描述了本发明。
附图说明
图1以流程图形式示出了根据本发明的一个特别优选的实施形式的流程。
图2以示意图示出了根据本发明的一个特别优选的实施形式的部件方面的功能检验。
图3以示意图示出了根据本发明的一个特别优选的实施形式的系统范围内的功能检验。
具体实施方式
在附图中相同或作用相同的元件设置有相同的附图标记。出于清楚原因省去了重复阐述。
图1以示意性流程图示出了根据本发明的一个特别优选的实施形式的方法10的流程。
该方法10以第一步骤1开始,其中相应的系统获得检验要求1’,其触发相应的检验。步骤1也可以是系统初始化步骤,其在不需要检验要求1’的情况下自己触发检验。
在步骤2中,在部件方面即例如在系统的控制设备或子控制设备中检验系统的功能。为此,测试信号作为输入信号被提供,其分别回读部件的相应状态报告。如果在该步骤中检测到故障,则输出相应的故障报告2’。
如果步骤2成功结束部件方面的检验,则在步骤3中对至少一个功能进行系统范围内的检验,优选对在步骤2中检验的功能之一或各一个在系统范围内进行检验。提供测试信号作为输入量并且回读在各个进行检验的部件中的相应的分析信号。如果在该步骤中检测到故障,则相应地输出故障报告3’。
如果步骤3成功结束部件方面的检验,则整个检验流程成功运行并且该系统在步骤4中处于准备好使用的状态中。这可以通过输出通知4’来显示。
图2示意性地示出了在部件100内根据本发明的一个特别优选的实施形式的部件方面的功能检验。作为检验结果,输出两个状态报告131、141,只要不存在故障,它们就是相同的。这两个状态报告通常对应于两个激活建议,每个控制设备对应一个。这样,例如状态报告131显示第一控制设备可激活,而状态报告141显示第二控制设备可激活。
部件100,例如冗余的控制设备系统的控制设备或子控制设备,尤其具有状态信号模块110,其构造用于提供状态信号111、112。状态信号111、112与监控报告126、127一起被输送给两个分别冗余地构造为逻辑单元(“UND”)的状态信号处理单元130、140。状态信号处理单元130、140分别输出一个状态报告131、141,其在两个输入端上存在信号(“1”)时显示无故障的运行。
状态信号111、112是激活建议,其由控制设备内的第一层产生。在此通常涉及软件层或功能层,其中第一控制设备和第二控制设备的功能性以传统方式来检验。对于这种针对功能水平的层-1-检验,典型地硬件组件本身的无故障性可以并不检验,使得第二层设置为监控水平。
只要在部件方面的检验中确定没有故障,则由在控制设备内的第二层来产生和输出状态报告131、141。为此,状态报告131、141由监控模块120的监控信号121、122、...借助逻辑单元125来形成,该逻辑单元在输入端上都没有信号(“1”)时,即在显示没有故障时,才输出信号(“1”)。层-2-检验典型地适于也检验硬件组件的无故障性。通过层-1-信号(111,112)与层-2-信号(126,127)的运算(130,140),因此可以在识别出层-2-故障的情况下进行层-1-信号的“否决”。状态报告141经由通道141’在检验的范围中通过监控模块120来回读,以便能够检查是否所希望的否决已发生。
通过提供相应的系统输入(其例如也包含故障模拟)由此可以检验状态报告141的正确触发,这能够实现部件方面的检验。尽管未示出,但也可以设置状态报告131的回读。
图3示意性地示出了根据本发明的一个特别优选的实施形式的借助两个部件100和一个分析单元200的系统范围内的功能检查。在所示的例子中,涉及根据图2的两个部件100。
两个部件100构造用于提供状态报告131、141(激活建议),其可以如在图2的范围中所阐述的那样产生。状态报告131、141被输送给分析单元200。基于状态报告131、141的激活建议,通过分析单元200实现开关250的切换,例如继电器开关的切换,通过由分析单元200提供的分析信号201来引起。
开关250的切换实现了信号接收器300例如相应执行器与两个冗余的部件100例如控制设备之一的输出端101’选择性连接,并且由此提供相应的输出量101。由此,在两个冗余的部件100之一的故障情况下可以将剩余完好的部件选择性地与信号接收器300连接。
此外设置有开关260、270,其在系统范围内的检验的情况下如同开关250那样可以切换,使得通过分析信号201引起的切换相应的开关250可以通过开关260、270显示。测试开关260、270的开关状态可以在检验的范围中通过通道260’、270’来回读。
Claims (10)
1.一种用于检验控制系统的要检验的功能的方法,其中控制系统具有要检查的尤其是冗余的部件(100)和分析单元(200),该分析单元基于所述部件(100)的状态报告(131,141)来分析所述部件(100)的功能性,其中该方法包括:
a)在部件方面(2)检验要检查的部件(100)的要检验的功能,以及
b)在系统范围内(3)检验至少一个、而非所有所述在部件方面(2)的已检验的功能。
2.根据权利要求1所述的方法,其中所述在系统范围内(3)的检验包括检验相应在控制设备方面(2)已检验的功能中的恰好一个功能。
3.根据权利要求1或2所述的方法,其中所述在部件方面(2)的检验在控制系统的初始化的范围中进行。
4.根据上述权利要求之一所述的方法,其中所述在部件方面(2)的检验包含取消通过分析单元(200)引起的在部件(100)之间的切换。
5.根据上述权利要求之一所述的方法,其中所述在部件方面(2)的检验包括在部件(100)内的状态报告(141’)的回读。
6.根据上述权利要求之一所述的方法,其中所述在部件方面(2)的检验包含故障状态的模拟。
7.根据上述权利要求之一所述的方法,其中所述在系统范围内(3)的检验包含部件(100)的同步。
8.根据上述权利要求之一所述的方法,其中所述在系统范围内(3)的检验在检验协议范围中进行。
9.一种控制系统,其构造为用于执行根据上述权利要求之一所述的方法。
10.根据权利要求9所述的控制系统,其具有冗余构造的控制设备,用于控制作为部件(100)的执行器(300)。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102010041437.9 | 2010-09-27 | ||
| DE102010041437.9A DE102010041437B4 (de) | 2010-09-27 | 2010-09-27 | Überprüfung von Funktionen eines Steuersystems mit Komponenten |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102591322A true CN102591322A (zh) | 2012-07-18 |
Family
ID=45804472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104630660A Pending CN102591322A (zh) | 2010-09-27 | 2011-09-26 | 检验带有部件的控制系统的功能 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8831912B2 (zh) |
| KR (1) | KR101902577B1 (zh) |
| CN (1) | CN102591322A (zh) |
| DE (1) | DE102010041437B4 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106462113A (zh) * | 2014-04-22 | 2017-02-22 | 西门子公司 | 自动化设施的故障容差的监视 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102009027369A1 (de) * | 2009-07-01 | 2011-01-05 | Robert Bosch Gmbh | Verfahren sowie System zur Ansteuerung von mindestens einem Aktuator |
| KR102617984B1 (ko) * | 2021-03-24 | 2023-12-29 | 주식회사 비지에스 | 이중화 라인을 이용한 선박 유지관리 시스템 |
| KR102617987B1 (ko) * | 2021-03-24 | 2023-12-29 | 주식회사 비지에스 | 부품 교체시기 예측을 통한 선박 유지관리 시스템 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523310A (zh) * | 2006-10-02 | 2009-09-02 | 菲尼克斯电气公司 | 用于冗余控制子设备的方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH0560584A (ja) * | 1991-09-05 | 1993-03-09 | Nec Corp | 二重化構成装置自動診断方法 |
| DE10030329C1 (de) * | 2000-06-27 | 2002-01-24 | Siemens Ag | Redundantes Steuerungssystem sowie Steuerrechner und Peripherieeinheit für ein derartiges Steuerungssystem |
| US8471910B2 (en) * | 2005-08-11 | 2013-06-25 | Sightlogix, Inc. | Methods and apparatus for providing fault tolerance in a surveillance system |
-
2010
- 2010-09-27 DE DE102010041437.9A patent/DE102010041437B4/de active Active
-
2011
- 2011-09-26 KR KR1020110096656A patent/KR101902577B1/ko active IP Right Grant
- 2011-09-26 US US13/245,425 patent/US8831912B2/en not_active Expired - Fee Related
- 2011-09-26 CN CN2011104630660A patent/CN102591322A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523310A (zh) * | 2006-10-02 | 2009-09-02 | 菲尼克斯电气公司 | 用于冗余控制子设备的方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106462113A (zh) * | 2014-04-22 | 2017-02-22 | 西门子公司 | 自动化设施的故障容差的监视 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102010041437A1 (de) | 2012-03-29 |
| DE102010041437B4 (de) | 2016-11-03 |
| US8831912B2 (en) | 2014-09-09 |
| US20120078575A1 (en) | 2012-03-29 |
| KR101902577B1 (ko) | 2018-09-28 |
| KR20120031904A (ko) | 2012-04-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6732300B1 (en) | Hybrid triple redundant computer system | |
| US8760004B2 (en) | Electrical power distribution | |
| CN109976141B (zh) | Uav传感器信号余度表决系统 | |
| US9625894B2 (en) | Multi-channel control switchover logic | |
| US10120772B2 (en) | Operation of I/O in a safe system | |
| US9751642B2 (en) | Multifunctional controller for a satellite | |
| EP2988389B1 (en) | Redundant high reliability power supply configuration and testing | |
| EP2495659B1 (en) | Architecture using integrated backup control and protection hardware | |
| US4305556A (en) | Railway control signal dynamic output interlocking systems | |
| US9367375B2 (en) | Direct connect algorithm | |
| CN111352338A (zh) | 一种双余度飞控计算机及余度管理方法 | |
| US11904918B2 (en) | Computer interlocking system and switching control method for the same, device, and storage medium | |
| CN103825902A (zh) | 一种综合模块化航电系统重构决策系统及决策方法 | |
| CN102591322A (zh) | 检验带有部件的控制系统的功能 | |
| CN106814604B (zh) | 一种三冗余无源独立电流互检断电重启系统及方法 | |
| RU2527191C1 (ru) | Резервированная многоканальная вычислительная система | |
| US11814088B2 (en) | Vehicle host interface module (vHIM) based braking solutions | |
| CN106292589B (zh) | 一种应用于无人机的人工干预的余度管理方法 | |
| US7245044B2 (en) | Electrical system, and control module and smart power supply for electrical system | |
| US11108344B2 (en) | Soft starter, operating method, and switching system | |
| US20120243139A1 (en) | Method and Apparatus for Diagnostic Coverage of Safety Components | |
| US9988139B2 (en) | Fault tolerant electronic control architecture for aircraft actuation system | |
| Gohil et al. | Redundancy management and synchronization in avionics communication products | |
| US11820527B2 (en) | Redundant actuation power and control | |
| US20220212640A1 (en) | Aircraft brake system with dissimilar control devices and software module used in the event of a fault |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120718 |