CZ291835B6 - Způsob monitorování alespoň jedné bezpečnostní funkce přístroje - Google Patents

Způsob monitorování alespoň jedné bezpečnostní funkce přístroje Download PDF

Info

Publication number
CZ291835B6
CZ291835B6 CZ19961746A CZ174696A CZ291835B6 CZ 291835 B6 CZ291835 B6 CZ 291835B6 CZ 19961746 A CZ19961746 A CZ 19961746A CZ 174696 A CZ174696 A CZ 174696A CZ 291835 B6 CZ291835 B6 CZ 291835B6
Authority
CZ
Czechia
Prior art keywords
microcomputer
microcomputers
safety
detected
error
Prior art date
Application number
CZ19961746A
Other languages
English (en)
Other versions
CZ174696A3 (en
Inventor
Klaus Krieger
Markus Koenig
Andreas Boettigheimer
Juergen Schmidt
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of CZ174696A3 publication Critical patent/CZ174696A3/cs
Publication of CZ291835B6 publication Critical patent/CZ291835B6/cs

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N5/00Systems for controlling combustion
    • F23N5/24Preventing development of abnormal or undesired conditions, i.e. safety arrangements
    • F23N5/242Preventing development of abnormal or undesired conditions, i.e. safety arrangements using electronic means
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0421Multiprocessor system
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2223/00Signal processing; Details thereof
    • F23N2223/04Memory
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2235/00Valves, nozzles or pumps
    • F23N2235/12Fuel valves
    • F23N2235/14Fuel valves electromagnetically operated
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2241/00Applications
    • F23N2241/14Vehicle heating, the heat being derived otherwise than from the propulsion plant

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Regulation And Control Of Combustion (AREA)
  • Safety Devices In Control Systems (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Zp sob monitorov n alespo jedn bezpe nostn funkce p° stroje, kter² je vybaven alespo dv ma mikropo ta i (10a, 10b), kter jsou spolu spojeny sb rnic dat, se prov d tak, e ° dic funkce se p°id luje st° dav t mto dv ma mikropo ta m (10a, 10b) a pouze tato ° dic funkce m e spustit pochod nezbytn² pro uveden (42) p° stroje do provozu.\

Description

Oblast techniky
Vynález se týká způsobu monitorování alespoň jedné bezpečnostní funkce přístroje, který je vybaven alespoň dvěma mikropočítači, které jsou spolu spojeny sběrnicí dat.
Dosavadní stav techniky
Takový způsob je znám například z DE-OS 39 23 773, který je založen na řízení a monitorování přístroje vytápěného palivem. Podle něho jsou uspořádány dva systémy mikropočítačů, které jsou spolu spojeny sběrnicí dat. Ty vstupní signály, které reprodukují funkce přístroje důležité pro bezpečnost, jsou uchovány v obou systémech mikropočítačů. Oba systémy mikropočítačů vypočítávají odpovídající regulační signály, například pro magnetické ventily, přičemž se výstupní signál vede dále ke koncovému stupni jen tehdy, když regulační povely obou mikropočítačů jsou stejné. Každý systém mikropočítačů má možnost spínat společným bezpečnostním vypnutím všechny koncové stupně bez proudu a tím převést přístroj vytápěný palivem do bezpečného stavu.
Podstata vynálezu
Úkolem vynálezu je vytvořit způsob monitorování alespoň jedné funkce přístroje týkající se bezpečnosti, který má vysokou provozní bezpečnost.
Tento úkol splňuje způsob monitorování alespoň jedné bezpečnostní funkce přístroje, který je vybaven alespoň dvěma mikropočítači, které jsou spolu spojeny sběrnicí dat, podle vynálezu, jehož podstatou je, že řídicí funkce se přiděluje střídavě těmto dvěma mikropočítačům a pouze tato řídicí funkce může spustit pochod nezbytný pro uvedení přístroje do provozu.
Způsob podle vynálezu má tu výhodu, že nahodilé nebo ojedinělé chyby se dají snáze rozlišit od skutečných chyb. Způsobem podle vynálezu se při každém novém uvedení přístroje do provozu řídicí funkce (Master) přiřadí jinému mikropočítači, a pouze tento hlavní mikropočítač může spustit postup uvedení přístroje do provozu, například zapálením zapalovacího zařízení u přístroje vytápěného palivem. Vždy alespoň jeden další mikropočítač pracuje jako podřízený (Slavě) a může provádět například přídavná přezkoušení. Způsob podle vynálezu zajišťuje, aby v určitém časovém úseku mohly proběhnout alespoň dva různé programy řízené mikropočítačem. Náhodné nebo ojedinělé chyby, zejména elektromagnetické poruchy nebo například poruchy, které jsou způsobeny energetickou napájecí sítí, působí na alespoň dva mikropočítače různě. Jestliže jeden mikropočítač zjistí chybu, je možno při následujícím porovnání na shodné zjištěné chyby ve všech mikropočítačích zjistit, že chybu zjistil jen jeden příslušný mikropočítač.
Další výhodná provedení způsobu podle vynálezu jsou uvedena ve vedlejších nárocích. Podle zvlášť výhodného provedení se každému mikropočítači přiřadí vlastní záznamová nebo vymazatelná paměť, ve které se ukládají stavy přístroje a/nebo chyby zjištěné stávajícím mikropočítačem. Přednost tohoto opatření spočívá v tom, že se může dodatečně, například v rámci opravárenských prací, zjistit druh vzniklé chyby.
Podle dalšího výhodného provedení podle vynálezu se při zjištěné chybě provede srovnání s daty uloženými v paměti a v závislosti na výsledku srovnání se rozhodne, zda se přístroj může dále provozovat nebo zda se musí vypnout. Pokud by byl přístroj vypnut hned poté, co se vyskytla chyba, může se v závislosti na výsledku srovnání uvést znovu do provozu.
-1 CZ 291835 B6
Další výhodné provedení se týká funkce přístroje důležité pro bezpečnost, podle něhož každý mikropočítač vyvolá odděleně ovládací funkci, přičemž pro uvedení přístroje do činnosti nebo pro udržování přístroje v provozu se magnetické ventily ovládají současně.
Způsob podle vynálezu je vhodný především pro použití u přístroje vytápěného palivem, zejména plynem. Bezpečnostní funkci představuje u tohoto použití přívod paliva, který je řízen s výhodou dvěma magnetickými ventily zařazenými do série.
Jiné výhodné použití způsobu podle vynálezu je u elektronických řídicích přístrojů, které se vestavují s výhodou do motorových vozidel. Výhodnost použití vyplývá zejména z toho, že, zejména u motorových vozidel, se musí počítat se zvýšenou mírou elektromagnetických poruch. Takové elektromagnetické poruchy nastávají v důsledku zvyšujícího se počtu elektrických komponent, které jsou použity v motorových vozidlech.
Další výhodná vytvoření a uspořádání způsobu podle vynálezu vyplývají z dalších vedlejších nároků ve spojení s následujícím popisem.
Přehled obrázků na výkresech
Obr. 1 znázorňuje blokové schéma zařízení, u něhož lze použít způsob podle vynálezu, a obr. 2 znázorňuje vývojový diagram způsobu, který probíhá v zařízení, znázorněném na obr. 1.
Příklady provedení vynálezu
Obr. 1 znázorňuje první a druhý mikropočítač 10a. 10b, které jsou spolu spojeny sběrnicí 11 dat. První mikropočítač 10a spolupracuje s první permanentní pamětí, dále označovanou jako první permanentní paměť 12a PROM, a s první záznamovou a vymazatelnou pamětí pro ukládání a vymazávání dat, dále označovanou jako první paměť 13a EEPROM. První mikropočítač 10a vysílá první výstupní signál 14a na zapalovací zařízení 15, stejně jako druhý výstupní signál 16a přes první kondenzátor 17a k prvnímu koncovému stupni 18a.
První koncový stupeň 18a napájí první vinutí 19a prvního magnetického ventilu 20a. který je uspořádán ve vedení 21. Pro detekci proudu protékajícího prvním vinutím 19a je uspořádáno první proudové čidlo 22a. které vysílá první vstupní signál 23a k prvnímu mikropočítači 10a.
První mikropočítač 10a obdrží spínačem 24 vyslaný druhý vstupní signál 25a. zařízením 26 pro kontrolu plamene vyslaný třetí vstupní signál 27a. nulovacím obvodem 28 vysílaný čtvrtý vstupní signál 29, jakož i čidlem 30 mezní teploty vysílaný pátý vstupní signál 31a.
Zapojení druhého mikropočítače lob odpovídá úplně zapojení prvního mikropočítače 10a.
Druhý mikropočítač 10b předává třetí výstupní signál 14b na zapalovací zařízení 15 stejně jako čtvrtý výstupní signál 16b přes druhý kondenzátor 17b na druhý koncový stupeň 18b.
Druhý koncový stupeň 18b napájí proudem druhé vinutí 19b druhého magnetického ventilu 20b, který je uspořádán ve vedení 21. Pro detekci proudu tekoucího druhým vinutím 19b je uspořádáno druhé proudové čidlo 22b, které vysílá šestý vstupní signál 23b na druhý mikropočítač 10b.
Druhý mikropočítač 10b dostává sedmý vstupní signál 25b vysílaný spínačem 24, osmý vstupní signál 28b vysílaný zařízením 26 pro kontrolu plamene, devátý vstupní signál 29 vysílaný nulovacím obvodem 28, stejně jako desátý vstupní signál 31b vysílaný čidlem 30 mezní teploty.
-2CZ 291835 B6
Sběrnice 11 dat spojující oba mikropočítače 10a, 10b je dále vedena ke třetímu mikropočítači 32, který vysílá pátý výstupní signál 33a na první koncový stupeň 10a a šestý výstupní signál 33b na druhý koncový stupeň 18b. Třetí mikropočítač 32 spolupůsobí se s třetí permanentní pamětí 28 PROM. Třetí mikropočítač 32 dostává jedenáctý vstupní signál 34, vyslaný čidlem 30 mezní teploty. Dvanáctý vstupní signál 35 je dán třetímu mikropočítači 32 k dispozici zařízením 26 pro kontrolu plamene. Poslední, třináctý vstupní signál 36 je předáván vstupem 37 na třetí mikropočítač 32.
Příklad provedení, znázorněný na obr. 1, je přizpůsoben dvoukanálovému bezpečnostnímu konceptu pro monitorování alespoň jedné funkce přístroje, týkající se bezpečnosti. Hlavní části dvoukanálového bezpečnostního systému tvoří oba mikropočítače 10a. 10b. Popřípadě je možné provést rozšíření na vícekanálový koncept s dalšími mikropočítači. Rozšíření na další bezpečnostní kanály je bezproblémové, protože konstrukce jednotlivých kanálů je prakticky identická. Na kterou funkci nebo na které funkce lze pohlížet jako na důležité pro bezpečnost, závisí na stávajícím případu použití. Příklad provedení, znázorněný na obr. 1, se může používat s výhodou u přístroje vytápěného palivem. Palivo se přivádí ve vedení 21 do blíže neznázoměného hořáku. Zastavení nebo uvolnění přítoku paliva provádějí oba magnetické ventily 20a. 20b, uspořádané v trubce 21 a zapojené ve směru proudění do série. Magnetické ventily 20a, 20b se uvádějí do činnosti v závislosti na toku proudu v příslušných vinutích 19a, 19b. První bezpečnostně důležitou funkcí je stav ovládání magnetických ventilů 20a, 20b. Tok proudu v prvním vinutí 19a detekuje první proudové čidlo 22a. které vysílá první vstupní signál 23a na první mikropočítač 10a. Tok proudu ve druhém vinutí 19b detekuje druhé proudové čidlo 22b, které vysílá šestý vstupní signál 23b na druhý mikropočítač lob. Ve speciálním případě, odpovídajícím například uvedenému použití u přístroje vytápěného palivem, lze za funkce důležité pro bezpečnost dále považovat funkce čidla 30 mezní teploty, jakož i zařízení 26 pro kontrolu plamene. Nezávisle na použití bude uspořádán nulovací obvod 28. který obsahuje například kontrolu napětí elektrických komponent. Kontrola napětí se tedy může rovněž pokládat za kontrolu funkce důležité pro bezpečnost.
Pro monitorování bezpečnostně důležitých funkcí jsou uspořádány v podstatě oba mikropočítače 10a, 10b, zatímco třetí mikropočítač 32 slouží v podstatě pro řídicí a regulační úkoly přístroje. Průběh programu třetího mikropočítače 32 je obsažen ve třetí permanentní paměti 38 PROM, která je buď obsažena ve třetím mikropočítači 32, nebo tvoří externí modul. Pomocí třináctého vstupního signálu 36, který vydává vstup 37, se může například předem určit požadovaná skutečná teplota, které má dosáhnout přístroj vytápěný palivem.
Třetí mikropočítač 32 může například řídit přímo oba koncové stupně 18a, 18b. Pátý výstupní signál 33a řídí první koncový stupeň 18a a šestý výstupní signál 33b řídí druhý koncový stupeň 18b. U jiného uspořádání to může být upraveno tak, že oba koncové stupně 18a, 18b potřebují vedle výstupních signálů 33a. 33b vysílaných třetím mikropočítačem 32 ještě výstupní signály 16a. 16b vysílané prvním a druhým mikropočítačem 10a. 10b pro napájení vinutí 19a, 19b proudem. Ve výhodném uspořádání je pamatováno na to, aby se oba koncové stupně 18a, 18b uváděly do činnosti výlučně pouze výstupními signály 16a, 16b, vysílanými oběma mikropočítači 10a. 10b.
Informaci o požadavku tepla může zprostředkovat třetí mikropočítač 32 přes společnou sběrnici 11 dat oběma mikropočítačům 10a, 10b, které potom vyšlou odpovídající výstupní signály 16a, 16b. První a druhý kondenzátor 17. 17b obstarávají dynamické řízení stávajících koncových stupňů 18a, 18b. Toto opatření zvyšuje provozní bezpečnost tím, že se registruje výpadek alespoň jednoho zobou mikropočítačů 10a, 10b, při kterém by jeden nebo oba výstupní signály 16a. 16b na odpovídajícím výstupu mikropočítače přijaly statickou hodnotu. Pokud magnetické ventily 20a. 20b umožňují kontinuální přestavení průtoku, mohou výstupní signály 33a, 33b vysílané třetím mikropočítačem 32 a/nebo výstupními signály 16a, 16b vysílané oběma jinými
-3CZ 291835 B6 mikropočítači 10a, 10b mít modulaci šířky impulzu. Signál s modulací šířky impulzů je bez zábran propouštěn oběma kondenzátory 17a. 17b.
Příklad provedení, znázorněný na obr. 1, je zaměřen na to, aby buď první mikropočítač 10a, nebo 5 druhý mikropočítač 10b mohl přes stávající výstupní signály 14a, 14b nařídit zapalovací zařízení 15. Zapalovací zařízení 15 má například elektrody, mezi nimiž dochází k vysokonapěťovému přeskoku, který zapálí například rozprášený olej nebo plyn. Vznik plamene je detekován zařízením 26 pro kontrolu plamene. Výsledek se přivádí jako třetí vstupní signál 27a do prvního mikropočítače 10a, jako osmý vstupní signál 27b do druhého mikropočítače 10a a popřípadě jako io dvanáctý vstupní signál 35 do třetího mikropočítače 32. Přezkoušení bezpečnosti se provádí s výhodou jen v prvním a ve druhém mikropočítači 10a, 10a.
Jiné přezkoušení bezpečnosti se týká signálů vysílaných čidlem 30 mezi teploty. První mikropočítač 10a obdrží pátý vstupní signál 31a a druhý mikropočítač 10a desátý vstupní signál 31b 15 vysílané čidlem 30 mezi teploty.
Zpracování signálů v prvním mikropočítači 10a se řídí v závislosti na programu uloženém v první permanentní paměti 12a PROM a zpracování signálů ve druhém mikropočítači 10b na programu uloženém ve druhé permanentní paměti 12b PROM. Obě permanentní paměti 12a, 12b 20 PROM mohou být obsaženy v mikropočítačích 10a, 10b nebo jsou přítomny jako externí stavební jednotky.
Zejména je důležité, aby ke každému z obou mikropočítačů 10a. 10a byla přiřazena vlastní paměť 13a. 13b EEPROM. Paměti 13a. 13b EEPROM mohou být rovněž obsaženy v dotyčném 25 mikropočítači 10a, 10b nebo jsou přítomny jako separátní stavební jednotky. V pamětech 13a, 13b EEPROM mohou být uloženy provozní stavy přístroje, vzniklé chyby, značení blokování, stejně jako značky signálů.
Detekci stavů, chyb nebo dalších signálů provádí odděleně první a druhý mikropočítač 10a, 10a. 30 Výměna dat mezi oběma mikropočítači 10a, 10b se obstarává přes sběrnici 11 dat. Proto je možné, aby jeden z mikropočítačů 10a, 10b mohl nyní načítat paměť 13a. 13b EEPROM přiřazenou druhému mikropočítači 10a, 10b.
Podle vynálezu se při každém opětovném uvedení přístroje do provozu přiřadí ke druhému 35 mikropočítači 10a, 10b řídicí funkce Master a pouze tato řídicí funkce může spustit pochod nezbytný pro uvedení přístroje do provozu. Ve znázorněném příkladu provedení představuje tento pochod vyslání prvního výstupního signálu 14a z prvního mikropočítače 10a nebo vyslání třetího výstupního signálu 14b z druhého mikropočítače 10b pro uvedení zapalovacího zařízení 15 do činnosti. Ten mikropočítač 10a, 10b, který nemá řídicí funkci, pracuje jako podřízený. 40 Kromě změny oprávnění pro uvedení přístroje do provozu může příslušná řídicí funkce kontrolovat přenos dat přes sběrnici 11 dat.
Uvedení přístroje do provozu se provede například pomocí třetího mikropočítače 32 jako důsledek požadavku na ohřev. Jiná možnost vyplývá z nulovacího obvodu 28, který po poruše 45 provozního napětí, kdy nedojde k žádné další chybě, vyvolá nové uvedení do provozu přes signály 29a, 29b vyslané nulovacím obvodem 28. které se přivádějí do prvního mikropočítače 10a jako první vstupní signál 29a a do druhého mikropočítače 10b jako devátý vstupní signál 29b. Další možnost opětovného uvedení do provozu může vyplývat z průběhu programu, který je dále vysvětlen. Zjištění, který z obou mikropočítačů 10a. 10b má pracovat jako řídicí, se může provést 50 pomocí záznamu do jedné nebo obou pamětí 13a, 13b EEPROM. Takovým záznamem je například indikační signál.
Chybné stavy, které zjišťují odděleně oba mikropočítače 10a, 10b, vyplývají například z pozorování plausibility vstupních signálů. Například existuje chyba, když vstupní signál 23a, 23b
-4CZ 291835 B6 signalizuje přítomnost proudu protékajícího vinutím 19a, 19b a zapalovací zařízení 15 se neuvede do činnosti. Jiným příkladem chyby je kontrola předem stanovené doby, během níž musí zařízení 26 kontroly plamene vyslat signál poté, co zapalovací zařízení 15 bylo uvedeno do činnosti. Odchylky mezi oběma kanály, obsahujícími mikropočítače 10a, 10b, například v tom, že první vstupní signál 23 a hlásí proud detekovaný prvním proudovým čidlem 22a, zatímco šestý vstupní signál 23b, který vysílá druhé proudové čidlo 22b, nehlásí žádný proud, představují rovněž chyby.
Výhodný způsob, který může probíhat při zjištěné chybě v alespoň jednom z obou mikropočítačů 10a, 10b, je dále blíže vysvětlen pomocí vývojového diagramu, znázorněného na obr. 2. Podle požadavku 40, týkajícího se uvedení přístroje do činnosti, se určením 41 přidělí řídicí funkce buď prvnímu mikropočítači 10a, nebo druhému mikropočítači 10b. Požadavek 40 pro uvedení přístroje do činnosti je ve znázorněném příkladu provedení například požadavek tepla vyvolaný třetím mikropočítačem 32. Po uvedení 42 přístroje do činnosti, které sestává v uvedeném příkladu z ovládání zapalovacího zařízení 15 pomocí jednoho z obou mikropočítačů 10a. 10b. jakož i z otevření obou magnetických ventilů 20a. 20b, se v dotazu 43 zjistí, zda došlo k chybě. K dotazu 43 dochází jak v prvním mikropočítači 10a, tak i ve druhém mikropočítači 10b. Dotazy 43 se mohou mezi oběma mikropočítači 10a, 10b obsahově lišit. Zejména dojde ve všech případech k časovému posunutí, které je podmíněno stanovením řídicí a podřízené funkce.
Chyba, zjištěná v dotazu 43, může vyvolat při dalším kroku iychlovypnutí 44. Ve znázorněném příkladu se rychlovypnutí 44 provede tehdy, když zařízení 26 pro kontrolu plamene nevyšle odpovídající signál, který svědčí o přítomnosti plamene. Rychlovypnutí 44 se provede například tím, že se alespoň jeden, s výhodou oba magnetické ventily 20a, 20b zavřou. Jinou podmínkou, která vede ke spuštění rychlovypnutí 44, je například překročení teploty stanovené předem čidlem 30 mezní teploty. Místo rychlovypnutí 44, které je zaneseno ve vývojovém diagramu čárkovaně, může také dojít hned k pochodu 45 ukládání do paměti, přeskočení rychlovypnutí 44 se může, jak již bylo popsáno, stanovit v z závislosti na vzniklé chybě. Při pochodu 45 ukládání do paměti se chyby detekované prvním a druhým mikropočítačem 10a, 10b uloží do příslušných pamětí 13a, 13b EEPROM. Popřípadě se aktuální provozní stavy uloží rovněž do pamětí 13a, 13b EEPROM. Dodatečně se může zapsat značení zablokování, které je uspořádáno především tehdy, když bylo provedeno rychlovypnutí 44.
Pochod 45 ukládání do paměti následuje porovnání 46, při kterém se srovnávají obsahy uložené v pamětech 13a, 13b EEPROM. Výměnu dat přes sběrnici 11 dat řídí s výhodou ten mikropočítač 10a, 10b, kterému je v té době přiřazena řídicí funkce. Srovnávací operace může rovněž provést stávající řídicí mikropočítač 10a, 10b. Při dalším dotazu 47 se zjistí, zda zapsané obsahy souhlasí. Souhlasící zápis chyby vede v každém případě ke konečnému vypnutí přístroje. Pokud již byl přístroj vypnut rychlovypnutím 44, může se později, nyní již při konečném vypnutí 48 zanést při zjištěné chybě blokovací značení do paměti 13a, 13b EEPROM. Po konečném vypnutí 48 je nové uvedené přístroje do činnosti možné pouze ručním ovládáním spínače 24. Spínač 24 normálně uvádí do činnosti přivolaný servisní technik, který má při zjištění vzniklé chyby možnost se dotázat na obsahy pamětí 13a, 13b EEPROM pomocí zařízení, které není na obr. 1 blíže znázorněno. Existuje například možnost dotázat se pamětí 13a, 13b EEPROM přes sběrnici dat, která je spojena s diagnostickým zařízením. Pokud jsou paměti 13a, 13b EEPROM separátními paměťovými moduly, může se jejich obsah zjistit přímo z paměťových modulů.
Jestliže se při dalším dotazu 47 vyskytne případ, že chyba byla uložena jen v jedné paměti 13a, 13b EEPROM, nebo když jsou v obou pamětech 13a, 13b EEPROM uloženy rozdílné chyby, potom se může s jistou pravděpodobností vycházet z toho, že vznikla jedna nebo více ojedinělých chyb, které byly způsobeny například elektromagnetickou poruchou. U dalšího dotazu 47 se může v tomto případě přímo přejít k určení 41, při kterém se přiřazení řídicí funkce jednomu z obou mikropočítačů 10a, 10b změní. Pokud se rychlovypnutí 44 nepoužije, může se použít
-5CZ 291835 B6 i přímo před dotazem 43, přičemž odpadne uvedení 42 zpět do činnosti. S výhodou se ale přístroj uvede mimo provoz a znovu se uvede do činnosti, aby se vytvořily počáteční podmínky.
Místo sledu programu, který je znázorněn na obr. 2, podle něhož dojde k vypnutí přístroje teprve po provedeném dotazu 47, může se porovnání 46 provést nezávisle. Například se může obsah paměti 13a, 13b EEPROM zjišťovat cyklicky a srovnávat nezávisle na tom, zda byla v mikropočítačích 10a, 10b zjištěna chyba. Jestliže by se při srovnání odpovídajícím porovnání 46 zjistila například odchylka obsahů obou pamětí 13a, 13b EEPROM, může se provést nejdříve vypnutí a opět uvedení do provozu, aby se zjistilo, zda vznikla ojediněle se vyskytující chyba, například v jednom z mikropočítačů 10a, 10b.

Claims (7)

  1. PATENTOVÉ NÁROKY
    1. Způsob monitorování alespoň jedné bezpečnostní funkce přístroje, který je vybaven alespoň dvěma mikropočítači, které jsou spolu spojeny sběrnicí dat, vyznačující se tím, že řídicí funkce se přiděluje střídavě těmto dvěma mikropočítačům (10a, 10b) a pouze tato řídicí funkce může spustit pochod nezbytný pro uvedení (42) přístroje do provozu.
  2. 2. Způsob podle nároku 1,vyznačující se tím, že pochodem nezbytným pro uvedení (42) přístroje do provozuje ovládání zapalovacího zařízení (15).
  3. 3. Způsob podle nároku 1, vyznačující se tím, že ke každému z mikropočítačů (10a, 10b) se přiřadí jeho vlastní záznamová nebo vymazatelná paměť (13a, 13b) EEPROM pro ukládání zjištěných stavů a/nebo zjištěných chyb.
  4. 4. Způsob podle nároku 3, vyznačující se tím, že při chybě zjištěné při dotazu (43) v jednom z mikropočítačů (10a, 10b) se provede rychlovypnutí (44) přístroje a zjištěná chyba se uloží v paměti (13a, 13b) EEPROM.
  5. 5. Způsob podle nároku 3 nebo 4, vyznačující se tím, že při porovnání (46) se srovnávají obsahy paměti (13a, 13b) EEPROM a při souhlasu zapsaných chyb se provede konečné vypnutí (48) přístroje.
  6. 6. Způsob podle nároku 3 nebo 4, vyznačující se tím, že se provede porovnání (46) zápisů uložených v pamětech (13a, 13b) EEPROM a při nesouhlasu se přístroj nevypne nebo se přístroj po provedeném rychlovypnutí (44) uvede opět do činnosti.
  7. 7. Způsob podle nároku 1,vyznačující se tím, že každý mikropočítač (10a, 10b) řídí separátní funkci, přičemž pro uvedení přístroje do činnosti nebo pro udržování přístroje v provozu se magnetické ventily (20a, 20b) ovládají současně.
CZ19961746A 1993-12-16 1994-12-05 Způsob monitorování alespoň jedné bezpečnostní funkce přístroje CZ291835B6 (cs)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE4342991A DE4342991A1 (de) 1993-12-16 1993-12-16 Verfahren zum Überwachen wenigstens einer sicherheitsrelevanten Funktion eines Gerätes

Publications (2)

Publication Number Publication Date
CZ174696A3 CZ174696A3 (en) 1996-12-11
CZ291835B6 true CZ291835B6 (cs) 2003-06-18

Family

ID=6505228

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ19961746A CZ291835B6 (cs) 1993-12-16 1994-12-05 Způsob monitorování alespoň jedné bezpečnostní funkce přístroje

Country Status (7)

Country Link
EP (1) EP0734549B1 (cs)
CZ (1) CZ291835B6 (cs)
DE (2) DE4342991A1 (cs)
ES (1) ES2102911T3 (cs)
HU (1) HU218638B (cs)
PL (1) PL175549B1 (cs)
WO (1) WO1995016943A1 (cs)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19523817A1 (de) * 1995-06-29 1997-01-02 Elco Kloeckner Heiztech Gmbh Feuerungsanlage sowie Verfahren zum Regeln, Steuern und/oder Überwachen einer Feuerungsanlage
DE19703894B4 (de) * 1997-02-03 2004-08-19 Robert Bosch Gmbh Verfahren zum Steuern eines Heizgerätes
DE19718284C2 (de) * 1997-05-01 2001-09-27 Kuka Roboter Gmbh Verfahren und Vorrichtung zum Überwachen einer Anlage mit mehreren Funktionseinheiten
DE59808264D1 (de) * 1998-02-17 2003-06-12 Bosch Gmbh Robert Mehrprozessor-Steuervorrichtung
DE19860399A1 (de) 1998-12-28 2000-07-06 Bosch Gmbh Robert Steuereinrichtung für einen Brenner
DE10028989A1 (de) * 2000-06-16 2001-12-20 Siemens Building Tech Ag Eingangsschaltung für einen Brenner
DE10038953A1 (de) * 2000-08-09 2002-02-28 Siemens Ag Verfahren zum Betrieb einer Sicherheitsschaltvorrichtung und Sicherheitsschaltvorrichtung
JP3419751B2 (ja) * 2000-10-17 2003-06-23 アール・ビー・コントロールズ株式会社 燃焼器具の制御装置
DE10152508B4 (de) * 2001-10-24 2008-01-31 Robert Bosch Gmbh Verfahren zum Aktivieren eines Systems zur Steuerung und/oder Regelung von Betriebsabläufen in einem Kraftfahrzeug mit mehreren gleichberechtigten Steuergeräten
JP4877604B2 (ja) * 2005-01-26 2012-02-15 株式会社ノーリツ 燃焼制御装置
US20110151387A1 (en) * 2008-05-09 2011-06-23 Kidde-Fenwal, Inc. Ignition control with safeguard function
DE102010002504B4 (de) 2010-03-02 2017-02-09 TAKATA Aktiengesellschaft Verfahren und Vorrichtung zum Überprüfen einer elektronischen Einrichtung
EP3575900B1 (en) * 2017-12-27 2021-03-10 Shanghai Chenzhu Instrument Co., Ltd. Intelligent safety relay and circuit applied thereby

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BE789828A (nl) * 1972-10-09 1973-04-09 Bell Telephone Mfg Gegevensverwerkend besturingsstelsel.
DE3039994A1 (de) * 1980-10-23 1982-05-06 Karl Dungs Gmbh & Co, 7067 Urbach Verfahren zur einstellung von verbundreglern fuer brenner in waermeerzeugungsanlagen
US4641517A (en) * 1984-12-20 1987-02-10 United Technologies Corporation Control system actuator position synthesis for failure detection
JPH01174850A (ja) * 1987-12-29 1989-07-11 Daikin Ind Ltd 空気調和装置の制御装置
DE3923773A1 (de) * 1988-07-20 1990-03-01 Vaillant Joh Gmbh & Co Verfahren zum steuern und ueberwachen eines brennstoffbeheizten geraetes unter verwendung zumindest eines mikrocomputersystems und vorrichtung zur durchfuehrung des verfahrens
JPH04133102A (ja) * 1990-09-26 1992-05-07 Mitsubishi Electric Corp プログラマブル・コントローラ及びその制御方法
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
DE69222528T2 (de) * 1991-06-26 1998-04-16 Ast Research Inc Verteilte multiprozessor-initialisierung und selbstprüfungssystem

Also Published As

Publication number Publication date
EP0734549A1 (de) 1996-10-02
ES2102911T3 (es) 1997-08-01
PL314719A1 (en) 1996-09-16
HU9601648D0 (en) 1996-08-28
CZ174696A3 (en) 1996-12-11
HUT73913A (en) 1996-10-28
DE4342991A1 (de) 1995-06-22
HU218638B (hu) 2000-10-28
WO1995016943A1 (de) 1995-06-22
DE59402946D1 (de) 1997-07-03
EP0734549B1 (de) 1997-05-28
PL175549B1 (pl) 1999-01-29

Similar Documents

Publication Publication Date Title
CZ291835B6 (cs) Způsob monitorování alespoň jedné bezpečnostní funkce přístroje
US4298334A (en) Dynamically checked safety load switching circuit
US5513062A (en) Power supply for a redundant computer system in a control system
DK0681715T3 (da) Styring og regulering til en af en elektromekaniskmotor drevet dør
KR19990028278A (ko) 차량제어장치와 같은 제어장치
CN111694702B (zh) 用于进行安全的信号操纵的方法和系统
CZ292451B6 (cs) Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje
CN109792401B (zh) 用于电流调制地通过电流回路传输数据的通信系统
CZ288586B6 (cs) Diagnostický systém pro topný přístroj zabudovaný ve vozidle
KR100697449B1 (ko) 제어 장치
KR19990082637A (ko) 계산 유닛의 기능 체크 방법
JP2001142504A (ja) 車両内の調節要素の操作方法および装置
AU597559B2 (en) Fail-safe potentiometer feedback system
EP1022513A3 (en) A modulated burner combustion system that prevents the use of non-commissioned components and verifies proper operation of commissioned components
CN100419608C (zh) 电子控制器中差错处理的方法
US6864788B2 (en) Actuator controller for selecting a communication language
JP2003099120A (ja) システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム
EP0421550B1 (en) Method for the accomodation of a control system for a heating installation with a burner, and a control system for such an installation
US20120197417A1 (en) Method for providing safety functions
US5329273A (en) System controller and remote fault annunciator with cooperative storage, sharing, and presentation of fault data
US6600960B1 (en) Boiler system ignition sequence detector and associated methods of protecting boiler systems
US7090140B2 (en) Method and device for monitoring burners
ES2150238T3 (es) Procedimiento para detectar y documentar condiciones no cumplidas de conexion progresiva en sistemas controlados por programas progresivos de mandos programables con memoria clp.
US7385316B2 (en) Safety device for an industrial boiler comprising relays mounted on a printed circuit board
CN1099075C (zh) 带有认证和非认证通道的冗余电子设备

Legal Events

Date Code Title Description
PD00 Pending as of 2000-06-30 in czech republic
MM4A Patent lapsed due to non-payment of fee

Effective date: 20031205