CZ292451B6 - Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje - Google Patents

Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje Download PDF

Info

Publication number
CZ292451B6
CZ292451B6 CZ19961745A CZ174596A CZ292451B6 CZ 292451 B6 CZ292451 B6 CZ 292451B6 CZ 19961745 A CZ19961745 A CZ 19961745A CZ 174596 A CZ174596 A CZ 174596A CZ 292451 B6 CZ292451 B6 CZ 292451B6
Authority
CZ
Czechia
Prior art keywords
microcomputer
memory
microcomputers
block
safety
Prior art date
Application number
CZ19961745A
Other languages
English (en)
Other versions
CZ174596A3 (en
Inventor
Klaus Krieger
Markus König
Andreas Böttigheimer
Jürgen Schmidt
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of CZ174596A3 publication Critical patent/CZ174596A3/cs
Publication of CZ292451B6 publication Critical patent/CZ292451B6/cs

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N5/00Systems for controlling combustion
    • F23N5/24Preventing development of abnormal or undesired conditions, i.e. safety arrangements
    • F23N5/242Preventing development of abnormal or undesired conditions, i.e. safety arrangements using electronic means
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2223/00Signal processing; Details thereof
    • F23N2223/04Memory
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2223/00Signal processing; Details thereof
    • F23N2223/08Microprocessor; Microcomputer

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Regulation And Control Of Combustion (AREA)
  • Hardware Redundancy (AREA)

Abstract

U za° zen jsou mikropo ta e /10a, 10b/ spolu spojeny sb rnic /11/ dat a pam /13a, 13b/ EEPROM je spouÜt na mikropo ta em /10a, 10b/, p°i em pam /13a, 13b/ EEPROM je vytvo°ena jako nevyrovn vac pam a mikropo ta /10a, 10b/ je vytvo°en pro ukl d n zjiÜt n²ch chyb v pam ti /13a, 13b/ EEPROM a pro zaznamenan chyby m za° zen blok /48/ vypnut p° stroje a pro op tovn uveden p° stroje do innosti ru n ovladateln² sp na /24/.\

Description

Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje
Oblast techniky
Vynález se týká zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje, které obsahuje alespoň dva mikroprocesory, přičemž ke každému mikroprocesoru je přiřazena vlastní paměť, která je popisovatelná nebo vymazatelná odpovídajícím mikroprocesorem.
Dosavadní stav techniky
Zařízení tohoto druhu je již známé například zDE-OS 39 23 773. Popsané zařízení spočívá v řízení a monitorování přístroje vytápěného palivem. U tohoto zařízení jsou uspořádány dva mikropočítačové systémy, které jsou spolu spojeny sběrnicí dat. Vstupní signály, které reprodukují bezpečnostní funkce přístroje, jsou zaváděny do obou systémů mikropočítačů. Oba systémy mikropočítačů vypočítávají odpovídající regulační signály, například pro magnetické ventily, přičemž se výstupní signál vydá jen tehdy dál ke koncovému stupni, když jsou regulační povely obou systémů mikropočítačů identické. Každý systém mikropočítače má možnost spínat bezproudově všechny koncové stupně přes společné bezpečnostní vypnutí a tím převést přístroj vytápěný palivem do bezpečného stavu.
Z EP-A 496 509 je známo zařízení, které obsahuje mikroprocesory, přičemž ke každému mikroprocesoru je přiřazena paměť. Jednotlivé paměti mohou být popisovány mikroprocesory. U tohoto zařízení není naproti tomu ale uspořádána selekce obsahu paměti mikroprocesorů. Selekcí informací v pamětích, stejně tak jako popřípadě další ukládání dat, naproti tomu další mikroprocesor. Jednotlivé mikroprocesory předávají průběžně data dále do pamětí, které reprodukují právě existující stav zařízení, které se má řídit. Zjištění chyby samo o sobě není prováděno v mikroprocesorech, aby se ovlivňovala rychlost zpracování informací. Tuto úlohu přebírá další mikroprocesor, který pomocí srovnávacích operací nebo jiných zpracování signálů zjišťuje, zda došlo k chybě.
Dále je z EP-A-566 77 známo zařízení pro řízení přístroje vytápěného palivem, které obsahuje mikroprocesor, ke kterému je přiřazena vlastní paměť, která je popisovatelná a vymazatelná. Mikroprocesor ukládá zjištěnou chybu do paměti. Na odpojení přístroje vytápěného palivem není pamatováno. Data uložená v paměti jsou uchovávána tak dlouho, dokud je servisní obsluha z obsahu paměti nevymaže.
Podstata vynálezu
Vynález si klade za základní úlohu dát k dispozici zařízení pro monitorování alespoň jedné funkce, týkající se bezpečnosti přístroje, které má vysokou provozní bezpečnost.
Uvedená úloha je vyřešena zařízením pro monitorování nejméně jedné bezpečnostní funkce přístroje, které obsahuje alespoň dva mikroprocesory, přičemž ke každému mikroprocesoru je přiřazena vlastní paměť, která je popisovatelná a vymazatelná odpovídajícím mikroprocesorem. Podstata zařízení spočívá v tom, že mikroprocesory jsou spolu spojeny sběrnicí dat a paměť je spouštěna mikroprocesorem, přičemž paměť je vytvořena jako nevyrovnávající paměť, a mikroprocesor je vytvořen pro ukládání zjištěných chyb v paměti a pro zaznamenané chyby má zařízení blok vypnutí přístroje a pro opětovné uvedení přístroje do činnosti ručně ovladatelný spínač.
-1 CZ 292451 B6 (I Podle výhodného provedení vynálezu jsou jako paměti uspořádány paměti EEPROM. Podle i dalšího výhodného provedení vynálezu má zařízení blok porovnávání pro srovnání pamětí
EEPROM a blok vypnutí uváděné do činnosti při souhlasu zaznamenávaných chyb.
Podle dalšího výhodného provedení vynálezu je každý mikroprocesor uspořádán pro řízení bloku separátní funkce, přičemž hodnoty signálů bloků separátní funkce musejí pro uvedení do provozu nebo pro provozování přístroje splňovat podmínku, že jejich logický součet má hodnotu 1.
Podle dalšího výhodného provedení vynálezu je u přístroje vytápěného palivem ke každému 10 mikroprocesoru přiřazen magnetický ventil řízený blokem separátní funkce, umístěný v přívodu oleje nebo plynu.
Výhody vynálezu jsou následující:
podle vynálezu se pamatuje na to, aby každý z přítomných mikropočítačů, které detekují chyby nezávisle na sobě, měl vlastní paměť pro ukládání dat a vlastní vymazatelnou paměť, která je dále označována jako paměť EEPROM. Bezpečnost se zvyšuje tím, že se může provádět co největší dělení monitorovacích kanálů, obsahujících mikropočítač. Mikropočítače jsou spolu spojeny pouze společnou sběrnicí dat, která umožňuje sdělovat oběma mikropočítačům 20 informace od dalšího mikropočítače, který je popřípadě přítomen, a vy měňovat data mezi mikropočítači pro srovnání zjištěné chyby.
Paměť pro ukládání i vymazatelná paměť jsou vytvořeny jako paměti EEPROM.
Výhodné další provedení zařízení podle vynálezu, které umožňuje rychlé vypnutí přístroje v případě chyby, pamatuje na to, aby při chybě zjištěné mikropočítačem došlo k rychlému vypnutí přístroje a aby druh zjištěné chyby byl uložen v paměti EEPROM.
Podle dalšího výhodného vytvoření vynálezu se pamatuje na to, aby se obsah paměti, uložený 30 v paměti EEPROM, buď srovnával v periodických časových intervalech nebo aby se alespoň po výskytu chyby provedlo srovnání. Při souhlasících zápisech chyby se může přístroj definitivně vypnout. Jestliže naproti tomu obsahy paměti nesouhlasí, může to být náhodná chy ba, která byla způsobena například elektromagnetickou poruchou. Potom může přístroj zůstat v provozu. Pokud by přístroj byl již pomocí rychlovypínače vypnut, může se uvést znovu do provozu.
Zařízení podle vynálezu se hodí především pro použití u přístrojů, které by měly vyhovovat vysokým požadavkům bezpečnosti, stejně tak jako současně požadavkům velké pohotovosti. První výhodné použití je u přístroje vytápěného palivem, u něhož stojí v popředí zejména vysoká bezpečnost. Jiné výhodné použití je u řídicích přístrojů, které jsou vestavěny do motorových 40 vozidel. Vedle požadavku na vysokou bezpečnost se u tohoto použití požaduje ještě velká pohotovost, aby se zajistilo, že je možné dojet do nejbližšího servisu pro motorová vozidla. Náhodné poruchy, například elektromagnetické poruchy, se dostávají u přístroje vytápěného palivem do přístroje především přes vedení pro napájení energií, zatím co řídicí přístroje, vestavěné do motorových vozidel, jsou vystaveny především vysokofrekvenčním poruchám, 45 které se samy mohou vyskytnout jak mimo vozidlo, tak i ve vozidle.
Další výhodná vytvoření vyplývají z následujícího popisu a obr. 1 a 2.
Přehled obrázků na výkresech
Obr. 1 ukazuje blokové schéma zapojení zařízení, u něhož se dá použít způsob podle vynálezu a obr. 2 ukazuje vývojový diagram způsobu probíhajícího v zařízení, které je znázorněno na obr. 1.
-2CZ 292451 B6
Příklady provedení vynálezu
Obr. 1 ukazuje první a druhý mikropočítač 10a, 10b, které jsou spolu spojeny sběrnicí 11 dat.
První mikropočítač 10a spolupracuje s pamětí s pevnou hodnotou, která se dále nazývá první paměť 12a PROM a s první pamětí pro ukládání a vymazávání dat, která je dále označována jako první paměť 12a EEPROM. První mikropočítač 10a předává první výstupní signál 16a přes první kondenzátor 17a prvnímu koncovému stupni 18a.
První koncový stupeň 18a napájí proudem první vinutí 19a prvního bloku 20a separátní funkce, kterým je magnetický ventil, který je uspořádán v přívodu 21 oleje nebo plynu. Pro detekci proudu, který teče prvním vinutím 19a, Je uspořádáno první proudové čidlo, které předává první vstupní signál 23a prvnímu mikropočítači 10a.
K prvnímu mikropočítači 10a se nyní přivádí druhý vstupní signál 25a předávaný spínačem 24, třetí vstupní signál 27a předávaný kontrolním zařízením 26 plamene, čtvrtý vstupní signál 29a předávaný integračním spínačem 28, pátý vstupní signál 33a předávaný čidlem 30 mezní teploty.
Obsazení druhého mikropočítače 10b odpovídá zcela obsazení prvního mikropočítače 10a
Druhý mikropočítač 10b předává třetí výstupní signál 14b zapalovacímu zařízení 15, stejně tak jako čtvrtý výstupní signál 16b přes druhý kondenzátor 17b druhému koncovému stupni 18b.
Druhý koncový stupeň 18b napájí proudem vinutí 19b druhého bloku 20b separátní funkce, který 25 je tvořen druhým magnetickým ventilem, který je uspořádán ve vedení 2L Pro detekci proudu tekoucího druhým vinutím 19b slouží druhé proudové čidlo 22b, které předává šesti' vstupní signál 23b druhého mikropočítače 10b.
K druhému mikropočítači 10b se přivádí sedmý vstupní signál 27b. předávaný kontrolním 30 zařízením 26 plamene, devátý vstupní signál 29b integrovaným obvodem 28 RESET, jakož i desátý vstupní signál 31b předávaný čidlem 30 mezní teploty.
Sběrnice 11 dat, spojující oba mikropočítače 10a, 10b, je dále vedena ke třetímu mikropočítači 32, kteiý předává pátý výstupní signál 33a prvnímu koncovému stupni 18a a šestý' výstupní 35 signál 33b druhému koncovému stupni 18b Třetí mikropočítač 32 spolupůsobí se třetí pamětí 38
PROM s pevnými hodnotami. Ke třetímu mikropočítači 32 se přivádí jedenáctý vstupní signál 34, který dává k dispozici čidlo 30 mezní teploty. Dvanáctý vstupní signál 35 pro třetí mikropočítač 32 dává k dispozici kontrolní zařízení 26 plamene. Poslední třináctý vstupní signál 36 předává vstup 37 třetímu mikropočítači 32.
Příklad provedení, znázorněný na obr. 1 je přizpůsoben dvoukanálovému bezpečnostnímu konceptu pro monitorování alespoň jedné funkce přístroje, týkající se bezpečnosti. Hlavní části dvoukanálového bezpečnostního konceptu tvoří oba mikropočítače 10a, 10b. Popřípadě se může tento koncept rozšířit použitím dalších mikropočítačů na vícekanálový koncept. Rozšíření o další 45 bezpečnostní kanály je možné proto bez dalšího, protože konstrukce jednotlivých kanálů je nejtotožnější. Která funkce nebo které funkce se považují za důležité pro bezpečnost, záleží na stávajícím případu použití. Příklad provedení, znázorněný na obr. 1, může být s výhodou použit u přístroje neznázoměného hořáku. Zastavení nebo uvolnění přítoku paliva provádí oba bloky 20a, 20b separátní funkce, tvořené magnetickými ventily, uspořádané v přívodu 21 oleje nebo plynu 50 a zapojené, viděno ve směru proudění, do série. Magnetické ventily se uvádí do činnosti v závislosti na toku proudu v příslušných vinutích 19a, 19b. První bezpečnostně důležitou funkcí je stav uvedení magnetických ventilů do činnosti. Tok proudu v prvním vinutí 19a detekuje první proudové čidlo 22a, které předává první vstupní signál 23a na první mikropočítač 10a. Tok proudu ve druhém vinutí detekuje druhé proudové čidlo 22b, které předává šestý vstupní signál
-3 CZ 292451 B6
23b druhému mikropočítači 10b. Ve speciálním případě, odpovídajícím například uvedenému použití u přístroje vytápěného palivem, lze považovat za funkce důležité pro bezpečnost dále funkce čidla 30 mezní teploty, stejně tak jako zařízení 26 pro kontrolu plamene. Nezávisle na použití může být přítomen integrovaný obvod 29 RESET, který obsahuje například kontrolu 5 napětí elektrických složek. Kontrola napájecího napětí se může tedy pokládat rovněž za kontrolu funkce důležité pro bezpečnost.
Pro monitorování bezpečnostně důležitých funkcí slouží v podstatě oba mikropočítače 10a, 10b, zatím co třetí mikropočítač 23 indikuje v podstatě řídicí a regulační bloky přístroje. Průběh ío programu třetího mikropočítače 32 je obsažen ve třetí paměti PROM 38, která Je buď obsažena ve třetím mikropočítači 32 neboje uspořádána jako externí stavební jednotka. Pomocí třináctého vstupního signálu 36, který předává vstup 37. se může například předem stanovit požadovaná teplota, kterou má dosáhnout přístroj vytápěný palivem.
Třetí mikropočítač 32 může například nastavovat přímo oba koncové stupně 18a, 18b. Pátý výstupní signál 33a řídí první koncový stupeň 18b. U jiného vytvoření to může být uspořádáno tak, že oba koncové stupně 18a, 18b potřebují vedle vstupních signálů 33a, 33b předávaných třetím mikropočítačem 32 pro napájení vinutí 19a, 19b proudem, ještě výstupní signály 16a, 16b vysílané prvním a druhým mikropočítačem 10a. 10b. Ve výhodném uspořádání se pamatuje na to, aby oba koncové stupně 18a, 18b byly řízeny rovněž výstupními signály 16a, 16b vysílanými oběma mikropočítači 10a.
O požadavku tepla může informovat třetí mikropočítač 32 přes společnou sběrnici 11 dat oba druhé mikropočítače 10a, 10b, které potom vyšlou odpovídající výstupní signály 16a, 16b. První 25 a druhý kondenzátor 17a, 17b obstará dynamické řízení stávajících koncových stupňů 16a, 16b.
Toto opatření zvyšuje provozní bezpečnost tím, že se zachytí výpadek alespoň jednoho zobou mikropočítačů 10a, 10b. při kterém by jeden nebo oba výstupní signály 16a, 16b mikropočítače 10a, 10b přijaly statickou hodnotu. Pokud magnetické ventily umožňují kontinuální přestavení průtoku, mohou mít výstupní signály 33a, 33b vysílané třetím mikropočítačem 32 a/nebo 30 výstupní signály 16a, 16b vysílané oběma jinými mikropočítači 10a, 10b modulaci. Signál s modulovanou šířkou impulzu je bez zábran propouštěn oběma kondenzátoiy 17a, 17b.
Příklad provedení, znázorněný na obr. 1, je zaměřen na to, aby buď první mikropočítač 10a nebo druhý mikropočítač 10b mohly pomocí stávajících výstupních signálů 14a, 14b nařídit 35 zapalovací zařízení 15. Zapalovací zařízení 15 má například elektrody, které zapálí například rozprášený olej nebo plyn. Výskyt plamene se detekuje zařízením 26 pro kontrolu plamene. Výsledek se přivádí jako třetí vstupní signál 27a prvnímu mikropočítači 10a, jako osmý vstupní signál 27b druhému mikropočítači 10b a popřípadě jako dvanáctý vstupní signál 35 třetímu mikropočítači 32. K přezkoušení bezpečnosti dochází s výhodou jen v prvním a druhém 40 mikropočítači 10a, 10b,
Jiné překontrolování bezpečnosti se týká signálů vysílaných čidlem 36 mezní teploty. K prvnímu mikropočítači 10a se přivede pátý vstupní signál 31a od čidla 30 mezní teploty.
Zpracování signálů v prvním mikropočítači 10a se řídí v závislosti na programu uloženém v první paměti 12a PROM. Obě paměti 12a, 12b PROM mohou být obsaženy v mikropočítači 10a, 10b nebojsou přítomny jako externí stavební jednotky.
Zejména je důležité, aby ke každému z obou mikropočítačů 10a, 10b byla přiřazena vlastní 50 paměť 13a, 13b EEPROM. Paměti 13a, 13b EEPROM mohou být rovněž obsaženy v dotyčném mikropočítači 10a, 10b jako separátní stavební jednotky. V pamětech _13a, 13b EEPROM mohou být uloženy provozní stavy přístroje, vyskytující se chyby, značení zablokování, stejně tak jako značky signálů.
-4 CZ 292451 B6
Detekci stavů, chyb nebo dalších signálů provádí odděleně první a druhý mikropočítač 10a, 10b. Výměna dat mezi oběma mikropočítači 10a, 10b se provádí přes sběrnici 11 dat. Proto je možné, aby jeden z mikropočítačů 10a, 10b mohl nyní přebírat paměť 13a, 13b EEPROM přiřazenou ke druhému mikropočítači 10b, 10a.
Podle vynálezu je pamatováno na to, aby při každém novém uvedení přístroje do činnosti byla ke druhému mikropočítači 10a, 10b přiřazena funkce Master a aby pouze Master mohl spustit pochod uvedení přístroje do činnosti. U znázorněného příkladu je tímto pochodem vyslání prvního výstupního signálu 14a od prvního mikropočítače 10a nebo vyslání třetího výstupního signálu 14b druhého mikropočítače 10b k uvedení zapalovacího zařízení 15 do činnosti. Ten mikropočítač, který není Master, pracuje jako Slavě. Vedle výměny oprávnění uvést přístroj do činnosti může funkce Master znamenat, že stávající funkce Master kontroluje přenos dat přes sběrnici 11 dat.
Přístroj je uveden do činnosti například třetím mikropočítačem 32 v důsledku požadavku tepla. Jiná možnost je dána funkčním blokem 28 RESET, který dá po poruše provozního napětí, kdy nevznikla žádná jiná chyba, podnět k novému uvedení přístroje do činnosti přes signály 29a, 29b, vyslané funkčním bokem 28 RESET, které se přivádí k prvnímu mikropočítači 10a jako čtvrtý vstupní signál 29a a k druhému mikropočítači 10b jako devátý vstupní signál 29b. Další možnost opětovného uvedení přístroje do činnosti může rezultovat z průběhu programu, který je dále blíže vysvětlen. Stanovení který z obou mikropočítačů 10a, 10b má pracovat jako Master lze provést pomocí zápisu do jedné nebo obou pamětí 13b, 13a EEPROM. Takovýmto zápisem je například značka signálu.
Chybné stavy, které zjišťují odděleně oba mikropočítače 10a, 10b, vyplývají například ze sledování plausibility vstupních signálů. Například existuje chyba, když vstupní signál 23a, 23b signalizuje přítomnost proudu protékajícího vinutím 19a, 19b a zapalovací zařízení se neuvede do činnosti. Jiným příkladem chyby je kontrola předem určené doby, po které se zapalovací zařízení 15 uvede do činnosti. Odchylky mezi oběma kanály obsahujícími mikropočítače 10a, 10b. například spočívají v tom, že první vstupní signál hlásí proud detekovaný prvním proudovým čidlem 22a, zatím co šestý vstupní signál 23b, který vysílá druhé proudové čidlo 22b, nehlásí žádný tok proudu, jsou rovněž chyby.
Výhodný způsob, který může probíhat při poznané chybě alespoň v jednom z mikropočítačů 10a, 10b je blíže vysvětlen pomocí vývojového diagramu, znázorněného na obr. 2. Podle požadavku 40, týkajícího se uvedení přístroj do činnosti se při stanovení 41 funkce Master přidělí buď prvnímu mikropočítači 10a nebo druhému mikropočítači 10b. Požadavek 40 pro uvedení přístroje do činnosti je ve znázorněném příkladu provedení například požadavek tepla vyvolaný třetím mikropočítačem 32. Po uvedení 42 přístroje do činnosti, které sestává ve znázorněném příkladu provedení z uvedení zapalovacího zařízení 15 do činnosti pomocí jednoho z obou mikropočítačů 10a, 10b, jakož i z otevření obou magnetických ventilů, se v dotazu 43 zjišťuje, zda došlo k chybě. K. dotazu 43 dochází jak v prvním mikropočítači 10a. tak i ve druhém mikropočítači 10b. Dotazy 43 se mohou mezi oběma mikropočítači 10a, 10b obsahově lišit. Zejména ve všech případech dojde k časovému posunutí, které je podmíněno stanovením Master a Slavě.
Zjištěná chyba v dotazu 43 může vyvolat při dalším kroku rychlovypnutí 44. Ve znázorněném příkladu provedení se rychlovypnutí blokem rychlovypnutí 44 provede tehdy, když zařízení 26 pro kontrolu plamene nevyšle pro uvedení zapalovacího zařízení do činnosti žádný odpovídající signál, který svědčí o přítomnosti plamene. Rychlovypnutí se například provede tím, že se alespoň jeden, s výhodou oba magnetické ventily zavřou. Jinou podmínkou, která vede ke spuštění bloku rychlovypnutí 44 je například překročení teploty, stanovené předem čidlem 30 teploty. Místo rychlovypnutí 44, které je zaneseno ve vývojovém diagramu čárkovaně, může také okamžitě dojít hned k pochodu 43 ukládání do paměti. Přeskočení bloku rychlovypnutí 44 se ’ může, jak již bylo popsáno, stanovit v závislosti na vzniklé chybě. Při pochodu 45 ukládání do i paměti se chyby detekované prvním a druhým mikropočítačem 10a, 10b, uloží do příslušných pamětí 13a, 13b REPROM, popřípadě se aktuální provozní stavy uloží rovněž do pamětí 13a,
13b REPROM. Dodatečně se může zapsat značení zablokování, které je uspořádáno především tehdy, když bylo provedeno rychlovypnutí blokem rychlovypnutí 44.
Po pochodu 45 ukládání do paměti následuje porovnání 46 při kterém se srovnávají obsahy uložené v pamětech 13a, 13b EEPROM. Výměnu dat přes sběrnici 11 dat řídí s výhodou ten mikropočítač 10a, 10b, ke kterému je v té době přiřazena funkce Master. Srovnávací operace ío může provést rovněž stávající Master. Při dalším dotazu 47 se zjistí, zda zapsané pochody souhlasí. Souhlasící zápis chyby vede v každém případě ke konečnému vypnutí přístroje. Pokud byl přístroj již vypnut rychlovjpnutím blokem rychlovypnutí 44, může se později, nyní již při konečném vypnutí zanést při zjištěné chybě blokového značení do pamětí 13a, 13b EEPROM. Po konečném vypnutí blokem 48 vypnutí je nové uvedení přístroje do činnosti možné pouze ručním 15 ovládáním spínače 24. Spínač 24 normálně uvádí do činnosti přivolaný servisní technik, který má při zjištění vzniklé chyby možnost se dotázat na obsahy pamětí 13a, 13b EEPROM pomocí zařízení, které není na obr. 1 blíže znázorněno. Existuje například možnost dotázat se pamětí 13a, 13b EEPROM přes sběrnici 11 dat, která je spojena s diagnostickým zařízením. Pokud jsou paměti 13a, 13b EEPROM separátní stavební jednotky pamětí, může se jejich obsah sám přímo 20 zjistit z těchto stavebních jednotek.
Jestliže se při dalším dotazu 47 vyskytne případ, že chyba byla uložena jen v jedné paměti 13a, 13b EEPROM nebo když jsou v obou pamětech 13a, 13b EEPROM uloženy rozdílné chyby, potom se může s jistou pravděpodobností vycházet z toho, že vznikla jedna nebo více sporadic25 kých chyb, které byly způsobeny například elektromagnetickou poruchou. U dalšího dotazu 47 se může v tomto případě přímo přejít ke zjištění 41, při kterém se přiřazení funkce Master kjednomu zobou mikropočítačů 10a, 10b mění. Pokud se rychlovypnutí nepoužije, může se použít i přímo před dotazem 43, přičemž odpadne uvedení 42 zpět do činnosti. S výhodou se ale přístroj uvede mimo provoz a znovu se uvede do činnosti, aby se vytvořily počáteční podmínky.
Místo sledu programu, který je znázorněn na obr. 2, podle něhož dojde k vypnutí přístroje teprve po provedení dotazu 43 nebo popřípadě po provedení dalšího dotazu 47, může se porovnání provést nezávisle. Na příklad se může obsah pamětí 13a, 13b EEPROM zjišťovat cyklicky a srovnávat nezávisle na tom, zda se provedl nějaký zápis nebo zda byla v mikropočítačích 10a. 35 10b zjištěna chyba. Jestliže by se při srovnání odpovídajících srovnání 46 zjistila například odchylka obsahů obou pamětí 13a, 13b EEPROM, může se provést nejdříve vypnutí a opět uvedení do provozu, aby se zjistilo, zda vznikla sporadicky se vyskytující chyba, například v jednom z mikropočítačů 10a, 10b.

Claims (5)

  1. PATENTOVÉ NÁROKY
    1. Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje, které obsahuje alespoň dva mikropočítače /10a. 10b/, přičemž ke každému mikropočítači /10a, 10b/je přiřazena vlastní paměť /13a, 13b/. která je popisovatelná nebo vymazatelná odpovídajícím mikropočítačem/10a, 10b/, vyznačující se t í m , že mikropočítače /10a, 10b/ jsou spolu spojeny sběrnicí /11/ dat a paměť /13a. 13b/ je spouštěna mikropočítačem /10a, 10b/, přičemž paměť /13a, 13b/ je vytvořena jako nevyrovnávávací paměť, a mikropočítač /10a, 10b/ je vytvořen pro ukládání zjištěných chyb v paměti /13a, 13b/ a pro zaznamenané chyby má zařízení blok /48/ vypnutí přístroje a pro opětovné uvedení přístroje do činnosti ručně ovladatelný spínač /24/.
  2. 2. Zařízení podle nároku 1, vyznačující se t í m , že jako paměti/13a, 13b/jsou uspořádány paměti EEPROM.
  3. 3. Zařízení podle nároku 2, vyznačující se t í m , že má blok /46/ porovnávání pro srovnávání obsahů pamětí /13a. 13b/ a blok /48/ vypnutí uváděné do činnosti při souhlasu zaznamenávaných chyb.
  4. 4. Zařízení podle nároku 1, vyznačující se t í m , že každý mikropočítač /10a, 10b/je uspořádán pro řízení bloku /20a. 20b/ separátní funkce, přičemž hodnoty signálů bloku /20a, 20b/ separátní funkce musejí pro uvedení do provozu nebo pro provozování přístroje splňovat podmínku, že jejich logický součet má hodnotu 1.
  5. 5. Zařízení podle jednoho z předcházejících nároků, vyznačující se tím, že u přístroje vytápěného palivem je ke každému mikropočítači /10a, 10b/ přiřazen blok /20a, 20b/ separátní funkce, tvořený magnetickým ventilem umístěný v přívodu /21/ oleje nebo plynu.
CZ19961745A 1993-12-16 1994-12-05 Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje CZ292451B6 (cs)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE4342903A DE4342903A1 (de) 1993-12-16 1993-12-16 Vorrichtung zum Überwachen wenigstens einer sicherheitsrelevanten Funktion eines Gerätes

Publications (2)

Publication Number Publication Date
CZ174596A3 CZ174596A3 (en) 1997-01-15
CZ292451B6 true CZ292451B6 (cs) 2003-09-17

Family

ID=6505166

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ19961745A CZ292451B6 (cs) 1993-12-16 1994-12-05 Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje

Country Status (7)

Country Link
EP (1) EP0734550B1 (cs)
CZ (1) CZ292451B6 (cs)
DE (2) DE4342903A1 (cs)
ES (1) ES2119365T3 (cs)
HU (1) HUT73858A (cs)
PL (1) PL176412B1 (cs)
WO (1) WO1995016944A1 (cs)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3390824B2 (ja) * 1997-03-19 2003-03-31 株式会社日立製作所 多重化制御装置及びその障害回復方法
DE19811235A1 (de) * 1998-03-14 1999-09-16 Valeo Electronics Gmbh & Co Kg Computer-System für Kraftfahrzeuge
DE19818181A1 (de) * 1998-04-23 1999-10-28 Heidenhain Gmbh Dr Johannes Verfahren und Anordnung zur Auswahl von zu überwachenden Sicherheitsparametern
DE19856954C1 (de) * 1998-12-10 2000-05-11 Bosch Gmbh Robert Steuereinrichtung für einen Brenner
DE10029642B4 (de) * 2000-06-15 2005-10-20 Daimler Chrysler Ag Einrichtung zur Überwachung eines Fahrzeugdatenbussystems
DE10321764B4 (de) * 2003-05-15 2005-04-28 Bbt Thermotechnik Gmbh Verfahren zur Ansteuerung eines Sicherheitsrelais in einem Feuerungsautomaten
DE10344088B4 (de) * 2003-09-23 2012-08-02 Samson Aktiengesellschaft Funktionsprüfvorrichtung für ein Feldgerät und Verfahren zur Funktionsprüfung eines Feldgeräts und Feldgerät
CN101052842B (zh) 2005-01-26 2010-12-08 株式会社能率 燃烧控制设备
DE102009036423C5 (de) 2009-08-06 2023-03-02 Robert Bosch Gmbh Verfahren und Vorrichtung zur Unterbrechung einer Brennstoffzufuhr sowie deren Verwendung
DE102012201803A1 (de) * 2012-02-07 2013-08-08 Siemens Aktiengesellschaft Sicherheitsrelevantes System
ES2915655T3 (es) 2020-01-10 2022-06-24 Siemens Ag Protección contra fallas internas

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4641517A (en) * 1984-12-20 1987-02-10 United Technologies Corporation Control system actuator position synthesis for failure detection
JPH01174850A (ja) * 1987-12-29 1989-07-11 Daikin Ind Ltd 空気調和装置の制御装置
DE3923773A1 (de) * 1988-07-20 1990-03-01 Vaillant Joh Gmbh & Co Verfahren zum steuern und ueberwachen eines brennstoffbeheizten geraetes unter verwendung zumindest eines mikrocomputersystems und vorrichtung zur durchfuehrung des verfahrens
JPH04133102A (ja) * 1990-09-26 1992-05-07 Mitsubishi Electric Corp プログラマブル・コントローラ及びその制御方法
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
NL9200577A (nl) * 1992-03-27 1993-10-18 Encon B V Branderautomaat voor een gastoestel, in het bijzonder geschikt voor een ketel van een centraal verwarmingssysteem.

Also Published As

Publication number Publication date
DE4342903A1 (de) 1995-06-22
WO1995016944A1 (de) 1995-06-22
EP0734550B1 (de) 1998-06-03
HU9601645D0 (en) 1996-08-28
EP0734550A1 (de) 1996-10-02
PL176412B1 (pl) 1999-05-31
ES2119365T3 (es) 1998-10-01
PL314720A1 (en) 1996-09-16
CZ174596A3 (en) 1997-01-15
HUT73858A (en) 1996-10-28
DE59406151D1 (de) 1998-07-09

Similar Documents

Publication Publication Date Title
CZ292451B6 (cs) Zařízení pro monitorování nejméně jedné bezpečnostní funkce přístroje
JP5226168B2 (ja) システム制御のバリアント制御及び/又は決定方法,及び装置
JP3822658B2 (ja) 制御装置
US6892121B2 (en) System for controlling the operation of modules using information transmitted from a control device via a data bus, a trigger device and a test circuit
CA1291548C (en) Electronic control for fluid pressure braking system
US20220274573A1 (en) Fail-safe valve unit, electronically controllable pneumatic brake system, method for operating a brake system
CZ291835B6 (cs) Způsob monitorování alespoň jedné bezpečnostní funkce přístroje
US8255136B2 (en) Method and arrangement for running in and calibrating an electromechanical parking brake system
US4862364A (en) Self-monitor system for automotive digital control system insensitive to battery voltage fluctuations
EP0142776A2 (en) Self-monitoring system for detecting error at output port during cold start of microprocessor system
US20240075918A1 (en) Diagnostic method and braking system including a unit for performing the diagnostic method
US5796332A (en) Diagnostic system for sensing and displaying functions of a motor vehicle heating apparatus
MXPA06014190A (es) Instalacion de transporte y metodo para poner en operacion una instalacion de transporte.
EP1022513A3 (en) A modulated burner combustion system that prevents the use of non-commissioned components and verifies proper operation of commissioned components
CN111775935A (zh) 一种基于气刹驻车系统的驻车控制系统及驻车控制方法
US6950734B2 (en) Motor vehicle
JP2003099120A (ja) システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム
US6864788B2 (en) Actuator controller for selecting a communication language
FI95972B (fi) Valvontalaite onnettomuuden ehkäisyä varten
JP4914692B2 (ja) 自動車用制御装置
US6366846B2 (en) Vehicle driving control system
US6973530B2 (en) Method for writing and erasing a non-volatile memory area
US20080077924A1 (en) System and method for distributing and executing program code in a control unit network
JP2009107358A (ja) 車載制御装置
JPH0315878B2 (cs)

Legal Events

Date Code Title Description
PD00 Pending as of 2000-06-30 in czech republic
MM4A Patent lapsed due to non-payment of fee

Effective date: 19941205