CZ4394A3 - System of safety steering - Google Patents

System of safety steering Download PDF

Info

Publication number
CZ4394A3
CZ4394A3 CZ9443A CZ4394A CZ4394A3 CZ 4394 A3 CZ4394 A3 CZ 4394A3 CZ 9443 A CZ9443 A CZ 9443A CZ 4394 A CZ4394 A CZ 4394A CZ 4394 A3 CZ4394 A3 CZ 4394A3
Authority
CZ
Czechia
Prior art keywords
signals
control
output
auxiliary
inputs
Prior art date
Application number
CZ9443A
Other languages
English (en)
Inventor
Jean-Paul Ing Fretti
Jose Ing Yepez
Original Assignee
Merlin Gerin
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Merlin Gerin filed Critical Merlin Gerin
Publication of CZ4394A3 publication Critical patent/CZ4394A3/cs

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Oblast techniky
Vynález se týká systému bezpečnostního řízení, obsahujícího dva vstupy připojené k výstupům normální cesty a pomocné cesty, přičemž signály poskytované normální cestou a pomocnou cestou jsou totožné, a dále obsahujícího hlavní spínací prostředky, určené pro selektivní spojování jednoho ze vstupů s výstupem systému, a prostředky pro řízení těchto spínacích prostředků.
Dosavadní stav techniky
Řídicí systémy pro řízení procesů, zejména pro řízení elektráren, musí řídit ovladače spolehlivým způsobem. Klasicky se toho dosahuje pomocí systému, v němž jsou dva automaty, tvoří jeden normální cestu a druhý pomocnou cestu, použity zálohovacím způsobem. Vstupy obou automatů jsou připojeny ke stejnému dohlížecímu zařízení tak, že poskytují na výstupu totožné zálohované signály, vedené na dva vstupy řídicího systému. Ten má jediný výstup, připojený k jednomu nebo více neznázorněným ovladačům, které mají být řízeny. Hlavní přepínací ústrojí dovoluje selektivně spojovat jeden ze vstupů řídicího systému k výstupu. Za normální funkce je signál vedený normální cestou na první vstup řídicího systému přenášen na výstup. Selhání normální cesty, jí detektované, vede k vysílání signálu na hlídacím výstupu, který překlopí přepínací ústrojí tak, že na výstupu vysílá informace poskytované po pomocné cestě.
V takovém systému nejsou zohledňovány ani poruchy hlídacího ústrojí na hlídacím výstupu, ani poruchy přepínacího ústrojí.
Jiné známé řídicí systémy používají rozhodovací člen, jehož vstupy jsou připojeny na nejméně tři cesty se zálohováním. Rozhodovací člen 2/3 například srovnává signály vede-2né na tři vstupy a přenáší na výstup pouze signály odpovídající signálům vedeným na nejméně dva své vstupy. Pro nápravu selhání rozhodovacího členu je možné používat dvou rozhodovacích členů v zálohovaném uspořádání. To samozřejmě činí systém ještě složitější a nákladnější.
Vynález si klade za úkol zlepšit použitelnost řídicích systémů typu popsaného na obr.l při zajišťování spolehlivosti optimální funkce.
Podstata vynálezu
Podle vynálezu je uvedeného cíle dosaženo tím, že řídicí prostředky obsahují první, druhý a třetí vstup, připojené na odpovídající vstupy a výstupy systému, výstup stažení, připojený k výstupu systému pomocnými spínacími prostředky, řízenými uvedenými řídicími prostředky, a zkušební prostředky hlavních spínacích prostředků, připojené ke vstupům řídicích prostředků a vyvolávající uzavření pomocných spínacích prostředků a otevření hlavních spínacích prostředků řídicími prostředky v případě detekce selhání hlavních spínacích prostředků.
S výhodou vedou řídicí prostředky na výstup stažení, v případě selhání hlavních spínacích prostředků, signály reprezentativní pro signály vedené na svůj první vstup.
V přednostním provedení vynálezu obsahují řídicí prostředky prostředky pro ukládání signálů reprezentativních pro polohu stažení, do paměti, připojené na výstup stažení.
Pod pojmem stažení se zde rozumí stažení nebo ústup do předem určené polohy, která může být pevná nebo závisí na předchozích vstupních hodnotách. Tomu odpovídají i pojmy poloha stažení a výstup stažení.
Pro zvýšení použitelnosti systému obsahují řídicí
-3prostředky prostředky, které v případě selhání normální cesty a pomocné cesty vyvolávají, že na výstup stažení jsou vedeny signály reprezentativní pro signály vedené na vstupy systému v okamžiku předcházejícím detekci poruchy, pro vyvolání uzavření pomocných spínacích prostředků a otevření hlavních spínacích prostředků.
Pro snížení rázů při přechodu z polohy stažení do normální přepínací polohy obsahují řídicí prostředky prostředky dovolující postupné měnění signálů reprezentativních pro polohu stažení před otevřením pomocných spínacích prostředků a uzavřením hlavních spínacích prostředků, pro postupné uvádění signálů reprezentativních pro polohu stažení na hodnoty v podstatě totožné s hodnotami vstupních signálů, přiváděných do systému.
Podle přednostního provedení vynálezu obsahují řídicí prostředky samozkoušecí (samotestovací) prostředky a automatické řídicí prostředky ovládající samočinně přepínání hlavních spínacích prostředků na výstup normální cesty v případě detekce poruchy řídicích prostředků.
Přehled obrázků na výkresech
Vynález je blíže vysvětlen v následujícím popisu na příkladech provedení s odvoláním na připojené výkresy, ve kterých znázorňuje obr.1 výše popsaný známý stav techniky, obr.2 blokové schéma řídicího systému podle vynálezu, obr.3 schéma obzvláštního provedení řídicího obvodu systému z obr.2 a obr.4 schéma obzvláštního provedení hlavního spínacího ústroj í systému z obr.2.
Příklady provedení vynálezu
Nejprve bude s odvoláním na obr.1 znovu popsáno řešení podle známého stavu techniky. Dva automaty i a 2, z nichž tvoří jeden normální cestu N a druhý pomocnou cestu S, jsou použity zálohovacím způsobem. Vstupy obou automatů jsou připojeny
-4k neznázorněnému stejnému dohlížecímu zařízení tak, že poskytují na výstupu totožné zálohované signály, vedené na dva vstupy En a Es řídicího systému. Ten má jediný výstup So, připojený k jednomu nebo více neznázorněným ovladačům, které mají být řízeny. Hlavní spínací (přepínací) ústrojí 3. dovoluje selektivně připojovat jeden ze vstupů En a Es k výstupu So. Za normální funkce je signál vedený normální cestou na vstup En přenášen na výstup So. Selhání normální cesty N, jí detektované, vede k vysílání signálu CGn na hlídacím výstupu, který překlopí spínací (přepínací) ústrojí 3 tak, že na výstupu So vysílá informace poskytované po pomocné cestě S.
Systém znázorněný na obr.2 obsahuje, jako systém z obr.l, hlavní spínací ústrojí 3., dovolující selektivně spojovat vstupy En a Es s výstupem So. Řízení ústrojí 3 je zajišťováno řídicím obvodem 4. s mikroprocesorem. Řídicí obvod přijímá na vstupu El, E2 a E3 signály přítomné na vstupech En a Es a na výstupu So systému. Obsahuje výstup R stažení a řídicí výstupy SI, S2 a S3 , určené pro řízení hlavního spínacího ústrojí 3, jakož i pomocného spínacího ústrojí 5, zapojeného mezi výstupem R stažení a výstupem So systému. Řídicí obvod 4 má výstup S4 , připojený k signalizačnímu ústrojí 6, zatímco vstup E4 tohoto obvodu je připojen ke hlídacímu ústrojí 7. Signalizační ústrojí 6 a hlídací ústrojí 7 mohou navzájem spolu komunikovat, mohou být integrovány do řídicího obvodu 4 a/nebo mohou být umístěny na dálku, eventuelně v jediném zařízení.
Každý z automatů 1 a 2 poskytuje řídicímu obvodu 4. odpovídající hlídací signál CGn nebo CGs reprezentativní pro jeho funkci. V klasickém případě takový signál přechází do nulové hodnoty v případě selhání odpovídajícího automatu.
Obzvláštní provedení řídicího obvodu 4, konkrétněji přizpůsobené na případ, kde vstupní a výstupní signály systému jsou analogové signály, je znázorněn na obr.3. Na tomto
-5obrázku obsahuje řídicí obvod centrální jednotku znázorněnou ve formě mikroprocesoru 8. Mikroprocesor 8 přijímá signály přiváděné na vstupy El, E2 a E3 řídicího obvodu prostřednictvím analogově-číslicového převodníku 9. Přijímá rovněž hlídací signály CGn a CGs. eventuelně prostřednictvím rozhraní 10 typu vše nebo nic (tout ou rien - TOR), jakož i signály vedené na vstup E4 systému. Poskytuje řídicí signály do logického rozhraní 11, signály pro signalizaci na výstupu SD4 a signály do hlídacího prostředku 12 klasického typu, který vytváří hlídací signál CGu reprezentativní pro funkci mikroprocesoru. Poskytuje rovněž signály do obvodu 13 pro zapamatovávání polohy stažení, který je připojen k výstupu R stažení prostřednictvím číslicově-analogového převodníku 14. Logické rozhraní 11 rovněž přijímá hlídací signály CGn a CGU a je připojen k řídicím výstupům Sl až S3 systému.
V každém okamžiku zkouší řídicí obvod 4 stav systému a dobré fungování normální a pomocné cesty před ním. Zejména ověřuje stav různých hlídacích signálů CGn, CGs, CGu, soulad vstupních signálů En a Es a jejich soulad s výstupními signály So.
Při nepřítomnosti poruchy současně v samotném systému a před ním (CGn=CGs=CGu=l, En=Es=So), poskytuje řídicí obvod 4 na řídicích výstupech Sl a S3 signály takové, že výstup So systému je připojený ke vstupu En hlavním spínacím ústrojím 2 a pomocné spínací ústrojí 5 je otevřené. Tato normální poloha spínačů odpovídá poloze znázorněné na obr.2.
Jestliže řídicí obvod 4 detektuje poruchu v hlavním spínacím ústrojí 3, poskytuje na svých výstupech Sl až S3 takové signály, že spojení mezi vstupy En a Es a výstupem So je přerušeno a výstup So je připojen na výstup stažení R. Řídicí obvod _4 provede tedy přepojení hlavního spínacího ústrojí 3 a vede na výstup stažení R signály reprezentativní pro signály přítomné na vstupech En a Es a vedené na odpoví-6dající vstupy El a E2 řídicího obvodu 4. V provedení znázorněném na obr.3 jsou tyto signály převáděny na číslicové signály převodníkem 9 a jsou čteny mikroprocesorem 8. V případě selhání hlavního spínacího ústrojí 2 detektovaného řídicím obvodem 4, přičemž normální cesta funguje správně (CGn = 1), mikroprocesor poskytuje do paměťového obvodu 13 vstupní hodnoty En. Tyto hodnoty se převádějí na analogové hodnoty převodníkem 14 před tím, než jsou vedeny na výstup stažení R. Řídicí obvod 4 tak zajištuje bez rázů přepojení hlavního spínacího ústrojí 2 v případě jeho selhání. Tvoří tak zálohovou cestu schopnou nahradit hlavní spínací ústrojí.
Jestliže řídicí obvod současně detektuje špatnou funkci normální cesty systému (CGn = 0) a pomocná cesta funguje správně (CGs = 1), vede tedy na výstup stažení R signály reprezentativní pro vstup Es.
V přednostním provedení znázorněném na obr.2 je hlavní spínací ústrojí 2 tvořeno sériovým spojením dvou spínacích prvků. Spínač Cl je zde sériově zapojen se spínačem C2. Výstup spínače Cl může být při řízení signály vedenými na řídicí výstup SI obvodu 4 selektivně připojen na vstupy En a Es. Spínač C2, vřazený mezi výstup spínače Cl a výstup So, je řízen signály vedenými na řídicí výstup S2 obvodu 4. V tomto případě může být uváznutí spínače C2 v otevřené poloze detektováno řídicím obvodem 4 pouhým srovnáním signálů přítomných na vstupu En a na výstupu So. Zatímco CGn = CGu = 1, signály En a So nejsou totožné (En je různé od So), je-li spínač C2 otevřený.
Naproti tomu pouhá zkouška souladu mezi En a So a mezi Es a So nestačí pro detekci uváznutí spínače C2 v jeho uzavřené poloze, ani uváznutí spínače Cl v jedné z jeho poloh.
V obzvláštním provedení hlavního spínacího ústrojí
-Ίznázorněného na obr.4 je spínač Cl vytvořen pomocí samostatných spínacích prvků C3 a C4 , uložených mezi vstupy En a Es a vstupem spínače C2. V tomto případě nesoulad mezi výstupy En a So může být reprezentativní pro uváznutí spínače C2 nebo spínacího prvku C3 v otevřené poloze. Nesoulad mezi výstupy Es a So, je-li spínač Cl vykývnut do pomocné polohy, může být reprezentativní pro uváznutí spínače C2 nebo spínacího prvku C4.
Uváznutí jednoho z prvků C2 , C3 a C4 a prvku 2 v uzavřené poloze není detektováno zkouškou souladu mezi vstupy En a Es a výstupem So.
Pro zlepšení zkoušky souladu hlavního spínacího ústrojí 3. může řídicí obvod 4 rovněž realizovat dynamické zkoušky v sestavě jemnými impulzy. Zkušební impulzy spočívají v tom, že se během velmi krátkých dob, například několika milisekund, nechává jeden z prvků ústrojí 2 ověřovat vliv tohoto přepínání na výstupní signály So. Otevření po velmi krátké zkušební údobí spínače C2 nebo spínače C3, když je systém v normální funkční poloze, musí vést k přerušení signálů vedených na So, neuvázl-li příslušný spínač v uzavřené poloze. Naopak je uváznutí v uzavřené poloze okamžitě detektováno, když signál přítomný v So zůstává během zkoušky totožný se vstupním signálem En. Trvání zkušebních impulzů je takové, že změny výstupních signálů během zkoušek jsou ignorovány ovladači umístěnými dále na výstupní straně.
Detekce uváznutí jednoho ze spínačů C2, C3 nebo C4 v uzavřené poloze vede, stejně jako jejich uváznutí v otevřené poloze, řídicí obvod k otevření hlavního spínacího ústrojí 2 a k přepojení selhávajícího hlavního spínacího ústrojí tak, že se na výstup stažení R vedou signály reprezentativní pro vstupní signály systému, při současném uzavření pomocného spínacího ústrojí 5.
-8Aby se umožnilo přesněji identifikovat poruchy ovlivňující spínací ústrojí 3, zkouška může být rozdělena na dílčí funkce. Řídicí obvod tak může například přijímat nejen signály En, Es a So, ale rovněž obsahovat vstup připojený k výstupu spínače Cl. Je také možné lokalizovat přesněji eventuelní poruchu a provedením kontroly souladu mezi dílčími zkouškami a celkovými zkouškami zlepšit spolehlivost těchto zkoušek.
Jak je znázorněno na obr.4, každý ze spínačů může být tvořen sériovým zapojením dvou elementárních spínačů C3a a C3b pro spínač C3. Oba elementární spínače jsou ovládány totožnými signály, ale s výhodou z rozdílných výstupů řídicího obvodu. V případě zachycení jednoho z elementárních spínačů v uzavřené poloze je stále možné otevřít odpovídající spínač a v důsledku toho otevřít hlavní spínací ústrojí.
Řídicí obvod reaguje nejen v případě selhání hlavního spínacího ústrojí 3_, ale rovněž v případě selhání normálních nebo pomocných cest na vstupní straně systému v případě selhání samotného řídicího systému a v případě selhání pomocného spínacího ústrojí tak, že se optimalizuje spolehlivost a použitelnost systému. Jakékoli selhání dtektované řídicím obvodem je signalizováno signalizačnímu ústrojí 6.
Řídicí obvod detektuje selhání na vstupní straně analyzováním hlídacích signálů CGn a CGs automatů 1 a 2. a prováděním analýzy souladu signálů vedených na vstupy En a Es.
Když hlídací signál automatu 1 signalizuje jeho selhání (CGn=0), je toto selhání detektováno řídicím obvodem 4. Pokud není porucha na pomocné cestě (CGs=l), na hlavním spínacím ústrojí 3. a na samotném řídicím obvodu (CGu=l), poskytuje řídicí ústrojí 4 na své řídicí výstupy (S1-S2) řídicí signály určené pro převedení hlavního spínacího ústrojí 2 do pomocné polohy. V této poloze připojuje ústrojí 3. vstup
-9Es k výstupu So, v níž je spínač Cl vykývnut vzhledem k poloze znázorněné na obr.2, zatímco spínač C2 zůstává uzavřený a pomocné spínací ústrojí 5 zůstává v otevřené poloze. V provedení znázorněném na obr.4 se spínač C3 otevírá, kdežto spínač C4 je uzavřen.
Když hlídací signál pomocného automatu 2 signalizuje jeho selhání (CGs=0), nemění v nepřítomnosti poruchy normální cesty (CGn=l), hlavního spínacího sútrojí (En=So) a řídicího obvodu (CGu=l) řídicí obvod fungování systému, který zůstává v poloze znázorněné na obr.2, ale signalizuje tuto poruchu do signalizačního ústrojí 6.
Když řídicí obvod 4, fungující správně (CGu=l) detektuje současnou poruchu automatů 1 a 2, t.j. když CGn = CGs = 0, nebo i když CGn = CGs = 1, existuje nesoulad mezi vstupními signály systému (En je různé od Es), ovládá přechod systému do polohy stažení. V této poloze je hlavní spínací ústrojí 2 otevřeno a pomocné spínací ústrojí 5 je uzavřeno a spojuje výstup So se zachycovacím výstupem R.
Signály vedené na výstup stažení jsou sigmály uložené do paměti v paměťovém obvodu 13. Tyto signály by mohly odpovídat pevné předem určené hodnotě, která uvádí ovladače řízené systémem do bezpečné předem určené polohy. Taková pevná hodnota může být eventuelně vytvořena konkrétním spojením. Použití pevné hodnoty se vyznačuje nevýhodou v tom, že vyvolává rázy při přechodu do polohy stažení. Aby se odstranila tato nevýhoda, odpovídají hodnoty uložené do paměti s výhodou skutečným vstupním signálům systému v okamžiku předcházejícím poruše. Vstupní signály jsou trvale vedeny na vstup řídicího obvodu pro realizování zkoušek souladu a mikroprocesor 8 může současně ukládat do paměti v obvodu 13 hodnotu posledních platných signálů, přičemž tyto signály jsou potom používány jako poloha stažení při detekci současné poruchy obou automatů.
-10Po přechodu do polohy stažení může řídicí obvod udržovat hodnotu vedenou na výstup stažení na konstantní úrovni, anebo obsahovat prostředky, například ve formě podprogramu mikroprocesoru 8, pro postupný přechod na hodnotu odpovídající předem určené poloze považované za bezpečnou. Analogicky se může přechod polohy stažení do normální polohy dít postupně pro vylouční rázů, například na základě součinitele měnění úhlu, před tím uloženého do paměti v řídicím obvodu.
Přechod do polohy stažení se děje automaticky a je signalizován signalizačnímu ústrojí 6. Operátor tedy může eventuelně ručně ovládat ovladače uložené na výstupní straně systému. Toto ruční ovládání může být prováděno z hlídacího ústrojí 7, uloženého lokálně nebo na dálku. Ústrojí pro ruční ovládání tedy řídí polohu ovladačů prostřednictvím řídicího obvodu 4., konkrétněji mikroprocesoru a paměťového obvodu 13.
Do hlídacího ústrojí 7 může být rovněž vřazen automatický řídicí program tak, aby automaticky provedl přepojení do polohy stažení 6, když je signalizačním ústrojím 6 signalizován přechod do polohy stažení.
Nahrazení selhávajícího hlavního spínacího ústrojí 2 řídicím obvodem, jakož i přechod do polohy stažení v případě selhání automatů na vstupní straně systému dovolují znatelně zlepšit použitelnost systému. Rozdělení zkoušek na dílčí zkoušky, jakož i použití dynamických zkoušek v řadě dovolují znatelným způsobem zlepšit použitelnost systému. Ta může být ještě zlepšena samozkoušením řídicího obvodu 4..
Samozkoušení řídicího obvodu 4 se provádí v podstatě na základě jeho vlastního hlídacího signálu CGu. Od okamžiku, kdy tento signál udává poruchu (CGu=0), řídicí obvod se
-11vyřadí a nechává systém fungovat jako prostý spínač. V přednostním provedení znázorněném na obr.3 dovoluje logické rozhraní 11 vzít ohled na tento typ poruchy a řídit přepínací ústrojí 3. a 5. Logické rozhraní je řešeno tak, že může poskytovat na řídicí výstupy SI až S3 řídicí signály, které jsou na ně vedeny mikroprocesorem 8, kdyý CGu=l. Naopak je-li CGu=0, t.j. výstupním signálům mikroprocesoru je bráněno a je-li hlídací signál CGn normální cesty roven 1, jsou výstupní signály S1-S3 takové, že spínače jsou v normální poloze znázorněné na obr.2. Přechod signálu CGn na nulu ovládá automaticky měnění výstupních signálů rozhraní tak, že se hlavní spínací ústrojí přepne do pomocné polohy.
V případě poruchy řídicího ústrojí se tak automaticky používá normální přepínací poloha, s automatickým přechodem do pomocné polohy, řízené hlídacím signálem CGn normální cesty v případě poruchy normální cesty. V případě poruchy řídicího obvodu funkce stažení a funkce zálohování prostřednictvím řídicího obvodu již nejsou zajišťovány a taková porucha je považována za poruchu, kterou je třeba naléhavě odstranit, a je signalizována signalizačnímu ústrojí 6.
Podle neznázorněné varianty může systém místo přechodu do normální polohy v případě selhání mikroprocesoru přejít do polohy stažení ve formě konkrétního vodičového spojení, spojícící pomocí logického rozhraní výstup So s předem zapojenými hodnotami při současném řízení otevření hlavního spínacího ústrojí 2· Takové řešení je méně uspokojivé, neboť vyvolává rázy a zaručuje kratší dobu normálního fungování. Předchozí řešení vykazuje nevýhodu v tom, že nechává systém závislý na eventualitě selhání hlavního spínacího ústrojí, avšak pravděpodobnost, že obě poruchy budou současné, je velmi malá a je všeobecně žádoucí dávat přednost použitelnosti normálních výstupních hodnot.
Řídicí obvod zkouší nejen dobrou funkci mikroproceso-12ru 8, ale další prvky, které ho tvoří, například rozhraní TOR 10 a převodníky 9a 14. Zkouška rozhraní TOR může být například typu zkoušky s jemnými impulzy, kdy jsou vstupy TOR okamžitě uváděny na předem určenou hodnotu. Pokud jde o převodníky, zkouška může být prováděna novým čtením analogových hodnot přítomných na výstupu stažení R. Signály na výstupu převodníku 14 jsou vedeny na vstup převodníku 9 a mikroprocesor ověřuje soulad mezi signály znovu převedenými na číslicové signály převodníkem 9 a signály vedené pamětovým obvodem 13 na převodník 14. Jestliže řídicí obvod detektuje poruchu jednoho z výše uvedených prvků, signalizuje mikroprocesor poruchu as poskytuje na řídicí výstupy S1-S3 takové signály, že spínače jsou v normální poloze znázorněné na obr.2. Přechod do pomocné polohy může být rovněž proveden v případě pozdějšího selhání normálního automatu v případě, kde se počáteční selhání vztahuje na převodníky.
Zkouška systému se s výhodou doplňuje zkouškou v řadě, a to jemnými impulzy pomocného spínacího ústrojí 5. Během zkušebního období, velmi krátkého, aby nezasahovalo do fungování ovladačů uložených na výstupní straně systému, je ústrojí 5 uzavřeno, přičemž předem určený signál je současně veden na výstup stažení. Uvázne-li ústrojí v otevřené poloze, signalizuje řídicí ústrojí poruchu a udržuje fungování systému v normální, popřípadě v pomocné poloze.
Řídicí obvod 4 má s výhodou neznázorněný napájecí obvod, obsahující dva elementární zálohovací obvody. Tento napájecí obvod je rovněž testován. Pro tento účel jsou výstupní signály každého z napájecích obvodů vedeny na vstup analogově-číslicového převodníku 9 a jsou srovnávány mikroprocesorem s výběrem předem určených hodnot. Selhání jednoho s elementárních obvodů je samozřejmě signalizováno signalizačnímu ústrojí 6.
Řídicí obvod tak zkouší v reálném čase různé funkce
-13systému a dohlíží tak na spojení spínacích ústrojí. Zejména nechává přecházet systém do pomocné polohy v případě poruchy normální cesty a do polohy stažení v případě poruchy automatů před systémem, přičemž řídicí obvod realizuje zálohovací funkci v případě selhání hlavního spínacího ústrojí. V případě vážného selhání samotného řídicího obvodu kontroluje hlídací signál normální cesty prostřednictvím logického rozhraní udržování systému v normální poloze a jeho eventuelní přechod do pomocné polohy.
Výše popsaný systém, tolerantní pro první chybu, vykazuje míru nepoužitelnosti řadově 10
Ve výše uvedeném popisu jsou signály vedené na vstup systému analogové. Tentýž postup může být použit při vstupních signálech typu vše nebo nic (TOR). V tomto případě neobsahuje řídicí obvod převodníky, ale v případě potřeby adaptační obvod uložený na vstupu do systému a určený zejména pro zajišťování galvanického izolování mezi automaty a systémem. Mezi výstup So a ovladjce, které mají být řízeny, je dále umístěno rozhraní.
Spínací ústrojí jsou tvořena spínači a/nebo elektromechanickými nebo elektronickými spínači.
Signály CGn a CGS mohou být eventuelně po multiplexování vedeny na tentýž vstup řídicího obvodu.
i*
Ca
_PlLĚíS Jt,

Claims (10)

1. Bezpečnostní řídicí systém, obsahující dva vstupy připojené k výstupům normální cesty a pomocné cesty, přičemž signály poskytované normální a pomocnou cestou jsou při normálním fungování totožné, hlavní spínací prostředky určené pro selektivní spojování jednoho ze vstupů s výstupem systému, a řídicí prostředky uvedených spínacích prostředků, vyznačený tím, že řídicí prostředky (4) obsahují první, druhý a třetí vstup (El, E2, E3), připojené k odpovídajícím vstupům (En, Es) a k výstupu (So) systému, výstup stažení (R) připojený k výstupu (So) systému pomocnými spínacími prostředky (5), řízenými uvedenými řídicími prostředky (4), a zkušební prostředky (8) hlavních spínacích prostředků, připojené ke vstupům (El, E2, E3) řídicích prostředků a vyvolávající uzavření pomocných spínacích prostředků (5) a otevírání hlavních spínacích prostředků (3) pomocí řídicích prostředků (4) v případě detekce poruchy hlavních spínacích prostředků (3).
2. Bezpečnostní řídicí systém podle nároku 1 vyznačený tím, že řídicí prostředky (4) vedou na výstup stažení (R) signály reprezentativní pro signály přiváděné na jeho první vstup (En) v případě poruchy hlavních spínacích prostředků (3).
3. Bezpečnostní řídicí systém podle nároku 1 nebo 2 vyznačený tím, že řídicí prostředky (4) obsahují prostředky (13) pro ukládání signálů, reprezentativních pro polohu stažení, do paměti, připojené k výstupu (R) stažení.
4. Bezpečnostní řídicí systém podle kteréhokoli z nároků 1 až 3 vyznačený tím, že řídicí prostředky (4) obsahují prostředky (8, 13, 11) určené k tomu, aby v případě selhání normální cesty (1) a pomocné cesty (2) vyvolávaly, že se na výstup stažení (R) vedou signály vedené na vstupy (En, Es)
-15systému v okamžiku předcházejícím zjištění poruchy a vyvolávaly uzavření pomocných spínacích prostředků (5) a otevření hlavních spínacích prostředků (3).
5. Bezpečnostní řídicí systém podle kteréhokoli z nároků 1 až 3 vyznačený tím, že řídicí prostředky (4) obsahují prostředky (8, E4, 13, 11) určené v případě poruchy normální a pomocné cesty (1, 2) k tomu, že vyvolávají, že jsou na výstup stažení (R) vedeny signály vedené na řídicí vstup (E4) prostředky pro ruční a/nebo dálkové ovládání, pro vyvolávání uzavření pomocných spínacích prostředků (5) a otevírání hlavních spínacích prostředků (3).
6. Bezpečnostní řídicí systém podle kteréhokoli z nároků 4 až 5 vyznačený tím, že řídicí prostředky (4) obsahují prostředky detekce inkorehence mezi signály vedenými na první a druhý vstup (En, Es) systému.
7. Bezpečnostní řídicí systém podle kteréhokoli z nároků 4 až 6 vyznačený tím, že řídicí prostředky (4) obsahují nejméně jeden čtvrtý vstup (CGn, CGs), na který jsou vedeny odpovídající signály reprezentativní pro dobré fungování hlavní cesty (1) a pomocné cesty (2), a prostředky (8) pro analyzování těchto signálů (CGn, CGs).
8. Bezpečnostní a řídicí systém podle nároku 3 vyznačený tím, že řídicí prostředky (4) obsahují prostředky dovolující postupné měnění signálů reprezentativních pro polohu stažení před otevřením pomocných spínacích prostředků (5) a uzavřením hlavních spínacích prostředků (3), pro postupné uvádění signálů reprezentativních pro polohu stažení na hodnoty v podstatě totožné s hodnotami vstupních signálů (En, Es) vedených do systému.
9. Bezpečnostní a řídicí systém podle kteréhokoli z nároků 1 až 8 vyznačený tím, že řídicí prostředky (4) ob-16sahují prostředky (12) pro samozkoušení a automatické řídicí prostředky (11) ovládající samočinně spínání hlavních spínacích prostředků na výstupu normální cesty v případě detekce poruchy řídicích prostředků.
10. Bezpečnostní a řídicí systém podle nároku 9 vyznačený tím, že řídicí prostředky (4) obsahují mikroprocesor (8), automatické řídicí prostředky (11) obsahují logické obvody obsahující vstupy přijímající signály poskytované mikroprocesorem (8) a signály (CGn, CGu) reprezentativní pro dobrou funkci jednak normální cesty (1) a jednak mikroprocesoru (8), přičemž tyto logické obvody poskytují řídicí signály (Sl, S2, S3) spínacích prostředků (3, 5).
CZ9443A 1993-01-08 1994-01-07 System of safety steering CZ4394A3 (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR9300194A FR2700436B1 (fr) 1993-01-08 1993-01-08 Système de contrôle commande de sécurité.

Publications (1)

Publication Number Publication Date
CZ4394A3 true CZ4394A3 (en) 1994-07-13

Family

ID=9442954

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ9443A CZ4394A3 (en) 1993-01-08 1994-01-07 System of safety steering

Country Status (7)

Country Link
EP (1) EP0606809B1 (cs)
KR (1) KR940018715A (cs)
CZ (1) CZ4394A3 (cs)
ES (1) ES2110075T3 (cs)
FR (1) FR2700436B1 (cs)
RU (1) RU2134898C1 (cs)
TW (1) TW279957B (cs)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996010288A1 (de) * 1994-09-28 1996-04-04 Siemens Aktiengesellschaft Verfahren und vorrichtung zur überwachung von mindestens zwei redundanten reglerkanälen einer erregereinrichtung eines elektrischen generators
US7991582B2 (en) 2004-09-30 2011-08-02 Rosemount Inc. Process device with diagnostic annunciation

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2162120A1 (de) * 1971-12-15 1973-06-20 Licentia Gmbh Umschalteinrichtung
US4868826A (en) * 1987-08-31 1989-09-19 Triplex Fault-tolerant output circuits

Also Published As

Publication number Publication date
EP0606809B1 (fr) 1997-10-22
KR940018715A (ko) 1994-08-18
FR2700436B1 (fr) 1995-03-31
ES2110075T3 (es) 1998-02-01
TW279957B (cs) 1996-07-01
RU2134898C1 (ru) 1999-08-20
FR2700436A1 (fr) 1994-07-13
EP0606809A1 (fr) 1994-07-20

Similar Documents

Publication Publication Date Title
RU2223532C2 (ru) Способ и устройство для проверки работоспособности устройства защиты
US8307356B2 (en) Safety controller and method for loading a new operating program onto the safety controller
CZ284656B6 (cs) Ovládání a regulace elektromechanickým motorem poháněných dveří
CN100587637C (zh) 可编程控制器
CA2592625C (en) Communication control system and communication control method
JPH055121B2 (cs)
JPS61501055A (ja) プログラム可能なデジタル信号テストシステム
CZ4394A3 (en) System of safety steering
US4897640A (en) Method and electrical circuit for the reliable detection of process states within freely couplable units
TWI434482B (zh) 設備之保護系統與檢查保護系統之方法
US4524449A (en) Safety device
US5555456A (en) Reconfigurable fault control apparatus
US10606329B2 (en) Safety circuit for an electrical system
JP2557990B2 (ja) 二重系切換装置
US11802912B2 (en) Output module for industrial control device, and industrial control device
US5875328A (en) Fault identifying control system
US20030053272A1 (en) Electronic safety loop
KR100277457B1 (ko) 철도의 연동시스템 제어장치 및 방법
SU1656606A2 (ru) Устройство дл проверки исправности аппаратуры дискретной автоматики
RU2718168C2 (ru) Автоматизированная система безопасности промышленной установки
KR890000024B1 (ko) 안전 액츄에이터의 제어시스템과 이 액츄에이터의 제어 논리회로간의 안전장치
RU2066867C1 (ru) Устройство тестового контроля комплекта защит фильтров высших гармоник
SU1501116A1 (ru) Устройство дл многоточечной сигнализации аварийных состо ний
MXPA00003741A (es) Metodo y dispositivo para verificar la capacidad de trabajo de un dispositivo de seguridad
JPH01156683A (ja) 電子回路パッケージ自己診断方式