DE102007030589A1 - Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock - Google Patents

Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock Download PDF

Info

Publication number
DE102007030589A1
DE102007030589A1 DE200710030589 DE102007030589A DE102007030589A1 DE 102007030589 A1 DE102007030589 A1 DE 102007030589A1 DE 200710030589 DE200710030589 DE 200710030589 DE 102007030589 A DE102007030589 A DE 102007030589A DE 102007030589 A1 DE102007030589 A1 DE 102007030589A1
Authority
DE
Germany
Prior art keywords
pulse
channel
evaluation
error
evaluated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200710030589
Other languages
German (de)
Inventor
Chris Dr. Kakuschke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200710030589 priority Critical patent/DE102007030589A1/en
Publication of DE102007030589A1 publication Critical patent/DE102007030589A1/en
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24184Redundant I-O, software comparison of both channels
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25163Transmit twice, redundant, same data on different channels, check each channel

Abstract

The method involves representing measuring or process variables in the form of pulse-width-modulated (PWM) signals, where pulse length is a measure for the measuring or process variable. The pulse length and pulse flanks are evaluated with synchronous basis clock of the PWM signals regarding error-relevant parameters. The pulse length and a flank frequency are compared with given minimum and/or maximum threshold values as error-relevant parameters. A pulse-width-modulated process variable is evaluated at an output of an actuator (1). An independent claim is also included for a circuit for multi-channel error evaluation of measuring or process variables.

Description

Die Erfindung betrifft ein Verfahren und eine Schaltung zur mehrkanaligen Fehlerbewertung von Mess- oder Prozessgrößen.The The invention relates to a method and a circuit for multichannel Error evaluation of measurement or process variables.

Bei der Einschätzung sicherheitsrelevanter Mess- oder Prozessgrößen wird häufig eine mehrkanalige Auswertung mit anschließendem Vergleich der Teilergebnisse genutzt. Diese Vergleichsverfahren müssen bei anspruchsvolleren Applikationen auch Wertetoleranzen und Lebenszeichenfunktionen berücksichtigen. Die einzuschätzenden Größen können trotz korrekter Verarbeitung kanalspezifische Toleranzen, z. B. durch den Einfluss unterschiedlicher analoger Bauelemente oder abweichender Messzeitpunkte aufweisen. Die Auswertung von Lebenszeicheninformationen ist zur Ausfallerkennung zu überwachender Aktorfunktionen – vor der Umwandlung in ein Spannungssignal – in den Kanälen notwendig. Weiterhin müssen auch zeitliche Deadlines für eine Überschreitung der Toleranzen und das Ausbleiben der Lebenszeichen in dem Verfahren implementiert werden können. Entscheidend ist aber die einfache Realisierbarkeit und Möglichkeit eines Umsetzungsnachweises der Sicherheitsanforderung des hardwareimplementierten Verfahrens.at the assessment Safety-relevant measurement or process variables often become a multi-channel evaluation followed by Comparison of partial results used. These comparison methods must be included more demanding applications also value tolerances and vital signs functions consider. The to be estimated Sizes can despite correct processing channel-specific tolerances, eg. B. by the influence of different analog components or deviating ones Have measuring times. The evaluation of vital signs information is to be monitored for failure detection Actuator functions - before conversion into a voltage signal - necessary in the channels. Farther have to also deadlines for an overrun the tolerances and the absence of vital signs in the process can be implemented. Decisive, however, is the simple feasibility and possibility a proof of implementation of the security requirement of the hardware-implemented Process.

Es sind zahlreiche Verfahren zum Vergleich der Ergebnisse redundanter Verarbeitungsabschnitte bekannt.It Many methods for comparing the results are more redundant Processing sections known.

Für das Anwendungsbeispiel Aktorüberwachung existiert jedoch noch kein geschlossenes sicherungstechnisches Verfahren, welches die aufgezählten Anforderungen erfüllt.For the application example actuator monitoring However, there is still no closed safety procedure, which the enumerated Requirements fulfilled.

Aber auch für die Überwachung redundanter eingebetteter Prozessoren für Sensor- und Aktoraufgaben ist noch kein mess/stellgrößenbezogenes Fehleroffenbarungsverfahren bekannt.But also for The supervision redundant embedded processors for sensor and actuator tasks is not yet a measurement / variable-size error disclosure method known.

Meist versucht man bei derartigen Aufgaben in der Bahntechnik so genannte sichere digitale Rechnerplattformen aus der Stellwerks-/Zugleittechnik, das heißt homogen redundante hardwaresynchrone Rechnersysteme, anzuwenden, welche zu hohen Kosten in der Entwicklung, vor allem aber für das fertige Produkt und in der Wartung führen. Dies hat hauptsächlich zwei Gründe.Most of time one tries so-called with such tasks in the railway technology secure digital computer platforms from interlocking / train control systems, this means homogeneously redundant hardware-synchronous computer systems, to apply, which at high cost in development, but especially for the finished Product and maintenance. This is mainly two reasons.

Erstens werden bisherige sicher Plattformen ausgehend von einem speziellen Prozessortyp mit Rücksicht auf dessen spezielle Möglichkeiten zur Hardwaresynchronisation entworfen und sind dementsprechend auf dessen Performance, Leistungsaufnahme, Entwicklungswerkzeuge, Verfügbarkeit und Preisentwicklung festgelegt. Dies führt bei den langen Produktlebenszyklen bahntechnischer Produkte zu immer weiter steigenden Kosten, die bald in keinem zufrieden stellenden Verhältnis mehr zu der Performance und damit des möglichen Einsatzspektrums des Rechners selbst stehen.First be sure platforms from a special Processor type with consideration on its special possibilities designed for hardware synchronization and are accordingly on its performance, power consumption, development tools, availability and Price development determined. This leads to the long product life cycles railway technology products to ever increasing costs, the soon no longer in a satisfactory relationship with the performance and thus of the possible Use spectrum of the computer itself.

Zweitens wird die Architektur bisheriger Plattformen an den anspruchsvollsten bahntechnischen Aufgabenstellungen für sichere Rechnersysteme ausgerichtet. Da sind beispielsweise die Einsatzgebiete der Stellwerks- und Zugleittechnik mit einer Vielzahl systeminterner Kenngrößen, welche ständig auf Plausibilität und Konsistenz zwischen den Rechnerkanälen geprüft werden müssen. Baugruppen für Sensor- und Aktoraufgaben verarbeiten dagegen oft nur eine oder wenige Mess- oder Stellgrößen, die mit terminierbarer Verzögerung am Systemausgang offen verfügbar sind. Für die Offenbarung diesbezüglicher Systemfehler ist keine Kenntnis verborgener systeminterner Zustände und somit keine Hardwaresynchronität erforderlich.Secondly The architecture of previous platforms will be the most demanding railway technical tasks for secure computer systems aligned. There are, for example, the fields of application of the interlocking and train control technology with a multitude of system-internal characteristics, which constantly on plausibility and consistency between the computer channels must be checked. Assemblies for sensor Actuators often process only one or a few measuring or manipulated variables that with terminable delay open at the system output are. For the disclosure of related system errors is not aware of hidden system internal states and thus no hardware synchronization required.

Aber auch das Gegenteil zur Bereitstellung unnötiger Sicherheitsfunktionen ist zu finden. Beispielsweise wird die zweikanalig homogen redundante Bewertung einer Messgröße vorgenommen, ohne dass die Messwerte zwischen den Kanälen hinsichtlich ihrer Toleranzen überprüft werden. Lediglich das binäre Ergebnis eines Schwellenvergleichs in beiden Kanälen wird einer kanalübergreifenden Bewertung übergeben. Liegt der Messwert im Grenzbereich der Klassifizierung, weichen unter Umständen die Ergebnisse in beiden Kanälen voneinander ab. Diese Ausgabe ist aber mit einem Kanalausfall identisch, der davon nicht unterschieden werden kann. Kanalausfälle mit entgegengesetztem Verhalten bleiben vollständig unentdeckt. Ohne zuverlässige Fehleroffenbarung führt der aufwändige und anfällige zweikanalige Aufbau aber nur zu einer geringen Erhöhung der sicherheitsrelevanten Systemintegrität. Sicherheitsrelevante Bahnbetriebsprozesse müssen Sicherheitsanforderungen genügen, die in der CENELEC-Norm in Form von Sicherheitsstufen SILO – signaltechnisch nicht sicher – bis SIL4 – signaltechnisch hochgradig sicher – definiert sind. Eine einfache Bewertungsschaltung für die toleranzbehafteten Messwerte kann zu einer deutlich höheren SIL-Einstufung führen.But also the opposite to providing unnecessary security features is to be found. For example, the two-channel homogeneous redundant Evaluation of a measured variable, without checking the measured values between the channels with regard to their tolerances. Only the binary The result of a threshold comparison in both channels becomes cross-channel Review passed. If the measured value is within the limits of the classification, make way in certain circumstances the results in both channels from each other. This output is identical to a channel failure, which can not be distinguished from it. Channel failures with opposing behavior remains completely undetected. Without reliable error disclosure leads the complex and vulnerable dual-channel design but only a small increase in safety-relevant System integrity. Safety-relevant railway operations must meet safety requirements sufficient in the CENELEC standard in the form of safety levels SILO - signaling technology not sure - until SIL4 - high signal quality safe - defined are. A simple evaluation circuit for the tolerated measured values can be a much higher SIL classification.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Schaltung gattungsgemäßer Art anzugeben, welche eine exakte und parametrierbare Fehlerbewertung gestatten, wobei universelle Anwendbarkeit für verschiedenste stell- und messtechnische Anwendungen bei einfachem Schaltungsaufbau anzustreben ist.Of the Invention is based on the object, a method and a circuit generic type specify which an exact and parameterizable error evaluation allow universal applicability for a variety of stell- and to strive for metrological applications with simple circuit design is.

Verfahrungsgemäß wird die Aufgabe durch Anspruch 1 und schaltungsgemäß durch Anspruch 7 gelöst.According to the procedure, the Task solved by claim 1 and circuit according to claim 7.

Grundsätzlich handelt es sich bei dem zu überprüfenden Signal um ein zweikanalig übertragenes pulsweitenmoduliertes Signal. Die Pulsweitenmodulation – PWM – repräsentiert dabei eine oder die zyklische Abfolge mehrerer sicherheitsrelevanter Größen des sendenden Systems. Die Verarbeitung pulsweitenmodulierter Signale stellt einen Grenzbereich zwischen Digital- und Analogrechentechnik dar. Sie erlaubt bei dafür geeigneten Aufgaben mit Zeitbezug der Signalereignisse einen sehr kompakten Schaltungsaufbau, welcher gleichzeitig eine gute Testbarkeit aufweist. Bei der Signalübertragung über längere Strecken besitzen PWM-Signale meist eine ähnlich geringe Störanfälligkeit wie Digitalsignale. Dies folgt aus den ebenfalls digitalen Spannungspegeln, während die Zeitpunkte des Modulationswechsels kontinuierlichen Charakter besitzen.Basically, it is at the verifying signal to a two-channel transmitted pulse width modulated signal. The pulse width modulation - PWM - represents one or the cyclical sequence of several safety-relevant variables of the transmitting system. The processing of pulse-width-modulated signals represents a borderline between digital and analogue technology. It allows a very compact circuit design, which at the same time has a good testability for suitable tasks with time reference of the signal events. In the signal transmission over longer distances PWM signals usually have a similar low susceptibility to interference as digital signals. This follows from the likewise digital voltage levels, while the times of the modulation change have a continuous character.

Das beanspruchte Bewertungsverfahren verdankt seine einfache Realisierbarkeit auch dem synchronen Basistakt der PWM-Signale in den beiden Kanälen. Somit ist der Beginn jedes PWM-Pulses für beide Kanäle gleich, wogegen seine Länge das alleinige Ergebnis der Verarbeitung in dem jeweiligen Kanal ist. Das stellt besondere Anforderungen an die Generierung des PWM-Taktes. Eine Baugruppe zur sicheren Bewertung kontrolliert redundant die wichtigsten Parameter für die korrekte Funktionsweise der Taktquelle, nämlich die minimale Flankenhäufigkeit, sowie minimale Puls- und Austastzeit. Sollten weitere Parameter kontrolliert werden, so muss die konkrete Applikation dahingehend erweitert werden. Als Beispiel sei die separate Überprüfung der maximalen Flankenhäufigkeit erwähnt, welche gegenüber der ebenfalls frequenzbegrenzenden Puls-/Austastzeitminimumkontrolle für eine sehr geringe geforderte Frequenztoleranz notwendig werden würde.The claimed evaluation method owes its simple feasibility also the synchronous base clock of the PWM signals in the two channels. Consequently is the beginning of each PWM pulse for both channels same, whereas its length is that sole result of the processing in the respective channel. This places special demands on the generation of the PWM clock. A module for secure evaluation redundantly controls the most important ones Parameters for the correct operation of the clock source, namely the minimum flank frequency, as well as minimum pulse and blanking time. Should have more parameters be controlled, so the specific application has to be extended. As an example, consider the separate check of the maximum flank frequency mentioned, which against the also frequency-limiting pulse / blanking time minimum control for one very low required frequency tolerance would be necessary.

Vorteilhafte Ausführungsformen sind Gegenstand der Unteransprüche und werden nachfolgend anhand figürlicher Darstellungen näher erläutert.advantageous embodiments are the subject of the dependent claims and are explained in more detail below with reference to figurative representations.

Es zeigen:It demonstrate:

1 ein Fehlerbewertungsverfahren für eine Stellgröße, 1 an error evaluation method for a manipulated variable,

2 ein Fehlerbewertungsverfahren für eine zweikanalige μC-Ausgabe einer beliebigen sicherheitsrelevanten Größe, 2 an error evaluation method for a two-channel μC output of any security-relevant variable,

3 ein erstes Verfahren für eine Synchron-Basistakterzeugung eines PWM-Signals, 3 a first method for synchronous base clock generation of a PWM signal,

4 ein zweites Verfahren für eine Synchron-Basistakterzeugung eines PWM-Signals, 4 a second method for synchronous base clock generation of a PWM signal,

5 ein Verfahren zur Fehlerbewertung in einem Kanal, 5 a method for error evaluation in a channel,

6 eine Fehlerbewertungs-Schaltung für ein Verfahren gemäß 1, 6 an error evaluation circuit for a method according to 1 .

7 eine Fehlerbewertungs-Schaltung für ein Verfahren gemäß 2, 7 an error evaluation circuit for a method according to 2 .

8 eine Flankenhäufigkeitsbewertung, 8th an edge frequency evaluation,

9 einen vergrößerten Ausschnitt der Flankenhäufigkeitsbewertung gemäß 8, 9 an enlarged section of the edge frequency evaluation according to 8th .

10 tolerierte Gleichlaufschwankungen und 10 tolerated synchronization fluctuations and

11 nicht tolerierte Gleichlaufschwankungen. 11 not tolerated synchronization fluctuations.

Für die eingangs allgemein beschriebenen Anforderungen an das Bewertungsverfahren können mehrere sich stark voneinander unterscheidende Realisierungsbeispiele aus der Eisenbahntechnik angegeben werden. Um dieses Anwendungsspektrum zu umreißen, werden hier zwei ausgewählt.For the beginning generally described requirements for the evaluation procedure can several strongly different realization examples railway technology. To this application spectrum to outline two are selected here.

Als erstes Anwendungsbeispiel, das in 1 veranschaulicht ist, sei die Funktionsüberwachung eines Aktors zur Generierung einer Stellgröße aus Steuerinformationen genannt. Hier handelt es sich um die sichere Fehlerbewertung einer physikalischen Größe, nämlich der Stellgröße, welche zuverlässig Aufschluss über die Aktorwirkung gibt. Die Beispielapplikation besitzt in der Aktor-Ansteuerung 2 bereits einen PWM-Generator 3, welcher mit der hier beschriebenen Bewertung eine hinreichende Wahrscheinlichkeit der Fehleroffenbarung ermöglicht. Zwei redundante Auswertekanäle 4a und 4b, jeweils mit Sensorik 4a1 und 4b1 und Überwachung 4a2 und 4b2, sind vollständig voneinander getrennt und werden erst in einer Baugruppe zur sicheren Bewertung 5 zusammengeführt.As the first application example, which is in 1 is illustrated, the function monitoring of an actuator for generating a manipulated variable is called from control information. This is the safe error evaluation of a physical variable, namely the manipulated variable, which gives reliable information about the actuator effect. The example application has in the actuator control 2 already a PWM generator 3 which, with the evaluation described here, allows a sufficient probability of error disclosure. Two redundant evaluation channels 4a and 4b , each with sensors 4a1 and 4b1 and monitoring 4a2 and 4b2 , are completely separate from each other and are first in an assembly for safe evaluation 5 merged.

Beim zweiten Anwendungsbeispiel gemäß 2 sind die zu überwachenden Signalquellen die Pulsweitenmodulatorausgänge redundanter Mikrokontroller- bzw. DSP-Prozessoren 6a und 6b. An diesen Ausgängen werden Messwerte eines Messfühlers 7, Stellgrößen eines Aktors 1 oder verarbeitungsinterne sicherheitsrelevante Größen, pulsweitenmoduliert in einem gemeinsamen Basistakt ausgegeben. Der Basistakt stammt dabei entweder wie im ersten Beispiel aus einer Quelle, nämlich dem PWM-Generator 3, welche für sich die notwendigen Sicherheitsanforderungen erfüllt, oder er wird durch wechselseitige Generierung und Synchronisierung/Überprüfung von den internen Timern/Countern beider Prozessoren 6a und 6b selbst erzeugt.In the second application example according to 2 For example, the signal sources to be monitored are the pulse width modulator outputs of redundant microcontroller or DSP processors 6a and 6b , At these outputs are measured values of a sensor 7 , Manipulated variables of an actuator 1 or processing-internal safety-relevant variables, pulse-width modulated output in a common base clock. The base clock comes either as in the first example from a source, namely the PWM generator 3 which satisfies the necessary security requirements, or by mutual generation and synchronization / verification of the internal timers / counters of both processors 6a and 6b self generated.

Im Folgenden werden dafür zwei Möglichkeiten aufgezeigt. Der Takt entsteht dabei durch Teilung des Prozessortaktes in den Timern der Prozessoren 6a und 6b und tritt nach außen als steigende/fallende Flanke des positiven/invertierten PWM-Signals auf. Für eine Prüfung/Nutzung des Taktes durch die Elektronik des jeweils anderen Kanals 4a, 4b darf aber keine Information über die sicherheitsrelevanten Größen die Kanaltrennung passieren, welche in den Pulslängen kodiert sind. Deswegen wird für diese Variante der Taktgenerierung der Takt von der Pulslängeninformation in der Bewertungsschaltung ab getrennt und als Puls konstanter Länge dem jeweils anderen Kanal 4a bzw. 4b zur Verfügung gestellt.In the following two possibilities are shown. The clock is created by dividing the processor clock in the timers of the processors 6a and 6b and enters the outside as rising / falling Edge of the positive / inverted PWM signal. For a test / use of the clock by the electronics of the other channel 4a . 4b However, no information about the safety-relevant quantities may pass through the channel separation, which are coded in the pulse lengths. Therefore, for this variant of the clock generation, the clock is separated from the pulse length information in the evaluation circuit and as a pulse of constant length to the respective other channel 4a respectively. 4b made available.

Grundsätzlich ergeben sich wie bei jeder Architektur eines Kommunikationsnetzwerkes die softwarebasierten Konstellationen Master-Slawe gemäß 3 oder Peer-to-Peer gemäß 4.Basically, as with any architecture of a communications network, the software-based constellations of Master-Slave follow 3 or peer-to-peer according to 4 ,

Bei der Master-Slawe Variante wird der Takt durch den Timer des Masterkanals 4a unabhängig generiert und mit dem PWM-Signal der Bewertungsschaltung 5 übergeben. Vor dort wird das abgetrennte Taktsignal an den Slavekanal 4b weitergeleitet, der einerseits seinen Takt auf den Mastertakt synchronisiert und andererseits einen Plausibilitätstest des Mastertaktes gegenüber seiner eigenen Zeitbasis vornimmt. Diese beiden Funktionen können entweder durch Timer/Counter getrennt realisiert werden oder als Phase-Locked Loop – PLL – Funktion gemeinsam ausgeführt sein. Die quantitative Überprüfung des Slavetaktes durch den Master ist ebenfalls möglich. Allerdings würden Taktabweichungen zwischen Master und Slawe auch durch die redundante Bewertungshardware bereits mit hoher Sicherheit und Präzision offenbart.In the master-slave variant, the clock is set by the timer of the master channel 4a generated independently and with the PWM signal of the evaluation circuit 5 to hand over. Before there, the separated clock signal to the slave channel 4b forwarded on the one hand synchronizes its clock on the master clock and on the other hand carries out a plausibility test of the master clock against its own time base. These two functions can either be realized separately by timer / counter or executed jointly as phase-locked loop PLL function. The quantitative check of the slave clock by the master is also possible. However, clock deviations between master and slave would also be revealed by the redundant evaluation hardware already with high security and precision.

Die in 4 veranschaulichte symmetrische Peer-to-Peer-Konstellation entspricht der wechselseitigen Kopplung zweier Slaves, zwischen denen nach einer vorangehenden unabhängigen Initialisierungsphase die Synchronisierungsinformationen zirkulieren. Aus Gründen der erforderlichen höheren Stabilität empfiehlt sich hier die Verwendung von PLLs. Wegen der aufwendigeren Initialisierungsphase und den notwendigen Stabilitätsbetrachtungen ist diese Realisierungsvariante nur sinnvoll, wenn exakt identische Kanäle gewünscht werden.In the 4 illustrated symmetric peer-to-peer constellation corresponds to the mutual coupling of two slaves, between which circulate the synchronization information after a preceding independent initialization phase. For reasons of the required higher stability, the use of PLLs is recommended here. Because of the more complex initialization phase and the necessary stability considerations, this implementation variant only makes sense if exactly identical channels are desired.

Die weiteren Ausführungen beschreiben die Bewertung von Messwerten einer sicherheitsrelevanten Größe. Die Interpretation dieser Größe, beispielsweise als Stellgröße eines Aktors für Signal- und Stellteile, ist dabei inbegriffen.The further versions describe the evaluation of measured values of a safety relevant Size. The Interpretation of this size, for example as a manipulated variable of a Actors for Signal and control parts, is included.

Naturgemäß kann die Messung zu leicht abweichenden Ergebnissen in den Kanälen führen, so dass auch im Hinblick auf die eventuell asymmetrischen Verzerrungen der Übertragungsstrecke parametrierbare Toleranzen bei der Bewertung notwendig sind.Naturally, the Measurement lead to slightly different results in the channels, so that also with regard to possibly asymmetrical distortions of the transmission path Parameterizable tolerances are necessary in the evaluation.

Für die Sicherstellung der Systemfunktionen sind vier Signaleigenschaften zu überprüfen.

  • 1. Die Plausibilität der einzelnen Kanäle in sich ist realisierbar durch Überprüfen des Basistaktes und der Invertierung.
  • 2. Die Toleranzen der pulsweitenmodulierten Größe, z. B. Leuchtdauer, der einzelnen Kanäle kann auf eine Zeitmessung zurückgeführt werden.
  • 3. Die zeitliche Synchronität der Kanäle hinsichtlich des Basistaktes bildet die Grundlage der Offenbarung von Einfachfehlern.
  • 4. Die Toleranz der pulsweitenmodulierten Größe der Kanäle untereinander ist durch differentielle Zeitmessung zugänglich.
Four signal characteristics must be checked to ensure the system functions.
  • 1. The plausibility of the individual channels in itself is feasible by checking the base clock and the inversion.
  • 2. The tolerances of the pulse width modulated size, z. B. Luminous duration, the individual channels can be attributed to a time measurement.
  • 3. The temporal synchronicity of the channels with respect to the base clock forms the basis of the disclosure of single errors.
  • 4. The tolerance of the pulse width modulated size of the channels among each other is accessible by differential time measurement.

Diese Signaleigenschaften unterliegen in der Realisierung einer integrativen Überwachung, so dass die Wirkung punktuell auftretender Störungen je nach Parametrierung toleriert oder offenbart wird. So kann auch bei Erfüllung der Sicherheitsansprüche die Verfügbarkeit hoch gehalten werden. Dies ist besonders dann wichtig, wenn die Übertragung der Kanäle 4a und 4b über eine längere Distanz in gestörter Umgebung – 8 in 1 – bis zur Bewertungsbaugruppe 5 geführt wird oder das angewendete Messverfahren punktuelle Abweichungen zeigt.These signal properties are subject to the implementation of an integrative monitoring, so that the effect of punctually occurring disturbances is tolerated or disclosed depending on the parameterization. Thus, the availability can be kept high even if the security requirements. This is especially important when transferring the channels 4a and 4b over a longer distance in a disturbed environment - 8th in 1 - up to the assessment board 5 guided or the applied measuring method shows punctual deviations.

Mit der Festlegung der auszuwertenden Toleranzen muss einerseits das sichere Ansprechen bei sicherheitsrelevanten Fehlfunktionen garantiert werden. Andererseits wird so aber auch die Verfügbarkeit der Anlage und der Realisierungsaufwand der Bewertungsbaugruppe 5 abgesteckt. Die hinsichtlich ihrer Toleranzen zu bewerteten Kenngrößen des Signals sind:

  • 1. Die zeitlich gemittelte Häufigkeit eines Flankenwechsels zur Einschätzung des Basistaktes wird bewertet.
  • 2. Die Kanalsynchronität und die Kanalinvertierung werden durch die zeitlich gemittelten anteiligen Ungleichlaufzeiten eingeschätzt.
  • 3. Die sicherheitsrelevante Größe wird auf die Einhaltung eines Toleranzfensters getestet. Die minimale und maximale Pulslänge ist festgelegt.
By defining the tolerances to be evaluated, on the one hand the safe response to safety-related malfunctions must be guaranteed. On the other hand, this also means the availability of the system and the implementation effort of the evaluation module 5 staked. The parameters of the signal to be evaluated with regard to their tolerances are:
  • 1. The time-averaged frequency of an edge change to estimate the base clock is evaluated.
  • 2. The channel synchronism and the channel inversion are estimated by the time-averaged proportional non-uniform delay times.
  • 3. The safety-relevant variable is tested for compliance with a tolerance window. The minimum and maximum pulse length is fixed.

Alle Kenngrößen werden für jeden Kanal unabhängig ermittelt. Mit Ausnahme der zweiten Kenngröße beziehen sie sich auch nur auf das Signal des entsprechenden Kanals.All Characteristics are for each Channel independent determined. With the exception of the second parameter they relate only to the signal of the corresponding channel.

Die Einhaltung der ersten Kenngröße, nämlich Basistaktplausibilität, dient als Argumentationsgrundlage, um die anderen relativ gebildeten Werte taktunabhängig zu betrachten. Bei der Festlegung der entsprechend einzuhaltenden Toleranzen muss aber die Basistakttoleranz mit berücksichtigt werden. Wie bereits ausgeführt, kann diese Toleranz bei prozessorbasierten Lösungen nahezu beliebig genau festgelegt werden.The Compliance with the first parameter, namely basic clock plausibility, is used as a basis for argumentation, in order to make the other relatively educated values independent of the clock consider. When determining the tolerances to be complied with However, the basic cycle tolerance must be taken into account. As already executed This tolerance can be set almost arbitrarily with processor-based solutions become.

Folgende Fehler werden somit sicher erkannt bzw. für einen parametrierbaren Zeitraum toleriert.

  • 1. Fehlfunktionen der PWM erzeugenden Elektronik oder des Messfühlers 7 bzw. Aktors 1 a. in einem der beiden Kanäle relativ zum fehlerfreien Redundanzkanal, b. in beiden Kanälen, sofern dabei der Basistakt, die Kanalkonsistenz oder die Pulslänge selbst die parametrierten Toleranzen über- oder unterschreitet.
  • 2. mechanische Fehler bei der Übertragung: a. Unterbrechung in der Übertragung eines oder beider Kanäle, b. Vertauschen der Kanäle über Zusatzfunktion wie Pulsweiten- oder Takteinschätzung, c. Kurzschluss der Kanäle, d. Schluss mit Masse oder anderen Potentialen
  • 3. Störeinstreuungen bei der Übertragung: a. singuläre Störereignisse, z. B. Blitzeinwirkung, mit parametrierbarer Toleranz/Offenbarung, b. permanente Einkopplung – kapazitiv, induktiv – von Wechselspannung
The following errors are thus sure he knows or tolerates for a parameterizable period.
  • 1. Malfunctions of the PWM generating electronics or the sensor 7 or actor 1 a. in one of the two channels relative to the error-free redundancy channel, b. in both channels, provided that the basic clock, the channel consistency or the pulse length itself exceeds or falls below the parameterized tolerances.
  • 2. mechanical errors during transmission: a. Interruption in the transmission of one or both channels, b. Swap the channels with additional functions such as pulse width or clock estimation, c. Short circuit of the channels, d. End with mass or other potentials
  • 3. Interference in transmission: a. singular disturbance events, e.g. B. lightning, with programmable tolerance / disclosure, b. permanent coupling - capacitive, inductive - of alternating voltage

Der Punkt 3.b soll im Folgenden detaillierter behandelt werden. Durch die per Kanalinvertierung gleiche Phasenlage bei stabilem Basistakt kann eine unerkannte Störeinwirkung infolge einer eingekoppelten Wechselspannung praktisch ausgeschlossen werden. Der Basistakt kann darüber hinaus so gewählt werden, dass die verwendete Frequenz mit keiner anderen bahntechnischen Nutzfrequenz oder bekannten Störfrequenz zusammenfällt.Of the Point 3.b will be discussed in more detail below. By the same phase position by channel inversion with stable base clock can cause an unrecognized disturbance be practically excluded due to a coupled AC voltage. The base clock can over it so chosen out be that the frequency used with no other railway technology Usable frequency or known interference frequency coincides.

5 beschreibt eine Bewertungsschaltung für Kanal 1 einer zweikanaligen Baugruppe zur sicheren Bewertung 5. Kanal 2 wird durch eine identische Schaltung bewertet, wobei lediglich die Begriffe Kanal 1 und Kanal 2 zu tauschen sind. Das zu bewertende Signal von Kanal 1 wird über ein Verzögerungs glied 9 und einen Flankendetektor 10 einer Flankenhäufigkeitsbewertung 11 zugeführt. Ein Kanalvergleicher 12 verarbeitet die Signale von Kanal 1 und Kanal 2. Ein daraus resultierender Gleichlaufstatus, der die Synchronitätsgüte der beiden Kanäle repräsentiert, beaufschlagt eine Fehlerzustandsbewertung 13. Die Fehlerzustandsbewertung 13 und die Flankenhäufigkeitsbewertung 11 sind mit einer Fehlerverknüpfung 14 zur Angabe eines Gesamtfehlerstatus verbunden. 5 describes an evaluation circuit for channel 1 of a two-channel module for secure evaluation 5 , Channel 2 is evaluated by an identical circuit, with only the terms channel 1 and channel 2 to be exchanged. The signal to be evaluated from channel 1 is a delay member 9 and an edge detector 10 a flank frequency rating 11 fed. A channel comparator 12 processes the signals from channel 1 and channel 2. A resulting synchronization status, which represents the synchronicity quality of the two channels, causes an error state evaluation 13 , The error condition evaluation 13 and the edge frequency rating 11 are with an error link 14 associated with a total error status.

Anhand zweier Beispielschaltungen, die in den 6 und 7 dargestellt sind, welche jeweils nur einen der beiden Bewertungskanäle zeigen, werden nachfolgend die Gemeinsamkeiten der Aktor- und Messfühler-Bewertung und mögliche Unterschiede erläutert.Based on two example circuits that are in the 6 and 7 are shown, which each show only one of the two evaluation channels, the common features of the actuator and sensor evaluation and possible differences are explained below.

Die Beispielschaltung zur Aktor-Bewertung 6 – enthält auf der Grundlage noch verfügbarer Schaltkreisressourcen eine Erweiterung zur Einschätzung einer ausgegebenen Leuchtdauer. Das Bewertungsresultat kann daraufhin mit der Vorgabe für den Betriebszustand des Lichtpunktes verglichen und zur Funktionsbewegung des Gesamtsystems genutzt werden. Dies ist besonders dann sinnvoll, wenn sich die Bewertungsschaltung 5 in unmittelbarer Nähe der Signalansteuerung befindet und Leitungsstörungen auf diese Weise vollständig aufgedeckt werden können.The example circuit for actuator evaluation 6 Contains an extension for estimating an output light duration based on circuit resources still available. The evaluation result can then be compared with the specification for the operating state of the light spot and used for functional movement of the entire system. This is especially useful if the evaluation circuit 5 located in the immediate vicinity of the signal control and line interference can be completely revealed in this way.

Für die Beispielschaltung der Bewertung 5 von μC- bzw. DSP-Ausgaben in Messfühlersystemen 7 – wird dagegen der gemäß 3 oder 4 erzeugte PWM-Takt von der Information hinsichtlich der sicherheitsrelevanten Größe befreit, um eine informationstechnisch korrekte Kanaltrennung zu gewährleisten. Das zurückgegebene, invertierte Taktsignal besitzt bei dem kompakten Schaltungsbeispiel die zur Flankenhäufigkeitsbewertung 11 genutzte feste Pulslänge. Diese Pulslänge wird nur unterschritten, wenn die vorgegebene Minimalpulslänge unterschritten wird. In einem solchen Fall spricht die Bewertungsschaltung 5 in diesem Kanal mit parametrierbarer Toleranz an. Der Fehler kann aber unabhängig davon auch durch den jeweils anderen Kanal erkannt und durch Ungültigschalten seines PWM-Signals, z. B. statischer Low- und High-Zustand, über den anderen Kanal der Bewertungsschaltung 5 weitergegeben werden. So ist wahlweise die sichere Realisierung noch engerer Toleranzen für die minimale Pulslänge möglich.For the example circuit of the rating 5 of μC or DSP outputs in sensor systems 7 - On the other hand, according to 3 or 4 generated PWM clock freed from the information regarding the safety-relevant size to ensure an information technology correct channel separation. The returned inverted clock signal has the edge frequency evaluation in the compact circuit example 11 used fixed pulse length. This pulse length is only undershot, if the predetermined minimum pulse length is exceeded. In such a case, the evaluation circuit speaks 5 in this channel with parameterizable tolerance. The error can, however, independently detected by the other channel and by invalidating its PWM signal, z. Static low and high state, via the other channel of the evaluation circuit 5 be passed on. Thus, the safe realization of even tighter tolerances for the minimum pulse length is optionally possible.

Anhand des gemeinsamen Schaltungsteiles der 6 und 7 wird nun das zeitliche Verhalten der wichtigsten Signale in verschiedenen Betriebszuständen erläutert. Dabei dienen eine Versorgungsspannung von 5 V und eine zustandsunabhängige Schaltschwelle der Schmitt-Trigger-Eingänge von 2,5 V als Simulationsgrundlage. Das Verhalten ist in gleicher Weise auch für andere Spannungspegel, z. B. 3,3 V, und mit Hysteresen parametrierbar. Die meisten digitalen oder statischen Funktionen sind aufgrund der verwendeten Einfachgatter aus den Schaltungen der 6 und 7 nachvollziehbar. Die folgende Beschreibung konzentriert sich deswegen auf die dynamischen analogen Pegel der Flankenhäufigkeitsbewertung 11 und der Fehlerzustandsbewertung 13. Die oben aufgezählten zu überprüfenden Signaleigenschaften sind schon bei dieser einfachen Schaltung weitgehend unabhängig voneinander parametrierbar.Based on the common circuit part of 6 and 7 Now the temporal behavior of the most important signals in different operating states will be explained. A supply voltage of 5 V and a state-independent switching threshold of the Schmitt trigger inputs of 2.5 V serve as a simulation basis. The behavior is the same for other voltage levels, z. B. 3.3 V, and parameterized with hysteresis. Most digital or static functions are due to the use of the simple gates of the circuits of 6 and 7 comprehensibly. The following description therefore focuses on the dynamic analog levels of the edge frequency rating 11 and the error condition evaluation 13 , The above enumerated signal properties to be checked are largely parameterized independently of each other even with this simple circuit.

Zuerst wird die Einschätzung des Signals eines Kanals hinsichtlich seines erwarteten zeitlichen Verhaltens beschrieben.First will the assessment the signal of a channel with respect to its expected temporal behavior described.

In 8 ist die Funktionsweise der Flankenhäufigkeitsbewertung 11 dargestellt. Diese Bewertung 11 wird dabei durch einen analogen Spannungspegel ausgedrückt, welcher bei aus reichender Häufigkeit die Schaltschwelle des auswertenden Schmitt-Trigger-Eingangs dauerhaft überschreitet.In 8th is the operation of the edge frequency evaluation 11 shown. This review 11 is expressed by an analog voltage level, which in reaching out of Häu permanently exceeds the switching threshold of the evaluating Schmitt trigger input.

9 zeigt die zeitlich höher aufgelöste Reaktion dieses Signals auf einen einzigen Puls des PWM-Signals, welcher zwei Flankenpulse fester Länge auslöst. Die zeitliche Länge des Flankenpulses ist über das vorgelagerte Verzögerungsglied 9 einstellbar. Durch Parametrierung der Widerstands- und Kondensatorwerte ist die Flankenhäufigkeitsbewertung 11 in einem größeren Bereich an eine variierende Flankenpulslänge anpassungsfähig. So kann die Pulslänge zur Festlegung des akzeptierten Minimalwertes sowohl für den PWM-Puls als auch für die Austastzeit genutzt werden. Wird dieser Minimalwert unterschritten, laufen die Flankenpulse ineinander und der Spannungspegel verringert sich mit der Kondensatoraufladezeit, wodurch die Schaltschwelle für eine positive Bewertung nicht mehr erreichbar ist. 9 shows the higher-temporal response of this signal to a single pulse of the PWM signal, which triggers two edge pulses of fixed length. The temporal length of the edge pulse is via the upstream delay element 9 adjustable. By parameterizing the resistance and capacitor values, the edge frequency evaluation is 11 adaptable over a wide range to a varying edge pulse length. Thus, the pulse length for determining the accepted minimum value can be used both for the PWM pulse and for the blanking time. If this minimum value is undershot, the edge pulses run into each other and the voltage level decreases with the capacitor charging time, whereby the switching threshold for a positive rating is no longer achievable.

Deutlich stellt 9 die jeweils stark pegelanhebende Wirkung des Pulses der steigenden und fallenden Flanke dar, während der Kondensator in der restlichen Zeit langsam entladen wird. Der Spannungspegel dieser einfachen Flankenhäufigkeitsbewertung 11 zeigt nur eine geringe Abhängigkeit zweiter Ordnung von der Pulslänge des PWM-Signals. Für eine korrekte Dimensionierung sollte trotzdem ein PWM-Puls minimaler zeitlicher Länge, d. h. doppelt so lang wie ein Flankenpuls, gewählt werden, da dieser die schlechteste Bewertung, d. h. das niedrigste Spannugsminimum bei gleicher Zykluszeit, erfährt.Clearly states 9 the respectively strong level-lifting effect of the pulse of the rising and falling edge, while the capacitor is slowly discharged in the remaining time. The voltage level of this simple edge frequency rating 11 shows only a low second order dependence on the pulse width of the PWM signal. Nevertheless, for a correct dimensioning, a PWM pulse of minimum time length, ie twice as long as an edge pulse, should be selected, since this experiences the worst rating, ie the lowest minimum voltage at the same cycle time.

Prinzipiell ist auch eine maximale Häufigkeitsschranke für die PWM-Flanken mit den noch verfügbaren Ressourcen der Schaltkreise durch die Ausführung von R8 in 6 als Spannungsteiler und die logische Bewertung des entstehenden Sig nals möglich. Die so erkennbaren Fehler offenbaren sich bei den meisten Parametrierungen aber auch an anderen Stellen zuverlässig, so dass in diesem universellen Beispiel darauf verzichtet wird.In principle, there is also a maximum frequency limit for the PWM edges with the remaining available resources of the circuits by the execution of R8 in 6 as a voltage divider and the logical evaluation of the resulting Sig nals possible. The errors that can be identified in this way are reliably revealed in most parameterizations but also elsewhere, so that this is not necessary in this universal example.

Die zweite zu überwachende Gruppe von Signaleigenschaften, nämlich die Fehlerzustandsbewertung 13, ergibt sich aus der Einschätzung des Signals eines Kanals, hier Kanal 1, gegenüber dem zeitlichen Verhalten des anderen Kanals, hier Kanal 2. Um eine Reihe von Fehlerquellen bei der Generierung und Übertragung der beiden Kanäle auszuschließen, ist Kanal 2 gegenüber Kanal 1 logisch invertiert.The second group of signal properties to be monitored, namely the error state evaluation 13 , results from the estimation of the signal of one channel, here channel 1, compared to the temporal behavior of the other channel, here channel 2. In order to exclude a number of error sources in the generation and transmission of the two channels, channel 2 is logically inverted compared to channel 1 ,

Ähnlich wie bei der Bewertung der Flankenhäufigkeit 11 wird hier die Dauer der Signalabweichungen der Kanäle untereinander und mit Beachtung der Invertierung über einen Kondensator aufintegriert, wobei Lade- und Entladestrom getrennt über Widerstände parametrierbar sind. Die Bedeutung der Ladespannung ist mit einem niedrigen Pegel für zulässige und einem hohen Pegel für unzulässige Zustände gegenüber der Flankenhäufigkeitsbewertung 11 ebenfalls invertiert.Similar to the evaluation of the flank frequency 11 Here, the duration of the signal deviations of the channels with each other and with respect to the inversion via a capacitor is integrated, wherein charging and discharging can be parameterized separately via resistors. The meaning of the charging voltage is with a low level for permissible and a high level for impermissible states compared to the edge frequency evaluation 11 also inverted.

10 zeigt das Pegelverhalten bei einer als tolerierbar parametrierten Synchronitätsgüte, d. h. Gleichlaufschwankung. Es ist ersichtlich, dass eine Gleichlaufschwankung von 1 ms dauerhaft toleriert wird. 10 shows the level behavior with a synchronicity parameterised as tolerable, ie synchronization fluctuation. It can be seen that a synchronization fluctuation of 1 ms is permanently tolerated.

In 11 wird dagegen der sukzessive Pegelanstieg bei Überschreitung der Toleranz dargestellt. Eine Gleichlaufschwankung von 5 ms führt beim 4. Mal zum selbsthaltenden Fehlersignal. Erreicht der Pegel die Schaltschwelle des nachfolgenden Schitt-Trigger-Einganges der Fehlerverknüpfung 14, so kippt der ausgegebene Status auf Fehler. Nun wird die Rückführung – 15 in 5 – wirksam und der Ladepegel geht in die Sättigung und verweilt dort unabhängig vom weiteren Signalverhalten. Sollte dieses im Allgemeinen für eine sicherheitsrelevante Schaltung erforderliche Verhalten in einer speziellen Applikation unerwünscht sein, so genügt es, die Rückführung wegzulassen.In 11 on the other hand, the successive level increase is shown when the tolerance is exceeded. A synchronization fluctuation of 5 ms leads to the self-holding error signal on the 4th time. If the level reaches the switching threshold of the subsequent Schitt trigger input of the error link 14 , the output status flips to error. Now the return - 15 in 5 - effective and the charge level goes into saturation and stays there independent of the further signal behavior. Should this behavior, which is generally required for a safety-relevant circuit, be undesirable in a specific application, then it is sufficient to omit the feedback.

Die Pulslänge des Signals repräsentiert den Wert der sicherheitsrelevanten Größe. Die Abweichung der Kanäle voneinander wird durch die dargestellte Schaltung unabhängig von der Pulslänge selbst bewertet. Somit besteht die Möglichkeit, die zulässige Toleranz nach dem zu erwartenden Maximalwert der Schwankungsbreite im regulären Betrieb über den gesamten Wertebereich der zu überwachenden Größe auszulegen. Besitzt die Größe allerdings keine annähernd gleich bleibende absolute Schwankungsbreite, sondern etwa einen dominanten relativen Abweichungsanteil, so genügt diese Vorgehensweise zur Abweichungseinschätzung in der Regel nicht. Es sind in diesen Fällen Maßnahmen notwendig, die auf eine Transformation der relevanten Größe x in eine Form mit näherungsweise konstantem absolutem Abweichungsverhalten hinauslaufen. Diese Transformation kann durch eine allgemeine funktionale Abhängigkeit g(x) folgendermaßen definiert werden.
gegeben:

x
Wahrer Wert der relevanten Größe – ohne Abweichung
Δx
Abweichung der relevanten Größe
gesucht: g(x) für g(x + Δx(x)) – g(x) = const The pulse length of the signal represents the value of the safety-relevant variable. The deviation of the channels from each other is evaluated by the circuit shown independently of the pulse length itself. Thus, it is possible to design the permissible tolerance according to the expected maximum value of the fluctuation range in regular operation over the entire value range of the quantity to be monitored. However, if the size does not have an approximately constant absolute fluctuation range, but rather a dominant relative deviation component, then this procedure for estimating deviations is generally insufficient. In these cases, measures are necessary which result in a transformation of the relevant quantity x into a form with approximately constant absolute deviation behavior. This transformation can be defined by a general functional dependence g (x) as follows.
where:
x
True value of relevant size - without deviation
Ax
Deviation of the relevant size
searched: g (x) for g (x + Δx (x)) - g (x) = const

Der wahre Wert einer Messgröße ist zwar im Allgemeinen unbekannt, dient hier allerdings nur zur analytischen Formulierung des Konstanzkriteriums. In weiterführenden Betrachtungen kann dann zu einer funktionsanalytischen Beschreibung des statistischen Abweichungsverhaltnes übergegangen werden, welche mit den Standardmitteln der Messtechnik handhabbar ist. Für die Umsetzung eines funktionalen Zusammenhanges existieren sowohl in der Analog- als auch in der Digitalrechentechnik mehrere Realisierungsmnöglichkeiten.Although the true value of a measurand is generally unknown, it serves only as an analytical formulation of the constancy criterion. In further considerations can then to egg a function-analytical description of the statistical deviation behavior that can be handled using the standard means of metrology. For the implementation of a functional relationship, there are several implementation possibilities in both analog and digital computing.

Mit dem Abschalten oder Verstimmen der Taktbasis ist die Rückkehr des Systems in eine sichere Fehleroffenbarung von einer beliebigen Verarbeitungsebene aus einfach realisierbar.With the deactivation or detuning of the clock base is the return of Systems in a secure error disclosure from any level of processing made easy.

Die beschriebene Bewertungshardware für Mess- oder Prozessgrößen ist universell in Hinblick auf verschiedene sicherheitsrelevante Anwendungen mit stell- oder messtechnischen Aufgaben einsetzbar und parametrierbar. Der Sicherheitsnachweis muss entsprechend nur einmal in vollem Umfang geführt werden.The described evaluation hardware for measurement or process variables universal with regard to various safety-relevant applications Setting or metrological tasks can be used and parameterized. The proof of safety must accordingly only once in full be guided.

Besondere Bedeutung erlangt dieser Umstand beim Einsatz von Mikrokontroller-/DSP-SOCs, deren Timer- oder PWM-Standardausgang die Bewertungsschaltung 5 direkt ansteuern kann. Zusammen mit der Standardprogrammierschnittstelle – Programmiersprache C – und weiteren darauf abgestimmten modularen Systemkomponenten, wie Spannungsversorgung, Potentialtrennung u. s. w., ist eine sichere eingebettete Datenverarbeitungsplattform ohne konkrete Bindung an einen Prozessortyp möglich. Diese besitzt dann alle Vorteile moderner SOCs, insbesondere integrierte Peripherie, auslesegeschützte Programme, günstiger Preis, einfaches Layout, kaum Designfehlermöglichkeiten, geringe Leistungsaufnahme, kurze Entwicklungszeiten, geringe Ausfallrate, einfache Qualitätskontrolle, einfache Portierbarkeit und mächtige betriebsbewährte Entwicklungswerkzeuge.This circumstance acquires special significance when using microcontroller / DSP SOCs, their timer or PWM standard output, the evaluation circuit 5 can drive directly. Together with the standard programming interface - programming language C - and other compatible modular system components, such as voltage supply, potential separation, etc., a secure embedded data processing platform without concrete link to a processor type is possible. It then has all the benefits of modern SOCs, especially integrated peripherals, read-only programs, affordable price, simple layout, minimal design flaws, low power consumption, short development times, low failure rates, easy quality control, easy portability and powerful, proven development tools.

Aber auch Anwendungen ohne Prozessoren können von der hohen Störfestigkeit bei gleichzeitig weit reichender Fehleroffenbarung profitieren.But Even applications without processors can benefit from the high immunity to interference benefit from far-reaching error disclosure.

Das vorgestellte Schaltungsbeispiel ist mit preisgünstigen Standardschaltkreisen bei geringer Stromaufnahme aus einer einzigen Spannungsversorgung realisierbar.The presented circuit example is with inexpensive standard circuits with low power consumption from a single power supply realizable.

Claims (8)

Verfahren zur mehrkanaligen Fehlerbewertung von Mess- oder Prozessgrößen, dadurch gekennzeichnet, dass die Mess- oder Prozessgrößen als pulsweitenmodulierte – PWM – Signale dargestellt werden, wobei die Pulslänge ein Maß für die Mess- oder Prozessgröße ist und die Pulslänge sowie die Pulsflanken bei synchronem Basistakt des PWM-Signals hinsichtlich fehlerrelevanter Parameter bewertet werden.Method for multi-channel fault assessment of measurement or process variables, characterized in that the measurement or process variables are represented as pulse width modulated - PWM signals, wherein the pulse length is a measure of the measurement or process size and the pulse length and the pulse edges at synchronous base clock of PWM signal regarding error-relevant parameters are evaluated. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass als fehlerrelevante Parameter Pulslänge und Flankenhäufigkeit mit vorgegebenen minimalen und/oder maximalen Schwellwerten verglichen werden.Method according to claim 1, characterized in that that as pulse-relevant parameters pulse length and edge frequency compared with predetermined minimum and / or maximum thresholds become. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass eine pulsweitenmodulierte Prozessgröße am Ausgang eines Aktors (1) zweitkanalig bewertet wird.Method according to one of the preceding claims, characterized in that a pulse-width-modulated process variable at the output of an actuator ( 1 ) is rated second channel. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass eine pulsweitenmodulierte Messgröße am Ausgang redundanter Messschaltungen (1) zweikanalig bewertet wird.Method according to one of the preceding claims, characterized in that a pulse-width-modulated measured variable at the output of redundant measuring circuits ( 1 ) is evaluated on two channels. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass an Pulsweitenmodulatorausgängen redundanter Mikrokontroller oder anderer eingebetteter Prozessoren (6a und 6b) mit synchronem Basistakt anstehende Mess- oder Prozessgrößen zweikanalig bewertet werden.Method according to one of the preceding claims, characterized in that pulse width modulator outputs of redundant microcontrollers or other embedded processors ( 6a and 6b ) with synchronous basic clock pending measurement or process variables are two-channel evaluated. Verfahren nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass der synchrone Basistakt als Puls konstanter Länge erzeugt und dem jeweils anderen Kanal (4a, 4b) mittels Master-Slave-Verfahren oder Peer-to-Peer-Verfahren zur Verfügung gestellt wird.Method according to one of the preceding claims, characterized in that the synchronous base clock generated as a pulse of constant length and the other channel ( 4a . 4b ) is provided by means of master-slave method or peer-to-peer method. Schaltung zur mehrkanaligen Fehlerbewertung von Mess- oder Prozessgrößen nach einem der vorangehenden Ansprüchen, dadurch gekennzeichnet, dass die Mess- und Prozessgrößen der Fehlerbewertung als pulsweitenmodulierte – PWM Signale zugeführt sind, deren Pulslänge ein Maß für die Mess- oder Prozessgröße ist und deren Pulslänge und Pulsflanken in einer Bewertungsschaltung hinsichtlich fehlerrelevanter Parameter bewertet werden.Circuit for multi-channel fault assessment of measurement or process variables one of the preceding claims, characterized in that the measurement and process variables of the Error evaluation as pulse width modulated - PWM signals are supplied, their pulse length a measure of the measuring or process size is and whose pulse length and Pulse edges in an evaluation circuit with regard to error-relevant Parameters are evaluated. Schaltung nach Anspruch 7, dadurch gekennzeichnet, dass die Bewertungsschaltung für jeden Fehlerbewertungskanal (Kanal 1, Kanal 2) eine Flankenhäufigkeitsbewertung (11) und für die Fehlerbewertungskanäle (Kanal 1 und Kanal 2) eine von einem Kanalvergleicher (12) beaufschlagte Fehlerzustandsbewertung (13) aufweist, wobei die Flankenhäufigkeitsbewertung (11) und die Fehlerzustandsbewertung (13) mit einer Fehlerverknüpfung (14) zur Ausgabe eines Gesamtfehlerstatus verbunden sind.Circuit according to Claim 7, characterized in that the evaluation circuit for each error evaluation channel (channel 1, channel 2) has an edge frequency evaluation ( 11 ) and for the error evaluation channels (channel 1 and channel 2) one from a channel comparator ( 12 ) fault condition evaluation ( 13 ), wherein the edge frequency evaluation ( 11 ) and the error condition evaluation ( 13 ) with an error link ( 14 ) are connected to output a total error status.
DE200710030589 2007-06-27 2007-06-27 Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock Ceased DE102007030589A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200710030589 DE102007030589A1 (en) 2007-06-27 2007-06-27 Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200710030589 DE102007030589A1 (en) 2007-06-27 2007-06-27 Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock

Publications (1)

Publication Number Publication Date
DE102007030589A1 true DE102007030589A1 (en) 2009-01-02

Family

ID=40076067

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200710030589 Ceased DE102007030589A1 (en) 2007-06-27 2007-06-27 Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock

Country Status (1)

Country Link
DE (1) DE102007030589A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014138767A1 (en) * 2013-03-14 2014-09-18 Fts Computertechnik Gmbh Method for handling faults in a central control device, and control device
DE102013209309A1 (en) 2013-05-21 2014-11-27 Zf Friedrichshafen Ag Method and circuit for evaluating pulse width modulated signals
DE102013016547A1 (en) * 2013-10-04 2015-04-09 Brose Fahrzeugteile Gmbh & Co. Kommanditgesellschaft, Hallstadt Collision protection device for a movable vehicle part

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19840944B4 (en) * 1998-09-08 2004-10-21 Continental Teves Ag & Co. Ohg Safety-relevant system, in particular electromechanical braking system
DE4332107B4 (en) * 1992-09-29 2007-03-01 Volkswagen Ag Device with a sensor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4332107B4 (en) * 1992-09-29 2007-03-01 Volkswagen Ag Device with a sensor
DE19840944B4 (en) * 1998-09-08 2004-10-21 Continental Teves Ag & Co. Ohg Safety-relevant system, in particular electromechanical braking system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014138767A1 (en) * 2013-03-14 2014-09-18 Fts Computertechnik Gmbh Method for handling faults in a central control device, and control device
AT515454A3 (en) * 2013-03-14 2018-07-15 Fts Computertechnik Gmbh Method for handling errors in a central control unit and control unit
DE102013209309A1 (en) 2013-05-21 2014-11-27 Zf Friedrichshafen Ag Method and circuit for evaluating pulse width modulated signals
US9638732B2 (en) 2013-05-21 2017-05-02 Zf Friedrichshafen Ag Method and circuit for assessing pulse-width-modulated signals
DE102013016547A1 (en) * 2013-10-04 2015-04-09 Brose Fahrzeugteile Gmbh & Co. Kommanditgesellschaft, Hallstadt Collision protection device for a movable vehicle part

Similar Documents

Publication Publication Date Title
DE102009061036B4 (en) Residue generation apparatus and method for detecting erroneous transients, drifts or oscillations in the system behavior of a system of an aircraft, and aircraft
DE102005055428B4 (en) Bus module for connection to a bus system and use of such a bus module in an AS-i bus system
DE102013112488A1 (en) Safety controller with configurable inputs
DE102018124351A1 (en) REAL TIME LEVEL CONTROL DEVICE FOR A VOLTAGE REGULATOR AND METHOD FOR OPERATING THIS DEVICE
DE102011015444A1 (en) Nethod and apperatus for operational-level functional and degradation fault analysis
EP2989548B1 (en) Monitoring of redundant components
DE10035174A1 (en) Peripheral unit with high error protection for memory programmable controllers has data processing block for testing identical channels without interrupting data flow
DE102008057474B4 (en) transmitters
EP3745217B1 (en) Device for monitoring the data processing and data transmission in a safety system
DE102007030589A1 (en) Multi-channel error evaluating method for measuring or processing variables, involves representing measuring/process variables as pulse-width-modulated signals, where pulse length and pulse flanks are evaluated with synchronous basis clock
DE2651314C2 (en) Safety output circuit for a data processing system that emits binary signals
EP3738044A1 (en) Voltage diagnostic circuit
EP0328093A2 (en) Gray code converter giving a fault signal
EP2080031B1 (en) Method for monitoring whether the switching threshold of a switching sensor lies within a predefined tolerance region
EP0907919B1 (en) Arrangement for operating two functionally parallel processors
EP0660043A1 (en) Control device for controlling switching devices according to a time programme
EP0248269A2 (en) Method of simulating a disruption fault in a logic FET circuit, and arrangments for carrying out said method
EP1025501A1 (en) Method and device for checking an error control procedure of a circuit
EP1282859B1 (en) Peripheral component with high error protection for memory programmable command apparatuses
DE3209718A1 (en) Functionally reliable control device
DE202010009357U1 (en) Connection of a safety device to a safety controller
EP2733718A2 (en) Method and device for evaluating signals from an OSSD output element
DE102011102417B4 (en) security sensor
EP3832453A1 (en) Method of performing a floating point calculation
EP3172684A1 (en) Method for determining system reliability of a logic circuit

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection