DE102012202606B3 - Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad - Google Patents

Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad Download PDF

Info

Publication number
DE102012202606B3
DE102012202606B3 DE201210202606 DE102012202606A DE102012202606B3 DE 102012202606 B3 DE102012202606 B3 DE 102012202606B3 DE 201210202606 DE201210202606 DE 201210202606 DE 102012202606 A DE102012202606 A DE 102012202606A DE 102012202606 B3 DE102012202606 B3 DE 102012202606B3
Authority
DE
Germany
Prior art keywords
logic
signal
circuit
test
circuit arrangement
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE201210202606
Other languages
English (en)
Inventor
Hans Schweizer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Healthcare GmbH
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE201210202606 priority Critical patent/DE102012202606B3/de
Application granted granted Critical
Publication of DE102012202606B3 publication Critical patent/DE102012202606B3/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/26Functional testing
    • G06F11/273Tester hardware, i.e. output processing circuits
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/007Fail-safe circuits
    • H03K19/0075Fail-safe circuits by using two redundant chains

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Tests Of Electronic Circuits (AREA)

Abstract

Die Erfindung betrifft eine Schaltungsanordnung, aufweisend: – einen zu überwachenden ersten Schalter (1) mit zwei Schaltausgängen, – einen ersten Signalpfad (D1) zur Übertragung der Schalterstellung zu einer Informationssenke (14), – einen zweiten Signalpfad (D2) zur redundanten Übertragung Schalterstellung, – eine UND-Logik (2), welche die zwei Schaltausgänge mit dem ersten Signalpfad (D1) und eine erste ODER-Logik (3), welche die zwei Schaltausgänge mit dem zweiten Signalpfad (D2) verbindet, – eine zweite ODER-Logik (4), – einen Testschaltkreis (10), und – eine Freigabelogik (11) in mindestens einem Signalpfad (D1) mit einer Rückleitung zwischen Freigabelogik (11) und einem Eingang an der zweiten ODER-Logik (4), wobei – der Testschaltkreis (10) mit einem Eingang mit dem Ausgang einer zweiten ODER-Logik (4) verbunden ist, mit einem ersten Ausgang mit einem Eingang der zweiten ODER-Logik (4) verbunden ist, und über einen zweiten Ausgang die Freigabelogik (11) in mindestens einem Signalpfad (D1) steuert.

Description

  • Die Erfindung betrifft eine Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem einfach redundanten Datenübertragungspfad zur Übertragung einer Schalterstellung zu einer Informationssenke.
  • In Stand der Technik ist es bekannt, dass eine Vielzahl von sicherheitskritischen Funktionen in Medizingeräten auftreten, die bei einem Fehler in der Signalkette zur Ansteuerung dieser Funktion zu einer Gefährdung des Patienten und/oder Bedienpersonals führen können. Je nach Verletzungspotential werden diese Funktionen in mehrere Sicherheitsklassen eingeteilt. So sind beispielsweise motorische Bewegungen und die Auslösung von Strahlung bei einem Röntgengerät oder einer Anlage zur Tumortherapie potentiell gefährliche Funktionen. Hierzu befassen sich einschlägige Normen, wie z. B. die IEC 60601-1 oder die IEC 61508, mit derartigen Themen und fordern die Redundanz aller Bestandteile einer Signalkette, die zur Ansteuerung derartiger Funktionen verwendet werden. Ein dabei oft verwendetes Prinzip ist die sogenannte „Erstfehlersicherheit” oder im Englischen „SFC – Single Fault Condition”. Dieses Prinzip besagt, dass die Sicherheit aufgrund eines beliebigen Fehlers, der mit einer bestimmten Wahrscheinlichkeit auftreten kann, in der Signalkette nicht negativ beeinflusst werden darf.
  • Ein Problem besteht dabei darin, dass gemäß IEC 60601-1:2007, Kapitel 4.7., ein Fehler nur dann als solcher gilt, wenn er auch erkennbar ist.
  • Das bedeutet, dass allein die redundante Ausführung einer Signalkette in vielen Fällen nicht ausreicht, um die Erstfehlersicherheit des Systems komplett sicherzustellen, da ein Defekt in einem Bauteil vielfach nicht erkennbar ist. Beispielsweise kann solch ein Defekt in einem Bruch einer Rückstellfeder eines doppelt ausgeführten Schalters bestehen. Weiterhin kann die redundante Signalkette aus zwei Signalpfaden aufgebaut sein, die auf einem Signalpfad ein Software-Signal mit einer in einem Datenstrom eincodierten Information bezüglich eines Schaltzustandes eines Schalters überträgt und auf dem anderen Signalpfad ein Hardware-Signal das den rein binären Zustand einer Schalterstellung weitergibt.
  • Vielfach wurde die Erstfehlersicherheit nicht komplett durchdacht und die Anforderungen des unter Kapitel 4.7. der 3. Edition der IEC60601-1 genannten Konzepts wurden nur unzureichend umgesetzt. So wurde zur Sicherheit teilweise nur ein redundanter Signalpfad eingesetzt, ohne wirklich alle Aspekte der potentiellen und wahrscheinlichen Fehlerquellen abzudecken. Alternativ wurden in sicherheitskritischen Systemen aufwändige Überwachungsschaltungen eingesetzt, die von außen die Integrität der Signale und aller nötigen Bauteile permanent überwachen. Solche Lösungen sind mit erheblichen Kosten verbunden und in vielen Produkten nicht wirtschaftlich sinnvoll einsetzbar.
  • Auf die Druckschriften DE 42 13 131 A1 und DE 38 11 147 A1 wird verwiesen.
  • Es ist daher Aufgabe der Erfindung, eine Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem einfach redundanten Datenübertragungspfad zur Übertragung einer Schalterstellung an eine Informationssenke zu finden, die mit möglichst geringem Hardware-Aufwand auskommt.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Weiterbildungen der Erfindung sind Gegenstand untergeordneter Ansprüche.
  • Der Erfinder hat erkannt, dass diese Erstfehlersicherheit durch eine einfache Modifikation eines einfach redundanten Datenübertragungsweges mit zwei parallel und verlaufenden Signalpfaden erreichbar ist, wenn eingangsseitig und ausgangsseitig zwischen den Signalpfaden eine ODER-Logik verknüpft wird, die mit ihrem Ausgang und einem Eingang wiederum mit einem Testschaltkreis verbunden ist.
  • Demgemäß schlägt der Erfinder eine Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem einfach redundanten Datenübertragungspfad zur Übertragung einer Schalterstellung zu einer Informationssenke, vor, welche die folgenden Merkmale aufweist:
    • – mindestens einen zu überwachenden ersten Schalter mit zwei parallelen Schaltausgängen,
    • – einen ersten Signalpfad zur Übertragung der Information der Stellung des Schalters, der mit einem ersten Schaltausgang des Schalters verbunden ist, zu der Informationssenke,
    • – einen zweiten Signalpfad zur redundanten Übertragung der Information des ersten Signalpfades, der mit einem zweiten Schaltausgang des Schalters verbunden ist, zu der Informationssenke,
    • – eine UND-Logik, welche die zwei Schaltausgänge einerseits mit dem ersten Signalpfad verbindet, und
    • – eine erste ODER-Logik, welche die zwei Schaltausgänge andererseits mit dem zweiten Signalpfad verbindet,
    • – eine zweite ODER-Logik,
    • – einen Testschaltkreis, und
    • – eine Freigabelogik in mindestens einem Signalpfad mit einer Rückleitung zwischen Freigabelogik und einem Eingang an der zweiten ODER-Logik, wobei
    • – der Testschaltkreis:
    • – mit einem Eingang mit dem Ausgang einer zweiten ODER-Logik verbunden ist,
    • – mit einem ersten Ausgang mit einem Eingang der zweiten ODER-Logik verbunden ist, und
    • – über einen zweiten Ausgang die Freigabelogik in mindestens einem Signalpfad steuert.
  • Gemäß einer vorteilhaften Ausgestaltung dieser Schaltungsanordnung wird weiterhin vorgeschlagen, den Testschaltkreis derart zu konfigurieren, dass bei Inbetriebnahme der Schaltungsanordnung die folgenden Schritte ausführt werden:
    • – sperren der Durchleitung der Signalpfade vor der Informationssenke,
    • – senden eines Testsignals an die zweite ODER-Logik,
    • – überprüfen des Durchganges des Testsignals durch die ODER-Logik am Testeingang des Testschaltkreises und Aussenden einer Fehlermeldung, falls das Testsignal nicht eingeht,
    • – aussenden eines zweiten Testsignals über die Rückleitung der mindestens einen Freigabelogik an den Eingang der ODER-Logik,
    • – überprüfen des Eingangs des zweiten Testsignals am Eingang des Testschaltkreises und Aussenden einer Fehlermeldung, falls das Testsignals nicht eingeht,
    • – freigeben der Signalpfade, wenn beide Überprüfungen positiv ausfallen.
  • Vorteilhaft ist es weiterhin, wenn bei einer solchen Schaltungsanordnung der erste Signalpfad zur Übertragung eines einfachen binären Schaltsignals entsprechend der Schalterstellung des Schalters konfiguriert ist. Es soll also der erste Signalpfad als Hardware-Pfad ausgestaltet sein, der die Schalterstellung unmittelbar an die Informationssenke weitergibt.
  • In einer einfachen Variante der Schaltungsanordnung kann auch der zweite Signalpfad ebenfalls zur Übertragung eines einfachen binären Schaltsignals entsprechend der Schalterstellung des Schalters konfiguriert sein, also ebenfalls als Hardware-Pfad ausgestaltet sein. Hierbei sollte dann der zweite Signalpfad ebenfalls eine Freigabelogik mit Rückleitung zur zweiten ODER-Logik aufweisen.
  • In einer anspruchvolleren Variante der Schaltungsanordnung werden die beiden Signalpfade unterschiedlich ausgestaltet, so dass der zweite Signalpfad derart konfiguriert ist, dass durch ihn eine Ausgabe der Schalterstellung des Schalters durch einen zyklisch gesendeten Binärcode erfolgt. Hierbei wird vorzugsweise bei dem zyklisch gesendeten Binärcode ein Ethernet-Protokoll verwendet. Es wird allerdings darauf hingewiesen, dass auch andere allgemein bekannte Protokolle, wie beispielsweise ein CAN-Bus, Profinet, ARCNET oder FlexRay, verwendet werden können.
  • Bei der Verwendung solcher Netzwerkprotokolle kann zur Umsetzung der Schalterstellung des Schalters auf den Binärcode ein Signalumsetzer im zweiten Signalpfad angeordnet werden.
  • Wird die erfindungsgemäße Schaltungsanordnung nicht nur zur Übertragung des Schaltzustandes eines einzigen Schalters sondern für mehrere Schalter verwendet, so wird vorgeschlagen, dass n > 1 Schalter mit n ersten Signalpfaden und eine dritte ODER-Logik im ersten Signalpfad mit je einem Eingang für jeden der n Schalter angeordnet sind. Im Ergebnis ist dann auf dem binären HW-Pfad ein gemeinsames Summensignal für mehrere Schalter für eine Auslösung einer sicherheitskritischen Funktion. Hierdurch können entsprechend Kosten gegenüber einer einfachen Vervielfachung des Systems eingespart werden. Auf dem zweiten Signalpfad kann dann codiert übertragen werden, wohin sich z. B. ein Motor drehen soll. Im ersten Pfad ist dabei nur hinterlegt, dass eine Bewegungsfreigabe erfolgen soll.
  • Weiterhin kann die UND-Logik als einfaches UND-Gatter ausgestaltet sein oder sie wird durch Software in einem programmierbaren Schaltkreis nachgebildet.
  • Ebenso kann zumindest eine der ODER-Logiken als ODER-Gatter ausgebildet werden oder zumindest eine der ODER-Logiken durch Software in einem programmierbaren Schaltkreis nachgebildet werden.
  • Kostengünstig ist es auch, wenn der Testschaltkreis durch Software in einem programmierbaren Schaltkreis nachgebildet ist.
  • Soll die gesamte Schaltungsanordnung möglichst kompakt mit wenigen Bausteinen errichtet werden, so können alle Schaltkreise zwischen dem Schalter und der Informationssenke in einem einzigen programmierbaren Schaltkreis nachgebildet werden.
  • Bei besonders hohen Sicherheitsanforderungen, kann es jedoch auch vorteilhaft sein die ODER-Logik, den Testschaltkreis, und die mindestens eine Freigabe-Logik in einem separaten, insbesondere programmierbaren, Schaltkreis zu verwirklichen.
  • Die hier vorgestellten Schaltungsanordnungen haben den Vorteil eine vollständige Erstfehlersicherheit der Auslöseschaltung für sicherheitskritische Funktionen in Medizingeräten bis einschließlich einer Sicherheitsklasse C zu garantieren und dabei ein einfaches und kostenoptimiertes Schaltungsdesigns aufzuweisen.
  • Somit eignet sich die erfindungsgemäße Schaltungsanordnung insbesondere für den Einsatz in medizinischen Geräten mit mindestens einem Schalter zur Steuerung einer sicherheitsrelevanten Funktion, wobei der mindestens eine Schalter über eine der oben beschriebenen Schaltungsanordnung verfügt und mit einem Mittel zur Auslösung der sicherheitsrelevanten Funktion als Informationssenke verbunden ist. Als medizinisches Gerät im Sinne dieser Schrift werden insbesondere diagnostische, bildgebende und interventionelle Medizinsysteme angesehen, beispielhaft werden die Geräte aus der folgenden Liste genannt: CT-System, C-Bogen-System, Strahlentherapie-System, NMR-System, Lithotripsie-System, Angiographie-System, Kontrastmittelapplikator, Perfusor, Monitoring-System, Geräteausstattungen von medizinischen Intensiv-Stationen.
  • Im Folgenden wird die Erfindung anhand der bevorzugten Ausführungsbeispiele mit Hilfe der Figuren näher beschrieben, wobei nur die zum Verständnis der Erfindung notwendigen Merkmale dargestellt sind. Es werden folgende Bezugszeichen verwendet: 1: zweikanaliger Schalter; 2: UND-Logik; 3: erste ODER-Logik; 4: zweite ODER-Logik; 5: Schalterstellungssignal; 6: Testpfad; 7: Hardware-Signal; 8, 9: Signalumsetzer; 10: Testschaltkreis; 11: Freigabelogik; 12: Ausgang des Signal-Pfades D1; 13: Ausgang des Signalpfades D2; 14: Informationssenke; 15: Leitung; 16: Rückleitung; 17: drittes ODER-Gatter; D1, D2: Signalpfad; S: Schaltkreis.
  • Es zeigen im Einzelnen:
  • 1: Einfache erfindungsgemäße Schaltungsanordnung für zwei parallele Datenpfade;
  • 2: Erfindungsgemäße Schaltungsanordnung für zwei und mehr parallele Datenpfade.
  • Die 1 zeigt eine einfache erfindungsgemäße Schaltungsanordnung, die in einem programmierbaren Schaltkreis S realisiert ist. Hierbei wird die Information bezüglich der Schalterstellung eines Schalters 1 über zwei redundant ausgebildete Signalpfade D1 und D2 an eine Informationssenke 14, beispielsweise einen Aktuator, der in einem hier nicht näher dargestellten Strahlentherapiesystem die Strahlung einer permanenten Strahlenquelle frei gibt oder ein Gerätebewegung steuert, übertragen. Der Schalter 1 ist wie dargestellt als Doppelschalter mit zwei unabhängigen Ausgängen ausgelegt, die beide jeweils auf eine UND-Logik 2 und eine ODER-Logik 3 geleitet werden. Der Signalpfad D1 ist als Hardware-Pfad ausgebildet, und führt von dem Ausgang der UND-Logik 2 zu einer Signalumsetzung 8, die das Signal 5, das durch die Schalterstellung bestimmt wird, in ein binäres Hardware-Signal umsetzt. Meist ist dies ein Pegelwandler, der z. B. ein 3.3 Volt-Signal in ein 24 Volt-Signal umsetzt und – z. B. aus elektrischen Gründen – für eine galvanische Trennung – z. B. mittels Optokoppler – sorgt. Von der Signalumsetzung 8 führt der Signalpfad D1 über eine Freigabelogik 11, die von einem Testschaltkreis 10 gesteuert wird, über den Ausgang 12 unmittelbar zur Informationssenke 14.
  • Parallel zum Signalpfad D1 ist ein zweiter Signalpfad D2 aufgebaut, der ausgehend von der ersten ODER-Logik 3 die Schalterstellung als Hardware-Signal 7 an die Signalumsetzung 9 weitergibt, wo aus der Information des Signals 7 ein zyklisch gesendetes Telegramm, zum Beispiel in Form eines Ethernet-Protokolls, erzeugt wird. Dieses so genannte Software-Signal wird dann – ebenfalls über eine vom Testschaltkreis 10 getriggerte Freigabelogik 11 und über den Ausgang 13 zur Informationssenke 14 geleitet.
  • Parallel zu den Signalpfaden D1 und D2 wird die Schalterstellung von den Ausgängen der UND-Logik 2 und ODER-Logik 3 zu einer zweiten, zum Selbsttest bestimmten, ODER-Logik 4 geleitet. An diese ODER-Logik 4 ist auch ein Testpfad 6 für ein Testsignal vom Testschaltkreis 10 und eine Rückleitung 16, welche über die Freigabelogik 11 das Schaltsignal des Signalpfades D1 an die ODER-Logik 4 leitet, angeschlossen. Dabei wird das Signal auf der Rückleitung 16 nicht direkt vom Testschaltkreis 10 über den Eingang von 11 für den Ausgang von 10 getriggert. Die Rückleitung 16 stellt letztlich ein logisches Duplikat des Ausgangs 12 dar, wobei der wirkliche Trigger für das am Ausgang 12 anliegende Signal der Baustein 8 ist. Durch die Freigabelogik 11 wird lediglich der Ausgang von 8 auf 12 permanent durchgeschaltet, sobald der Selbsttest bestanden wurde. Ab diesem Zeitpunkt bis zum nächsten Selbsttest ist der Ausgang von 10 auf 11 immer „logisch wahr”, d. h. 11 schaltet „durch”, egal welches Signal am Ausgang von 8 anliegt.
  • Zur Überprüfung der Integrität der Schaltung kann mit Hilfe des Testschaltkreises 10 über den Testpfad 6 die Funktionsfähigkeit der zweiten ODER-Logik 4 als auch die Funktionsfähigkeit der Signalumsetzung 8 überprüft werden. Ausführlich wird dies weiter unten im Zusammenhang mit der 2 beschrieben.
  • Die 2 zeigt eine etwas aufwendigere Variante der erfindungsgemäßen Schaltungsanordnung. Gegenüber der einfachen Schaltungsanordnung aus 1 verfügt diese Schaltungsanordnung zusätzlich über ein ODER-Gatter 17 zwischen der UND-Logik 2 und der Signalumsetzung 8 im ersten Signalpfad D1, die ODER-Logik 4 weist 2n + 2 Eingänge für die 2n Schalterausgänge, die Rückleitung 16 und den Testpfad 6 mit dem Testsignal auf.
  • Der Selbsttests läuft wie folgt ab:
    Erster Teil des Selbsttests:
    • a) Zum Zeitpunkt t = 0 wird durch den Testschaltkreis 10 über den Testpfad 6 ein Testsignal an das ODER-Gatter 4 mit ”true” angelegt.
    • b) Als Ergebnis wird am Ausgang des ODER-Gatters 4 ebenfalls ein ”true”-Signal an der Leitung 15 erwartet. Dieses Signal wird vom Testschaltkreis 10 wieder eingelesen und intern mit dem Testsignal auf dem Testpfad 6 verglichen.
  • Sind die Signale auf dem Testpfad 6 und der Leitung 15 identisch, startet der zweite Teil des Selbsttests.
  • Sind die Signale auf dem Testpfad 6 und der Leitung 15 ungleich, muss das ODER-Gatter 4 oder der Testschaltkreis 10 einen Defekt aufweisen. Die Selbsttestlogik ist also defekt und nicht mehr verlässlich. Der Selbsttest wird daraufhin abgebrochen und aus Sicherheitsgründen der Signalpfad D1 am Ausgang 12 mit Hilfe des Freigabeelements 11 und Signalpfad D2 am Ausgang 13 durch softwaregesteuertes weglassen der Telegramme und gegebenenfalls senden eines Fehlertelegramms an die Informationssenke 14 von der Informationssenke 14 abgetrennt.
  • Zweiter Teil des Selbsttests:
    • c) Es wird zum Zeitpunkt t = 1 vom Testschaltkreis 10 das Testsignal auf dem Testpfad 6 wieder auf ”false” gesetzt.
    • d) Jetzt wird zum Zeitpunkt t = 2 erneut der Ausgang von des ODER-Gatters 4 über die Leitung 15 durch den Testschaltkreis 10 eingelesen.
  • Wenn an der Leitung 15 ein ”false”-Signal ansteht, ist der Selbsttest bestanden und als Folge wird der Signalpfad D1 durch die Freigabelogik 11, zum Beispiel ein Relais, und softwaregesteuert der Signalpfad D2 freigegeben.
  • Trägt die Leitung 15 ein ”true”-Signal ist der Selbsttest nicht bestanden. Als Folge wird der Signalpfad D1 durch die Freigabelogik 11 und Signalpfad D2 durch softwaregesteuertes weglassen der Telegramme und gegebenenfalls senden eines Fehlertelegramms an die Informationssenke 14 aus Sicherheitsgründen von der Informationssenke 14 abgetrennt. Offensichtlich muss die Signalkette, also die funktionalen Bausteine 1 oder/und 2 oder/und 3 oder/und 17 oder/und 8 oder/und 11, irgendwo mindestens einen fehlerhaften Durchgang besitzen.
  • Falls der Anwender aus Versehen zum Zeitpunkt t = 2 eine oder mehrere Schalter betätigt, würde der Selbsttest ebenfalls fehlschlagen. Für diesen Fall kann eventuell durch die Informationssenke 14 getriggert oder auch durch den Testschaltkreis 10 direkt der Selbsttest auch mehrfach erneut ausgeführt werden. Vorteilhaft wird diese Vorgehensweise mit einer Meldung an den Anwender gekoppelt, bitte alle Tasten loszulassen.
  • Der erste und zweite Teil des Selbsttestes können bei jedem Hochfahren der Anlage ausgeführt werden und/oder auch mehrfach während des Betriebes ausgeführt werden. Die Frequenz eines solchen Selbsttestes richtet sich dabei nach der Sicherheitsanforderung des Gesamtsystems.
  • Insgesamt wird mit der Erfindung eine Schaltungsanordnung vorgeschlagen, aufweisend:
    • – einen zu überwachenden ersten Schalter mit zwei Schaltausgängen,
    • – einen ersten Signalpfad zur Übertragung der Schalterstellung zu einer Informationssenke,
    • – einen zweiten Signalpfad zur redundanten Übertragung Schalterstellung,
    • – eine UND-Logik, welche die zwei Schaltausgänge mit dem ersten Signalpfad und eine erste ODER-Logik, welche die zwei Schaltausgänge mit dem zweiten Signalpfad verbindet,
    • – eine zweite ODER-Logik,
    • – einen Testschaltkreis, und
    • – eine Freigabelogik in mindestens einem Signalpfad mit einer Rückleitung zwischen Freigabelogik und einem Eingang an der zweiten ODER-Logik, wobei
    • – der Testschaltkreis mit einem Eingang mit dem Ausgang einer zweiten ODER-Logik verbunden ist, mit einem ersten Ausgang mit einem Eingang der zweiten ODER-Logik verbunden ist, und über einen zweiten Ausgang die Freigabelogik in mindestens einem Signalpfad steuert.
  • Mit dieser erfindungsgemäßen Ausgestaltung der Schaltungsanordnung mindestens eines redundant ausgelegten Signalpfades zur Weiterleitung einer Schalterstellung wird die gewünschte Erstfehlersicherheit erreicht. Eine solche Schaltungsanordnung eignet sich besonders für Geräte, die im medizinischen Umfeld unter sicherheitsrelevanten Bedingungen eingesetzt werden sollen.
  • Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.
  • Bezugszeichenliste
    • 1
    zweikanaliger Schalter
    2
    UND-Logik
    3
    erste ODER-Logik
    4
    zweite ODER-Logik
    5
    Schalterstellungssignal
    6
    Testpfad
    7
    Hardware-Signal
    8, 9
    Signalumsetzer
    10
    Testschaltkreis
    11
    Freigabelogik
    12
    Ausgang des Signalpfades D1
    13
    Ausgang des Signalpfades D2
    14
    Informationssenke
    15
    Leitung
    16
    Rückleitung
    17
    drittes ODER-Gatter
    D1, D2
    Signalpfad
    S
    Schaltkreis

Claims (18)

  1. Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem einfach redundanten Datenübertragungspfad zur Übertragung einer Schalterstellung zu einer Informationssenke, aufweisend: 1.1. mindestens einen zu überwachenden ersten Schalter (1) mit zwei parallelen Schaltausgängen, 1.2. einen ersten Signalpfad (D1) zur Übertragung der Information der Stellung des Schalters (1), der mit einem ersten Schaltausgang des Schalters (1) verbunden ist, zu der Informationssenke (14), 1.3. einen zweiten Signalpfad (D2) zur redundanten Übertragung der Information des ersten Signalpfades (D1), der mit einem zweiten Schaltausgang des Schalters (1) verbunden ist, zu der Informationssenke (14), 1.4. eine UND-Logik (2), welche die zwei Schaltausgänge einerseits mit dem ersten Signalpfad (D1) verbindet, und 1.5. eine erste ODER-Logik (3), welche die zwei Schaltausgänge andererseits mit dem zweiten Signalpfad (D2) verbindet, 1.6. eine zweite ODER-Logik (4), 1.7. einen Testschaltkreis (10), und 1.8. eine Freigabelogik (11) in mindestens einem Signalpfad (D1) mit einer Rückleitung zwischen Freigabelogik (11) und einem Eingang an der zweiten ODER-Logik (4), wobei 1.9. der Testschaltkreis (10): – mit einem Eingang mit dem Ausgang einer zweiten ODER-Logik (4) verbunden ist, – mit einem ersten Ausgang mit einem Eingang der zweiten ODER-Logik (4) verbunden ist, und – über einen zweiten Ausgang die Freigabelogik (11) in mindestens einem Signalpfad (D1) steuert.
  2. Schaltungsanordnung gemäß dem voranstehenden Patentanspruch 1, dadurch gekennzeichnet, dass der Testschaltkreis (10) derart konfiguriert ist, dass bei Inbetriebnahme der Schaltungsanordnung die folgenden Schritte ausführt werden: – sperren der Durchleitung der Signalpfade (D1, D2) vor der Informationssenke (14), – senden eines Testsignals an die zweite ODER-Logik (4), – überprüfen des Durchganges des Testsignals durch die ODER-Logik (4) am Testeingang des Testschaltkreises und Aussenden einer Fehlermeldung, falls das Testsignal nicht eingeht, – aussenden eines zweiten Testsignals über die Rückleitung der mindestens einen Freigabelogik (11) an den Eingang der ODER-Logik (4), – überprüfen des Eingangs des zweiten Testsignals am Eingang des Testschaltkreises (10) und Aussenden einer Fehlermeldung, falls das Testsignals nicht eingeht, – freigeben der Signalpfade (D1, D2), wenn beide Überprüfungen positiv ausfallen.
  3. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 2, dadurch gekennzeichnet, dass der erste Signalpfad (D1) zur Übertragung eines einfachen binären Schaltsignals entsprechend der Schalterstellung des Schalters (1) konfiguriert ist.
  4. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 3, dadurch gekennzeichnet, dass der zweite Signalpfad (D2) ebenfalls zur Übertragung eines einfachen binären Schaltsignals entsprechend der Schalterstellung des Schalters (1) konfiguriert ist.
  5. Schaltungsanordnung gemäß dem voranstehenden Patentanspruch 4, dadurch gekennzeichnet, dass der zweite Signalpfad (D2) ebenfalls eine Freigabelogik (11) mit Rückleitung zur zweiten ODER-Logik (4) aufweist.
  6. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 3, dadurch gekennzeichnet, dass der zweite Signalpfad (D2) derart konfiguriert ist, dass durch ihn eine Ausgabe der Schalterstellung des Schalters (1) durch einen zyklisch gesendeten Binärcode erfolgt.
  7. Schaltungsanordnung gemäß dem voranstehenden Patentanspruch 6, dadurch gekennzeichnet, dass der zyklisch gesendete Binärcode ein Ethernet-Protokoll ist.
  8. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 6 bis 7, dadurch gekennzeichnet, dass zur Umsetzung der Schalterstellung des Schalters (1) auf den Binärcode ein Signalumsetzer (9) im zweiten Signalpfad (D2) angeordnet ist.
  9. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 8, dadurch gekennzeichnet, dass n > 1 Schalter (1) mit n ersten Signalpfaden (D1) und eine dritte ODER-Logik (17) im ersten Signalpfad (D1) mit je einem Eingang für jeden der n Schalter (1) vorgesehen sind.
  10. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 9, dadurch gekennzeichnet, dass die UND-Logik (2) ein UND-Gatter ist.
  11. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 9, dadurch gekennzeichnet, dass die UND-Logik (2) durch Software in einem programmierbaren Schaltkreis nachgebildet ist.
  12. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 10, dadurch gekennzeichnet, dass zumindest eine der ODER-Logiken (3, 4, 17) ein ODER-Gatter ist.
  13. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 12, dadurch gekennzeichnet, dass zumindest eine der ODER-Logiken (3, 4, 17) durch Software in einem programmierbaren Schaltkreis nachgebildet ist.
  14. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 13, dadurch gekennzeichnet, dass der Testschaltkreis (10) durch Software in einem programmierbaren Schaltkreis nachgebildet ist.
  15. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 14, dadurch gekennzeichnet, dass alle Schaltkreise zwischen Schalter (1) und der Informationssenke (14) in einem programmierbaren Schaltkreis nachgebildet sind.
  16. Schaltungsanordnung gemäß einem der voranstehenden Patentansprüche 1 bis 14, dadurch gekennzeichnet, dass die ODER-Logik (4), der Testschaltkreis (10), und die mindestens eine Freigabelogik (11) in einem separaten programmierbaren Schaltkreis nachgebildet sind.
  17. Medizinisches Gerät mit mindestens einem Schalter zur Steuerung einer sicherheitsrelevanten Funktion, dadurch gekennzeichnet, dass der mindestens eine Schalter über eine Schaltungsanordnung gemäß einem der Ansprüche 1 bis 16 mit einem Mittel zur Auslösung der sicherheitsrelevanten Funktion als Informationssenke verbunden ist.
  18. Medizinisches Gerät gemäß Anspruch 17, dadurch gekennzeichnet, dass es ein Gerät aus der folgenden Liste ist: CT-System, C-Bogen-System, Strahlentherapie-System, NMR-System, Lithotripsie-System, Angiographie-System, Kontrastmittelapplikator, Perfusor, Monitoring-System, Geräteausstattungen von medizinischen Intensiv-Stationen.
DE201210202606 2012-02-21 2012-02-21 Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad Expired - Fee Related DE102012202606B3 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210202606 DE102012202606B3 (de) 2012-02-21 2012-02-21 Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210202606 DE102012202606B3 (de) 2012-02-21 2012-02-21 Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad

Publications (1)

Publication Number Publication Date
DE102012202606B3 true DE102012202606B3 (de) 2013-05-29

Family

ID=48288181

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210202606 Expired - Fee Related DE102012202606B3 (de) 2012-02-21 2012-02-21 Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad

Country Status (1)

Country Link
DE (1) DE102012202606B3 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3811147A1 (de) * 1987-03-31 1988-10-20 Toshiba Kawasaki Kk Einrichtung zur fehlererkennung an einem detektor
DE4213131A1 (de) * 1992-04-21 1993-10-28 Audi Ag Redundante Schalteranordnung

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3811147A1 (de) * 1987-03-31 1988-10-20 Toshiba Kawasaki Kk Einrichtung zur fehlererkennung an einem detektor
DE4213131A1 (de) * 1992-04-21 1993-10-28 Audi Ag Redundante Schalteranordnung

Similar Documents

Publication Publication Date Title
DE10353950C5 (de) Steuerungssystem
EP2302472B1 (de) Steuerungssystem zum Steuern von sicherheitskritischen Prozessen
DE19927635A1 (de) Sicherheitsbezogenes Automatisierungsbussystem
DE102005055428B4 (de) Busmodul zum Anschluss an ein Bussystem sowie Verwendung eines solchen Busmoduls in einem AS-i-Bussystem
EP0742500A2 (de) Sichere Tipptasten- und Schalterfunktionen mit Fehleraufdeckung
EP1738382A1 (de) Sicherheitsschalteinrichtung für eine sicherheitsschaltung
DE102006054124A1 (de) Verfahren und System zur sicheren Datenübertragung
DE10301504B3 (de) Einsignalübertragung sicherer Prozessinformation
EP2989548A1 (de) Überwachung von redundanten komponenten
EP2685660B1 (de) Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
DE102014100970A1 (de) Verfahren und Vorrichtung zum sicheren Abschalten einer elektrischen Last
EP0996060A2 (de) Einzelprozessorsystem
EP0978775B1 (de) Verfahren zur sicheren Datenübertragung zwischen einer numerischen Steuerung und einem räumlich getrennten Gerät
DE19540069A1 (de) Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
DE102012202606B3 (de) Schaltungsanordnung zur Detektion eines ersten Fehlerzustandes in einem redundanten Datenübertragungspfad
WO2013153057A1 (de) Verfahren zum übertragen von prozessdaten in einer automatisiert gesteuerten anlage
DE102004033263B4 (de) Steuer-und Regeleinheit
DE102008045599B3 (de) Bussystem
EP1928091B1 (de) Sensoreinheit mit Sicherheitssystem
DE102007009141B4 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
DE102011052095B4 (de) Busanschaltung zum Anschluss eines Sicherheitssensors an ein AS-i Bussystem
DE102018127568A1 (de) Schaltungsmodul und Verfahren zur fehlertoleranten Beschaltung
DE19805819B4 (de) Verfahren zur Überwachung von integrierten Schaltkreisen
DE102011102417B4 (de) Sicherheitssensor
DE102020209363A1 (de) Verfahren und sicherheitsgerichtetes System zum Ausführen von Sicherheitsfunktionen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20130830

R081 Change of applicant/patentee

Owner name: SIEMENS HEALTHCARE GMBH, DE

Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee