DE19857396A1 - Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige - Google Patents

Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige

Info

Publication number
DE19857396A1
DE19857396A1 DE1998157396 DE19857396A DE19857396A1 DE 19857396 A1 DE19857396 A1 DE 19857396A1 DE 1998157396 DE1998157396 DE 1998157396 DE 19857396 A DE19857396 A DE 19857396A DE 19857396 A1 DE19857396 A1 DE 19857396A1
Authority
DE
Germany
Prior art keywords
comparator
output
stage
ternary
binary
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE1998157396
Other languages
English (en)
Other versions
DE19857396C2 (de
Inventor
Josef Von Stackelberg
Wolfgang Halang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stackelberg Josef Von 81373 Muenchen De
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to DE1998157396 priority Critical patent/DE19857396C2/de
Publication of DE19857396A1 publication Critical patent/DE19857396A1/de
Application granted granted Critical
Publication of DE19857396C2 publication Critical patent/DE19857396C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/0002Multistate logic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/02Comparing digital values

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Logic Circuits (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)

Abstract

Der ausfallsicherheitsgerichtete Binärstellenvergleicher ist eine Hardwareschaltung, die unter Anwendung ternärer Logik zwei binäre Signale an ihrem Eingang miteinander vergleicht und je nach Zustand der Eingänge folgende Zustände am Ausgang annimmt: DOLLAR A 1.) Beide Eingänge sind gleich, der Vergleicher arbeitet korrekt: DOLLAR A Ausgang ist 4 V...5 V DOLLAR A 2.) Beide Eingänge sind nicht gleich, der Vergleicher arbeitet korrekt: DOLLAR A Ausgang ist 1 V...2 V DOLLAR A 3.) Der Vergleicher stellt einen Fehler in seiner Schaltung fest: DOLLAR A Ausgang ist 0 V...0,3 V DOLLAR A Für die Realisierung dieser Funktionen benötigt der Vergleicher zwei Betriebsspannungen, 1,5 V und 5 V. Zur Herstellung der dargestellten Funktionen werden normale binäre und ternäre Logikglieder verwendet, die in modifizierter CMOS Technologie aufgebaut sind.

Description

Festlegung der Begriffe, wie sie in dieser Schrift verwendet werden
Binäre Technik
Herkömmliche Digitaltechnik, die mit zwei stabilen Zuständen arbeitet.
High
Elektrischer Zustand "Höheres Potential an der Schaltung"; ausschließlich zur Darstellung eines binären Zustandes verwendet.
Low
Elektrischer Zustand "Niedrigeres Potential an der Schaltung"; ausschließlich zur Darstellung eines binären Zustand verwendet.
Ternäre Technik
Digitaltechnik, die drei stabile Zustände verarbeitet. Da die Schaltungen und Verknüpfungen dieser Technik nicht sehr geläufig sind, werden jede Verknüpfungs­ vorschrift und die dazugehörige Schaltung kurz vorgestellt.
Plus
Zustand der Temärtechnik, der die positive Betriebs­ spannung oder für den Fall, wenn das Bezugspotential gegen +1,5 V und +5 V gesehen wird, der die höhere der beiden Betriebsspannungen kennzeichnet, also +5 V. Dieser Begriff wird ausschließlich für einen temären Zustand verwendet.
Null
In der Ternärtechnik der elektrische Zustand des Potentials, das zwischen den beiden äußeren liegt, im vorliegenden Falle also +1,5 V.
Dieser Begriff wird ausschließlich für einen ternären Zustand verwendet.
Minus
In der Ternärtechnik der Zustand, der das negativste Potential kennzeichnet, im vorliegenden Fall also das Bezugspotential.
Dieser Begriff wird ausschließlich für einen temären Zustand verwendet.
Um die ternären Schaltungen realisieren zu können, müssen die Schwell- und Abschnürspannungen der MOS-Transistoren besonders eingestellt werden.
Für den Aufbau des Vergleichers werden diverse Grundschaltungen verwendet, die in den Detailzeichnungen bauteilgenau dargestellt sind. Die an die jeweiligen Begrenzungslinien herangeführten Anschlüsse entsprechen von ihrer Positionierung der entsprechenden Position im Übersichtsschaltbild. Die Funktionen sind im einzelnen:
UND (Fig. 2)
Die Schaltung realisiert ein ternäres Vierfach-UND mit einem Ausgang für die nicht invertierte und einem Ausgang für die invertierte ternäre UND- Verknüpfung.
EINS (Fig. 6, Fig. 7)
Die EINS-Funktion ist lediglich eine Hintereinanderschaltung zweier binärer NICHT-Glieder, deren Bezugspotential auf das Potential der Spannung von 1,5 V angehoben ist. Sie wird benötigt, um eine Signalanpassung zwischen den gegebenen Eingangs- und den geforderten Ausgangszuständen vorzunehmen.
EXOR (Fig. 4)
Das EXOR ist eine Standardschaltung aus der Binärtechnik, die für den Vergleicher lediglich an eine Betriebsspannung von 5 V angepaßt wird.
SCHALTER (Fig. 5)
Die SCHALTER-Funktion ist eine Grundschaltung der Ternärtechnik zur Detektion des "Null".
Differenzspannungsschalter DSS (Fig. 3)
Der DSS erkennt Spannungsdifferenzen, die an seinen Eingängen liegen und betragsmäßig größer als die an den Transistoren eingestellte Schwellspannung von -1 V sind und setzt dementsprechend den Ausgang auf den zugehörigen Eingangsspannungswert. Die Transistoren M1 bis M4 sowie M5 bis M8 sind jeweils parallelgeschaltet und die Transistoren M9 bis M12 sowie M17 bis M20 in Verknüpfung mit Q1 bis Q4 sowie Q5 bis Q8 sind in Reihe geschaltet, da der Vergleicher in dem Bereich, in dem der DSS zum Einsatz kommt, keine Überwachungsfunktion mehr enthält und durch die Parallel- und Serienschaltungen eine ausfalltolerante bzw sicherheitsgerichtete Funktion gewährleistet ist.
Schwellwertschalter SWS (Fig. 8)
Der Schwellwertschalter ist eine Parallelschaltung von vier N-Kanal-MOS- Transistoren vom Anreicherungstyp. Die Parallelschaltung soll Ausfalltoleranz gewährleisten. Die Werte der Widerstände R1 bis R4 bewegen sich im Bereich 1,5 MΩ. Sie dienen dazu, die Gates der Transistoren positiv vorzuspannen und dadurch leitend zu halten, wenn sie nicht durch vorgeschaltete Elemente geschlossen werden.
Es werden zwei unterschiedliche Schwellspannungen eingesetzt:
Für die SWS N26 bis N29 ist Ut = +3,5 V,
für die SWS N30 bis N37 ist Ut = +1,0 V.
Stand der Technik
In der Automatisierungstechnik werden immer mehr Steuerungs- und Regelaufgaben in Software realisiert. Dadurch lassen sich auch komplexe technische Probleme mit vergleichbar geringem Aufwand lösen. Ausgenommen von dieser Entwicklung sind bislang weitgehend Einsatzgebiete, welche die Sicherheit berühren, sei es von Personen oder Anlagen mit besonderem Gefahrenpotential hinsichtlich Brand oder Explosionen etc. Für diesen Bereich werden entweder Hardware-Lösungen gewählt, deren Bauelemente für diese Anwendung geprüft und zugelassen sind, oder es kommen speicherprogrammierbare Systeme zum Einsatz, die entweder über eine Einzelabnahme verfügen oder -bedingt durch die Art der sicherheitsgerichteten Selbstüberwachung und der dafür verwendeten Komponenten- eine recht niedrige Verarbeitungsgeschwindigkeit aufweisen, welche die Bearbeitung komplexer Vorgänge ausschließt [1; Vortrag Adtranz].
Das Problem
Der Erfindung liegt zum einen das Problem zugrunde, daß bei Verwendung eines Hardware-Vergleichers zur gegenseitigen Überwachung zweier parallel laufender Verarbeitungskanäle in einer sicherheitsgerichteten Steuerung die Verarbeitungsgeschwindigkeit der Steuerung wesentlich von der Reaktionsgeschwindigkeit des Vergleichers abhängig ist.
Um in der binären Digitaltechnik eine eindeutige Überwachung der Plausibilität beider möglichen Zustände zu erreichen, ist es außerdem notwendig, eines der beiden zu vergleichenden binären Signale zu negieren und über eine Antivalenzverknüpfung den korrekten technischen Zustand der Steuerung zu erkennen.
Des weiteren beschränken sich die Ausgangssignale des Vergleichers auf die Meldungen "Vergleich in Ordnung" und "Vergleich/Vergleicher nicht in Ordnung".
Die Lösung
Der ausfallsicherheitsgerichtete Binärstellenvergleicher ist eine Hardware- Schaltung, die unter Verwendung von Grundschaltungen der binären und ternären CMOS-Schaltungstechnik in sechs Stufen und einer Tiefe von vier Ebenen aufgebaut ist (Fig. 1). Die Verwendung der vier Ebenen dient der Herstellung einer Dreifehlersicherheit, um den Ausfall von bis zu drei Ebenen entweder ausfalltolerant zu übergehen oder sicherheitsgerichtet als unplausiblen Funktionszustand zu erkennen und anzuzeigen.
Die Verwendung von jeweils vier Bauelementen mit gleicher Funktion in den Baugruppen DSS und SWS dient der Herstellung der gleichen Ausfallsicherheit.
In der ersten Stufe werden die beiden Eingangssignale durch vier parallelgeschaltete binäre EXOR-Funktionen auf Gleichheit überprüft. Bei gleichen Eingangssignalen liegt am Ausgang jedes EXOR das Signal "Low", bei ungleichen Eingangssignalen erscheint "High".
Die Ergebniszustände der ersten Stufe werden in der zweiten Stufe durch temäre UND auf Übereinstimmung geprüft. Das binäre "Low" entspricht dem ternären "Minus", das binäre "High" dem ternären "Plus". Nur wenn alle vier EXOR das gleiche Ausgangssignal abgeben, erscheint am Ausgang der UND das entsprechende gleiche bzw am invertierten Ausgang das ternär negierte Ausgangssignal. Bei Ausfall eines bis drei EXOR schalten die UND ein "Null" auf den Ausgang.
Das ternär negierte Ausgangssignal geht in die dritte Stufe zur Herstellung der gewünschten ternären Ausgangsfunktion und in die vierte Stufe zur Schaltung des Ausganges des Vergleichers bei Ungleichheit der Signale aus der ersten Stufe. Wenn das UND ein "Null" auf den Eingang "gate" des SCHALTER abgibt, liegt an dessen Ausgang das ternär negierte, am Eingang "signal" anliegende Signal an, wenn das "gate" ungleich "Null" ist, liegt am Ausgang des SCHALTER "Null". Da am Eingang "signal" fest "Minus" anliegt, geht der Ausgang des SCHALTER bei ungleichen Zuständen an den EXOR also auf "Plus" und schaltet dadurch den Ausgang des Vergleichers über den zugehörigen SWS auf "Minus".
Außerdem geht das Signal der UND aus Stufe zwei in die fünfte Stufe zur Überprüfung der Plausibilität der Umwandlungsstufe drei und des Sammel-UND N17 in Stufe fünf.
In der Stufe drei werden mit Hilfe von binären EINS-Gattern, die zwischen den Betriebsspannungen +1,5 V und +5 V schalten, die aus den UND N5 bis N8 kommenden Signale "Minus" für "Vergleich nicht in Ordnung" und "Plus" für "Vergleich in Ordnung" in ternäre Signale umgewandelt, wie sie am Ausgang des Vergleichers zur Verfügung stehen. Dabei wird "Plus" aus Stufe zwei über binär "High" in ternär "Plus" gewandelt und die Zustände "Minus" und "Null" über binär "Low" in ternär "Null" für "Vergleich nicht in Ordnung/Vergleicher in Ordnung". Die Meldung "Vergleicher in der ersten Stufe nicht in Ordnung" wird durch die SCHALTER der vierten Stufe ausgewertet und ist daher auf diesem Signalpfad belanglos.
In der fünften Stufe ist zum einen ein ternäres Vierfach UND angeordnet, das die Signale aus der dritten Stufe verknüpft und entsprechend auf den Ausgang legt, zum andern befinden sich in der fünften Stufe vier sogenannte Differenzspannungsschalter DSS mit vorgeschalteten "EINS". Die DSS vergleichen die Schaltungszustände zwischen den UND der zweiten Stufe und dem UND der fünften Stufe. Die Signale aus der Stufe zwei werden über die EINS-Glieder gegeben, um die Spannungen für die nachgeschalteten Differenzspannungsschalter anzupassen. Außerdem wird durch die EINS- Glieder der Zustand "Minus" der UND der zweiten Stufe ausgeblendet.
Überschreitet die Spannungsdifferenz der beiden Eingänge der DSS eine Spannung von 1 V im Positiven wie im Negativen, so wird auf einen der beiden Ausgänge ein hinreichend positives Signal gelegt, um den Ausgang des Vergleichers über einen Schwellwertschalter auf den Bereich 0 . . . 0,3 V zu legen. Anderenfalls liegen die Ausgänge der Differenzspannungsschalter auf Bezugspotential. Da die Funktion der Differenzspannungsschalter nicht mehr weiter überprüft wird, sind alle Transistoren vierfach ausgelegt, also immer vier mit der gleichen Funktion parallel bzw in Reihe geschaltet.
Bei Ausfall von einem bis zu drei UND der zweiten Stufe, bei Ausfall von einem bis drei EINS der dritten Stufe, bei Ausfall des UND der fünften Stufe oder bei Ausfall von einem bis drei EINS der fünften Stufe entstehen Signaldifferenzen, die durch mindestens einen der DSS erkannt und ausgewertet werden; es werden auch Ausfallkombinationen erkannt und bearbeitet.
In der Stufe sechs des Vergleichers ist zum einen der Ausgang des UND der Stufe fünf vom Ausgang der Schaltung durch einen Widerstand R1 = 100Ω abgetrennt, zum anderen befinden sich hier insgesamt zwölf Schwellwertschalter, welche aus jeweils vier parallelgeschalteten N-Kanal- MOS-Transistoren vom Anreicherungstyp bestehen. Diese haben die Aufgabe, bei einem der zwölf Signale, die eine Störung im Vergleicher anzeigen, niederohmig zu werden und den Ausgang in den Bereich 0 . . . 0,3 V zu legen.
Ausfallsicherheitsgerichtetes Verhalten
Zur reinen Überwachung der Plausibilität zweier binärer Signale reicht es, eine binäre EXOR-Funktion entweder als Äquivalenz- oder als Antivalenzglied zu verwenden. Für den Übergang vom binären zum ternären Signal ist eine Spannungsverschiebung durch eine Schaltung, die dem EINS entspricht, ausreichend und zur Überwachung der korrekten Arbeitsweise dienen jeweils ein Differenzverstärker in seiner einfachsten Ausführung in Zusammenarbeit mit einem Transistor, der den Ausgang gegen Bezugspotential schaltet, falls der Differenzverstärker einen Fehler erkennt.
Die in der ersten Stufe des Vergleichers eingesetzten EXOR-Baugruppen geben als Signalwerte die Spannungen 0 V oder +5 V aus. Fehlerhafte Signale können sein, daß eine der beiden Spannungen permanent und unabhängig von den Eingängen am Ausgang eines EXOR anliegt oder daß der Ausgang gegen beide Potentiale hochohmig geschaltet ist.
Die UND der zweiten Stufe verhalten sich derart, daß bei Fehlen eines Signals an mindestens einem Eingang die Ausgänge das Signal "Null" führen. Zur Überwachung jedes EXOR werden insgesamt vier EXOR parallel geschaltet und ihre Ausgangssignale wieder parallel zur Verfügung gestellt. Somit ist sichergestellt, daß bei Ausfall auch nur eines EXOR der Vergleicher dies sofort registriert und meldet. Die Struktur der zweiten Stufe ist ebenso aufgebaut. Die Eingänge der UND sind jeweils parallel geschaltet, so daß die Informationen der ersten Stufe vierfach ausgewertet werden. Da in den UND jeder Eingang mit einem hochohmigen Widerstand gegen "Null" gespannt wird und sie in ihrer Schaltungsstruktur reine Digitalschaltungen der MOS-Technologie sind, führt jedes Eingangssignal immer zu einem definierten Ausgangssignal, Zwischenzustände treten nicht auf. Wenn ein Ausgang eines EXOR hochohmig sein sollte, wird der Eingang des UND durch den entsprechenden Widerstand, der den Eingang auf "Null" setzt, vorgespannt. Durch die parallele Verarbeitung der Information aus der ersten Stufe in der zweiten Stufe ist sichergestellt, daß eine Fehlerinformation mit dreifacher Ausfallsicherheit weitergegeben wird, und zwar an die SCHALTER der vierten Stufe. Ebenso wie in der ersten Stufe können die Ausgangssignale der UND der zweiten Stufe im Fehlerfall wieder entweder permanent eine der Betriebsspannungen inklusive des Bezugspotentials führen oder der entsprechende fehlerbehaftete Ausgang kann hochohmig sein, was z. B. der Fall ist, wenn in jeder Transistorkette, die zwischen Ausgang und Betriebsspannungen liegen, jeweils mindestens ein Transistor hochohmig ist. Die EINS-Glieder der dritten und fünften Stufe verarbeiten an den Eingängen anliegende Signale digital, d. h. es werden aus allen möglichen auftretenden Zuständen am Eingang immer eindeutige Signale am Ausgang erzeugt. Bei Hochohmigkeit des UND-Ausganges kommt wieder der Widerstand am Eingang des EINS zum Zuge. Um zu verhindern, daß bei hochohmigem Ausfall aller UND der zweiten Stufe durch eine Vorspannung der EINS der dritten und fünften Stufe zum gleichen Potential ein quasikorrekter Zustand erzeugt wird, sind die EINS der dritten Stufe (Fig. 7) zum niedrigen und die EINS der fünften Stufe (Fig. 6) zum hohen Potential vorgespannt.
Eine Hochohmigkeit eines der UND der zweiten Stufe führt an dem entsprechenden SCHALTER der vierten Stufe dazu, daß der Eingang "gate", der bei korrekt arbeitendem Vergleicher nur die Informationen "Minus" oder "Plus" zu verarbeiten hat, durch den eingebauten Widerstand auf "Null" vorgespannt wird, dadurch das Signal "Minus" negiert auf den Ausgang legt und den entsprechenden SWS niederohmig werden läßt.
Eine direkte Funktionsüberprüfung der SCHALTER findet nicht statt. Es sind folgende Fehlersituationen möglich:
  • - Ein bis drei EXOR fallen aus. Dann sind insgesamt vier UND und vier SCHALTER vorhanden, um zu reagieren und den Zustand "Vergleicher nicht in Ordnung" zu signalisieren.
  • - Ein bis drei UND fallen aus und melden nicht die "Null" für "Vergleicher nicht in Ordnung". Dann sind entweder die anderen drei bis eins Ebenen vorhanden, um dies zu vollziehen. Oder falls ein bis drei UND am Ausgang "Null" melden, obwohl das Signal aus Stufe eins korrekt anliegt, dann liegt der Ausgang des Sammel-UND N17 auf "Null" und durch den DSS des UND aus Stufe zwei, welches das korrekte Signal anliegen hat, wird die Diskrepanz zwischen dem Ausgang und der Stufe zwei erkannt und der DSS reagiert dementsprechend, indem der Ausgang des Vergleichers mit dem zu dem DSS gehörigen SWS zu "Vergleicher nicht in Ordnung" gesetzt wird.
  • - Ein bis drei EINS in Stufe drei oder Stufe fünf fallen aus, dann gilt sinngemäß das eben erklärte.
Auf diese Weise werden mögliche fehlerhafte Zustände, die durch einen bis drei defekte SCHALTER nicht weitergeleitet werden, durch die anderen Schaltungsfunktionen erfaßt.
  • - Wenn ein SCHALTER ausfällt, kann sein Ausgang folgende Zustände annehmen:
  • - Er ist immer "Plus", dann schaltet der zugehörige SWS die Information "Vergleicher nicht in Ordnung", was korrekt ist.
  • - Er ist immer "Null" oder "Minus", dann treten die im Vorwege erläuterten Mechanismen in Kraft.
  • - Er ist hochohmig, dann wird der Eingang des zugehörigen SWS durch den Vorspannwiderstand an seinem Gate so geschaltet, daß am Ausgang des Vergleichers wieder unmittelbar "Vergleicher nicht in Ordnung" anliegt.
Die Ausgangssignale der UND der zweiten Stufe werden am Sammel-UND N17 der fünften Stufe auf Gleichheit überprüft.
Die Meldung "Vergleich in Ordnung/Vergleicher in Ordnung" wird nur erzeugt, wenn alle vier Ebenen diese Information erzeugt haben. Bei Ausfall von N17 entstehen an seinem Ausgang andere Spannungszustände als an den Eingängen, wo die durch die EINS-Glieder angepaßten- Spannungen der UND aus Stufe zwei anliegen. Falls es zu Signalunterschieden kommt, wird dies durch die DSS aus Stufe fünf registriert und mit der Meldung "Vergleicher nicht in Ordnung" quittiert. Bei Hochohmigkeit des Ausganges von N17 werden die zugehörigen Eingänge der DSS mittels Widerstand auf hohes Potential gesetzt, und sobald am anderen Eingang der DSS ein niedrigeres Potential erscheint, meldet der Vergleicher "Vergleicher nicht in Ordnung". Da die DSS und die SWS nicht mehr rückgekoppelt oder überwacht werden, wird die Ausfallsicherheit dadurch erzeugt, daß alle Bauelemente in vierfacher Ausfertigung angelegt sind. Bei den Transistoren, bei denen der leitende Zustand den für den Vergleicher sicheren Zustand darstellt, wird die Parallelschaltung gewählt, da ein hochohmiger Ausfall noch immer drei Ersatzfunktionen gewährleistet und ein niederohmiger Ausfall zum permanent sicherheitsgerichteten Zustand führt. Bei den Transistoren, die beim für den Vergleicher sicheren Zustand hochohmig sein müssen, wird die Serienschaltung gewählt, da ein niederohmiger Ausfall eines Transistors noch immer dreifache Funktion der anderen gewährleistet, während ein hochohmiger Ausfall sofort zum sicherheitsgerichteten Zustand führt.
Um am Ausgang des Vergleichers ein riskantes unlogisches Signal entstehen zu lassen, muß mindestens folgender Zustand herrschen:
  • - Alle vier EXOR müssen den gleichen Fehler aufweisen, am Ausgang "Low" anliegen zu haben. Der übrige Vergleicher ist in Ordnung.
  • - Alle vier UND der zweiten Stufe müssen den gleichen Fehler aufweisen, am Ausgang A2 "Plus" anliegen zu haben; der übrige Vergleicher ist in Ordnung.
  • - Alle acht EINS weisen das gleiche Fehlverhalten auf, an ihrem Ausgang "Plus" anliegen zu haben.
  • - Bei Defekt eines EINS sind im zugehörigen DSS mindestens einmal alle vier zusammengehörigen Transistoren derart defekt, daß sie das gleiche Fehlverhalten aufweisen, das sicherheitsgefährdend ist.
Die Liste erhebt keineswegs Anspruch auf Vollständigkeit; sie soll nur darlegen, daß zum Ausfall des Vergleichers der Ausfall diverser Einzelfunktionen nötig ist; das Kriterium der Dreifehlersicherheit ist in jedem Fall gewährleistet.
Kennwerte des Vergleichers
Die Spannungshöhen der Ausgangsinformation sind so gewählt, daß bei einer Auswertung der Information durch beliebige logische Schaltungsfamilien, die mit einer Betriebsspannung von 5 V arbeiten (TTL, MOS etc) stets eindeutige Zustände erkannt werden:
4 . . . 5 V am Ausgang entspricht sicher immer dem logischen Zustand "High";
1 . . . 2 V wird von jeder Schaltungsfamilie bereits sicher nicht mehr als "High" interpretiert; für TTL Familien ist dieser Zustand undefiniert, für MOS Familien ist er bereits "Low".
Für eine weitere Auswertung könnte dieses Signal z. B. als Basisspannung für eine Emitterstufe verwendet werden.
0 . . . 0,3 V stellt bei den Logikfamilien TTL und MOS den Zustand "Low" dar und führt bei Auswertung durch eine Emitterstufe durch die Basisspannung von 0 V . . . 0,3 V sicher zu einem gesperrten Transistor.
Die Belastbarkeit des Ausganges liegt bei 5 mA; der Ausgang der Schaltung ist nicht kurzschlußfest, außerdem sind die Spannungswerte bei größerer Stromabnahme nicht mehr definiert.
Eine explizite Überwachung der 1,5 V Spannungsquelle findet nicht statt.
Da im Normalfall die +1,5 V durch Verringern der +5 V über irgendeine Art von Spannungsstabilisierungsschaltung erzeugt wird, wird sich diese im Fehlerfall in eine Spannung im Bereich der 0 V oder der +5 V ändern. Nimmt sie einen der beiden Zustände ein, so entstehen in den Ternärschaltungen unter bestimmten Schaltungszuständen Kurzschlüsse, die zur Zerstörung der entsprechenden Ternärschaltung führen können.
Daher sollte die Stromaufnahme der +1,5 V-Spannungsversorgung durch eine Sicherungsfunktion wie Schmelzsicherung oder eine Reihenschaltung von Relaiskontakten, die nur niederohmig ist, wenn die Spannung innerhalb der Toleranzgrenzen bei +1,5 V liegt, überwacht werden. Bei hochohmigem Fehlen der Spannung gehen die SCHALTER am Ausgang in den hochohmigen Zustand, die Gates der zugehörigen SWS werden dann durch die integrierten Widerstände positiv vorgespannt, der Ausgang des Vergleichers meldet "Vergleicher nicht in Ordnung".
Vorausgesetzt, daß die Baugruppen N22 bis N37 korrekt arbeiten, gibt es am Ausgang der Vergleicherschaltung auch bei Ausfall einzelner oder mehrerer Baugruppen N1 bis N17 immer entweder eine korrekte ausfalltolerante Anzeige oder eine korrekte sicherheitsgerichtete Anzeige.
Bei Einsatz des ternären ausfallsicherheitsgerichteten Vergleichers in sicherheitsgerichteten Steuerungen zur Überwachung der Plausibilität erhöht sich die Verarbeitungsgeschwindigkeit der Steuerung bis zu Taktgeschwindigkeiten im Mega-Hertz-Bereich, da der Vergleicher ausschließlich aus Elementen der digitalen Schaltungstechnik aufgebaut ist, deren Signallaufzeiten im Nanosekundenbereich liegen.
Durch Erzeugen von drei verschiedenen Signalen für drei verschiedene Zustände besteht die Möglichkeit zu unterscheiden, ob die Störung ursächlich im Überwachungselement, dem Vergleicher zu suchen ist oder im Steuerungs- und Regelelement. Die daraus resultierenden Fehlerbehandlungsroutinen können dadurch differenzierter gestaltet werden.
Literaturverzeichnis
[1] Tagungsband des 3. Internationalen Symposium "Programmierbare Systeme für Sicherheitsgerichtete Anwendungen"

Claims (1)

  1. Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige, dadurch gekennzeichnet, daß er für sicherheitskritische Steuerungsanwendungen fehlertolerant und ausfallsicherheitsgerichtet ein digitales Ausgangssignal in ternärer Logik erzeugt, das bei korrekter Funktion der Einheit in Abhängigkeit des Vergleichsergebnisses jeweils einen von zwei der drei möglichen ternären Zustände und bei Auftreten einer Fehlfunktion je nach Art oder Umfang der Störung innerhalb des Vergleichers den dritten Ternärzustand annimmt und das mit herkömmlichen digitalen Logikfamilien ausgewertet und weiterverarbeitet werden kann.
DE1998157396 1998-12-12 1998-12-12 Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige Expired - Fee Related DE19857396C2 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE1998157396 DE19857396C2 (de) 1998-12-12 1998-12-12 Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE1998157396 DE19857396C2 (de) 1998-12-12 1998-12-12 Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige

Publications (2)

Publication Number Publication Date
DE19857396A1 true DE19857396A1 (de) 2000-06-21
DE19857396C2 DE19857396C2 (de) 2002-11-14

Family

ID=7890877

Family Applications (1)

Application Number Title Priority Date Filing Date
DE1998157396 Expired - Fee Related DE19857396C2 (de) 1998-12-12 1998-12-12 Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige

Country Status (1)

Country Link
DE (1) DE19857396C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1286266A2 (de) * 2001-07-26 2003-02-26 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur Auswertung von mehreren Ergebnissen aus redundanten Berechnungen
FR2999352A1 (fr) * 2012-12-11 2014-06-13 Sagem Defense Securite Circuit electrique redonde de coupure de l'alimentation electronique d'un equipement

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2053378B2 (de) * 1970-10-30 1974-10-24 Siemens Ag Schaltungsanordnung zur Regenerierung von quasiternären pulscodemodulierten Signalen
DE2402881C3 (de) * 1974-01-18 1982-01-14 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Fehlersichere elektronische Signalvergleichsschaltung
DE3236283A1 (de) * 1982-04-21 1983-11-03 Siemens-Albis AG, 8047 Zürich Decoder fuer binaere signale
DE3330903A1 (de) * 1983-08-25 1985-03-14 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Adaptiver 2 v 3 vergleicher
DE3519929A1 (de) * 1985-06-04 1986-12-04 Philips Patentverwaltung Gmbh, 2000 Hamburg Schaltungsanordnung zur abtastung eines ternaeren signales
DE3605152C2 (de) * 1985-03-06 1990-08-23 Hitachi, Ltd., Tokio/Tokyo, Jp

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2053378B2 (de) * 1970-10-30 1974-10-24 Siemens Ag Schaltungsanordnung zur Regenerierung von quasiternären pulscodemodulierten Signalen
DE2402881C3 (de) * 1974-01-18 1982-01-14 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Fehlersichere elektronische Signalvergleichsschaltung
DE3236283A1 (de) * 1982-04-21 1983-11-03 Siemens-Albis AG, 8047 Zürich Decoder fuer binaere signale
DE3330903A1 (de) * 1983-08-25 1985-03-14 Licentia Patent-Verwaltungs-Gmbh, 6000 Frankfurt Adaptiver 2 v 3 vergleicher
DE3605152C2 (de) * 1985-03-06 1990-08-23 Hitachi, Ltd., Tokio/Tokyo, Jp
DE3519929A1 (de) * 1985-06-04 1986-12-04 Philips Patentverwaltung Gmbh, 2000 Hamburg Schaltungsanordnung zur abtastung eines ternaeren signales

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1286266A2 (de) * 2001-07-26 2003-02-26 Siemens Aktiengesellschaft Vorrichtung und Verfahren zur Auswertung von mehreren Ergebnissen aus redundanten Berechnungen
EP1286266A3 (de) * 2001-07-26 2008-08-20 Continental Automotive GmbH Vorrichtung und Verfahren zur Auswertung von mehreren Ergebnissen aus redundanten Berechnungen
FR2999352A1 (fr) * 2012-12-11 2014-06-13 Sagem Defense Securite Circuit electrique redonde de coupure de l'alimentation electronique d'un equipement
WO2014090849A1 (fr) * 2012-12-11 2014-06-19 Sagem Defense Securite Circuit electrique redonde de coupure de l'alimentation electrique d'un equipement
US9459640B2 (en) 2012-12-11 2016-10-04 Sagem Defense Securite Redundant electric circuit for cutting off the power supply to a piece of equipment
CN105026265B (zh) * 2012-12-11 2017-03-08 萨基姆防卫安全 用于切断设备供电的冗余电路

Also Published As

Publication number Publication date
DE19857396C2 (de) 2002-11-14

Similar Documents

Publication Publication Date Title
EP1946349B1 (de) Sicherheitsschaltvorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers
EP2649496B1 (de) Sicherheitsschaltgerät zum fehlersicheren abschalten eines elektrischen verbrauchers
EP2951901B1 (de) Sicherheitsschaltvorrichtung mit sicherem netzteil
EP2980659B1 (de) Vorrichtung und Verfahren zum Überwachen und Schalten eines Lastkreises
EP1254400B1 (de) Schaltungsanordnung zum sicheren abschalten einer anlage, insbesondere einer maschinenanlage
EP2104974B1 (de) Spannungsschutzanordnung für ein elektronisches gerät
DE102008032823B4 (de) Sichere Anschlussvorrichtung
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE19857396C2 (de) Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
EP1594021A1 (de) Schaltungsanordnung sowie Verfahren zum Testen von Relaisschaltkontakten einer digitalen Ausgangsschaltung
DE19508841A1 (de) Sicherheitsschalteranordnung
EP3584648B1 (de) Schaltungsanordnung zum schalten einer elektrischen last und verfahren zur überprüfung eines status eines sicherheitsausgangs einer schaltungsanordnung
DE10244534B4 (de) Schaltungsanordnung sowie Verfahren zur Erkennung von Fehlersituationen in gekoppelten Systemen
DE10128772B4 (de) Verfahren und Vorrichtung zur Einschaltstrombegrenzung in Gegentaktverstärkerendstufen
EP3848633B1 (de) Schaltanordnung mit schutz vor internen fehlern
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
EP3346352B1 (de) Elektronische funktionsgruppe
DE1588410C3 (de) Schaltungsanordnung zur fehlersicheren Überwachung des Schaltzustandes mindestens zweier Schaltstrecken
DE102022108193A1 (de) Schaltverstärker für Sicherheitsanwendungen und Verfahren zum Betreiben eines Schaltverstärkers für Sicherheitsanwendungen
DE102011102417B4 (de) Sicherheitssensor
WO2022152837A1 (de) Manuell rückstellbare schaltvorrichtung
DE102022124299A1 (de) Berührungslos arbeitender Zweidraht Sicherheitssensor
DE4319750A1 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schaltausgängen sowie deren Verwendung
DE2534759A1 (de) Kreuzschienenverteiler

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: STACKELBERG, JOSEF VON, 81373 MUENCHEN, DE

D2 Grant after examination
8339 Ceased/non-payment of the annual fee