DE2241453A1 - Test- und ueberwachungssystem fuer redundante ausloesevorrichtungen - Google Patents

Test- und ueberwachungssystem fuer redundante ausloesevorrichtungen

Info

Publication number
DE2241453A1
DE2241453A1 DE2241453A DE2241453A DE2241453A1 DE 2241453 A1 DE2241453 A1 DE 2241453A1 DE 2241453 A DE2241453 A DE 2241453A DE 2241453 A DE2241453 A DE 2241453A DE 2241453 A1 DE2241453 A1 DE 2241453A1
Authority
DE
Germany
Prior art keywords
devices
logical
protection system
logic
actuated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE2241453A
Other languages
English (en)
Other versions
DE2241453C2 (de
Inventor
Charles Louis Devlin
Markus Adrian Eggenberger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of DE2241453A1 publication Critical patent/DE2241453A1/de
Application granted granted Critical
Publication of DE2241453C2 publication Critical patent/DE2241453C2/de
Expired legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F15FLUID-PRESSURE ACTUATORS; HYDRAULICS OR PNEUMATICS IN GENERAL
    • F15BSYSTEMS ACTING BY MEANS OF FLUIDS IN GENERAL; FLUID-PRESSURE ACTUATORS, e.g. SERVOMOTORS; DETAILS OF FLUID-PRESSURE SYSTEMS, NOT OTHERWISE PROVIDED FOR
    • F15B19/00Testing; Calibrating; Fault detection or monitoring; Simulation or modelling of fluid-pressure systems or apparatus not otherwise provided for
    • F15B19/005Fault detection or monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F15FLUID-PRESSURE ACTUATORS; HYDRAULICS OR PNEUMATICS IN GENERAL
    • F15CFLUID-CIRCUIT ELEMENTS PREDOMINANTLY USED FOR COMPUTING OR CONTROL PURPOSES
    • F15C4/00Circuit elements characterised by their special functions
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Fluid Mechanics (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Fluid-Pressure Circuits (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Description

1 River Road
SCHENECTADY, N.Y./U.S.A.
■Jest- und Überwachungssystem für redundante Auslösevorrichtungen
Die Erfindung bezieht sich allgemein auf Schutzsysteme für Betriebssysteme und insbesondere auf das überwachen und Testen derartiger Schutzsysteme während der Schutz des Betriebssystemes beibehalten wird.
Eine bestimmte Art von Schutzsystem für ein Betriebssystem könnte eine Anordnung zum Abtasten des Druckes in einer Strömungsmittelleitung sein und. ein Betätigungsglied aufweisen, das elektrische Kontakte schließt, um ein Relais zu erregen, das die Korrekturmaßnahme ergreift, die Im Falle eines fallenden Strömungsmitteldruckes erforderlich ist. Die Korrekturmaßnahme könnte die Schließung eines Ventiles sein, um das arbeitende Strömungsmittelsystem zu schützen.
309811/1©02
iin einfaches Schutzsystem würde zwar nur einen Drucksensor und ein Betätigungslgliecl erfordern. Die Möglichkeit des Versagens eines derartigen Sensors hat jedoch zur Verwendung von Test- oder Prüfeinrichtungen geführt, um den Sensor künstlich mit einem ähnlichen Signal zu prüfen, das den Sensor im Eetrieb betätigen soll. Da das Schutzsystem nun, während es geprüft wird, außer Eetrieb ist, sind bisher normalerweise zwei derartige Sensoren vorgesehen gewesen. Der eine der Sensoren schützt das Betriebssystem, während der andere geprüft wird. Die zwei Sensoren sind mit ihren betätigten Kontakten in Reihe geschaltet, so daß das Testen von einem von ihnen nicht dazu führt, daß das Schutzsystem seine übliche Punktion ausführt. Dies ist gelegentlich als eine logische AND-Anordnung bekannt, da normalerweise beide Sensoren betätigt sein müssen, um den Kreis zu schließen. Es sind auch überwachungsvorrichtungen vorgesehen gewesen, um festzustellen, ob die Kontakte tatsächlich schließen, wenn der Druckschalter betätigt wird.
Die vorstehend beschriebene Überwachung- und Testanordnung für ein Schutzsystem hat einen wichtigen Nachteil. Durch Verbindung der zwei Sensoren in einer logischen AND-Kombinatlon müssen während eines "normalen" Versagens des Betriebssystemes alle Vorrichtungen richtig funktionieren. Wenn deshalb nur einer der Sensoren beim Schließen seiner Kontakte versagt, auch wenn er betätigt ist, funktioniert das Schutzsystem nicht richtig. Somit ist durch den Zusatz des zweiten Sensors die Wahrscheinlichkeit, daß eine Auslösewirkung nicht auftritt, wenn sie auftreten" sollte, vergrößert worden.
Es ist deshalb eine Aufgabe der vorliegenden Erfindung, eine verbesserte Anordnung zum Prüfen und überwachen eines Schutzsystemes zu schaffen, ohne daß die Wahrscheinlichkeit, daß das Schutzsystem funktioniert, wenn es funktionieren soll, verkleinert wird.
309111/1002
Eine weitere Aufgabe der vorliegenden Erfindung besteht in der Schaffung einer verbesserten Prüf- und Überwachungsanordnung von redundanten Vorrichtungen in einem Schutzsystem.
Diese Aufgaben werden, kurz gesagt, durch ein Schutzsystem gelöst, das eine Anzahl "s" von Sensorbetätigungsgliedern, die auf einen Zustand eines Betriebssystemes ansprechen und von denen jedes Betätigungsglied auf einen Satz von "n" betätigten Vorrichtungen wirkt, wobei "n" kleiner ist "s", und eine Matrix von logischen Vorrichtungen oder Verbindungen aufweist,, die so angeordnet sind, daß sie ein Testen der einzelnen Sensoren ohne Auslösung bzw. Abschaltung gestattet, während sie redundante Kanäle liefert, um die Wahrscheinlichkeit der richtigen Punktion des Schutzsystems trotz des isolierten Versagens von Sensoren oder betätigter Vorrichtungen zu vergrößern. Der Zus_Jtand der betätigten Vorrichtungen wird durch eine Anzahl von überwachungsvorrichtungen abgetastet.
Die Erfindung wird nun mit weiteren Merkmalen und Vorteilen anh and der folgenden Beschreibung und der beigefügten Zeichnungen verschiedener Ausführungsbeispiele näher erläutert.
Fig. 1 ist eine vereinfachte schematische Darstellung von einem bekannten Druckabtast-Schutzsystem, das so verbunden ist, daß ein Testen der Druckschalter -ermöglicht ist.
Fig* 2 ist eine Zusammenstellung logischer Symbole., die zur Darstellung der Elemente eines Druckschalters oder einer vergleichbaren Vorrichtung verwendet werden»
Fig. 3 ist ein logisches Diagramm von der bekannten Anordnung gemäß Fig. 1, die unter Verwendung der logischen Symbole gemäß Fig. 2 dargestellt ist.
Fig. ^a Ist eine vereinfachte Darstellung von einem zweipoligen Druckschalter.
309811/1002
Fig. ^b ist ein redundantes überwachungs- und Testsystem der vorliegenden Erfindung in ihrem bevorzugten Ausführungsbeispiel und zeigt die Schaltungsverbindungen der Druckschalter, wie die in Pig. ^a verwendeten.
Figuren 5a, 5b und 5c sind logische Diagramme von in Fig. ^b gezeigten Anordnungen unter drei verschiedenen Betriebsbedingungen.
Fig. 6a ist eine vereinfachte Darstellung von einem dreipoligen Druckschalter.
Fig. 6b ist eine Schaltungsverbindung für ein komplexeres Schutzsystem, die die Kontakte der in Fig. 6a gezeigten Druckschalter verbindet.
Flg. 7 1st ein logisches Diagramm entsprechend Fig. 6b.
Fig. 8 ist ein verallgemeinertes logisches Diagramm und zeigt das Prinzip der Wirkungsweise von Fig, ^b, angewendet auf irgendeine Anzahl von Sensoren.
Fig. 9 ist ein ähnlich verallgemeinertes logisches Diagramm gemäß dem in Fig. 6b gezeigten Schaltbild.
In Fig. 1 v/eist eine Strömungsmittelleitung 1 Druckschalter 2 und 3 auf, die mit der Strömungsmittelleitung verbunden sind. Jeder Druckschalter enthält ein Membranbetätigungsglied 4, das ein Paar elektrische Kontakte 5 schließt, wenn der Druck unter einen gewählten Wert abfällt.Der Druckschalter 3 enthält ein ahn liches Paar Kontakte 6, die mit den Kontakten 5 und der Spule eines eine kleine Impedanz aufweisenden Auslö'serelais oder einer Magnetspule in Reihe geschaltet sind. Eine Spannungsquelle B bewirkt einen Stromfluß durch die Ausli'sespule 7» wenn beide Kontakte 5 und 6 geschlossen sind·
Eine Vorrichtung zum Testen von jedem der einzelnen Druckschalter 2 und 3 wird durch Testmagnetspulenventile 11 bzw. 12 geschaffen.
309811/100?
224H53
Jedes der Testventile ist so angeordnet, daß der Druck der entsprechenden Membranen abgeleitet wird, um so die Kontakte des Druckschalters zu schließen, \iodurch ein Druckabfall simuliert wird»- Da jedoch die Kontakte 5 und 6 in Reihe oder in einer logischen AND-Anordnung verbunden sind, kann ein Testen von eiern der Druckschalter ohne Erregung der Spule 7 vor sich gehen, da die Kontakte auf dem anderen Druckschalter offen bleiben.
Bisher ist die Wirkungsweise von einer konventionellen Überwachungs- und TestanOrdnung für ein Schutzsystem beschrieben worden Auch wenn sie für eine bestimmte Art eines testbaren Schutzsystems beschrieben wurde, ist das Prinzip der Wirkungsweise und der Nachteil eines derartigen Systems auf jede Art eines testbaren Schutzsystems anwendbar. Um deshalb die Beschreibung zu verallgemeinern, werden logische Symbole verwendet, um das Druckabtastesystem gemäß Fig. Γ zu rekonstruieren.
In Fig. 2 ist das Symbol für den ruhenden Zustand eine 0 und das Symbol für den aktiven Zustand eine 1. Das mechanische Betätigungsglied' des Druckschalters ist durch einen Kreis dargestellt. Weiterhin sind die normalen und gesteuerten Zustände und desgleichen die erwartete Fehlerart gezeigt. Dies würde die Betätigung der Druckschaltermembran ohne Abfall des Strömungsmitteldruckes sein , wie es durch eine 0 am Eingang und eine 1 am Ausgang gezeigt ist.
Das Symbol für die elektrischen Kontakte ist ein Rechteck. Die Zeichnung zeigt den normalen, gesteuerten und den Fall des erwarteten Fehlers. Der Fehlerfall tritt auf, wenn eine versuchte Schließung des Kontaktes durchgeführt wurde, aber keine elektrisehe Verbindung über die Kontakte hergestellt wurde, wie es durch eine 1 am Eingang,eine 0 am Ausgang dargestellt ist.
Flg. 2 zeigt, daß die vorgenannten Symbole verbunden werden können, um einen einen einzelnen Kontakt aufweisenden Druckschalter oder einen Dönnelkontakt aufweisenden Druckschalter
309811/1002
224H53
darzustellen und daß Fehler unterschiedlicher Arten zu unterschiedlichen Ergebnissen führen. Beispielsweise führt das mechanische Versagen eines Druckschalters mit einem einzelnen Kontakt zu einem Signal ohne Eingangsbetätigung, während ein elektrischer Kontaktfehler des Druckschalters trotz eines durch die 1 dargestellten Eingangssignales zu einer 0 am Ausgang führt.
In Fig. 3 sind logische Diagramme für die bekannte Anordnung gemäß Fig. 2 für sechs mögliche Zustande gezeigt. Der erste oder normale Zustand tritt auf, wenn das Betriebssystem richtig arbeitet, und eine 0 am Eingang zu einer 0 am Ausgang führt. Wenn ein Fehler in dem Betriebssystem eine 1 am Eingang liefert und beide Sensoren richtig funktionieren, führt eine 1 am Ausgang zu einer normalen Auslösung, um eine Korrekturmaßnahme zu ergreifen.
Ein normaler Test von einem der Sensoren ist durch ein 1-Eingangssignal in einen der Zweige angegeben. Ein richtiges Testen wird durch Vergleich von überwachungsvorrichtungen angezeigt, die später beschrieben werden und durch ein M in einem Kreis dargestellt sind, aber die logische AND-Vorrichtung verhindert eine Auslösung des Betriebssysstemes, wie es durch eine 0 amJAusgang gezeigt 1st.
Ein mechanisches Versagen von einem der Betätigungsglieder ergibt die gleiche Anzeige für das System wie ein normaler Test. Das System wird nicht ausgeschaltet, wie es durch die 0 am Ausgang angegeben ist, aber der Fehler wird durch die Monitoren angezeigt, da es bekannt 1st, daß das System nicht getestet wird.
Das Testen von einem der Sensoren mit einem Fehler der elektrischen Kontakte führt gleichfalls nicht zur Ausschaltung des Sy- · stems. Diese Fehlerart wird durch die überwachungsvorrichtungen K angezeigt, die eine andere Anzeige als in der normalen Testsituation ergeben.
309811/1002
Der Nachteil des vorstehend beschriebenen Systems wird durch das letzte Diagramm in Fig. 3 dargestellt. Ein Fehler des Betriebssystems bewirkt eine 1-Eingangsgröße in beide^Sensoren« Ein Fehler von einem der elektrischen Kontakte verhindert jedoch, wie es in Fig. 3 dargestellt ist, daß das Schutzsystem ausgeschaltet wird, wie es durch die 0 am Ausgang gezeigt ist» Somit ist die Wahrscheinlichkeit, daß das Schutzsystem arbeitet wie es sollte, aufgrund des Vorhandenseins der logischen AND-Schaltung verkleinert worden, wobei die AND-Schaltung in dem System wegen des Wunsches vorhanden ist, für ein Testen ohne Abschaltung des Betriebssystemes zu sorgen»
In den Figuren 4a und 4b ist ein verbessertes System gemäß der vorliegenden Erfindung gezeigt» In Fig. 4a weist ,jeder der Druckschalter, wie sie bei 20 dargestellt sinds ein Druckmembran-Betätigungsglied 21 aufä das so verbunden ists daß zwei Paare von Kontakten 22,23, geschlossen'werden^ wenn der Druck abfällt.. Wenn somit jedes Betätigungsglied mitfeinem Buchstaben^ wie z.B. A, bezeichnet wird, sind die entsprechenden Kontakte mit A=I und A-2 bezeichnet.
Die Schaltungsverbindungen sind in Figo 4b gezeigt* Kontakte A-I und B-2 sind zwischen Leitern 24,25 parallel· geschaltet ,> um eine erste Parallelschaltung oder eine logische OR-Anordnung zu bilden, da eine Schließung von einem der beiden Kontakte einen Kreis zwischen den Leitern 24,25 schließt. In ähnlicher Weise sind Kontakte B-I und C-2 parallel geschaltet, um ein zweites logisches OR-Glied zwischen einem Leiter 25 und einem Leiter 26 zu bilden. Kontakte C-I und A-2 sind in einer dritten Parallelschaltung zwischen Leitern 26 und 27 verbunden.
Eine Reihenschaltung von dem mit einer Spannungsquelle verbünde» nen Leiter 24 wird über die drei vorstehend beschriebenen Parallelschaltungen und eine eine kleine Impedanz aufweisende Auslöserelaisspule 7 gebildet. Diese ist etuaer logischen AND-Vorrlehtung äquivalent, da ein Pfad über alle drei Parallelschaltungen
3098
gebildet werden muß, bevor die Relaisspule 7 erregt wird.
überwachungsvorrichtungen, die von eine hohe Impedanz aufweisenden Voltmetern 28,29 und 30 gebildet werden, sind den entsprechenden Kontaktpaaren parallel geschaltet, wie es in Pig. 4b gezeigt ist. In dieser bestimmten Anordnung sind nur drei überwachungsvorrichtungen erforderlich. Beim Testen des Betätigungsgliedes C werden die Kontakte C-I und C-2 geschlossen, wodurch die volle Spannung über dem Voltmeter 28 auftritt. Wenn der Sensor C getestet wird und nur das eine Paar der Kontaktpaare, wie z.B. C-I geschlossen ist, liegt nur die halbe Gesamtspannung über dem Voltmeter 28. Dies zeigt einen elektrischen Kontaktfehler an. Im allgemeineren Fall wird für jeden Kontakt eine Überwachungsvorrichtung verwendet.
Es wird nun der Reihe nach auf die Figuren 5a - 5c eingegangen, in denen gleiche logische Diagramme dargestellt sind, die der Schaltung gemäß Fig. 4b äquivalent sind. Es sind drei logische OR-Vorrichtungen 31, 32,33 gezeigt, die den drei parallel geschalteten Kontaktpaaren in Fig. 4b entsprechen. Weiterhin ist eine logische AND-Vorrichtung 34 gezeigt, die die Reihenverbindung der vorstehend erwähnten Parallelschaltungen darstellt. Jede der ■logischen OR-Vorrichtunfren weist zwei Eingänge von gewählten Paaren betätigter Vorrichtungen von unterschiedlichen Betätigungsgliedern auf. Beispielsweise sind die Eingänge in das logische OR-Clied 31 Ausgänge von den betätigten Vorrichtungen A-I und B-2 von Betätigungsgliedern A bzw. B. Die lo-gische AND-Vorrichtung 3^ besitzt drei Eingänge, und zwar einen von jeder logischen OR-Vorrichtung.
Fig. 5a zeigt die Konfiguration während eines normalen Testes des Betätigungsgliedes A, was durch eine 1 an; Eingang angezeigt ist, während den zwei übrigen Betätigungsgliedern B und C Eingangsgrößen 0 und 0 zugeführt sind. Die OR-Vorrichtungen 31 und 33 empfangen ein 1-Eingnngssignal, während dies bei der OR-Vorrichtung 32 nicht der Fall ist. Deshalb hat die AND-Vorrichtung
309811/1002
34 keine ausreichende Anzahl von 1-Eingangssignalen und demzufolge arbeitet des Schutzsystem nicht unabsichtlich, wie es durch die O-Ausgangsgröße von dem AND-Glied 34 angezeigt wird, aber sie schützt immer noch das System, falls die OR-Schaltungen durch einen tatsächlichen Fehler des"Strömungsmitteldruckes betätigt werden sollten, d.h. durch 1-Eingangsgrößen in die betätigungsglieder B oder C.
Fig. 5b zeigt das gleiche logische Diagramm mit einem Fehler der betätigten Vorrichtung A-I, der zu einer O-Eingangsgröße in das OR-Glied 31 führt. Wiederum wird das System nicht abgeschaltet, aber die überwachungsvorrichtung 35 erkennt den Unterschied zwischen den in den Figuren 5a und 5b existierenden Zuständen, wodurch eine Anzeige für einen elektrischen Kontakt fehler ge^-geben wird. ' .
Fig. 5c stellt die logische Konfiguration im Falle einer -versuchten Abschaltung des Schutzsystemes bei einem Fehler von einem der Elemente dar, eine Situation, für die die vorliegende Erfindung eine Lösung liefert. Hier wird das Schutzsystem betätigt, wie es durch eine !-Eingangsgröße in jedes der drei Betätigungsglieder A,B und C angegeben ist. Es ist ein Fehler von einer betätigten Vorrichtung C-2 gezeigt, der z/u einer O-Eingangsgröße in die OR-Vorrichtung 32 führt. Trotzdem besteht eine !-Ausgangsgröße von der OR-Vorrichtung 32 zur AND-Vorrichtung 34 und das System arbeitet, wie es durch eine 1 am Ausgang von der AND-Vorrichtung 34 angezeigt ist.
Das in den Figuren 4a,4b und 5a,5b und 5c dargestellte System wird als ein "zwei aus drei" redundantes Schutzsystem bezeichnet, da drei Betätigungsglieder vorhanden sind, von denen aber nur zv/ei richtig zu arbeiten brauchen, um die Auslösefunktion auszuführen .
In den Figuren 6a und 6b ist ein "drei aus vier" redundantes Schutzsystem gezeigt, das eine leicht unterschiedliche logische
309811/1002
Matrix verwendet. Pig. 6a zeigt einen dreipoligen Druckschalter 43· Die verwendete Bezeichnung ist die gleiche, wie die vorstehend verwendete in Verbindung mit einem Betätigungsglied A, das Kontaktsätze A-I, A-2, Λ-3 betätigt.
Fig. 6b zeigt die Schaltungsmatrix mit vier Reihenzweigen (oder logischen AND-Verbindungen), die einander parallel geschaltet sind, um so eine OR-Verbindung zu bilden. Ein erster Reihenzweig enthält Kontakte A-I, B-I, C-I. Ein zweiter Reihenzweig weist Kontakte B-2, C-2, D-I auf. Ein dritter Reihenzweig enthält Kontakte C-3, D-2, Λ-2 und ein vierter Reihenzweig enthält Kontakte D-3,A-3 und D-3· Alle vier Reihenzweige sind durch Leiter 36,37 parallel geschaltet, und die Gesamtschaltung ist dann mit einer Spannungsquelle und einer Relaisspule 7 verbunden.
Pig. 7 ist ein logisches Diagramm entsprechend der in Fig. 6b gezeigten Schaltung. Logische AND-Vorrichtungen 38,39,40 und 41 entsprechen den vier Peihenzweigen des Schaltbildes, während die logische OR-Vorrichtung ;l2 der Parallelverbindung der vier Peihenzweige entspricht. V/ie aus dieser Figur hervorgeht, weist jede der logischen AHD-Vorrichtungen drei Eingänge von einer betätigten Vorrichtung von jeweils drei getrennten Betätigungsgliedern auf. Beispielsweise hat die AND-Vorrichtung 38 einen Eingang von den betätigten Vorrichtungen Λ-3, D-3 und D-3· Die logische OR-Vorrichtung 4 2 hat einen Eingang von jeder der AND-Vorrichtungen. Indem den Zweigen gefolgt wird, wird deutlich, daß ein Betätigungsglied getestet bzw. geprüft werden kann, ohne daß das System ausgeschaltet bzw. ausgelöst wird. Es kann aber eine Unterscheidung zwischen einer normalen Auslösung und einem Fehler von einer betätigten Vorrichtung durch die Monitoren M getroffen v/erden. DacjSystem wird auslösen, wenn es dies trotz Fehler einzelner Elemente für notwendig hält. Beispielsweise ist das System hier während einer versuchten Auslösung bei einem Fehler gezeigt, bei dem die Kontakte B-2 und C-I nicht richtig schließen. Die Auslösung geht in gewünschter Weise vor sich.
30981 1 /1002
Fig. 8 ist eine Verallgemeinerung des logischen Diagrammes der Fig. 5a -5c, indem "s" Betätigungsglieder vorhanden sind, die jeweils einen Satz von "n" betätigten Vorrichtungen aufweisen. Es sei darauf hingewiesen, daß» "n" kleiner ist als "&", um für die Fähigkeit zu sorgen, daß ein-Betätigungsglied ohne Abschaltung bzw. Auslösung des Systems geprüft wird.
Es sind "s" logische OR-Vorrichtungen mit jeweils "n" Eingängen vorgesehen. Jede der OR-Vorrichtungen hat einen Ausgang, die insgesamt "s" Eingangsgrößen an eine logische AND-Vorrichtung liefern, welche einen einzigen Ausgang besitzt, der für einen Schutz des Betriebssystems angeschlossen ist,
Fig. 9 zeigt eine Verallgemeinerung des logischen Diagrammes gemäß Fig. 7 und zeigt die Umkehrung der Lage der logischen AND- und OR-Vorrichtungen, die als funktionell komplementäre Vorrichtungen angesehen werden. Wiederum ist es erforderlich, daß die Zahl "n" In jedem Satz der betätigten Vorrichtungen kleiner ist als die Zahl "s" der Betätigungsglieder.
Es gibt zahlreiche elektrische, mechanische, fluidische, hydraulische oder pneumatische Anordnungen, die zur Ausbildung der logischen OR- und AND-Vorrichtungen verwendet werden können, die zur Darstellung des Prinzips der vorliegenden Erfindung benutzt wurden. Logische Festkörperbauteile, die auf zwei Niveaus einer Eingangsspannung arbeiten, sind kommerziell erhältlich, und die äquivalenten Anordnungen können von dem Fachmann in einem digitalen Computer auch programmiert werden.
Die vorstehend beschriebene Erfindung, die zahlreiche Sensoren aufweisende Betätigungsglieder, die jeweils zahlreiche gesteuerte Vorrichtungen enthalten und die Verbindung der Ausgänge der überwachten betätigten Vorrichtungen zu redundanten Kanälen mittels einer logischen Matrix schafft, sorgt für die folgenden Funktionen:
30981 1/100?
1. Ein einzelner Sensor mit seinen betätigten Vorrichtungen
kann getestet werden, ohne daß das Betriebssystem ausgelöst bzw. abgeschaltet wird.
2. Ein Fehler von einem Betätigungsglied schaltet das Betriebssystem nicht ab.
3. Ein Fehler einzelner betätigter Vorrichtungen schaltet das System nicht ab, und je größer die Komplexität des Systems
ist, desto weniger wahrscheinlich ist es für einen Mehrfachfehler der betätigten Vorrichtungen, daß das Betriebssystem Unabsichtlich ausgeschaltet bzW. ausgelöst wire!.
*ί. Es kann jeder gewünschte Redundanzgrad durch Verwendung einer größeren Komplexität in der logischen Matrix geschaffen werden, indem mehr redundante Kanäle verwendet werden, wodurch die Wahrscheinlichkeit erhöht wird, daß das System
trotz des Versagens von einem oder mehreren Elementen abschaltet bzw. auslost, wenn es soll.
5. Die Wahrscheinlichkeit des Erfolges oder Versagens des
Systems kann vom Fachmann errechnet werden, Indem er die
Wahrscheinlichkeit der verschiedenen Fehlerarten der einzelnen Elemente kennt.
309811/100?

Claims (5)

  1. - 13 -
    Patentansprüche
    Schutzsystem zur Feststellung einer Änderung in einem abgetasteten Zustand eines Betriebssystems und zur Ergreifung einer l-laßnahme zum Schutz des Betriebssystems, gekennzeichnet durch die Kombination einer Vielzahl "s" von Betätigungsgliedern, die auf den abgetasteten Zustand ansprechen,
    einer Vielzahl von betätigten Vorrichtungen, die in Sätzen von "n" Vorrichtungen gruppiert sind, von denen jeder Satz betriebsmäßig mit einem der Betätigungsglieder -verbunden ist, wobei "n" kleiner ist als "s", einer Vielzahl von ersten logischen GLiedern, die jeweils eine Vielzahl von "n" Eingängen von den betätigten Vorrichtungen "aufweisen und
    eines zweiten logischen Gliedes eines komplementären Typsa dem ein Ausgang von ,jedem der ersten logischen Glieder' als Eingang zugeführt ist., wobei der Ausgang des zweiten logischen Gliedes betriebsmäßig mit Mitteln zum Schutz des Betriebssystems verbunden ist.
  2. 2. Schutzsystem nach Anspruch 1, dadurch gekennzeichnet , daß die ersten logischen Glieder "s"1 logische AND-Vorriehtungen mit jeweils "n" Eingängen bilden und das zweite logische Glied eine logische OR-Vorrichtung mit "s" Eingängen ist,
  3. 3. Schutzsystem nach Anspruch l,dadurch gekennzeichnet , daß die ersten logischen Glieder "s" logische OR-Vorrichtungen mit jeweils "n" Eingängen bilden und das zweite logische Glied eine logische AND-Vorrichtung mit "s" Eingängen ist.
    309811/100?
    - l4 -
  4. 4. Schutzsystem nach Anspruch 1, dadurch gekennzeichnet , daß die "s" Betätigungsglieder von drei Strömungsmitteldruckmembranen, die betätigten Vorrichtungen
    von zwei elektr. .Ischen Kontaktschließern gebildet sind,
    die von jeder der Druckmembranen betätigt sind, jedes der ersten logischen Glieder von einer Parallelschaltung von zwei Schließern von unterschiedlichen Betätigungsgliedern gebildet ist und das zweite logische Glied eine Reihenschaltung bildet, die die Parallelschaltungen miteinander verbindet.
  5. 5. Schutzsystem nach einem oder mehreren der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß ferner eine Vielzahl von überwachungsvorrichtungen vorgesehen ist, die zur Anzeige der Betriebsfähigkeit der betätigten Vorrichtungen angeordnet sind.
    309811/1002
DE2241453A 1971-09-02 1972-08-23 Redundantes Schutzsystem Expired DE2241453C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US17730971A 1971-09-02 1971-09-02

Publications (2)

Publication Number Publication Date
DE2241453A1 true DE2241453A1 (de) 1973-03-15
DE2241453C2 DE2241453C2 (de) 1984-07-19

Family

ID=22648098

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2241453A Expired DE2241453C2 (de) 1971-09-02 1972-08-23 Redundantes Schutzsystem

Country Status (4)

Country Link
US (1) US3748540A (de)
JP (1) JPS4835336A (de)
CH (1) CH554034A (de)
DE (1) DE2241453C2 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5119021A (ja) * 1974-08-08 1976-02-16 Ina Seito Kk Tairuchikomipurekyasutokonkuriitobanno seizohoho oyobi sonojitsushiniryosuru mejidanseitai
US4001654A (en) * 1975-07-31 1977-01-04 General Electric Company Testable protective system
JPS52150429A (en) * 1976-06-09 1977-12-14 Method of producing styleestrippcovered precast concrete board
US4318093A (en) * 1980-02-25 1982-03-02 General Electric Company Logic circuit monitor
DE3126587A1 (de) * 1980-07-07 1982-05-27 Imperial Chemical Industries Ltd., London "abschaltsystem"
EP0108293B1 (de) * 1982-11-01 1986-05-07 BBC Aktiengesellschaft Brown, Boveri & Cie. Schutzschaltungsanordnung für eine Hochspannungsschaltanlage
US4625205A (en) * 1983-12-08 1986-11-25 Lear Siegler, Inc. Remote control system transmitting a control pulse sequence through interlocked electromechanical relays
US4664870A (en) * 1985-10-31 1987-05-12 Westinghouse Electric Corp. Testable voted logic power interface
US4696785A (en) * 1985-10-31 1987-09-29 Westinghouse Electric Corp. Testable voted logic power circuit and method of testing the same
US4687623A (en) * 1985-10-31 1987-08-18 Westinghouse Electric Corp. Self-compensating voted logic power interface with tester
JP2718714B2 (ja) * 1988-09-19 1998-02-25 岩手ハネダコンクリート株式会社 タイル先付けプレキャスト版の製造方法
US6381506B1 (en) 1996-11-27 2002-04-30 Victor Grappone Fail-safe microprocessor-based control and monitoring of electrical devices
DE19962429B4 (de) * 1998-12-23 2004-02-12 Erk Eckrohrkessel Gmbh Verfahren zur Überwachung und Regelung des Betriebszustandes von Dampfkesseln
DE19951174A1 (de) * 1999-10-23 2001-04-26 Dieter Rech Anordnung zur Durchflußbegrenzung
US6484974B1 (en) 2001-09-10 2002-11-26 Union Switch & Signal, Inc. Controller for switch machine
ATE543987T1 (de) * 2007-04-19 2012-02-15 Volvo Lastvagnar Ab Verfahren und anordnung zur überwachung eines injektors
KR101589480B1 (ko) * 2014-06-13 2016-01-28 엘에스산전 주식회사 차단기 및 차단기 제어 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3223590A (en) * 1962-06-01 1965-12-14 Siemens Ag Electric protection system for nuclear reactors
US3510760A (en) * 1966-10-14 1970-05-05 Bell Telephone Labor Inc Method for measuring contact resistance in magnetically operable switches by accounting for flux interactions

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1561225A (en) * 1924-03-11 1925-11-10 Western Electric Co Method and means for measuring time

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3223590A (en) * 1962-06-01 1965-12-14 Siemens Ag Electric protection system for nuclear reactors
US3510760A (en) * 1966-10-14 1970-05-05 Bell Telephone Labor Inc Method for measuring contact resistance in magnetically operable switches by accounting for flux interactions

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Steinbuch,Taschenbuch der Nachrichtenverarbeitung, Springer Verlag 1967, 2.Aufl., S.134-137,190,191 *

Also Published As

Publication number Publication date
DE2241453C2 (de) 1984-07-19
JPS4835336A (de) 1973-05-24
US3748540A (en) 1973-07-24
CH554034A (de) 1974-09-13

Similar Documents

Publication Publication Date Title
DE2241453A1 (de) Test- und ueberwachungssystem fuer redundante ausloesevorrichtungen
EP0038947B1 (de) Programmierbare logische Anordnung
DE2311034A1 (de) Verfahren zum pruefen einer schaltungsanordnung
DE4242792C2 (de) Sicherheitsschalteranordnung
DE2316434A1 (de) Pruefanordnung zur ueberpruefung der arbeitsweise einer logikschaltung
DE2630234C2 (de) Schutzeinrichtung für Maschinenanlagen gegenüber Betriebsstörungen
DE1257457B (de) Vorrichtung zum Erkennen von sich in Mehrfachausgaengen aeusserden Fehlern in einer ausgewaehlten Zeile oder Spalte einer ebenen bzw. kubischen Kreuzpunktanordnung
DE60223827T2 (de) Schnittstellenmodul für eine gesteuerte komponente
EP1594021A1 (de) Schaltungsanordnung sowie Verfahren zum Testen von Relaisschaltkontakten einer digitalen Ausgangsschaltung
DE971474C (de) Schaltungsanordnung fuer Fernmelde-, insbesondere Fernsprechanlagen
EP3839683A1 (de) System mit selbstprüffunktion und verfahren zum verifizieren der selbstprüffunktion eines systems
DE1537898C (de) Prüfeinrichtung fur eine mehrere Kop pelstufen umfassende Koppelanordnung
DE921457C (de) Schaltungsanordnung zum Pruefen des Belegungszustandes einer Gruppe von Leitungen, insbesondere in Fernsprechanlagen mit Waehlerbetrieb
AT245676B (de) Prüfeinrichtung zum Prüfen von auf Bauelementen der Schwachstrom- oder Hochfrequenz-Technik aufgebrachten Schaltungen, insbesondere von Schaltungen auf Mikromodul-Bauelementen
DE2629495C3 (de) Verfahren zur Prüfung der Entkopplungsdioden in mit Relais aufgebauten Koordinatenkopplern
DE1806933C (de) Verfahren zur Prüfung von Schaltungs baugruppen
DE968158C (de) Schaltungsanordnung zur Auswertung von Kennziffern in Fernmelde-, insbesondere Fernsprechanlagen
DE102022122527A1 (de) Relaisvorrichtung und Sicherheitsschaltgerät mit mindestens einer Relaisvorrichtung
DE1948661A1 (de) Schaltungsanordnung zur Realisierung bestimmter typischer Prozessschritte beim Herstellen und/oder Pruefen von Halbleiterbauelementen,insbesondere zum automatischen Einordnen beliebiger Fremdstrukturen in ein Rasterschema
DE1566782B1 (de) Verfahren zum Pruefen von impulsbetriebenen Schaltungen und Schaltungsanordnung zu seiner Durchfuehrung
DE2338033C3 (de) Schaltungsanordnung zum Überwachen des ordnungsgemäßen Arbeitens eines Quecksilber-Umschalters
DE3241175A1 (de) Pruefsystem fuer das pruefen von prozessoren enthaltenden steuerwerksbaugruppen und/oder von periphere ergaenzungen solcher steuerwerksbaugruppen bildenden speicherbaugruppen
AT226773B (de) Schaltanordnung für Relais oder andere Schaltelemente in Eisenbahnsicherungsanlagen
DE102016109915A1 (de) Vorrichtung zum fehlersicheren Abschalten eines Verbrauchers
DE1499748C3 (de) Selbstprüfender Zuordner

Legal Events

Date Code Title Description
OD Request for examination
D2 Grant after examination
8364 No opposition during term of opposition