DE2241453C2 - Redundantes Schutzsystem - Google Patents

Redundantes Schutzsystem

Info

Publication number
DE2241453C2
DE2241453C2 DE2241453A DE2241453A DE2241453C2 DE 2241453 C2 DE2241453 C2 DE 2241453C2 DE 2241453 A DE2241453 A DE 2241453A DE 2241453 A DE2241453 A DE 2241453A DE 2241453 C2 DE2241453 C2 DE 2241453C2
Authority
DE
Germany
Prior art keywords
contacts
protection system
logical
parallel
series
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE2241453A
Other languages
English (en)
Other versions
DE2241453A1 (de
Inventor
Charles Louis Ballston Lake N.Y. Devlin
Markus Adrian Schenectady N.Y. Eggenberger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of DE2241453A1 publication Critical patent/DE2241453A1/de
Application granted granted Critical
Publication of DE2241453C2 publication Critical patent/DE2241453C2/de
Expired legal-status Critical Current

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F15FLUID-PRESSURE ACTUATORS; HYDRAULICS OR PNEUMATICS IN GENERAL
    • F15BSYSTEMS ACTING BY MEANS OF FLUIDS IN GENERAL; FLUID-PRESSURE ACTUATORS, e.g. SERVOMOTORS; DETAILS OF FLUID-PRESSURE SYSTEMS, NOT OTHERWISE PROVIDED FOR
    • F15B19/00Testing; Calibrating; Fault detection or monitoring; Simulation or modelling of fluid-pressure systems or apparatus not otherwise provided for
    • F15B19/005Fault detection or monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F15FLUID-PRESSURE ACTUATORS; HYDRAULICS OR PNEUMATICS IN GENERAL
    • F15CFLUID-CIRCUIT ELEMENTS PREDOMINANTLY USED FOR COMPUTING OR CONTROL PURPOSES
    • F15C4/00Circuit elements characterised by their special functions
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Fluid Mechanics (AREA)
  • Mechanical Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Fluid-Pressure Circuits (AREA)

Description

Die Erfindung bezieht sich auf ein redundantes Schutzsystem gemäß dem Oberbegriff des Patentanspruchs 1. Ein derartiges Schutzsystem ist in der US-PS 32 23 590 beschrieben.
Eine bestimmte Art von Schutzsystem für ein Betriebssystem könnte eine Anordnung zum Abtasten des Druckes in einer Strömungsmittelleitung sein und ein Betätigungsglied aufweisen, das ein Paar elektrischer Kontakte schließt, um ein Relais zu erregen, daß die Korrekturmaßnahme ergreift, die im Falle eines fallenden Strömungsmitteldruckes erforderlich ist. Die Korrekturmaßnahme könnte die Schließung eines Ventils sein, um das arbeilende Strömungsmittelsystem zu schützen.
Ein einfaches Schutzsystem würde zwar nur einen Drucksensor und ein Betätigungsglied erfordern. Die Möglichkeit des Versagens eines derartigen Sensors hat jedoch zur Verwendung von Test- oder Prüfeinrichtungen geführt, die den Sensor mit einem simulierten Signal ähnlich demjenigen prüfen, das den Sensor im Betrieb betätigen soll. Da das Schutzsystem nun, während es geprüft wird, außer Betrieb ist, sind bisher normalerweise zwei derartige Sensoren vorgesehen gewesen. Der eine Sensor schützt das Betriebssystem, während der andere geprüft wird. Die zwei Sensoren sind mit ihren betätigbaren Kontuktpnaren in Reihe geschaltet, so daß das Testen von einem von ihnen nicht da/u führt, daß das Schutzsystem seine übliche Funktion ausführt. Dies wird gelegentlich als eine logische UND-Anordnung bezeichnet, da normalerweise beide Sensoren betätigt sein müssen, um den Kreis zu schließen. Entsprechend sind Parallelschaltungen oder logische ODER-Anordnungcn und Kombinationen von UND- und ODER-Anorclnungen bekannt, um redundante Systeme zu schaffen (siehe Steinbuch, Taschenbuch der Nachrichtenverarbeitung, 2. Auflage, Springer Verlag, 1967).
Die bekannten Überwachungs- und Testanordnungen für ein Schutzsystem haben einen wesentlichen Nachteil. Durch Verbindung der zwei Sensoren in einer logischen AN D-Kombination müssen während eines »normalen« Fehlers des Betriebssystems alle ,Sensoren richtig funktionieren. Wenn deshalb nur einer der Sensoren beim Schließen eines Kontaktpaares versagt, obwohl er betätigt ist funktioniert das Schutzsystem nicht richtig. Somit ist durch den Zusatz des zweiten Sensors die Wahrscheinlichkeit, daß eine Auslösewirkung nicht auftritt, wenn sie auftreten sollte, vergrößert worden.
Es ist deshalb Aufgabe der Erfindung, ein Schutzsystem der eingangs genannten Art derart auszugestalten, daß die Funktionsfähigkeit des Schutzsystems überwacht werden kann, ohne daß die Wahrscheinlichkeit für das richtige Funktionieren des Schutzsystems verkleinen wird.
Diese Aufgabe wird erfindungsgemäß durch die im Patentanspruch 1 gekennzeichneten Merkmale gelöst.
Eine vorteilhafte Ausgestaltung der Erfindung ist in dem Unteranspruch gekennzeichnet Die mit der Erfindung erzielbaren Vorteile bestehen insbesondere darin, daß die Redundanz eines Systems auch tatsächlich aufrechterhalten werden kann, indem die Funktionsfähigkeit der einzelnen Komponenten des redundanten Systems schnell und einfach überwacht werden kann. Dies ist beispielsweise bei großen Turbinenanlagen von äußerster Wichtigkeit, bei denen die Redundanz des Systems ständig gewährleistet sein muß. Insbesondere wird dabei verhindert, daß die an sich richtig arbeitende Turbine aufgrund fehlerhafter Regel- und Steuerelemente abgeschaltet wird. Vielmehr werden die fehlerhaften Komponenten ermittelt und repariert bzw. ausgewechselt, ohne daß die Maschine abgeschaltet werden muß.
Dabei können durch die zahlreicne Sensoren enthaltcndcn Sctütigungsglieder, die jeweils zahlreiche gesteuerte Vorrichtungen aufweisen und die Verbindung der Ausgänge der überwachten betätigten Vorrichtungen zu redundanten Kanälen mittels einer logischen Matrix schaffen, folgende Funktionen ausgeübt werden:
1. Ein einzelner Sensor mit seinen betätigten Vorrichtungen kann getestet werden, ohne daß das Betriebssystem ausgelöst bzw. abgeschaltet wird.
2. Ein Fehler eines Bctätigungsgliedes schaltet das Betriebssystem nicht ab.
3. Ein Fehler einzelner betätigter Vorrichtungen schaltet das System nicht ab, und je größer die Komplexität des Systems ist, desto weniger wahrscheinlich ist es für einen Mchrfachfehler der betätigten Vorrichtungen, daß das Betriebssystem unabsichtlich ausgeschaltet bzw. ausgelöst wird.
4. Es kann jeder gewünschte Redundanzgrad durch Verwendung einer größeren Komplexität in der logischen Matrix geschaffen werden, indem mehr redundante Kanäle verwendet werden, wodurch die Wahrscheinlichkeit erhöht wird, daß das System not/, des Versagens von einem oder mehreren Elementen abschaltet bzw. auslöst, wenn es soll.
5. Die Wahrscheinlichkeit des Erfolges oder Versagens des Systems kann vom Fachmann errechnet weiden, indem er die Wahrscheinlichkeit der verschiedenen Fehlerarten der ein/einen Elemente kennt.
Die Erfindung wird nun anhand der Beschreibung und der Zeichnung von Ausführungsbeispielen näher erläutert.
Fig. 1 ist eine vereinfachte schematische Darstellung eines bekannten Druckabtast-Schutzsystems, das so verbunden ist, daß eine Testprüfung der Druckschalter ermöglicht isL
F i g. 2 ist eine Zusammenstellung logischer Symbole die zur Darstellung der Elemente eines Druckschalter oder einer vergleichbaren Vorrichtung verwendet werden.
F i g. 3 ist ein logisches Diagramm der bekannten Anordnung gemäß F i g. 1, die unter Verwendung der logischen Symbole gemäß F i g. 2 dargestellt ist.
F i g. 4a ist eine vereinfachte Dar&tellung eines zweipoligen Druckschalters.
F i g. 4b ist ein redundantes Schutzsystem gemäß einem bevorzugten Ausführungsbeispiel der Erfindung und zeigt die Schaltungsverbindungen von Druckschaltern gemäß F i g. 4a.
Fig. 5a, 5b und 5c sind logische Diagramme von in F i g. 4b gezeigten Anordnungen unter drei verschiedenen Betriebsbedingungen.
F i g. 6a ist eine vereinfachte Darstellung eines dreipoligen Druckschalters.
F i g. 6b ist eine Schaltungsverbindung für ein komplexeres Schutzsystem, die die Kontakte der in F i g. 6a gezeigten Druckschalter verbindet.
Fig.7 ist ein logisches Diagramm entsprechend F ig. 6b.
Fig.8 ist ein verallgemeinertes logisches Diagramm und zeigt das Prinzip der Wirkungsweise von F i g. 4b, angewendet auf irgendeine Anzahl von Sensoren.
F i g. 9 ist ein ähnlich verallgemeinertes logisches Diagramm gemäß dem in F i g. 6b gezeigten Schaltbild.
In Fi g. 1 weist eine Strömungsmittelleitung 1 Druckschalter 2 und 3 auf, die mit der Strömungsmittelleitung verbunden sind. Jeder Druckschalter enthält ein Membranbetätigungsglied 4, das ein Kontaktpaar 5 schließt, wenn der Druck unter einen gewählten Wert abfüllt. Der Druckschalter 3 enthält ein ähnliches Komaklpaar 6, das mit dem Kontaktpaar 5 und der Spule 7 eines eine niedrige Impedanz aufweisenden Auslöserelais oder einer Magnetspule in Reihe geschaltet ;ind. Eine Spannungsquelle + V bewirkt einen Stromfluß durch die Auslösespule 7, wenn beide Kontaktpaare 5 und 6 geschlossen sind.
Eine Vorrichtung zum P-iifen bzw. Testen jedes einzelnen Druckschalter 2 und 3 wird durch Testmagnetspulenventile 11 bzw. 12 gebildet. Jedes der Tesi ventile ist so angeordnet, daß der Druck der entsprechenden Membranen abgeleitet wird, um so die Kontakte des Druckschalters zu schließen, wodurch ein Druckabfall simuliert wird. Da jedoch die Kontaktpaare 5 und 6 in Reihe oder in einer logischen UND-Anordnung verbunden sind, kann ein Testen eines Druckschalters ohne Erregung der Spule 7 vor sich gehen, da die Kontakte des anderen Druckschalters geöffnet bleiben.
Bisher ist die Wirkungsweise einer bekannten Oberwachungs- und Testanordnung für ein Schutzsystem beschrieben worden. Auch wenn sie für eine bestimmte Art eines testbaren Schutzsystems beschrieben wurde, ist das Prinzip der Wirkungsweise und der Nachteil eines derartigen Systems auf jede Art eines testbaren Schutzsystems anwendbar. Um deshalb die Beschreibung zu verallgemeinern, werden logische Symbole verwendet, um das Druckabtastsystem gemäß Fig. 1 zu
rekonstruieren.
In Fig.2 ist das Symbol für den ruhendtn Zustand eine 0 und das Symbol für den aktiven Zustand eine 1. Das mechanische Betätigungsglied des Druckschalters ■> ist durch einen Kreis dargestellt. Weilerhin sind die normalen und gesteuerten Zustände und desgleichen die erwartete Fchlerari gezeigt. Dies würde die Betätigung der Druckschaltcrmembran ohne Abfall des Strömungsmitlcldruckes sein, wie es durch eine 0 am Einlü gang und eine 1 am Ausgang gezeigt ist.
Das Symbol für die elektrischen Koniaktpaare ist ein Rechteck. Die Zeichnung zeigt den normalen, gesteuerten und den Fall des erwarteten Fehlers. Der Fehlerfali tritt auf, wenn eine Schließung eines Kontaktpaares versucht wurde, aber keine elektrische Verbindung über die Kontakte hergestellt wurde, wie es durch eine 1 am Eingang, eine 0 am Ausgang dargestellt itt.
F i g. 2 zeigt, daß die vorgenannten Symbole verbunden werden können, um einen einen einzelnen Kontakt aufweisenden Druckschalter oder einer 'Joppeikontakt aufweisenden Druckschalter darzusieüen urd daß Fehler unterschiedlicher Arten zu unterschiedlichen Ergebnissen führen. Beispielsweise führt das mechanische Versagen eines Druckschalters mit einem einzelnen Kontakt 7 α einem Signal ohne Eingangsbetätigung, während ein elektrischer Kontaktfehler des Druckschalters trotz eines durch die 1 dargestellten Eingangssignales zu einer 0 am Ausgang führt.
In Fig.3 sind logische Diagramme für die bekannte Anordnung gemäß F i g. 2 für sechs mögliche Zustände gezeigt. Der erste oder normale Zustand tritt auf, wenn das Betriebssystem richtig arbeitet und eine 0 am Eingang zu einer 0 am Ausgang führt. Wenn ein Fehler in dem Betriebssystem eine 1 am Eingang liefert und beide Sensoren richtig funktionieren, führt eine 1 am Ausgang zu einer normalen Auslösung, um eine Korrekturmaßnahme zu ergreifen.
Ein normaler Test eines Sensors ist durch ein 1-eingangssignal in einen der Zweige angegeben. Ein richtiges Testen wird durch Vergleich von Überwachungsvorrichtungen angezeigt, die später beschrieben werden und durch ein M in einem Kreis dargestellt sind, aber die logische UND-Vorrichtung verhindert eine Auslösung des Betriebssystems, wie es durch eine 0 am Ausgang gezeigt ist.
Ein mechanisches Versagen eines der Betätigungsglieder ergibt die gleiche Anzeige für das System wie ein normaler Test. Das System wird nicht ausgeschaltet, wie es durch die 0 am Ausgang angegeben ist, aber der Fehler wird durch die Monitoren angezeigt, da es bekannt ist, daß das System nicht getestet wird.
Das Testen eines der Sensoren mit einem Fehler der elekrrisuien Kontakte führt gleichfalls nicht zur Ausschaltung des Systems. Diese Fehlerarl wird durch die Überwachungsvorrichtungen M angezeigt, die tine andere Anzeige als in der normalen Testsituation ergeben. Der Nachteil des vorstehend beschriebenen, bekannten Systems wird dürrh das letzte Diagramm in F i g. 3 dargestellt. Ein Fehler des Betriebssystems bewirkt eine bo 1-Eingangsgröße in beiden Sensoren. Ein Fehler eines der elektrischen Kontakte verhindert jedoch, wie es in F i g. 3 dargestellt ist, daß das Schutzsystem ausgeschaltet wird, wie es durch die 0 am Ausgang gezeigt ist. Somit ist die Wahrscheinlichkeit, daß das Schutzsystem b5 arbeitet wie es sollte, aufgrund des Vorhandenseins der logischen UND-Schaltung verkleinert worden, wobei die UND-Schaltung in dem System wegen des Wunsches vorhanden ist. für ein Testen ohne Abschaltung
des Betriebssystems zu sorgen.
In den F i g. 4a und 4b ist ein verbessertes Schutzsystem gemäß eines Ausführungsbeispiels der Erfindung gezeigt. In Fig.4a weist jeder der Druckschalter, wie sie bei 20 dargestellt sind, ein Druckmembran-Beiätigungsglied 21 auf, das so verbunden ist, daß zwei Kontaktpaare 22, 23 geschlossen werden, wenn der Druck abfällt. Wenn somit jedes Betätigungsglied mit einem Buchstaben, wie z. B. A, bezeichnet wird, sind die entsprechenden Kontakte mit Al und A-2 bezeichnet.
Die Schaltungsverbindungen sind in Fig.4b gezeigt. Kontakte A-i und ß-2 sind zwischen Leitern 24, 25 parallel geschaltet, um eine erste Parallelschaltung oder eine logische ODER-Anordnung zu bilden, da eine Schließung eines der beiden Kontakte einen Kreis zwischen den Leitern 24, 25 schließt. In ähnlicher Weise sind Kontakte ß-1 und C-2 parallel geschaltet, um ein zweites logisches ODER-Glied zwischen einem Leiter
25 und einem Leiter 26 zu bilden. Koniakte C-i und Ä-2 sind in einer dritten Parallelschaltung zwischen Leitern
26 und 27 verbunden.
Eine Reihenschaltung des mit einer Spannungsquelle verbundenen Leiters 24 wird über die drei vorstehend beschriebenen Parallelschaltungen und eine eine kleine Impedanz aufweisende Auslöserelaisspule 7 gebildet. Diese ist einer logischen UND-Vorrichtung äquivalent, da ein Pfad über alle drei Parallelschaltungen gebildet werden muß, bevor die Relaisspule 7 erregt wird.
Überwachungsvorrichtungen, die von eine hohe Impedanz aufweisenden Voltmetern 28,29 und 30 gebildet werden, sind den entsprechenden Kontaktpaaren parallel geschattet, wie es in Fig.4b gezeigt ist. In dieser bestimmten Anordnung sind nur drei Überwachungsvorrichtungen erforderlich. Beim Testen des Betätigungsgliedes C werden die Kontakte Cl und C-2 geschlossen, wodurch die volle Spannung über dem VoIt-
"H.K.I λ·«? am it in. ττι,ιιιι uci JCII3U1 I^ gcicatci vritu uiiu nur das eine Paar der Kontaktpaare, wie z. B. C-I. geschlossen ist, liegt nur die halbe Gesamtspannung über dem Voltmeter 28. Dies zeigt einen elektrischen Kontaktfehler an. Im allgemeineren Fall wird für jeden Kontakt eine Überwachungsvorrichtung verwendet.
Es wird nun der Reihe nach auf die Fig. 5a—5c eingegangen, in denen gleiche logische Diagramme dargestellt sind, die der Schaltung gemäß Fig.4b äquivalent sind. Es sind drei logische ODER-Vorrichtungen 31, 32, 33 gezeigt, die den drei parallel geschalteten Kontaktpaaren in Fig.4b entsprechen. Weiterhin ist eine logische UND-Vorrichtung 34 gezeigt, die die Reihenverbindung der vorstehend erwähnten Parallelschaltungen darstellt. Jede der logischen ODER-Vorrichtungen weist zwei Eingänge von gewählten Paaren betätigter Vorrichtungen von unterschiedlichen Betätigungsgliedern auf. Beispielsweise sind die Eingänge des logischen ODER-Gliedes 31 mit den Ausgängen der betätigten Vorrichtungen AX und ß-2 der Betätigungsglieder A bzw. B verbunden. Die logische U N D-Vorrichtung 34 besitzt drei Eingänge, und zwar einen von jeder logischen ODER-Vorrichtung.
F i g. 5a zeigt die Konfiguration während eines normalen Testes des Betätigungsgliedes A. was durch eine 1 am Eingang angezeigt ist. während den zwei übrigen Betätigungsgliedern B und C Eingangsgrößen 0 und 0 zugeführt sind. Die ODER-Vorrichtungen 31 und 33 empfangen ein 1 -Eingangssignal, während dies bei der ODER-Vorrichtung 32 nicht der Fall ist. Deshalb hat die UND-Vorrichtung 34 keine ausreichende Anzahl von 1-Eingangssignalen und demzufolge arbeitet das Schutzsystem nicht unabsichtlich, wie es durch die 0-Ausgangsgröße von dem UND-Glied 34 angezeigt wird, aber sie schützt immer noch das System, falls die ODER-Schaltungen durch einen tatsächlichen Fehler ·> des Strömungsmitteldruckes betätigt werden sollten, d.h. durch !-Eingangsgrößen in die Betätigungsglieder ' ßoder C.
F i g. 5b zeigt das gleiche logische Diagramm mit einem Fehler der betätigten Vorrichtung A-i, der zu einer
ίο 0-Eingangsgröße in das ODER-Glied 31 führt. Wiederum wird das System nicht abgeschaltet, aber die Überwachungsvorrichtung 35 erkennt den Unterschied zwischen den in den F i g. 5a und 5b existierenden Zuständen, wodurch eine Anzeige für einen elektrischen Kon-
ir) taktfchlcr gegeben wird.
F i g. 5c stellt die logische Konfiguration im Falle einer versuchten Abschaltung des Schutzsystemes bei einem Fehler eines der Elemente dar, eine Situation, für die das Ausführungsbeispiel der Erfindung eine Lösung liefert. Hier wird das Schutzsystem betätigt, wie es durch eine !-Eingangsgröße in jedes der drei Betätigungsglicder A. Bund Cangegeben ist. Es ist ein Fehler von einer betätigten Vorrichtung C-2 gezeigt, der zu einer 0-Eingangsgröße in die ODER-Vorrichtung 32 führt. Trotzdem besteht eine !-Ausgangsgröße von der ODER-Vorrichtung 32 zur UND-Vorrichtung 34 und das System arbeitet, wie es durch eine 1 am Ausgang von dt-f UND-Vorrichtung 34 angezeigt ist.
Das in den F i g. 4a, 4b und 5a, 5b und 5c dargestellte System wird als ein »zwei aus drei« redundantes Schutzsystem bezeichnet, da drei Betätigungsglieder vorhanden sind, von denen aber nur zwei richtig zu arbeiten brauchen, um die Auslösefunktion auszuführen.
In den Fig. 6a und 6b ist ein »drei aus vier« redun-
J5 dantes Schutzsystem gezeigt, das eine leicht unterschiedliche logische Matrix verwendet. F i g. 6a zeigt einen dreipoligen Druckschalter 43. Die verwendete Be^ -zeichnung ist die gleiche, wie die vorstehend verwendete in Verbindung mit einem Betätigungsglied A, das Kontaktpaare .4-1, A-2,A-3 betätigt.
F i g. 6b zeigt die Schaltungsmatrix mit vier Reihenzweigen (oder logischen UND-Verbindungen), die einander parallel geschaltet sind, um so eine ODER-Verbindung zu bilden. Ein erster Reihenzweig enthält Kontakte A-i, ß-1. C-I. Ein zweiter Reihenzweig weist Kontakte ß-2, C-2. D-i auf. Ein dritter Reihenzweig enthält Kontakte C-3. D-X, A-2 und ein vierter Reihenzweig enthält Kontakte D-3, A-3 und ß-3. Alle vier Reihenzweige sind durch Leiter 36,37 parallel geschaltet, und die Gesamtschaltung ist dann mit einer Spannu^gsquel-Ie und einer Relaisspule 7 verbunden.
Fig.7 ist ein logisches Diagramm entsprechend der in Fig.6b gezeigten Schaltung. Logische UND-Vorrichtungen 38, 39, 40 und 41 entsprechen den vier Reihenzweigen des Schaltbildes, während die logische ODER-Vorrichtung 42 der Parallelverbindung der vier Reihenzweige entspricht Wie aus dieser Figur hervorgeht, weist jede der logischen UND-Vorrichtungen drei Eingänge von einer betätigten Vorrichtung von jeweils drei getrennten Betätigungsgliedern auf. Beispielsweise hat die UND-Vorrichtung 38 einen Eingang von den ·■ betätigten Vorrichtungen A-X B-3 und D-3. Die logische ODHR-Vorrichtung 42 hat einen Eingang von jeder der ; UND-Vorrichtungen. Indem den Zweigen gefolgt wird, /
b5 wird deutlich, daß ein Betätigungsglied getestet bzw. }■■=. geprüft werden kann, ohne daß das System ausgeschal- ;r tet bzw. ausgelöst wird. Es kann aber eine Unterscheidung zwischen einer normalen Auslösung und einem
Fehler von einer betätigten Vorrichtung durch die Monitoren M getroffen werden.
Das System wird ausgelöst, wenn es dies trot/. Fehler einzelner Elemente tür notwendig hält. Beispielsweise ist das System hier während einer versuchten Auslösung 1S bei einem Fehler gezeigt, bei dem die Kontakte ß-2 und C-I nicht richtig schließen. Die Auslösung geht in gewünschte Weise vor sich.
F i g. 8 ist eine Verallgemeinerung des logischen Diagrammes der Fig.5a—5c, indem »s« Betätigungsglieder vorhanden sind, die jeweils einen Satz von »n« betätigten Vorrichtungen aufweisen. Es sei darauf hingewiesen, daß »n« kleiner ist als »s«, um für die Fähigkeit zu sorgen, daß ein Betätigungsglied ohne Abschaltung bzw. Auslösung des Systems geprüft wird. ι ■>
Es sind »s« logische ODER-Vorrichtungen mit jeweils »n« Eingängen vorgesehen. Jede der ODER-Vorriehtungen hat einen Ausgang, die insgesamt «5« Eingangsgrößen an eine logische UND-Vorrichtung 'liefern, weiche einen einzigen Ausgang besitzt, der für einen Schutz des Betriebssystems angeschlossen ist.
Fig.9 zeigt eine Verallgemeinerung des logischen Diagrammes gemäß Fig.7 und zeigt die Umkehrung der Lage der logischen UND- und ODER-Vorrichtungen, die als funktionell komplementäre Vorrichtungen angesehen werden. Wiederum ist es erforderlich, daß die Zahl »n« in jedem Satz der betätigten Vorrichtungen kleiner ist als die Zahl «seeder Betätigungsglicdcr.
Es gibt zahlreiche elektrische, mechanische, fluidische, hydraulische oder pneumatische Anordnungen, die zur Auboildung der logischen ODER- und UND-Vorriehtungen verwendet werden können, die zur Darstellung des Prinzips der vorliegenden Erfindung benutzt wurden. Logische Festkörperbauteile, die auf zwei Niveaus einer Eingangsspannung arbeiten, sind kommer- « ziell erhältlich, und die äquivalenten Anordnungen können von dem Fachmann in einem digitalen Computer auch programmiert werden.
Hierzu 5 Blatt Zeichnungen
45
60
b5

Claims (2)

Patentansprüche: ·
1. Redundantes Schutzsystem für ein Betriebssystem zur Feststellung einer Änderung im Zustand desselben und zur Ergreifung von Gegenmaßnahmen, wobei eine Anzahl »s« von Betätigungsgliedern auf die Zustandsänderung ansprechen und jedem Betätigungsglied »n« Schalterkontakte zugeordnet sind, wobei »n« kleiner als »s« ist und wobei die Schalterkontakte von der Anzahl »s« mal »n« so angeordnet sind, daß jeweils »n« Kontakte von verschiedenen Betätigungsgliedern »s« Parallel- bzw. Serienschaltungen bilden, die ihrerseits in Serie bzw. parallel geschaltet sind und wobei die gesamte Serien- bzw. Parallelschaltung in Reihe mit einer Spannungsquelle und.einem Auslöseorgan zur Ergreifung der Gegenmaßnahmen liegt, dadurch gekennzeichnet, daß jedem Schalterkontakt bzw. jeder Parallelschaltung von Schalterkontakten (A-I. B-2; S-I, C-2; C-I, A-2) ein Spannungsmesser (28—30; 35: M) parallel geschaltet ist zur Überwachung der zugeordneten Kontakte.
2. Redundantes Schutzsystem nach Anspruch 1, dadurch gekennzeichnet, daß die »s« Betätigungsglieder (A—Q drei Strömungsmitteldruckmembranen sind, die jeweils »n« = 2 Schalterkontakte (Ai, A-2; B-I, B-2; C-I, C-2) betätigen und daß drei Parallelschaltungen von jeweils zwei Kontakten (Ai, B-2; B-\, C-2; C-I. A-2) von unterschiedlichen Betäligungsglieaern (A, B, C) \a Reihe geschaltet sind.
DE2241453A 1971-09-02 1972-08-23 Redundantes Schutzsystem Expired DE2241453C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US17730971A 1971-09-02 1971-09-02

Publications (2)

Publication Number Publication Date
DE2241453A1 DE2241453A1 (de) 1973-03-15
DE2241453C2 true DE2241453C2 (de) 1984-07-19

Family

ID=22648098

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2241453A Expired DE2241453C2 (de) 1971-09-02 1972-08-23 Redundantes Schutzsystem

Country Status (4)

Country Link
US (1) US3748540A (de)
JP (1) JPS4835336A (de)
CH (1) CH554034A (de)
DE (1) DE2241453C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19951174A1 (de) * 1999-10-23 2001-04-26 Dieter Rech Anordnung zur Durchflußbegrenzung
DE19962429B4 (de) * 1998-12-23 2004-02-12 Erk Eckrohrkessel Gmbh Verfahren zur Überwachung und Regelung des Betriebszustandes von Dampfkesseln

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5119021A (ja) * 1974-08-08 1976-02-16 Ina Seito Kk Tairuchikomipurekyasutokonkuriitobanno seizohoho oyobi sonojitsushiniryosuru mejidanseitai
US4001654A (en) * 1975-07-31 1977-01-04 General Electric Company Testable protective system
JPS52150429A (en) * 1976-06-09 1977-12-14 Method of producing styleestrippcovered precast concrete board
US4318093A (en) * 1980-02-25 1982-03-02 General Electric Company Logic circuit monitor
DE3126587A1 (de) * 1980-07-07 1982-05-27 Imperial Chemical Industries Ltd., London "abschaltsystem"
DE3363430D1 (en) * 1982-11-01 1986-06-12 Bbc Brown Boveri & Cie Protective circuit arrangement for a high-voltage switchgear installation
US4625205A (en) * 1983-12-08 1986-11-25 Lear Siegler, Inc. Remote control system transmitting a control pulse sequence through interlocked electromechanical relays
US4696785A (en) * 1985-10-31 1987-09-29 Westinghouse Electric Corp. Testable voted logic power circuit and method of testing the same
US4664870A (en) * 1985-10-31 1987-05-12 Westinghouse Electric Corp. Testable voted logic power interface
US4687623A (en) * 1985-10-31 1987-08-18 Westinghouse Electric Corp. Self-compensating voted logic power interface with tester
JP2718714B2 (ja) * 1988-09-19 1998-02-25 岩手ハネダコンクリート株式会社 タイル先付けプレキャスト版の製造方法
US6381506B1 (en) 1996-11-27 2002-04-30 Victor Grappone Fail-safe microprocessor-based control and monitoring of electrical devices
US6484974B1 (en) 2001-09-10 2002-11-26 Union Switch & Signal, Inc. Controller for switch machine
EP2147202B1 (de) * 2007-04-19 2012-02-01 Volvo Lastvagnar AB Verfahren und anordnung zur überwachung eines injektors
KR101589480B1 (ko) * 2014-06-13 2016-01-28 엘에스산전 주식회사 차단기 및 차단기 제어 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1561225A (en) * 1924-03-11 1925-11-10 Western Electric Co Method and means for measuring time
DE1176288B (de) * 1962-06-01 1964-08-20 Siemens Ag Reaktorsicherheitsschaltung nach dem 2-von-3-System
US3510760A (en) * 1966-10-14 1970-05-05 Bell Telephone Labor Inc Method for measuring contact resistance in magnetically operable switches by accounting for flux interactions

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19962429B4 (de) * 1998-12-23 2004-02-12 Erk Eckrohrkessel Gmbh Verfahren zur Überwachung und Regelung des Betriebszustandes von Dampfkesseln
DE19951174A1 (de) * 1999-10-23 2001-04-26 Dieter Rech Anordnung zur Durchflußbegrenzung

Also Published As

Publication number Publication date
DE2241453A1 (de) 1973-03-15
CH554034A (de) 1974-09-13
JPS4835336A (de) 1973-05-24
US3748540A (en) 1973-07-24

Similar Documents

Publication Publication Date Title
DE2241453C2 (de) Redundantes Schutzsystem
EP0038947B1 (de) Programmierbare logische Anordnung
DE3041521C2 (de)
DE2254250C3 (de) Drehzahlbegrenzungseinrichtung fur eine Turbine
DE2710517A1 (de) Steuersystem mit zwei oder mehr kanaelen
DE102009009875A1 (de) Einrichtung zur Erfassung von Fehlfunktionen elektromagnetischer Bremsen von Robotern
DE3322509C2 (de)
DE2630234C2 (de) Schutzeinrichtung für Maschinenanlagen gegenüber Betriebsstörungen
DE60223827T2 (de) Schnittstellenmodul für eine gesteuerte komponente
DE2730738C2 (de) Steuerung für eine druckmittelbetätigte Stellgliedanordnung
EP1594021A1 (de) Schaltungsanordnung sowie Verfahren zum Testen von Relaisschaltkontakten einer digitalen Ausgangsschaltung
DE1931296A1 (de) Redundantes Steuer- oder Regelsystem
DE2749668A1 (de) Pruefeinrichtung
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
EP3406025B1 (de) Motorstarter und diagnoseverfahren
EP3839683A1 (de) System mit selbstprüffunktion und verfahren zum verifizieren der selbstprüffunktion eines systems
DE3040367C2 (de)
DE2023117B2 (de) Ausfallsicheres Steuersystem zur UEbertragung von digitalen Informationen
DE3209718A1 (de) Funktionssichere steuereinrichtung
DE921457C (de) Schaltungsanordnung zum Pruefen des Belegungszustandes einer Gruppe von Leitungen, insbesondere in Fernsprechanlagen mit Waehlerbetrieb
DE1463398C (de) Anordnung zur Signalumsetzung und Fehlerüberwachung fur zweikanalige Steue rungen
DE1161979B (de)
CH565407A5 (en) Monitoring system for control data processor - needs only one failsafe element for dynamic functional control
DE1537898C (de) Prüfeinrichtung fur eine mehrere Kop pelstufen umfassende Koppelanordnung
DE2503997C3 (de) Schaltungsanordnung für Steuermatrizen von Koppelvielfachen in Fernmeldeanlagen, insbesondere Fernsprechvermittlungsanlagen

Legal Events

Date Code Title Description
OD Request for examination
D2 Grant after examination
8364 No opposition during term of opposition