DE2814031C2 - Verfahren zur Selbstanzeige von Ausfällen eines statisch ansprechenden Sicherheitsmoduls sowie Modul dafür - Google Patents

Verfahren zur Selbstanzeige von Ausfällen eines statisch ansprechenden Sicherheitsmoduls sowie Modul dafür

Info

Publication number
DE2814031C2
DE2814031C2 DE2814031A DE2814031A DE2814031C2 DE 2814031 C2 DE2814031 C2 DE 2814031C2 DE 2814031 A DE2814031 A DE 2814031A DE 2814031 A DE2814031 A DE 2814031A DE 2814031 C2 DE2814031 C2 DE 2814031C2
Authority
DE
Germany
Prior art keywords
circuit
frequency
beat
logic
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired
Application number
DE2814031A
Other languages
English (en)
Other versions
DE2814031A1 (de
Inventor
Jean Choisel Lejon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Controle Bailey SA
Original Assignee
Controle Bailey SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Controle Bailey SA filed Critical Controle Bailey SA
Publication of DE2814031A1 publication Critical patent/DE2814031A1/de
Application granted granted Critical
Publication of DE2814031C2 publication Critical patent/DE2814031C2/de
Expired legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K19/00Logic circuits, i.e. having at least two inputs acting on one output; Inverting circuits
    • H03K19/003Modifications for increasing the reliability for protection
    • H03K19/00392Modifications for increasing the reliability for protection by circuit redundancy

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Logic Circuits (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zur Selbstanzeige von Ausfällen eines Moduls für statische Auslösung zu Sicherheitszwecken sowie ein Modul zur Durchführung des Verfahrens. Die Erfindung ist anwendbar bei der Verwirklichung von automatischen Sicherheitssystemen, die zur Überwachung oder Steuerung bzw. Regelung des richtigen Betriebszustandes bestimmter Vorrichtungen und Anlagen dienen können, wie beispielsweise von Kernreaktoren.
  • Ein Sicherheitsauslöser empfängt von Fühlern stammende Informationen, wie beispielsweise von Thermopaaren, Strahlungsdetektoren, usw., und steuert Sicherheitsglieder wie beispielsweise Ventile, Regelstäbe, usw. derart, daß dann, wenn einer der von den Fühlern gemessenen Parameter den Sicherheitsbereich verläßt, der ihm zugeordnet ist, die Sicherheitsglieder betätigt werden, um jede Unfallsgefahr zu vermeiden.
  • Aus der DE-AS 24 14 448 ist eine Vorrichtung zur Anzeige eines Funktionsfehlers bekannt, die zwei parallel angeordnete Logikschaltungen aufweist, wobei diese Schaltungen abwechselnd durch eine Speisespannung mittels Kommutatoren gesteuert werden.
  • Es ist auch eine statische Auslösung bekannt, deren Betriebsweise auf stabilen Logikzuständen beruht, die die Glieder, die dazu verwendet sind, einnehmen können, im Gegensatz zur sog. dynamischen Auslösung, bei der zumindest einer der Zustände eine Umschaltung von einem Zustand zu einem anderen entspricht, beispielsweise einer Umschaltung vom Zustand "0" zum Zustand "1".
  • Das Modul gemäß der Erfindung wirkt vorteilhaft gemäß einer Logik, die Majorität der Summen genannt wird. Das bedeutet, daß das Ausgangssignal der Logik die arithmetische Summe der von verschiedenen Logikzweigen zugeführten oder erzeugten Elementarsignale ist. Wenn beispielsweise vier Elementar-Logiken parallel vorgesehen sind, die in zwei Halbblöcken mit jeweils zwei Logiken verteilt sind, wird am Ausgang der Logik die arithmetische Summe von vier Elementarsignalen erhalten. Wenn drei Signale von vieren ausreichend sind, um ausgangsseitig den Majoritäts-Logikzustand aufrechtzuerhalten, wird eine Redundanz von 3 zu 4 erhalten.
  • Beim Auftreten des ersten Fehlers in einem System mit der Redundanz 3/4 mit Majoritätslogik geschieht nichts und die Betriebssicherheit ist sichergestellt. Andererseits ist es unerläßlich, ein derartiges System durch eine Fehleranzeige zu vervollständigen, damit dieser sofort beseitigt werden kann, da ein zweiter Fehler auftreten könnte, was in diesem Fall ausgangsseitig einen Logikfehler nach sich ziehen würde.
  • Es ist möglich, ein periodisches Prüfverfahren der Elemente des Systems zu verwenden, um sich deren guter oder richtiger Wirkungsweise zu vergewissern, jedoch ist diese Vorgehensweise wenig üblich, da die Prüfzeitdauer sehr kurz sein muß, da, wenn die redundanten Elemente identisch sind, die Wahrscheinlichkeit aufeinanderfolgender Fehler in der Jugend- oder Anfangsperiode und in der Altersperiode des Systems ziemlich groß ist.
  • Unabhängig von der verwendeten Prüfvorrichtung muß sie störunanfällig sein, was auch einen hohen Preis der redundanten Systeme zur Folge hat. Zur Verdeutlichung dieses Preises kann als Grundlage die klassische elektromechanische Relaisschaltung, die spannungsfrei arbeitet, verwendet werden, die einen bescheidenen Sicherheitsgrad besitzt, die auf die Richtung von am häufigsten auftretenden Pannen oder Ausfällen begrenzt ist, wobei das Fehlen der Spannung die Sicherheitswirkung auslöst. Der Preis von Systemen mit der Redundanz 3/4 mit Fehleranzeige und mit der Möglichkeit des Austausches des ausfallenden Elements ohne Unterbrechung des Betriebs der Gesamtanordnung liegt im Bereich von etwa dem 4 bis 5fachen einer elektromechanischen Relaisschaltung.
  • Bei der Erfindung werden Auslöser betrachtet, die im wesentlichen die gleiche Leistung bezüglich Sicherheit, Fehleranzeige, Fehlerbeseitigungsmöglichkeit während des Betriebes besitzt, jedoch geringeren Preis aufweist, der in der Größenordnung von dem 1,6 bis 2fachen des Preises der üblichen elektromagnetischen Relaisschaltung entspricht.
  • Dieser Preis liegt in der Größenordnung desjenigen für Systeme mit der Redundanz 2 und mit Gültigkeitsprüfung, d. h. für Systeme, bei denen ein Vergleicher die Befehle im Fall einer Konkordanz gültig macht und sie blockiert im Fall einer Nichtkonkordanz, wobei der Vergleicher im allgemeinen nicht redundant ist, jedoch periodisch geprüft wird. Das erfindungsgemäße System mit im wesentlichen gleichem Preis ist leistungsfähiger als diese Systeme mit Redundanz 2 und mit Gültigkeitsprüfung, da es mit Selbstanzeigeeinrichtungen versehen ist, die absolut sicher sind.
  • Es ist daher Aufgabe der Erfindung, die Kosten von Sicherheitsauslösesystemen äquivalenter Leistung zu verringern oder, was auf dasselbe hinausläuft, die Leistungsfähigkeit derartiger Systeme bei äquivalentem Preis zu erhöhen.
  • Um dies zu erreichen, wird wie folgt vorgegangen. Ein statisch auslösendes Modul weist im allgemeinen zumindest zwei Logikschaltungen auf, die parallel geschaltet sind und einen ersten Anschluß für positive Gleich-Versorgung und einen zweiten Anschluß für negative Gleich-Versorgung oder für Null-Versorgung aufweist, wobei der Ausgang jeder Logikschaltung den einen oder den anderen von zwei Logikzuständen aufweisen kann, abhängig davon, ob er mit dem ersten oder dem zweiten Versorgungs-Anschluß verbunden ist. Gemäß der Erfindung wird, um die Selbstanzeige von Ausfällen oder Fehlern zu erreichen, den Versorgungs-Gleichspannungen Wechselspannungen unterschiedlicher Frequenzen überlagert, wird das Auftreten bzw. Vorhandensein von Überlagerungen zwischen den Wechselspannungen erfaßt, die an den Ausgängen auftreten und wird ausgehend vom Vorhandensein oder vom Nichtvorhandensein der Überlagerungen oder Schwebungen der Fall der Nichtkonkordanz der Logikzustände der Schaltungen angezeigt.
  • Gemäß einem wegen seiner Einfachheit bevorzugten Ausführungsbeispiel wird der positiven oder Plus-Versorgung eine Spannung der Frequenz F&sub1; für die erste Schaltung und eine Spannung der Frequenz F&sub2; für die zweite Schaltung überlagert, wird der negativen oder Minus-Versorgung eine Spannung der Frequenz F&sub2; für die erste Schaltung und eine Spannung der Frequenz F&sub1; für die zweite Schaltung überlagert, wird das Vorhandensein einer Schwebung zwischen den beiden Frequenzen zwischen den Ausgängen der beiden Logikschaltungen erfaßt und wird ein Signal für guten Betriebszustand während des Vorhandenseins der Schwebung abgegeben, wobei jeder Ausfall oder jede Störung eines Elements des Moduls durch die Abwesenheit des Signals für guten oder richtigen Betriebszustand signalisiert wird.
  • Bei einem komplizierteren Ausführungsbeispiel können vier Spannungen unterschiedlicher Frequenz F&sub1;, F&sub2;, F&sub3;, F&sub4; verwendet werden und aus dem Vorhandensein oder dem Nichtvorhandensein von Schwebungen oder Überlagerungen der verschiedenen Frequenzen der Fehlerfall oder Störungsfall abgeleitet werden.
  • Die Erfindung betrifft auch ein Modul für statische Sicherheits-Auslösung zur Durchführung des erläuterten Verfahrens von der Art, die zumindest zwei identische parallel angeordnete Logikschaltungen aufweist, wobei jede Schaltung einen ersten positiven oder Plus-Gleich-Versorgungsanschluß und einen zweiten negativen oder Minus-Gleich-Versorgungsanschluß aufweist, wobei der Ausgang der Schaltung den einen oder den anderen der zwei Logikzustände aufweisen kann, abhängig davon, ob er mit dem ersten oder dem zweiten Versorgungsanschluß verbunden ist. Dieses Modul zeichnet sich dadurch aus, daß es darüber hinaus eine Einrichtung zur Selbstanzeige eines Ausfalls eines Elements des Moduls aufweist, wobei diese Einrichtung durch Wechselspannungsquellen für Wechselspannungen unterschiedlicher Frequenzen gebildet ist, die in die Versorgungsanschlüsse oder Verbindungen eingesetzt sind, sowie durch Einrichtungen zur Erfassung des Vorhandenseins von Schwebungen zwischen den Wechselspannungen, die an den Ausgängen der Schaltungen auftreten und zum Anzeigen, ausgehend vom Vorhandensein oder vom Nichtvorhandensein der Schwebungen der Fälle von Nichtkonkordanz der Logikzustände.
  • Gemäß einem bevorzugten Ausführungsbeispiel zeichnet sich das Modul dadurch aus, daß es in den Plus-Versorgungsanschlüssen bzw. -verbindungen eine Wechselspannungsquelle der Frequenz F&sub1; für die erste Schaltung und eine weitere Quelle der Frequenz F&sub2; für die zweite Schaltung aufweist und in den negativen oder Minus-Versorgungsanschlüssen bzw. -verbindungen eine Wechselspannungsquelle der Frequenz F&sub2; für die erste Schaltung und eine weitere Quelle der Frequenz F&sub2; für die zweite Schaltung aufweist, wobei die Erfassungsschaltung der Schwebung zur Erfassung der Anwesenheit einer Schwebung zwischen den beiden Frequenzen zwischen den Ausgängen der beiden Logikschaltungen vorgesehen ist sowie zum Steuern einer Einrichtung zur Abgabe eines Signals für guten oder richtigen Betriebszustand während des Vorhandenseins der Schwebung, wobei jeder Fehler oder jeder Ausfall eines Elements des Moduls durch das Nichtvorhandensein des Signals für guten Betriebszustand signalisiert wird.
  • Schließlich gibt die Erfindung eine statische Sicherheitsauslösung mit Redundanz 3/4 an, mit einer Logik für Majorität der Summen und mit Selbstanzeige von Ausfällen, die sich dadurch auszeichnet, daß zwei wie bereits erläutert ausgebildete Module parallel geschaltet verwendet werden.
  • Die Erfindung wird anhand der in der Zeichnung dargestellten Ausführungsbeispiele näher erläutert. Es zeigt
  • Fig. 1 ein Blockschaltbild einer Schaltung gemäß der Erfindung mit zwei Modulen und für Majoritätssummenlogik für den Fall, daß die Logikschaltungen UND-Glieder sind;
  • Fig. 2 schematisch den Zustand der Komponenten des Moduls gemäß Fig. 1, wenn dieses im Zustand "0" ist;
  • Fig. 3 schematisch den Zustand der Komponenten des gleichen Moduls, wenn dieses im Zustand "1" ist;
  • Fig. 4 schematisch den Zustand des gleichen Moduls im bezüglich der Sicherheit ungünstigsten Zustand;
  • Fig. 5 schematisch den Aufbau eines Moduls, das vier Wechselsignale unterschiedlicher Frequenz verwendet;
  • Fig. 6 den Zustand der Schaltung gemäß Fig. 5 im ungünstigen Fall eines Kurzschlusses an einem der Transistoren;
  • Fig. 7 den Zustand der gleichen Schaltung in anderem ungünstigen Zustand eines Kurzschlusses an einem der Transistoren
  • Fig. 8 den Aufbau eines erfindungsgemäßen Moduls unter Verwendung von CMOS-Transistoren.
  • Das Prinzip des Verfahrens und des Moduls gemäß der Erfindung kann anhand der Fig. 1 erläutert werden im besonderen nicht einschränkenden Fall, in dem die verwendeten Logikschaltungen die UND-Funktion erfüllen. Selbstverständlich ist die Erfindung nicht auf diesen einzigen Fall beschränkt und es können in gleicher Weise andere Funktionen erfüllende Schaltungen verwendet werden, wie ODER-Funktion, Speicher-Funktion, Verzögerungs-Funktion, Invertierungs-Funktion, Eingangs-Funktion, Ausgangs-Funktion usw.
  • Im Fall einer Schaltung mit Majoritätssummenlogik mit Redundanz 3/4 werden vier Zeige, d. h. hier vier UND-Glieder 1, 2, 3, 4 parallel verwendet, wobei deren Ausgänge verbunden sind. Deren Eingänge sind mit Signaleingängen E&sub1; und E&sub2; verbunden und deren Ausgänge sind mit dem einzigen Ausgang S verbunden. Die Gesamtanordnung teilt sich in zwei identische Halbblöcke A und B auf für den Fall einer Schaltung mit Redundanz 3/4, jedoch kann selbstverständlich nur ein einziger dieser Halbblöcke verwendet werden, um eine Redundanz 2 zu erreichen.
  • In diesem Fall kann der Ausfall oder die Störung einer Komponente bzw. eines Bauelements einen falschen Logikzustand nach sich ziehen, wobei einzig die augenblickliche Erfassung dieser Wahrscheinlichkeit des Fehlerzustands durch die Überlagerungs- oder Schwebungsanordnung erreicht wird in Hinsicht auf beispielsweise Steuern einer Gültigkeitseinrichtung.
  • Weil alle Verknüpfungsglieder der Schaltung gemäß Fig. 1 identischen Aufbau besitzen, genügt es, ein einziges zu erläutern, beispielsweise das Verknüpfungsglied 1. Dessen beide Eingänge sind mit den Signaleingängen E&sub1; und E&sub2; über zwei gleiche Widerstände R e verbunden und dessen Ausgang ist mit dem einzigen Ausgang S über einen Widerstand R s verbunden. Das Verknüpfungsglied 1 besitzt zwei Versorgungsanschlüsse oder -leitungen, deren erster P&spplus;&sub1; mit dem positiven oder Plus-Pol einer Gleichspannungsquelle P verbunden ist, deren zweiter P -&sub1; mit dem negativen oder Minus-Pol der Gleichspannungsquelle P verbunden ist. Gemäß der Erfindung ist eine erste Wechselspannungsquelle 10 der Frequenz F&sub1; an der Leitung oder am Anschluß P&spplus;&sub1; und eine zweite Wechselspannungsquelle 11 der Frequenz F&sub2; in der Leitung bzw. am Anschluß P -&sub1; vorgesehen. Im folgenden sei angenommen, daß F&sub1; größer ist als F&sub2;.
  • Der Aufbau des Verknüpfungsglieds 2 ist analog mit dem Unterschied, daß die Anordnung der Wechselspannungsquellen symmetrisch ist, d. h., daß die Quelle 12 die am Anschluß P&spplus;&sub2; angeordnet ist, eine Frequenz F&sub2; besitzt und daß die Wechselspannungsquelle 13 am Anschluß P -&sub2; eine Frequenz F&sub1; besitzt.
  • Die Wechselspannungsquellen können durch einen Oszillator gebildet sein, der beispielsweise in der Primärwicklung eines Transformators angeordnet ist, dessen Sekundärwicklung in Reihe mit der Versorgungsleitung geschaltet ist.
  • Zwischen den Ausgängen der beiden Verknüpfungsglieder 1, 2 ist eine Schaltung 14 angeordnet, die zum Erfassen des Vorhandenseins eines Signals auf der Schwebungsfrequenz f zwischen F&sub1; und F&sub2;, beispielsweise F&sub1;-F&sub2;, ausgebildet ist. Beim dargestellten Ausführungsbeispiel enthält diese Schaltung 14 einen Detektorverstärker 16, eine auf die Schwebungsfrequenz f abgestimmten Kreis 18, der eine Einrichtung 20 zur Abgabe eines Überwachungssignals steuert, wobei diese Einrichtung 20 eine Lichtanzeige sein kann beispielsweise eine lichtemittierende Diode LED.
  • Der Halbblock B gibt identisch den Aufbau des Halbblocks A wieder.
  • Die Wirkungsweise des Moduls A ist folgende. Die beiden Logikzustände, die am Ausgang jedes der Verknüpfungsglieder 1, 2auftreten können, entsprechen den beiden Fällen, bei denen der Ausgang des Verknüpfungsglieds entweder mit dem positiven Versorgungsanschluß oder mit dem negativen Versorgungsanschluß verbunden ist. Anders ausgedrückt, ist die am Ausgang des Verknüpfungsglieds auftretende Spannung die eine oder die andere der Spannungen, die an den Versorgungsanschlüssen auftritt. Im folgenden wird die Ausdrucksweise, daß der Ausgang auf dem Zustand "1" ist, verwendet, wenn die Spannung positiv ist, und daß der Ausgang auf dem Zustand "0" ist, verwendet, wenn die Spannung negativ ist. Selbstverständlich kann eine dieser Spannungen Null sein.
  • Da die Gleichspannungen durch die Wechselspannungen, die ihr überlagert sind, moduliert sind, treten diese Wechselspannungen am Ausgang der Verknüpfungsglieder auf. Daher wird, wenn die Logikzustände der Verknüpfungsglieder 1, 2 identisch sind, an den Ausgängen der Verknüpfungsglieder 1, 2 mit den Frequenzen F&sub1; bzw. F&sub2; modulierte Signale erhalten, wenn der Zustand "1" ist, und Signale, die mit den Frequenzen F&sub2; bzw. F&sub1; moduliert sind, wenn der Zustand "0" ist. In allen Fällen hat lediglich die Konkordanz der Logikzustände das simultane Auftreten der Frequenzen F&sub1; und F&sub2; zwischen den beiden Ausgängen zur Folge.
  • Der Detektorvertärker 16 bewirkt anschließend eine Schwebung oder Überlagerung zwischen den beiden Frequenzen und steuert die LED 20 über den Kreis 18, der beispielsweise auf die Frequenz f = F&sub1; - F&sub2; abgestimmt ist. Jeder Fehler beliebiger Art des Detektors hat ein Verschwinden der Schwebung zur Folge und in keinem Fall eine unzeitgemäße Schwebung. Die Sicherheit ist absolut in Höhe der Erfassung.
  • In den Fig. 2 und 3 ist ausführlicher der Aufbau der Verknüpfungskreise dargestellt für den Fall, in dem beispielsweise die Verknüpfungsglieder durch CMOS-Transistoren gebildet sind. Es handelt sich dabei um eine Metalloxid- Halbleiter-Technologie, die komlementäre Transistorpaare verwendet, d. h. deren einer Kanal vom P-Typ und deren anderer Kanal vom N-Typ ist. Ein ausführliches Ausführungsbeispiel derartiger Verknüpfungsglieder wird anhand Fig. 8 erläutert werden.
  • Im betrachteten Fall verringert sich ein UND-Glied schematisch auf ein Transistorpaar, bei dem ausgangsseitig des Verknüpfungsgliedes dieses mit je einem der Versorgungsanschlüsse verbunden ist, wobei einer der Transistoren leitend ist, während der andere gesperrt ist und umgekehrt. Der Zustand der Transistoren wird durch die Eingangssignale vorgegeben oder gesteuert. Für CMOS-Transistoren entspricht der Leitzustand im wesentlichen einem Widerstand von 300 Ω und der Sperrzustand einem Widerstand der Größenordnung von 10¹¹Ω. In den Fig. 2 und 3 sind daher die die Verknüpfungsglieder 1, 2 bildenden Transistoren mit T&sub1; und T&sub2; für das erste Verknüpfungsglied und mit T&sub3;, T&sub4; für das zweite Verknüpfungsglied bezeichnet und schematisch wie Umschalter dargestellt.
  • Fig. 2 zeigt den Zustand der Transistoren, wenn die Ausgänge der Verknüpfungsglieder auf dem Zustand "0" sind und Fig. 3 zeigt den Zustand der gleichen Transistoren, wenn die Ausgänge auf dem Zustand "1" sind. Selbstverständlich erfaßt in beiden Fällen die Schaltung 14 und gibt die Überlagerung oder Schwebung bei der Frequenz F&sub1;-F&sub2; wieder.
  • In allen Fällen einer Änderung des Logikzustands am Ausgang eines Verknüpfungsglieds erfolgt die Erfassung richtig durch paarweisen Vergleich der Ausgänge ohne mögliche Doppeldeutigkeit. Diese Anordnung hat den doppelten Vorteil, daß sie einerseits einfach ist und daß sie andererseits den autonomen Betrieb jedes Moduls oder Halbmoduls ermöglicht, wodurch das Ersetzen eines fehlerhaften Moduls in einem System möglich ist, das deren mehrere parallel verwendet, ohne den Betrieb des Systems zu unterbrechen.
  • Nichtsdestoweniger ist ein ungünstiger Fall vorstellbar, der derjenige ist, bei dem einer der Transistoren kurzgeschlossen ist und genau einen Widerstand von 300 Ω besitzt, einen Wert, der am ungünstigsten ist, während er geöffnet oder durchgeschaltet sein sollte und einen Widerstand von 10¹¹Ω besitzen sollte. Die Lage ist daher so, wie in Fig. 4 dargestellt, wobei die Bezeichnungen gemäß Fig. 2 und 3 verwendet sind. Die Verknüpfungsglieder sind im Zustand "0" jedoch besitzt der Transistor T&sub3; des Verknüpfungsgliedes 2 einen Kurzschluß von 300 Ω, was genau der Widerstandswert des Transistors T&sub4; ist. Der Detektor 16 empfängt noch die beiden Frequenzen F&sub1; und F&sub2;: Die Frequenz F&sub2; über den Transistor T&sub2; jedoch auch über den Transistor T&sub3; mit jedoch einer halbierten Amplitude aufgrund der beiden gleichen Widerstände T&sub3; und T&sub4;. Weil die beiden Signale der Frequenz F&sub2; an zwei verschiedenen Eingängen des Differenzverstärkers 16 angelegt sind, ist die Wirkamplitude des Signals der Frequenz F&sub2; durch 2 geteilt. Das Signal der Frequenz F&sub1; wird dem Verstärker 16 über den Transistor T&sub4; übertragen, jedoch wird dessen Amplitude durch den Transistor T&sub3; auf die Hälfte reduziert.
  • Daraus folgt, daß bei diesem ungünstigen Fall die Wechselsignale eine auf die Hälfte verringerte Amplitude besitzen. Das Schwebungssignal besitzt daher ebenfalls eine auf die Hälfte reduzierte Amplitude, wodurch beispielsweise durch einen Schwellenwertkreis der Ausfall oder der Fehler des Moduls unzweideutig erfaßt werden kann.
  • Falls irgendeine Erfassungsschwierigkeit bei einem Fall dieser Art auftreten sollte, ist es jederzeit möglich gemäß der Erfindung ein System mit vier Frequenzen anstatt mit zwei Frequenzen zu verwenden, wie das in den Fig. 5 bis 7 dargestellt ist.
  • In Fig. 5 weist ein Modul mit zwei UND-Gliedern 1 bzw. 2 vier Wechselspannungsgeneratoren 21, 22, 23, 24 mit Frequenzen F&sub2;, F&sub3;, F&sub1; bzw. F&sub4; auf. Im Fall einer Konkordanz des Zustands "0" wird die Schwebung der Frequenzen F&sub3; und F&sub4; erfaßt und im Fall der Konkordanz des Zustands "1" wird die Schwebung der Frequenzen F&sub1; und F&sub2; erfaßt. Vorteilhaft können die Frequenzen so gewählt werden, daß gilt F&sub1; - F&sub2; = F&sub3; - F&sub4;, wobei im Fall der Konkordanz des Logikzustandes wie bei dem einfacheren Ausführungsbeispiel gemäß Fig. 1 ein Auftreten der Schwebung der gemeinsamen Frequenz f = F&sub1; - F&sub2; = F&sub3; - F&sub4; erfolgt. Jedoch tritt im Fall eines Ausfalls durch Kurzschluß eine andere Schwebungsfrequenz auf, die zum Inhibieren der Anzeige der Schwebung auf der Frequenz f verwendet werden kann sowie zum Anzeigen des Vorhandenseins dieser Schwebung, die ein Anzeichen eines Ausfalls oder Fehlers ist. Die Erfassungsschaltung der Schwebung besitzt daher einen ersten Erfassungskreis 26, der auf die Frequenz f abgestimmt ist und die Diode 28 steuert, sowie eine zweite Erfassungsschaltung 30, die auf eine andere Frequenz abgestimmt ist (F&sub1; - F&sub3;, F&sub2; - F&sub3;, F&sub1; - F&sub4; oder F&sub2; - F&sub4;), wobei diese Erfassungsschaltung 30 eine zweite Diode 32 steuert, die das Vorhandensein eines Fehlers anzeigt oder die die Steuerung der Diode 28 inhibiert oder verhindert.
  • Beispielsweise kann die folgende Gruppe von Frequenzen verwendet werden:
    F&sub1; = 120 kHz,
    F&sub2; = 100 kHz,
    F&sub3; = 60 kHz,
    F&sub4; = 40 kHz,
    für die Schwebungen bei den folgenden Frequenzen auftreten können:
    F&sub1; - F&sub2; = 20 kHz,
    F&sub1; - F&sub3; = 60 kHz,
    F&sub2; - F&sub3; = 40 kHz,
    F&sub2; - F&sub4; = 60 kHz,
    F&sub3; - F&sub4; = 20 kHz,
    F&sub1; - F&sub4; = 80 kHz,
  • Die Schwebung bei der Frequenz 20 kHz ist die Schwebung für guten Betriebszustand und diejenige bei 60 kHz ist die Schwebung für Kurzschluß, wie sich das aus den Fig. 6 und 7 ergibt, die den Einfluß eines Kurzschlusses des Transistors T&sub2; für den Logikzustand "1" bzw. des Transistors T&sub3; für den Logikzustand "0" wiedergegeben.
  • Im ersteren Fall sind die Schwebungen, die auftreten, auf den Frequenzen 20 kHz (die richtige Schwebung, die verhindert werden muß), 60 kHz (die Verhinderungsschwebung) und 40 kHz (eine wirkungslose Schwebung).
  • Im zweiten Fall sind die Schwebungen auf den Frequenzen 60 kHz (Verhinderung), 20 kHz (zu verhindern) und 80 kHz (ohne Einfluß).
  • Fig. 8 zeigt den tatsächlichen Aufbau eines Moduls gemäß der Erfindung, und zwar stets für den besonderen Fall der UND-Verknüpfung und unter Verwendung der CMOS-Technologie. Ein derartiger Aufbau ist an sich bekannt, was die Art und die Verteilung der Transistoren betrifft, wobei die Erfindung diesen verbessert durch die Hinzufügung von Wechselspannungsquellen und von Einrichtungen zur Erfassung von Schwebungen.
  • Die beiden Verknüpfungsglieder 1 und 2 sind identisch, weshalb es ausreicht, lediglich eines zu erläutern, beispielsweise das Verknüpfungsglied 1, das ausführlich im oberen Teil der Zeichnung dargestellt ist. Es enthält CMOS-Transistoren t&sub1;, t&sub2;, t&sub3;, t&sub4;, deren erste P-Kanal-Transistoren sind und parallel geschaltet sind an dem positiven Versorgungsanschluß P&spplus;&sub1; und wobei die beiden letzteren N-Kanal-Transistoren sind und reihengeschaltet sind und mit dem negativen Versorgungsanschluß P -&sub1; verbunden sind. Die Eingangssignale werden den Gate-Anschlüssen der Transistoren t&sub3; und t&sub4; zugeführt.
  • Ein derartiger Aufbau bildet für sich gesehen ein NAND-Glied. Um ein UND-Glied zu erreichen, genügt es, diesem ein NICHT-Glied hinzufügen, das hier durch drei Inverter t&sub5;, t&sub6;, t&sub7; aus zwei komplementären Transistoren gebildet ist, die einerseits vom P-Kanal-Typ und andererseits vom N-Kanal-Typ sind.
  • Die Verbindungen oder Anschlüsse P&spplus;&sub1; und P -&sub1; sind mit einer Gleichspannungsquelle P über Wechselspannungsquellen 10 und 11 für die Frequenz F&sub1; bzw. F&sub2; verbunden.
  • Das Verknüpfungsglied 2 besitzt identischen Aufbau, wobei jedoch die Anordnung der Wechselspannungsquellen symmetrisch ist, d. h. die Quelle der Frequenz F&sub2; ist in der Leitung P&spplus;&sub2; und die Quelle der Frequenz F&sub1; ist in der Leitung P -&sub2; angeordnet.
  • Das Modul ist durch die Erfassungsschaltung 14 der Schwebung F&sub1; - F&sub2; vervollständigt, die zwischen den beiden Ausgängen der Verknüpfungsglieder 1 und 2 angeschlossen ist.
  • Um ein System der Redundanz 3/4 mit Majoritätssummenlogik zu erreichen, genügt es, ein zweites zu dem gemäß Fig. 8 identisches Modul parallel anzuordnen und die vier Ausgänge zu vereinigen.
  • Jede innere Auftrennung oder jeder innere Kurzschluß einer derartigen Schaltung kann nur zu einem unzeitgemäßen Ändern des Logikzustands von "1" nach "0" oder von "0" nach "1" führen, was durch das Verschwinden des von der Einrichtung 14 abgegebenen Lichtsignals angezeigt wird. Eine weitergehende Änderung des Zustandes ist außerordentlich wenig wahrscheinlich außer für das letzte Transistorpaar t&sub7; für das der ungünstigste Fall der Kurzschluß einer der beiden Transistoren auf den genau gleichen Wert des anderen leitenden Transistors ist, ein Fall, der bereits untersucht und gelöst worden ist.

Claims (10)

1. Verfahren zur Selbstanzeige von Ausfällen eines statisch auslösenden Sicherheitsmoduls, mit mindestens einem Paar identischer Logikschaltungen, die parallel angeordnet sind und einen ersten positiven Gleichspannungsversorgungsanschluß und einen zweiten negativen Gleichspannungsversorgungsanschluß besitzen, wobei der Ausgang jeder Logikschaltung den einen oder den anderen von zwei Logikzuständen besitzen kann, abhängig davon, ob er mit dem ersten oder dem zweiten Spannungsversorgungsanschluß verbunden ist, dadurch gekennzeichnet,
daß der positiven und der negativen Gleichspannungsversorgung Wechselspannungen unterschiedlicher Frequenz überlagert werden,
daß das Vorhandensein von Schwebungen zwischen den an den Ausgängen auftretenden Wechselspannungen erfaßt wird und
daß ausgehend vom Vorhandensein oder vom Nichtvorhandensein der Schwebungen der Fall der Nichtkonkordanz der Logikzustände der Schaltungen angezeigt wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
daß den positiven Versorgungsspannungen eine Spannung der Frequenz F&sub1; für die erste Schaltung und eine Spannung der Frequenz F&sub2; für die zweite Schaltung überlagert wird,
daß den negativen Versorgungsspannungen eine Spannung der Frequenz F&sub2; für die erste Schaltung und eine Spannung der Frequenz F&sub1; für die zweite Schaltung überlagert wird,
daß das Vorhandensein einer Schwebung zwischen den beiden Frequenzen zwischen den Ausgängen der beiden Logikschaltungen erfaßt wird, und
daß ein Signal für guten Betrieb abgegeben wird während des Vorhandenseins der Schwebung, wobei jeder Ausfall eines Elements des Moduls durch das Nichtvorhandensein des Signals für guten Betrieb angezeigt wird.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
daß den positiven Versorgungsspannungen eine Spannung der Frequenz F&sub2; für die erste Schaltung und eine Spannung der Frequenz F&sub1; für die zweite Schaltung überlagert wird,
daß den negativen Versorgungsspannungen eine Spannung der Frequenz F&sub3; für die erste Schaltung und eine Spannung der Frequenz F&sub4; für die zweite Schaltung überlagert wird,
daß gilt F&sub1;-F&sub2; = F&sub3;-F&sub4; = f,
daß das Vorhandensein einer Schwebung der Frequenz f zwischen den Ausgängen der beiden Logikschaltungen sowie das Vorhandensein anderer Schwebungen anderer davon verschiedener Frequenzen erfaßt wird, und
daß ein Signal für guten Betrieb abgegeben wird einzig während des Vorhandenseins der Schwebung der Freqenz f, wobei jeder Ausfall eines Elements des Moduls durch das Nichtvorhandensein des Signals für guten Betrieb angezeigt wird.
4. Statisch auslösendes Sicherheits-Modul zur Durchführung des Verfahrens nach Anspruch 1, mit mindestens einem Paar von identischen parallel geschalteten Logikschaltungen, wobei jede Logikschaltung eine erste positive Gleichspannungsversorgung und eine zweite negative Gleichspannungsversorgung aufweist, wobei der Ausgang der Logikschaltung den einen oder den anderen von zwei Logikzuständen besitzen kann, abhängig davon, ob er mit der ersten oder der zweiten Gleichspannungsversorgung verbunden ist, gekennzeichnet durch eine Selbstanzeigeeinrichtung eines Ausfalls eines Elements des Moduls, die durch Wechselspannungsquellen unterschiedlicher Frequenzen eingesetzt sind, und Einrichtungen zum Erfassen des Vorhandenseins von Schwebungen zwischen den Wechselspannungen, die an den Ausgängen der Schaltungen auftreten, und zum Anzeigen, ausgehend vom Vorhandensein oder vom Nichtvorhandensein der Schwebungen, des Falls der Nichtkonkordanz der Logikzustände.
5. Modul nach Anspruch 4, dadurch gekennzeichnet,
daß in den positiven Versorgungsspannungszuführungen eine Wechselspannungsquelle der Frequenz F&sub1; für die erste Schaltung und eine andere Wechselspannungsquelle der Frequenz F&sub2; für die zweite Schaltung vorgesehen ist,
daß in den negativen Versorgungsspannungszuführungen eine Wechselspannungsquelle der Frequenz F&sub2; für die erste Schaltung und eine weitere Wechselspannungsquelle F&sub1; für die zweite Schaltung vorgesehen ist,
daß die Einrichtung zur Erfassung der Schwebung zur Erfassung des Vorhandenseins einer Schwebung zwischen den beiden Frequenzen zwischen den Ausgängen der beiden Logikschaltungen und zum Steuern einer Abgabeeinrichtung eines Signals für guten Betrieb während des Vorhandenseins der Schwebung ausgebildet ist, wobei jeder Ausfall eines Elements des Moduls durch das Nichtvorhandensein des Signals für guten Betrieb anzeigbar ist.
6. Modul nach Anspruch 4, dadurch gekennzeichnet,
daß in den positiven Versorgungsspannungszuführungen eine Wechselspannungsquelle der Frequenz F&sub2; für die erste Schaltung und eine weitere Wechselspannungsquelle der Frequenz F&sub1; für die zweite Schaltung vorgesehen ist,
daß in den negativen Versorgungsspannungszuführungen eine Wechselspannungsquelle der Frequenz F&sub3; für die erste Schaltung und eine weitere Wechselspannungsquelle der Frequenz F&sub4; für die zweite Schaltung vorgesehen ist,
daß gilt F&sub1;-F&sub2; = F&sub3;-F&sub4; = f,
daß die Einrichtung zur Erfassung der Schwebung so ausgebildet ist, daß sie das Vorhandensein einer Schwebung der Frequenz f zwischen den Ausgängen der beiden Logikschaltungen erfaßt sowie das Vorhandensein anderer Schwebungen auf anderen davon verschiedenen Frequenzen und eine Einrichtung zur Signalabgabe eines Signals für guten Betrieb während lediglich des Vorhandenseins der Schwebung der Frequenz f steuert, wobei jeder Ausfall eines Elements des Moduls durch das Nichtvorhandensein des Signals für guten Betrieb anzeigbar ist.
7. Modul nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß die Einrichtung zur Erfassung der Schwebung einen Detektorverstärker (16) mit zwei mit den beiden Ausgängen der Logikschaltungen verbundenen Eingängen sowie einem Ausgang besitzt, der mit einer auf die Schwebungsfrequenz f abgestimmten Kreis (18) verbunden ist, wobei dieser Kreis (18) eine Einrichtung (20) zur Abgabe eines Signals für guten Betrieb steuert.
8. Modul nach Anspruch 7, dadurch gekennzeichnet, daß die Einrichtung zur Abgabe eines Signals für guten Betrieb eine Elektrolumineszenz-Diode ist.
9. Modul nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, daß die Logikschaltungen in CMOS-Technologie ausgeführt sind.
10. Statisch auslösendes Sicherheitssystem mit Redundanz 3/4, mit Majoritätssummenlogik und mit Selbstanzeige von Ausfällen, gekennzeichnet durch zwei Module nach einem der Ansprüche 4 bis 9, die parallel geschaltet sind.
DE2814031A 1977-04-01 1978-03-31 Verfahren zur Selbstanzeige von Ausfällen eines statisch ansprechenden Sicherheitsmoduls sowie Modul dafür Expired DE2814031C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR7709909A FR2386199A1 (fr) 1977-04-01 1977-04-01 Procede d'autosignalisation des defaillances d'un module d'automatisme statique de securite et module mettant en oeuvre ledit procede

Publications (2)

Publication Number Publication Date
DE2814031A1 DE2814031A1 (de) 1978-10-12
DE2814031C2 true DE2814031C2 (de) 1987-01-15

Family

ID=9188913

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2814031A Expired DE2814031C2 (de) 1977-04-01 1978-03-31 Verfahren zur Selbstanzeige von Ausfällen eines statisch ansprechenden Sicherheitsmoduls sowie Modul dafür

Country Status (3)

Country Link
US (1) US4215340A (de)
DE (1) DE2814031C2 (de)
FR (1) FR2386199A1 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4309768A (en) * 1979-12-31 1982-01-05 Bell Telephone Laboratories, Incorporated Mismatch detection circuit for duplicated logic units
CA1139859A (en) * 1980-03-06 1983-01-18 Peter Humphries Alarm system
JPH0628291B2 (ja) * 1984-08-31 1994-04-13 三菱電機株式会社 冗長回路付半導体装置
US4797670A (en) * 1987-01-30 1989-01-10 Joyner Engineers & Trainers, Inc. Redundant signal selector system
US4829198A (en) * 1987-04-10 1989-05-09 International Business Machines Corporation Fault tolerant logical circuitry
JPS63318816A (ja) * 1987-06-12 1988-12-27 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 欠陥許容性を有する論理回路
US5629872A (en) * 1992-01-29 1997-05-13 Arch Development Corporation System for monitoring an industrial process and determining sensor status
US5459675A (en) * 1992-01-29 1995-10-17 Arch Development Corporation System for monitoring an industrial process and determining sensor status
US5410492A (en) * 1992-01-29 1995-04-25 Arch Development Corporation Processing data base information having nonwhite noise
JPH05227056A (ja) * 1992-02-03 1993-09-03 Mitsubishi Electric Corp 冗長構成回路のアラーム検出方式
US5586066A (en) * 1994-06-08 1996-12-17 Arch Development Corporation Surveillance of industrial processes with correlated parameters
US5761090A (en) * 1995-10-10 1998-06-02 The University Of Chicago Expert system for testing industrial processes and determining sensor status
WO1997040579A1 (en) * 1996-04-22 1997-10-30 United Technologies Corporation Radiation resistant logic circuit

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2922147A (en) * 1954-02-17 1960-01-19 Philip N Bredesen Fire alarm system
US3467956A (en) * 1963-10-22 1969-09-16 Bendix Corp Crossvoter monitor system
US3431557A (en) * 1964-03-12 1969-03-04 Bendix Corp Monitoring system for redundant systems
US3492589A (en) * 1967-04-03 1970-01-27 Honeywell Inc Failsafe circuit apparatus
US3588857A (en) * 1967-11-24 1971-06-28 Bendix Corp Fail safe monitor

Also Published As

Publication number Publication date
US4215340A (en) 1980-07-29
FR2386199A1 (fr) 1978-10-27
DE2814031A1 (de) 1978-10-12
FR2386199B1 (de) 1980-07-11

Similar Documents

Publication Publication Date Title
DE2814031C2 (de) Verfahren zur Selbstanzeige von Ausfällen eines statisch ansprechenden Sicherheitsmoduls sowie Modul dafür
DE2316432A1 (de) Kernreaktor-schutz- und sicherheitssystem
DE69420458T2 (de) Leitungsfehlerüberwachungsvorrichtung
DE2701614A1 (de) Anzeigesystem
DE69512148T2 (de) Erkennung von verborgenen Fehlern in einer redundanten Stromversorgungseinheit
DE2651314C2 (de) Sicherheits-Ausgabeschaltung für eine Binärsignale abgebende Datenverarbeitungsanlage
DE2827443C2 (de) Gesicherte Stromrichteranordnung
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
EP1034553A1 (de) Schaltung zur überwachung eines wechselstromschalters
DE4232720C1 (de) Anordnung zur Funktionsüberwachung und Meßwertauswertung von Füllstands-Sensoren, insbesondere Vibrations-Füllstands-Grenzschaltern
EP0031471A2 (de) Einrichtung zum Überwachen des Betriebszustandes eines elektrischen Verbrauchers
EP2117094B1 (de) Überwachungsschaltung und Verfahren zum Prüfen der Schaltung
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
DE69320421T2 (de) Steuereinrichtung für einen Thyristorumrichter
DE69122533T2 (de) Regelsystem für die Erregung einer Synchronmaschine
DE2018833C3 (de) Anordnung zur Überwachung der Sperrfähigkeit von Stromrichteranlagen
DE1271778B (de) Elektronische Schaltungsanordnung zum Nachweis von Stoerungen von Verstaerkern und Umschaltanordnung auf gleichartige Ersatzgeraete
DE19857396C2 (de) Ausfallsicherheitsgerichteter Binärstellenvergleicher mit ternärer Ergebnis- und Zustandsanzeige
DE3513357A1 (de) Schaltungsanordnung, insbesondere fuer einen sicherheitskoppelschalter im untertagebergbau
DE3029851A1 (de) Schaltungsanordnung zur signaltechnisch sicheren ansteuerung eines stromverbrauchers
EP0556583B1 (de) Einrichtung zur galvanisch getrennten Gleichspannungsversorgung eines Mikrorechners aus einer Wechselspannungsquelle
DE3108989C2 (de)
DE3909201C2 (de) Überwachungseinrichtung für ein programmgesteuertes Bauelement
DE1513297B2 (de) Schaltungsanordnung zur erkennung von l bzw o signal fehlern fuer mindestens einen zweikanaligen steuerkreis
DE3346527A1 (de) Verfahren und anordnung zur stoerungssicheren alarmauswertung einer meldelinie einer gefahrenmeldeanlage

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee