DE3209718A1 - Funktionssichere steuereinrichtung - Google Patents

Funktionssichere steuereinrichtung

Info

Publication number
DE3209718A1
DE3209718A1 DE19823209718 DE3209718A DE3209718A1 DE 3209718 A1 DE3209718 A1 DE 3209718A1 DE 19823209718 DE19823209718 DE 19823209718 DE 3209718 A DE3209718 A DE 3209718A DE 3209718 A1 DE3209718 A1 DE 3209718A1
Authority
DE
Germany
Prior art keywords
channel
channels
function
monitoring unit
functional
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19823209718
Other languages
English (en)
Other versions
DE3209718C2 (de
Inventor
Gunther Dipl.-Ing. 8000 München Dreher
Georg Dipl.-Ing. Götz
Wolfram Dipl.-Ing. Pöttig
Alfred Dipl.-Ing. Schmidt
Hans Dipl.-Ing. Örley
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MT Aerospace AG
Original Assignee
MAN Maschinenfabrik Augsburg Nuernberg AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MAN Maschinenfabrik Augsburg Nuernberg AG filed Critical MAN Maschinenfabrik Augsburg Nuernberg AG
Priority to DE19823209718 priority Critical patent/DE3209718A1/de
Priority to IT47905/83A priority patent/IT1170331B/it
Publication of DE3209718A1 publication Critical patent/DE3209718A1/de
Application granted granted Critical
Publication of DE3209718C2 publication Critical patent/DE3209718C2/de
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

  • Funktionssichere Steuereinrichtung
  • Die Erfindung bezieht sich auf eine funktionssichere Steuereinrichtung mit mindestens einem Funktionskanal.
  • Unter Steuereinrichtung werden Steuersysteme sowie Regelsysteme verstanden. Die Funktionssicherheit von derartigen Steuereinrichtungen hangt von der Funktionssicherheit von zahlreichen Bauelementen und deren Verknüpfungen, die die Steuereinrichtung bilden ab. Derartige Geräte sind daher mit einem Unsicherheitsfaktor behaftet, was in gewissen Anwendungsfällen in Kauf genommen werden kann.
  • Es gibt jedoch Anwendungen, wie in der Sicherheitstechnik im Verkehr, auf dem Atomenergiegebiet, bei denen der Ausfall der Steuereinrichtung schwere Konsequenzen haben kann.
  • Um den Sicherheitsfaktor zu erhöhen, hat man die Steuereinrichtung mit mehreren Funktionskanalen ausgebildet1 so daß bi Ausfall eines Kanals ein weiterer eingesclidiet werden kann, wobei oftmals zur erhöhten Sicherung drei oder mehr Funktionskanale verwendet werden müssen. Derartige Anlagen sind jedoch sehr kostspielig und gegebenenfalls platzaufwendig.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Einrichtung der eingangs genannten Art zu schaffen, die fertigungstechnisch einen möglichst geringen Aufwand bedarf, jedoch eine hohe Sicherheit gewährleistet.
  • Die Aufgabe ist erfindungsgemäß gelöst durch zwei unabhängige Funktionskanale und einem dem Prozeß und die Funktion der Funktionskanale simulierenden dritten Kanal, die mit einer Oberwachungseinheit gekoppelt sind, wobei die Oberwachungseinheit die Fehler der drei Kanale erkennt, ortet und anzeigt und entsprechende Umschaltungen durchführt.
  • Hierbei werden nur zwei Funktionskanäle, d.h. Steuer-oder Regel systeme verwendet, wahrend alle weiteren für eine besondere Sicherheit notwendigen Funktionseinheiten durch eine intelligente Prozeßtechnik ersetzt werden, was zu einer wesentlichen Vereinfachung und Verbilligung der Anlage sowie einer Reduzierung des Raumbedarfes führt. Dieses Dreikanalsystem hat den weiteren Vorteil, daß die Oberwachungseinheit nicht nur Fehler erkennen kann, sondern durch Vergleich von zwei aus drei Kanalen auch entscheiden kann, welcher Kanal defekt ist. Die Verwendung von zwei Funktionskanalen erlaubt eine kontinuierliche Fortsetzung der Funktion der Steuereinrichtung, wenn einer der Funktionskanale ausfallt.
  • Signale, die durch Plausibilitatoder Simulation überprüfbar sind, müssen nur in den Funktionskanälen vorhanden sein. Der Aufbau der Funktionskanale ist dergestalt, daß systematische Fehler ausgeschlossen werden.
  • Gemaß einer Ausgestaltung der Erfindung sind die einzelnen Komponenten der Funktionskanale mit der Oberwachungseinheit in Betrieb prüfbar.
  • Hierdurch ist es möglich, die Anlage so zu programmieren, daß eine Umschaltung bzw. Abschaltung der Funktionskanäle nur bei bestimmten fehlerhaften Komponenten erfolgt und daß im übrigen nur eine Anzeige durch die Oberwachungseinheit ausgegeben wird.
  • Es ist vorteilhaft, wenn der dritte Kanal ebenfalls mit der Oberwachungseinrichtung prüfbar ist.
  • Hierbei laßt sich ein Selbsttest durchführen, indem gezielte Fehler in den dritten Kanal eingebaut werden, um damit zu prüfen, ob die Oberwachungseinheit entsprechend reagiert.
  • Hierbei kann die Überwachung sämtliche Meldewege dynamisch prüfen, und zwar durch Ausgabe von Prüfsignalen und den Empfang von Rückmeldungen über alle im Meldeweg beteiligten Funktionskomponenten, womit die Reaktion der Oberwachungseinheit aufgrund der einzelnen Meldesignale getestet wird.
  • Mit dem Erfindungsgegenstand wird die Funktionssicherheit einer Steuereinrichtung erhöht. Gleichzeitig kann sie durch akustische oder optische Alarmeinrichtungen einen auftauchenden Fehler signalisieren. Gemäß einer weiteren Ausgestaltung der Erfindung ist der Oberwachungseinheit zur Fehlerortung eine Anzeige zugeordnet, womit gleichzeitig eine Diagnose bzw. Lokalisierung des Fehlers angegeben wird, so daß eine rasche Behebung des Fehlers erfolgen kann.
  • Der dritte Kanal kann ein Mikrorechner sein, der analoge und/oder digitale Eingabe- und Ausgabeeinheiten hat. Er ist damit in der Lage, Signale aus den Funktionskanälen zu beobachten bzw. die Funktionskanäle, etwa durch Umkonfigurieren zu beeinflussen.
  • In gewissen Anwendungen besteht der dritte Kanal aus einem Sensor und einem Mikrorechner.
  • Das Mikrorechnerprogramm enthalt ein Abbild der dynamischen und statischen Eigenschaften der Funktionskanäle, es simuliert einzelne Abschnitte der Wirkungskette der Funktionskanäle.
  • Da die Funktionskanäle frei von systematischen Fehlern sind, muß der schwer zu führende Nachweis der Fehlerfreiheit der Mikrorechnerprogramme zur Simulation nicht durchgeführt werden.
  • Es ist ferner einefehlersichere Oberwachungseinheit vorgesehen, die das ordnungsgemäße Arbeiten des Mikrorechners überprüft und seinen Ausfall anzeigt, während die Funktionskanäle weiterhin ihre Aufgabe erfüllen.
  • Die Stromversorgung des dritten Kanal es ist vorzugsweise an einen Funktionskanal gekoppelt.
  • In der Zeichnung ist ein Ausführungsbeispiel gemäß der Erfindung schematisch dargestellt.
  • Die als Regel system ausgebildete Steuereinheit 10 besteht aus zwei Funktionskanälen 11 und 12, die eine Regelstrecke bzw. einen Prozeß 13 regeln, und einem dritten Kanal 14, der als Stimulator ausgebildet ist.
  • Die Funktionskanäle 11 und 12 enthalten jeweils einen Sensor 15 bzw. 16, die den Prozeßstand durch Signale S1 bzw. S3 messen und an jeweils einen Regler 17 bzw. 18 weitergeben, der den empfangenen Istwert init einem Sollwert vergleicht und entsprechende Steuersignale jeweils an ein Stellglied 19 bzw. 20 weitergibt.
  • Der dritte Kanal 14 enthält ebenfalls einen Sensor 21, der über Signale 2 den gleichen Prozeßzustand mißt und als analoge oder digitale Eingabe für einen Mikrorechner 22 abgibt, der eine Einheit 23 zur Nachbildung des Regel-Algorithmus und eine Simulation 24 für das Stellglied 19 bzw. 20 enthält. Die einzelnen Abschnitte der Wirkungskette der Funktionskanäle 11 und 12, d.h. deren dynamischen und statischen Eigenschaften werden von dem Mikroprozessor 22 zur Bildung des dritten Kanales 14 nachgebildet. Von allen Komponenten der jeweiligen Funktionskanäle 11 und 12 gehen über Meldewege 27 bzw. 28 Signale an eine Oberwachungseinheit 29. Die Oberwachungseinheit empfängt außerdem diesen Signalen entsprechende Signale, die vom Mikrorechner 22 berechnet und über einen Meldeweg 30 der Oberwachungseinheit geliefert werden.
  • Die Überwachungseinheit vergleicht die Meldungen aus den drei Kanälen und erkennt bei einem Unterschied von entsprechenden Signalen einen Fehler in einem der drei Kanäle.
  • Durch den Vergleich von drei Signalen erkennt die Oberwachungseinheit 29 außerdem durch das von zwei gleichen abweichenden Signalen den Ort des Fehlers, d.h. in welchem der drei Kanale 11, 12 bzw., 14 der Schaden aufgetreten ist.
  • Dementsprechend wird ein akustischer oder optischer Alarm 32 bzw. 33 angesteuert. Ober eine Anzeige 31 wird außerdem die Art und der Ort des aufgetretenen Fehlers angezeigt.
  • Die Oberwachungseinheit kann so programmiert werden, daß sie die Fehler selektiert und nur bei Auftreten bestimmter Fehler oder Fehlerkombinationen ein Schaltsignal 35 bzw. 36 an das Stellglied 19 bzw. 20 des defekten Kanales 11 bzw.
  • 12 abgibt, wobei es entweder das fehlerhafte Stellwertsignal unterdrückt und ein fehlerfreies Stellwertsignal an die Regelstrecke 13 anschließt. Dabei läuft der Regelprozeß zumindest für eine gewisse Zeit ungestört weiter, während der defekte Kanal repariert werden kann.
  • Die Steuereinheit 10 wird von zwei Spannungsquellen U1 und U2 versorgt, wobei die Stromversorgung 37 des einen.
  • Funktionskanales 11 von einer Quelle U1 gespeist wird, wahrend die Stromversorgung 38 des dritten Kanal es und 39 des zweiten Funktionskanales 12 an die zweite Quelle U2 angeschlossen sind. Durch eine spezielle Ausführung der Ankopplung 40 der Oberwachungseinheit 29 an die Alarmeinrichtung 32 wird sichergestellt, daß der Ausfall der Quelle U2 durch die Alarmeinrichtung 32 zwangsläufig gemeldet wird.
  • Anstelle von einer dreifachen Sensorik 15, 16, 21 kann eine zweifache durch Plausibilität überprüfbare Sensorik V1 bzw. V2 verwendet werden.
  • Gemaß dem oben beschriebenen Ausführungsbeispiel stellen die beiden Funktionskanäle 11 und 12 jeweils ein Reglersystem dar. Die funktionssichere Steuereinheit 10 kann aber auch ebenso für Steuersysteme verwendet werden.
  • In diesem Fall sind die Signale S1 bis S3 nicht als Istwerte des Prozesses 13, sondern als unabhängige Steuergrößen anzusehen. Ferner treten anstelle der Regler 17 und 18 entsprechende Steuerelemente ein. Im übrigen bleibt die Einrichtung 10 bis auf die entsprechende Software-Anpassung unverändert.
  • Die Oberwachungseinheit 29 kann zumindest teilweise im Mikrorechner 22 eingeschlossen sein, wie es mit den gestrichelten Linien angedeutet ist.

Claims (9)

  1. Patentansprüche 1. Funktionssichere Steuereinheit (10) mit mindestens einem Funktionskanal, gekennzeichnet durch zwei unabhangige Funktionskanäle (11 bzw.
    12) und einem den Prozeß und die Funktion der Funktionskanale simulierenden dritten Kanal (14), die mit einer Oberwachungseinheit (29) gekoppelt sind, die Fehler von Komponenten aus den drei Kanalen erkennt, ortet und anzeigt und die Schaltbefehle (35 bzw. 36) für die Funktionskanäle abgeben kann.
  2. 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß alle einzelnen Komponenten der Funktionskanale (11, 12) mit der Oberwachungseinheit im Betrieb prüfbar sind.
  3. 3. Einrichtung nach Anspruch 1 oder 2, daß der dritte Kanal (14) mit der Oberwachungseinheit (29) prüfbar ist.
  4. 4. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der dritte Kanal (14) ein Mikrorechner (22) ist, der analoge und/oder digitale Eingabe- und Ausgabeeinheiten enthalt.
  5. 5. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Oberwachung (29) die Meldewege (27, 28, 30, 32, 33, 35, 36, 40, 41) dynamisch zu vorgegebenen Zeitpunkten testet.
  6. 6. Einrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, daß die Funktionsfahigkeit des Mikrorechners durch ein Selbsttestprogramm überprüfbar ist und ein Ausfall fehlersicher angezeigt wird.
  7. 7. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß der Oberwachungseinheit (29) zur Fehlerortung eine Anzeige (31) zugeordnet ist.
  8. 8. Einrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der dritte Kanal aus einem Sensor (21) und einem Mikrorechner (22) gebildet ist.
  9. 9. Einrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Stromversorgung (38) des dritten Kanal es (14) an die Stromversorgung (39) eines Funktionskanales (12) angekoppelt ist.
DE19823209718 1982-03-17 1982-03-17 Funktionssichere steuereinrichtung Granted DE3209718A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE19823209718 DE3209718A1 (de) 1982-03-17 1982-03-17 Funktionssichere steuereinrichtung
IT47905/83A IT1170331B (it) 1982-03-17 1983-03-15 Dispositivo di comando per impianti regolatori o di comando, ad esempio per veicoli su rotaie od altri apparecchi da regolare o comandare

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19823209718 DE3209718A1 (de) 1982-03-17 1982-03-17 Funktionssichere steuereinrichtung

Publications (2)

Publication Number Publication Date
DE3209718A1 true DE3209718A1 (de) 1983-09-29
DE3209718C2 DE3209718C2 (de) 1988-06-01

Family

ID=6158505

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19823209718 Granted DE3209718A1 (de) 1982-03-17 1982-03-17 Funktionssichere steuereinrichtung

Country Status (2)

Country Link
DE (1) DE3209718A1 (de)
IT (1) IT1170331B (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0443384A2 (de) * 1990-02-22 1991-08-28 MAN Gutehoffnungshütte Aktiengesellschaft Verfahren zur redundanten Drehzahlregelung und Vorrichtung zur Durchführung dieses Verfahrens
US6275752B1 (en) 1997-05-16 2001-08-14 Continental Teves Ag & Co., Ohg Microprocessor system for automobile control systems
EP1615087A2 (de) * 2004-07-09 2006-01-11 Diehl Avionik Systeme GmbH Steuer- und Regeleinheit

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4413126C2 (de) * 1994-04-19 1996-05-09 Murrelektronik Ag Anlage mit einer Steuerungseinheit
DE19522447C2 (de) * 1995-06-21 1999-08-26 Najib Kaskadierbare Überwachungseinrichtung

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1952349A1 (de) * 1969-10-17 1972-01-27 Ver Flugtechnische Werke Anordnung zur Pruefung eines redundanten Regelsystems
GB1272834A (en) * 1968-06-24 1972-05-03 Westinghouse Electric Corp Control system
DE2651314B1 (de) * 1976-11-10 1977-12-08 Siemens Ag Sicherheits-Ausgabeschaltung fuer eine Binaersignale abgebende Datenverarbeitungsanlage
DE2913371A1 (de) * 1978-04-04 1979-10-18 Bailey Controle Verfahren und system zur ablaufsteuerung

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1272834A (en) * 1968-06-24 1972-05-03 Westinghouse Electric Corp Control system
DE1952349A1 (de) * 1969-10-17 1972-01-27 Ver Flugtechnische Werke Anordnung zur Pruefung eines redundanten Regelsystems
DE2651314B1 (de) * 1976-11-10 1977-12-08 Siemens Ag Sicherheits-Ausgabeschaltung fuer eine Binaersignale abgebende Datenverarbeitungsanlage
DE2913371A1 (de) * 1978-04-04 1979-10-18 Bailey Controle Verfahren und system zur ablaufsteuerung

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0443384A2 (de) * 1990-02-22 1991-08-28 MAN Gutehoffnungshütte Aktiengesellschaft Verfahren zur redundanten Drehzahlregelung und Vorrichtung zur Durchführung dieses Verfahrens
DE4005546A1 (de) * 1990-02-22 1991-08-29 Gutehoffnungshuette Man Verfahren zur redundanten drehzahlregelung und vorrichtung zur durchfuehrung dieses verfahrens
EP0443384A3 (en) * 1990-02-22 1993-07-14 Man Gutehoffnungshuette Aktiengesellschaft Method for the redundant rotation speed control and apparatus for carrying out this method
US6275752B1 (en) 1997-05-16 2001-08-14 Continental Teves Ag & Co., Ohg Microprocessor system for automobile control systems
EP1615087A2 (de) * 2004-07-09 2006-01-11 Diehl Avionik Systeme GmbH Steuer- und Regeleinheit
EP1615087A3 (de) * 2004-07-09 2006-06-14 Diehl Avionik Systeme GmbH Steuer- und Regeleinheit
US7337020B2 (en) 2004-07-09 2008-02-26 Diehl Avionik Systeme Gmbh Open-loop and closed-loop control unit

Also Published As

Publication number Publication date
IT1170331B (it) 1987-06-03
DE3209718C2 (de) 1988-06-01
IT8347905A0 (it) 1983-03-15

Similar Documents

Publication Publication Date Title
DE19933086B4 (de) Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
EP0753168B1 (de) Verfahren zur automatischen diagnose von störungsfällen
DE102007054672A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
EP0972388A2 (de) Verfahren zur programmierung eines sicherheitsgerichteten steuerungssystems
EP1092177B1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
DE102007032827A1 (de) Sicherheitsvorrichtung zum mehrkanaligen Steuern einer sicherheitstechnischen Einrichtung
DE1952349A1 (de) Anordnung zur Pruefung eines redundanten Regelsystems
CH654425A5 (en) Redundant control arrangement
DE3106848C2 (de)
EP0658831B1 (de) Rechnergestütztes Entwurfsverfahren für ein programmierbares Automatisierungssystem
DE2453011A1 (de) Verfahren und schaltungsanordnung zur auswahl eines signals aus wenigstens drei redundanten signalkanaelen
DE4134396C2 (de) Sicheres Automatisierungssystem
DE19847986C2 (de) Einzelprozessorsystem
DE102012010143B3 (de) Analogsignal-Eingangsschaltung mit einer Anzahl von Analogsignal-Erfassungskanälen
EP0429972B1 (de) Einrichtung und Verfahren zur Überwachung einer Navigationsanlage
EP3465898B1 (de) Sanftstarter, betriebsverfahren und schaltsystem
DE3209718A1 (de) Funktionssichere steuereinrichtung
DE2134079B2 (de) Anordnung zur redundanten Prozeßrechnersteuerung
DE10355022A1 (de) Verfahren zur Überwachung eines technischen Systems
DE1931296A1 (de) Redundantes Steuer- oder Regelsystem
DE2923627A1 (de) Vorrichtung zur autonomen prozessanalyse
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE102009002734A1 (de) Feldgerät zur Bestimmung oder Überwachung einer Prozessgröße in der Prozessautomatisierung
DE2446455A1 (de) Kontrollsystem
EP2667267B1 (de) Analogsignal-Ausgangsschaltung mit einer Anzahl von Analogsignal-Ausgabekanälen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: M A N TECHNOLOGIE GMBH, 8000 MUENCHEN, DE

D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: MAN TECHNOLOGIE AG, 8000 MUENCHEN, DE

8339 Ceased/non-payment of the annual fee