DE4134396C2 - Sicheres Automatisierungssystem - Google Patents

Sicheres Automatisierungssystem

Info

Publication number
DE4134396C2
DE4134396C2 DE4134396A DE4134396A DE4134396C2 DE 4134396 C2 DE4134396 C2 DE 4134396C2 DE 4134396 A DE4134396 A DE 4134396A DE 4134396 A DE4134396 A DE 4134396A DE 4134396 C2 DE4134396 C2 DE 4134396C2
Authority
DE
Germany
Prior art keywords
subsystems
monitoring
safety
error
signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE4134396A
Other languages
English (en)
Other versions
DE4134396A1 (de
Inventor
Richard Dipl Ing Kramer
Gerhardt Dipl Ing Gloes
Wilhelm-Hermann Prumbach
Bernhard Tueshaus
Wolfgang Kabzinski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Siemens Corp
Original Assignee
Siemens AG
Siemens Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG, Siemens Corp filed Critical Siemens AG
Publication of DE4134396A1 publication Critical patent/DE4134396A1/de
Application granted granted Critical
Publication of DE4134396C2 publication Critical patent/DE4134396C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits
    • H01H47/004Monitoring or fail-safe circuits using plural redundant serial connected relay operated contacts in controlled circuit
    • H01H47/005Safety control circuits therefor, e.g. chain of relays mutually monitoring each other
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/02Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current for modifying the operation of the relay
    • H01H47/04Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current for modifying the operation of the relay for holding armature in attracted position, e.g. when initial energising circuit is interrupted; for maintaining armature in attracted position, e.g. with reduced energising current
    • H01H47/043Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current for modifying the operation of the relay for holding armature in attracted position, e.g. when initial energising circuit is interrupted; for maintaining armature in attracted position, e.g. with reduced energising current making use of an energy accumulator

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung betrifft ein Verfahren zur Steuerung und Überwachung einer technischen Anlage mit erhöhten Sicherheitsanforderungen mittels eines Automatisierungssytems. Derartige Verfahren finden insbesondere im Bergbau Verwendung.
Die verwendeten Automatisierungssysteme bestehen üblicherweise aus mindestens zwei redundanten Teilsystemen, die unter gegenseitiger Überwachung gemeinsam die Anlage sicher führen.
Aus der DE-Z "Signal + Draht", Band 76 (1984), Seiten 35 bis 41, ist ein derartiges Verfahren bekannt, bei dem die mindestens zwei Teilsysteme zum Überprüfen ihrer Funktionsfähigkeit zyklisch Selbsttests durchführen und beim Bemerken einer Fehlfunktion den fehlerbehafteten Teil des Automatisierungssystems abschalten. Je nach Fehler kann dies bis zur Abschaltung des gesamten Automatisierungssystems führen.
Aus der DE-AS 22 58 917 ist ebenfalls bekannt, den zwei Rechnern eines redundanten Automatisierungssystems Fehlerprüfkreise zuzuordnen, die gegebenenfalls die Ausgangssignale des fehlerbehafteten Rechners vom Prozeß abkoppeln. Eine Stillsetzung der Anlage findet gemäß dieser Schrift jedoch nicht statt.
Weder aus der Zeitschrift "Signal + Draht" noch aus der DE-AS 22 58 917 sind jedoch Maßnahmen bekannt, die ein Stillsetzen der technischen Anlage gewährleisten, falls das Abschalten der Anlage über die Teilsysteme mißlingen sollte.
Aufgabe der vorliegenden Erfindung ist es, ein Automatisierungssystem zu schaffen, das auch bei einem Versagaen der normalen Abschaltung und Stillsetzung der technischen Anlage bei Bemerken einer Fehlfunktion eines der sicherheitsrelevanten Elemente die Anlage mit nahezu absoluter Sicherheit in einen vorbestimmten Zustand überführt und dort stillsetzt. Dadurch kann nämlich ein Automatisierungssystem von bisher unbekannter Sicherheit zur Verfügung gestellt werden.
Die Aufgabe wird dadurch gelöst,
  • - daß jedes der Fehlersignale eines der mindestens zwei Teilsysteme auf eine dem jeweiligen Teilsystem zugeordnete Überwachungseinheit wirkt, die bei einer durch das Detektieren eines Fehlers ausgelösten Ansteuerung zusätzlich eine Notstillsetzung der technischen Anlage auslöst, und
  • - daß die Überwachungseinheiten der mindestens zwei Teilsysteme außerdem auf einen den mindestens zwei Teilsystemen gemeinsamen Sicherheitsschalter wirken, der ebenfalls die Notstillsetzung der technischen Anlage auslöst, wenn die Überwachungseinheiten unterschiedliche Signale liefern.
Überwachungseinheiten als solche, sogenannte Watchdogs, sind zwar als solche bekannt.
Beispielhaft wird diesbezüglich die DE 38 20 534 A1 genannt, in welcher ein Regler durch einen Zeitüberwacher überwacht und gegebenenfalls zurückgesetzt wird. Dieser letztgenannten Schrift ist aber kein Hinweis zu entnehmen, einen Watchdog bei einem redundanten Automatisierungssystem einzusetzen.
Durch das erfindungsgemäße Überwachen der Teilsysteme durch die Überwachungseinheiten ist bereits mit an Sicherheit grenzender Wahrscheinlichkeit gewährleistet, daß die Anlage stillgesetzt wird, falls in dem einer der Überwachungseinheiten zugeordneten Automatisierungssystem ein Fehler auftritt. Selbst wenn jedoch die Überwachungseinheit versagen sollte, ist durch den Sicherheitsschalter gewährleistet, daß die Anlage dennoch stillgesetzt wird.
Durch das erfindungsgemäße Verfahren wird also die Betriebssicherheit der technischen Anlage außerordentlich erhöht.
Das Auslösen der Überwachungseinheiten ist besonders sicher gewährleistet, wenn die Überwachungseinheiten bei fehlerfreiem Betrieb ein dynamisches und nach Bemerken eines Fehlers ein statisches Signal erhalten.
Um ein durch kurzzeitige Störungen verursachtes versehentliches Auslösen der Überwachungseinheiten zu vermeiden, sollten die Überwachungseinheiten die Notstillsetzung der Anlage erst dann auslösen, wenn das statische Signal länger als eine vorwählbare Zeit anliegt.
Um auch Fehler in den Programmen der mindestens zwei Teilsysteme erkennen zu können, sollten die in den mindestens zwei Teilsystemen gespeicherten Programme zyklisch überprüft werden, z. B. durch Vergleich mit einem in einem externen Datenspeicher abgespeicherten Programm.
Ein zur Durchführung des Verfahrens geeignetes Automatisierungssystem besteht aus mindestens zwei, zumindest teilweise redundanten Teilsystemen, wobei jedes der mindestens zwei Teilsysteme Einrichtungen zur dynamischen Eigenüberwachung seiner Einzelkomponenten und zur Überführung der technischen Anlage in einen vorbestimmten Zustand und zur dortigen Stillsetzung aufweist, die zur Fehlermeldung mit einer dem jeweiligen Teilsystem zugeordneten Überwachungseinheit verbunden sind, die bei einer durch das Detektieren eines Fehlers ausgelösten Ansteuerung zusätzlich eine Notstillsetzung der technischen Anlage auslöst, wobei die Überwachungseinheiten der mindestens zwei Teilsysteme zusätzlich mit einem den mindestens zwei Teilsysteme gemeinsamen Sicherheitsschalter verbunden sind, der ebenfalls die Notstillsetzung der technischen Anlage auslöst, wenn die Überwachungseinheiten unterschiedliche Signale liefern.
Ein besonders sicherer und einfacher Aufbau der Überwachungseinheiten ergibt sich, wenn die Überwachungseinheiten der mindestens zwei Teilsysteme ausschließlich passive Komponenten, z. B. Widerstände, Kondensatoren, Dioden oder Relais, aufweisen.
Mit Vorteil weisen die Überwachungseinheiten zwei Verzögerungsschalter auf, die mit einem Taktgeber und zwei in Reihe geschalteten Kontakten verbunden sind, die mit einem weiteren Schalter in Reihe geschaltet sind, der das Überführen und Stillsetzen der Anlage auslöst.
Das Automatisierungssystem ist relativ kostengünstig, wenn nur eines der Teilsysteme weitere, nicht sicherheitsrelevante Signale verarbeitet. Darüber hinaus ist dadurch eine schnelle Reaktion der anderen Teilsysteme auf sicherheitsrelevante Signale gewährleistet. Die Reaktionszeiten liegen typisch bei 200 msec.
Weitere Vorteile und Einzelheiten ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels, anhand der Zeichnungen und in Verbindung mit den weiteren Unteransprüchen.
Es zeigt:
Fig. 1 ein Blockschaltbild einer Förderanlagensteuerung,
Fig. 2 die Verschaltung von Fahrbremskreis und Abfahrsperrkreis einer Schachtförderanlage,
Fig. 3 den Prinzipaufbau der Überwachungseinheiten,
Fig. 4 das Prinzip der Leitungsüberwachung,
Fig. 5 das Überwachungsschema der Eingabebausteine,
Fig. 6 die Logikschaltung zur Auswertung des Tests der Eingabebausteine,
Fig. 7 den Aufbau der Ausgabeeinheiten,
Fig. 8 die Logikschaltung zur Auswertung des Tests der Ausgabeeinheiten,
Fig. 9 ein Blockschaltbild des Tests der Abschaltwege,
Fig. 10 ein Detail von Fig. 9 und
Fig. 11 das Prinzip der Ablauffolgeüberwachung der dynamischen Einzeltests.
Gemäß Fig. 1 besteht das Automatisierungssystem für eine Schacht­ anlage aus zwei Teilsystemen 1, 1′, die zumindest teilweise re­ dundant sind. Das eine Teilsystem 1 ist dabei mit Vorteil als Haupt­ system zur Verarbeitung aller Signale und das andere Teilsystem 1′ als Nebensystem zur Verarbeitung nur der sicherheitsrelevanten Signale ausgebildet. In Fig. 1 ist der Übersichtlichkeit halber nur die Eingabe sicherheitsrelevanter Signale von Gebern 2 sowie die Ausgabe sicherheitsrelevanter Signale dargestellt. Den Ge­ bern 2 ist ein Taktsignal ÜT überlagert. Nicht dargestellt in Fig. 1 ist die Notstromversorgung des Automatisierungssystems, die über Batterien und/oder Akkus erfolgen kann.
Die Teilsysteme 1, 1′ sind über eine Kommunikationsleitung 3 miteinander verbunden, so daß sie sich gegenseitig überwachen und so die Anlage sicher führen können. Darüber hinaus über­ wacht jedes Teilsystem 1, 1′ die Funktionsfähigkeit zumindest seiner sicherheitsrelevanten Elemente in noch näher zu erläu­ ternder Weise und gibt bei Bemerken einer Fehlfunktion eines seiner sicherheitsrelevanten Elemente eine Fehlermeldung an eine Überwachungseinheit (sogenannter Watchdog) 4, 4′, die daraufhin das Stillsetzen der Anlage, insbesondere des Förderkorbes durch Betätigen der Sicherheitsbremse, auslöst. Der Watchdog 4 öffnet hierzu zwei in Reihe geschaltete Kontakte 5a, 5b, so daß ein Relais 6 ab­ fällt. Das Abfallen des Relais 6 wiederum öffnet einen Schalter 7, so daß Magnetventile 8a, 8b abfallen und so die nicht dargestellte Sicherheitsbremse der Förderanlage auslösen. Das Öffnen des Schalters 7 wird weiterhin in einer Regelung 9 der ebenfalls nicht dargestellten Fördermaschine detektiert, so daß die Regelung 9 derart gesteuert werden kann, daß sie dem Bremsvorgang zumindest nicht entgegenwirkt. Die Regelung 9 kann aber auch die Fördermaschine aktiv bremsen.
Weiterhin wird das Auslösen der Sicherheitsbremse durch das eine Teilsystem 1 über eine Leitung 10 an das eine Teilsystem 1′ gemel­ det, so daß das andere Teilsystem 1′ die Anlage in gleicher Weise führen kann wie das eine Teilsystem 1.
Die Überwachung des anderen Teilsystems 1′ erfolgt in der gleichen Weise, wie obenstehend für das eine Teilsystem 1 beschrieben. Dar­ über hinaus betätigen die Relais 6, 6′ zwei in Reihe geschal­ tete Wechsler 11, 11′, die mit einem weiteren verzögerten Relais 12 in Reihe geschaltet sind, das zwei mit den Schaltern 7, 7′ in Reihe geschaltete weitere Schalter 13, 13′ öffnet, wenn die Relais 6, 6′ unterschiedliche Ausgangssignale aufweisen. Das Bemerken einer Fehlfunktion sollte also im Regelfall zum Öffnen von drei der Schalter 7, 7′, 13 und 13′ führen, so daß auch hier eine zu­ sätzliche Sicherheitsstufe gegeben ist.
Eine in Fig. 1 dargestellte elektrische Steuerung 14 für die Sicherheitsbremse weist ein weiteres Relais 15 auf, das bei Spannungsab­ fall, d. h. bei einem Fehler in der Regelung 14, zwei zusätzliche Schalter 16, 16′ öffnet und so die mechanische Sicherheitsbremse auslöst. Darüber hinaus betätigt das weitere Relais 15 einen weiteren Geber 17, so daß beide Teilsysteme 1, 1′ eine Beeinträchtigung der Funktionsfähigkeit der Steuerung 14 gemeldet bekommen und daher ebenfalls die Sicherheitsbremse auslösen können.
Fig. 2 zeigt weitere Maßnahmen zur Erhöhung der Sicherheit. Gemäß Fig. 2 werden die Ausgangssignale von Fahrbremskreisen 18, 18, und von Abfahrsperrkreisen 19, 19′ von Wechslern 20, 20′ und 21, 21′ auf Gleichheit überwacht. Ein verzögertes Relais 22 gibt die Abfahrsperrkreise nicht frei, wenn die Ausgänge der Relais 23, 23′ bzw. 24, 24′ nicht gleich sind.
Wie obenstehend ausgeführt, wird bei Bemerken einer Fehlfunktion die Anlage stillgesetzt. Um unbedingt nötige Maßnahmen durchfüh­ ren zu können, z. B. damit die Bergleute wieder ausfahren können, ist es sinnvoll, in einem solchen Fall durch manuelle Eingabe eines Sonderbefehls einen eingeschränkten (Not-)Betrieb aufrecht­ erhalten zu können.
Die Fig. 3 bis 11 beschreiben Elemente und Funktionen des einen Teil­ systems 1. Sie laufen vorzugsweise kontinuierlich und vom Be­ nutzer unbemerkt als Hintergrundprozesse ab. Das andere Teilsystem 1′ weist identisch aufgebaute Elemente und Funktionen auf. Fig. 3 zeigt nun den Aufbau des Watchdog 4.
Gemäß Fig. 3 sind zwischen einer positiven Spannungsquelle L+ von z. B. 24 V und einer Masseverbindung M folgende Elemente (in dieser Reihenfolge) miteinander in Reihe geschaltet: Ein Relais 41a, Dioden 42a, 42b, ein Relais 41b und ein Widerstand 43a. Zwischen den in Durchlaßrichtung geschalteten Dioden 42a, 42b zweigt eine Leitung ab, die über einen Widerstand 43b auf Masse M gelegt ist. Parallel zu den Relais 41a, 41b sind Kondensatoren 44a, 44b geschaltet. Die Relais 41a, 41b betätigen die in Fig. 1 dargestellten Kontakte 5a, 5b. Die Widerstände 43a, 43b sind je­ weils Parallelschaltungen von mindestens zwei Widerständen. Eben­ so sind die Kondensatoren 44a, 44b Parallelschaltungen. Die ge­ samte Schaltung des Watchdog 4, insbesondere die Widerstände 43a, 43b, ist derart dimensioniert, daß ohne weitere Maßnahmen die Relais 41a, 41b abfallen würden und so die Kontakte 5a, 5b öffnen würden, so daß die Sicherheitsbremse ausgelöst würde.
Zwischen die Dioden 42a, 42b wird nun ein Taktsignal geeigneter Frequenz angelegt, das binär zwischen den Spannungswerten der Leitung L+ und Massepotential M wechselt. Dadurch werden abwech­ selnd die Dioden 42a, 42b leitend. Während der leitenden Phase der Dioden 42a, 42b wird das jeweilige Relais 41a, 41b betätigt und darüber hinaus der jeweilige Kondensator 44a, 44b aufgela­ den. Während der sperrenden Phase der Dioden 42a, 42b entladen sich die Kondensatoren 44a, 44b über die Relais 41a, 41b. Dabei ist insbesondere zu bemerken, daß die Spulen der Relais 41a, 41b als Induktivitäten wirken, so daß bei geeigneter Wahl der Takt­ frequenz die Bauelemente 41a, 44a bzw. 41b, 44b jeweils als Schwing­ kreis wirken. Bei geeigneter Dimensionierung der Kondensatoren 44a, 44b und der Relais 41a, 41b sind die Kondensatoren 44a, 44b in der Lage, während der sperrenden Phase der Dioden 42a, 42b für ca. 500 msec einen hinreichend hohen Strom in den Relais 41a, 41b aufrecht zu erhalten, so daß die Relais 41a, 41b nicht abfallen.
Wenn dagegen an einer geeigneten Kontaktstelle 45 zwischen der positiven Spannungsquelle L+ und der Masseverbindung M ein konstantes Spannungssignal angelegt wird oder wenn die Kontaktstelle 45 hochohmig gelegt wird, fällt mindestens eines der Relais 41a, 41b ab.
Durch die oben beschriebenen Maßnahmen ist gewährleistet, daß der Watchdog 4 nur dann nicht auslöst, wenn er ein ordnungsge­ mäßes Taktsignal erhält. Wenn nun im einen Teilsystem 1 ein sicher­ heitsrelevanter Fehler entdeckt wird, wird der Eingangstakt des Watchdog 4 gesperrt. Dadurch wird der Watchdog 4 ausgelöst und so die Notstillsetzung der Anlage ausgelöst.
Fig. 4 zeigt das Prinzip der Leitungsüberwachung. An Lei­ tungen 25a, 25b wird von einem Taktgeber 26 ein komplementäres Taktsignal angelegt. Die Leitung 25b wird über Geber 2 und Widerstände 27 auf Optokoppler 28 geführt, deren Lichtsignal von einer Eingabeeinheit (Eingabebaustein) 29 detektiert und an das Teilsystem 1 gemeldet wird. Zwischen den Gebern 2 und den Widerständen 27 ist über Widerstände 30 die Leitung 25a auf die Ausgänge der Geber 2 gelegt.
Das von dem Optokoppler 28 abgegebene Signal ist konstant Null (d. h. kein Licht wird emittiert) oder konstant 1 (das heißt Licht wird emittiert), wenn keine Leitungsfehler vorliegen. Bei einem Kurzschluß K oder einem Leitungsbruch B oszilliert das von dem Optokoppler 28 abgegebene Signal mit einem der Takte auf den Leitungen 25a oder 25b.
Noch sicherer ist das in der DE 39 06 304 A1 beschriebene Verfahren, bei dem die an den Eingängen der Einga­ beeinheiten 29 anliegenden Eingangssignale im fehlerfreien Zu­ stand ein dynamisches und im fehlerhaften Zustand ein statisches Bild zeigen.
Fig. 5 zeigt das Prinzip des Tests der Eingabeeinheiten 29. Zu­ nächst wird in einem Baustein 31 angefragt, ob der Förderkorb der Schachtförderanlage eine seiner Endpositionen angefahren hat. Falls dieser Test negativ verläuft, wird im Schritt 32 abgefragt, ob eine manuell ausgelöste Testanforderung vorliegt. Wenn auch dies nicht der Fall ist, wird im Schritt 33 die seit dem letzten Test aufgelaufene Zeit mit einer vorgegebenen Kon­ stanten, z. B. 24 Stunden, verglichen, und falls die aufgelaufene Zeit größer als diese Konstante ist, wird im Schritt 33′, eine Meldung ausgegeben, daß ein Test der Eingangsbausteine 29 durch­ geführt werden sollte. Falls der Test in einem der Schritte 31 oder 32 positiv verlaufen ist, wird im Schritt 34 der Zustand der Sicherheitsbremse abgefragt. Wenn die Sicherheitsbremse be­ tätigt ist, wird wieder der Schritt 33 durchlaufen. Anderen­ falls werden die bei der Fig. 4 beschriebenen Leitungen 25a und 25b auf Nullpotential gelegt sowie die Sicherheitsbremse be­ tätigt. Wenn nach einer vorwählbaren Zeit von z. B. 1 sek. alle Ausgangssignale der Eingabebausteine 29 auf logisch Null abge­ sunken sind, wird die Testroutine ordungsgemäß beendet. Anderen­ falls ergeht eine Fehlermeldung "Fehler Eingangshardware", und der Takt für den Watchdog 4 wird gesperrt.
Fig. 6 zeigt eine bevorzugte Auswerteschaltung für die Eingabe­ bausteine 29. Die Ausgangssignale der Eingabebausteine 29 werden über Leitungen 50 einer Logikschaltung 51 zugeführt, die permanent die Eingangssignale auf Fehler überwacht. Bei Bemerken eines unzulässigen Signals bzw. mehrerer unzulässiger Signale gibt die Logikschaltung 51 ein Fehlersignal an eine weitere Logikschal­ tung 52, die dann ein Fehlersignal ausgibt, wenn sie über eine Leitung 53 ein Signal "Prüfung" erhält. Das von der weiteren Logikschal­ tung 52 ausgegebene Signal wird einer Verzögerungsschaltung 54 zugeleitet, die eine vorwählbare Verzögerungszeit von z. B. 1 sek hat. Das Ausgabesignal der Verzögerungsschaltung 54 bewirkt bei einem Fehler bei der Prüfung der Eingabebausteine 29 das Aus­ lösen des Watchdogs 4.
Das oben beschriebene Verfahren zum Testen der Eingabebausteine 29 ist auch auf den Test von Ausgabebausteinen anwendbar.
Fig. 7 zeigt das Prinzip der Überwachung von Ausgabebausteinen 55a, 55b für sicherheitsrelevante Signale. Zwei Ausgabebausteine 55a, 55b steuern ein Relais 56 an, das mindestens zwei Kontakte 57a, 57b betätigt. Das Relais 56 fällt ab, sowie einer der Ausgabe­ bausteine 55a, 55b sperrt. Der Kontakt 57b sowie etwaige wei­ tere, nicht dargestellte Kontakte dienen zur Verarbeitung als Nutzsignale, während der Kontakt 57a mit einem Optokoppler 58 des einen Teilsystems 1 verbunden ist. Im einen Teilsystem 1 kann so der Schaltzustand des Relais 56 abgefragt werden.
Gemäß Fig. 8 werden die Ausgangssignale der Ausgabebausteine 55a, 55b sowie des Optokopplers 58 einer Logikschaltung 59 zugeführt, die diese drei Signale auf Identität überprüft. Die Logikschaltung 59 zeigt ein Fehlersignal an, wenn die drei Signale nicht identisch sind. Das Ausgangssignal der Logikschaltung 59 wird einer Verzöge­ rungsschaltung 60 zugeführt, die den Watchdog 4 auslöst, wenn die Logikschaltung 59 für eine vorbestimmte Zeit von z. B. 0,5 sek oder länger einen Fehler anzeigt. In diesem Fall wird eine Meldung "Fehler Ausgangshardware" ausgegeben.
Die Fig. 9 und 10 zeigen das zyklische Überwachen der sicher­ heitsrelevanten Abschaltwege des einen Teilsystems 1. Wie in Verbin­ dung mit Fig. 10 noch näher erklärt werden wird, wird durch Ab­ arbeiten eines Schrittes 61 genau eines der Ausgangssignale der sicherheitsrelevanten Eingabebausteine 29 auf einen nicht ord­ nungsgemäßen Signalpegel gesetzt. Anschließend wird im Schritt 62 das Sicherheitsprogramm abgearbeitet. Das Ergebnis des Sicher­ heitsprogramms wird in einem Schritt 63 überprüft. Da eines der verarbeiteten Signale fehlerbehaftet war, muß das Sicherheitspro­ gramm bei ordnungsgemäßem Ablauf ansprechen. Falls das Sicher­ heitsprogramm anspricht, werden daher die aktuellen Ausgangs­ signale der Eingabeeinheiten 29 eingelesen und der normale Pro­ grammablauf vom Schritt 64 fortgeführt. Anderenfalls löst der Schritt 65 den Watchdog 4 aus und gibt die Fehlermeldung "Fehler dynamischer Einzeltest" aus.
Fig. 10 zeigt den Detailaufbau des Schrittes 61. In dem in Fig. 10 dargestellten Beispiel weist das eine Teilsystem 1 96 sicherheitsrelevante Eingänge auf, die in 12 Blöcke zu je 8 Eingabebausteinen aufgeteilt sind. Zunächst werden in einem Schritt 66 alle Ausgangssignale der Eingabeeinheiten 29 auf "fehlerfrei" geschaltet. Dann wird im Schritt 67 abgefragt, ob eines der Ausgabesignale dennoch fehlerhaft ist. Wenn dies der Fall ist, wird im Schritt 62 fort­ gefahren, da in diesem Fall das Ergebnis des Sicherheitspro­ gramms, das im Schritt 62 abgearbeitet wird, auf jeden Fall einen Fehler anzeigen müßte. Falls alle Ausgangssignale fehlerfrei sind, wird ein achtstelliger Bitzähler, in dem genau ein Bit gesetzt ist, vom Schritt 68 um eine Stelle nach links verschoben. Danach wird im Schritt 69 abgefragt, ob der Wert des Bitzählers ungleich Null ist. Wenn ja, wird der Schritt 61 verlassen. Wenn nein, wird das niedrigstwertige Bit des Bitzählers im Schritt 70 ge­ setzt. Im Anschluß daran wird der Wert eines Bytezählers um eins erhöht.
Im Schritt 71 wird der Wert des Bytes abgefragt. Wenn der Wert kleiner als 12 ist, wird der Schritt 61 so­ fort verlassen. Anderenfalls wird der Schritt 61 nach dem Rücksetzen des Bytezählers auf den Wert Null im Schritt 72 verlassen.
Durch das oben beschriebene Verfahren ist gewährleistet, daß nacheinander alle sicherheitsrelevanten Abschaltwege zyklisch überprüft werden. Die konkrete Reihenfolge der Abfrage ist da­ bei zweitrangig. Wichtig ist, daß nacheinander alle Abschalt­ wege einzeln überprüft werden.
Fig. 11 zeigt das Schema zur Überwachung der Ablauffolge der ein­ zelnen Tests. Zunächst wird in einem Schritt 73 die Konstante des nächsten auszuführenden Tests in eine Variable übernommen. Dann wird im Schritt 74 der nächste Test durchge­ führt. Nach dem Test wird im Schritt 75 abgefragt, ob eine für den ausgeführten Test spezifische Konstante gleich der eben erwähnten Variable ist. Bei Ungleichheit erfolgt eine Fehler­ meldung "Fehler Programmablauf", und die Eingangstakte für den Watchdog 4 werden gesperrt, so daß der Watchdog 4 auslöst. Durch diese Ablaufüberwachung wird gewährleistet, daß sowohl ein Hän­ genbleiben des Testablaufs als auch ein Überspringen einzelner Test erkannt wird.
Weiterhin werden die in den Teilsystemem 1, 1′ abgearbeiteten Programme in festgesetzten Abständen mit auf einem externen Datenträger abgespeicherten Programmm verglichen. Der Daten­ träger ist in den Fig. 1 bis 11 der Übersichtlichkeit halber nicht dargestellt. Er kann z. B. eine magnetische oder eine op­ tische Festplatte sein.
Durch das Zusammenwirken der oben beschriebenen Maßnahmen er­ gibt sich ein Automatisierungssystem mit bisher noch nicht be­ kannter Sicherheit. Es ist so sicher, daß es nicht nur zur Steuerung und Überwachung einer Bergbauanlage, sondern auch bei Chemieanlagen oder zur Brennersteuerung, z. B. in Kraft­ werken, eingesetzt werden kann. Sogar zur Steuerung und Über­ wachung von Kraftwerken oder ihren Komponenten, z. B. ihren Not­ stromanlagen, könnte es verwendet werden.

Claims (19)

1. Verfahren zur Steuerung und Überwachung einer technischen Anlage mit erhöhten Sicherheitsanforderungen mittels eines Automatisierungssystems,
  • - wobei das Automatisierungssystem aus mindestens zwei, zumindest teilweise redundanten Teilsystemen (1, 1′) besteht, die unter gegenseitiger Überwachung gemeinsam die technische Anlage sicher führen,
  • - wobei die mindestens zwei Teilsysteme (1, 1′) zum Überprüfen der Funktionsfähigkeit zumindest ihrer jeweiligen sicherheitsrelevanten Elemente zyklisch Selbsttests durchführen und bei Bemerken einer Fehlfunktion eines der sicherheitsrelevanten Elemente ein Fehlersignal erzeugen und die technische Anlage in einen vorbestimmten Zustand überführen und dann stillsetzen,
  • - wobei jedes der Fehlersignale eines der mindestens zwei Teilsysteme (1, 1′) auf eine dem jeweiligen Teilsystem (1, 1′) zugeordnete Überwachungseinheit (4, 4′) wirkt, die bei einer durch das Detektieren eines Fehlers ausgelösten Ansteuerung zusätzlich eine Notstillsetzung der technischen Anlage auslöst,
  • - wobei die Überwachungseinheiten (4, 4′) der mindestens zwei Teilsysteme (1, 1′) außerdem auf einen den mindestens zwei Teilsystemen (1, 1′) gemeinsamen Sicherheitsschalter (12) wirken, der ebenfalls die Notstillsetzung der technischen Anlage auslöst, wenn die Überwachungseinheiten (4, 4′) unterschiedliche Signale liefern.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Überwachungeinheiten (4, 4′) bei fehlerfreiem Betrieb ein dynamisches und nach Bemerken eines Fehlers ein statisches Signal erhalten.
3. Verfahren nach Anspruch 2, dadurch gkennzeichnet, daß die Überwchungseinheiten (4, 4′) die Notstillsetzung der technischen Anlage auslösen, wenn das statische Signal länger als eine vorwählbare Zeit anliegt.
4. Verfahren nach einem der obigen Ansprüche, dadurch gekennzeichnet, daß zur Überprüfung des Testzyklus der sicherheitsrelevanten Funktionen während des Tests eine Testvariable gleich einer für die zu testende Funktion charakteristischen Konstanten gesetzt wird, die Testvariable mit einer für die getestete Funktion charakteristischen Konstanten verglichen wird und bei Ungleichheit ein Fehlersignal ausgelöst wird.
5. Verfahren nach einem der obigen Ansprüche, dadurch gekennzeichnet, daß nach vorwählbaren Vorgaben die mindestens zwei Teilsysteme (1, 1′) ihre Ein- (29) und/oder Ausgabeeinheiten (55a, 55b) auf korrektes Ansprechverhalten überprüfen.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß an die Eingänge der Eingabeeinheiten (29) fehlerbehaftete Signale angelegt werden und ein Fehlersignal ausgelöst wird, wenn nach einer vorwählbaren Zeitspanne mindestens eine der Eingabeeinheiten (29) kein Fehlersignal liefert.
7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, daß die Ausgangssignale der Ausgabeeinheiten (55a, 55b) in die mindestens zwei Teilsysteme (1, 1′) zurückgeführt werden und ein Fehlersignal ausgelöst wird, wenn die rückgeführten Signale und die Ausgangssignale nach einer vorwählbaren Zeitspanne nach einer Signalausgabe mit unterschiedlichen Signalpegeln beaufschlagt sind.
8. Verfahren nach einem der obigen Ansprüche, dadurch gekennzeichnet, daß die teilsysteminternen Wege von sicherheitsrelevanten Signalen zyklisch durch eine fehlerbehaftete Ansteuerung überprüft werden.
9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, daß die vorverarbeiteten Ausgangssignale der sicherheitsrelevanten Eingabeeinheiten (29) zyklisch mit einem nicht ordnungsgemäßen Signalpegel beaufschlagt werden und ein Fehlersignal ausgelöst wird, wenn nach dem Auswerten der fehlerbehafteten Signalpegel keines der sicherheitsrelevanten Ausgangssignale einen Fehler anzeigt.
10. Verfahren nach einem der obigen Ansprüche, dadurch gekennzeichnet, daß die in den mindestens zwei Teilsystemen (1, 1′) gespeicherten Programme zyklisch überprüft werden.
11. Automatisierungssystem, bestehend aus mindestens zwei, zumindest teilweise redundanten Teilsystemen (1, 1′), die unter gegenseitiger Überwachug gemeinsam die technische Anlage sicher führen,
  • - wobei jedes der mindestens zwei Teilsysteme (1, 1′) Einrichtungen (51-54, 57a, 58-60) zur dynamischen Eigenüberwachung seiner Einzelkomponenten (29, 55a, 55b, 56) und zur Überführung der technischen Anlage in einen vorbestimmten Zustand und zur dortigen Stillsetzung aufweist, die zur Fehlermeldung mit einer dem jeweiligen Teilsystem (1, 1′) zugeordneten Überwachungseinheit (4, 4′) verbunden sind, die bei einer durch das Detektieren eines Fehlers ausgelösten Ansteuerung zusätzlich eine Notstillsetzung der technischen Anlage auslöst,
  • - wobei die Überwachungseinheiten (4, 4′) der mindestens zwei Teilsysteme (1, 1′) zusätzlich mit einem den mindestens zwei Teilsytemen (1, 1′) gemeinsamen Sicherheitsschalter (12) verbunden sind, der ebenfalls die Notstillsetzung der technischen Anlage auslöst, wenn die Überwachngseinheiten (4, 4′) unterschiedliche Signale liefern.
12. Automatisierungssystem nach Anspruch 11, dadurch gekennzeichnet, daß die Überwachungseinheiten (4, 4′) der mindestens zwei Teilsysteme (1, 1′) ausschließlich passive Komponenten (41a-44a, 41b-44b) aufweisen.
13. Automatisierungssystem nach Anspruch 11 oder 12, dadurch gekennzeichnet, daß die Überwachungseinheiten (4, 4′) zwei Verzögerungsschalter (41a und 44a, 41b und 44b) aufweisen, die mit einem Taktgeber und zwei in Reihe geschalteten Kontakten (5a, 5b) verbunden sind, die mit einem weiteren Schalter (6) in Reihe geschaltet sind, der das Überführen und Stillsetzen der technischen Anlage auslöst.
14. Automatisierungssystem nach Anspruch 13, dadurch gekennzeichnet, daß die Verzögerungsschalter (41a und 44a, 41b und 44b) mit Spannungsquellen unterschiedlichen Potentials (L+, M) verbunden sind.
15. Automatisierungssystem nach einem der Ansprüche 11 bis 14, dadurch gekennzeichnet, daß die sicherheitsrelevanten Ausgabeeinheiten (55a, 55b) der mindestens zwei Teilsysteme (1, 1′) je zwei in Reihe geschaltete Kontakte aufweisen, die mit einem Schalter (56) mit mehreren Kontakten (57a, 57b) verbunden sind, von denen einer (57a) mit einer Eingabeeinheit (58) der mindestens zwei Teilsysteme (1, 1′) verbunden ist.
16. Automatisierungssystem nach einem der Ansprüche 11 bis 15, dadurch gekennzeichnet, daß die sicherheitsrelevanten Ein- (29) und Ausgabeeinheiten (55a, 55b) der mindestens zwei Teilsysteme (1, 1′) mit den mindestens zwei Teilsystemen (1, 1′) zugeordneten logischen Auswerteschaltungen (51, 52, 54, 59, 60) verbunden sind.
17. Automatisierungssystem nach einem der Ansprüche 11 bis 16, dadurch gekennzeichnet, daß die mindestens zwei Teilsysteme (1, 1′) zur Programmüberprüfung mit einem Langzeitspeicher verbunden sind.
18. Automatisierungssystem nach einem der Ansprüche 11 bis 17, dadurch gekennzeichnet, daß ein Teilsystem (1) als Hauptsystem zur Verarbeitung aller Signale und die anderen Teilsysteme (1′) als Nebensyteme zur Verarbeitung nur der sicherheitsrelevanten Signale ausgebildet sind.
19. Automatisierungssystem nach einem der Ansprüche 11 bis 18, dadurch gekennzeichnet, daß es zur Steuerung und Überwachung einer Schachtanlage verwendet wird.
DE4134396A 1990-10-30 1991-10-17 Sicheres Automatisierungssystem Expired - Fee Related DE4134396C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP90120803 1990-10-30

Publications (2)

Publication Number Publication Date
DE4134396A1 DE4134396A1 (de) 1992-05-07
DE4134396C2 true DE4134396C2 (de) 1996-08-14

Family

ID=8204667

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4134396A Expired - Fee Related DE4134396C2 (de) 1990-10-30 1991-10-17 Sicheres Automatisierungssystem

Country Status (2)

Country Link
DE (1) DE4134396C2 (de)
ZA (1) ZA918593B (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19715098B4 (de) * 1997-04-11 2004-12-23 Schneider Electric Gmbh Überwachungsschaltung
DE19930994B4 (de) * 1999-07-05 2006-03-02 Leuze Lumiflex Gmbh + Co. Kg Schaltungsanordnung zur Überwachung von Relais in Sicherheitsschaltungen mit mindestens 3 Relais
DE19805819B4 (de) * 1997-05-06 2006-11-23 Ee-Signals Gmbh & Co. Kg Verfahren zur Überwachung von integrierten Schaltkreisen
DE10031956B4 (de) * 2000-06-30 2007-10-11 Igema Gmbh Schaltung
WO2019011164A1 (zh) * 2017-07-11 2019-01-17 上海蔚来汽车有限公司 换电站及其保护系统

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4233108A1 (de) * 1992-10-02 1994-04-07 Fernsprech Und Signalbau Gmbh Sicherheitskoppelglied
DE4401467C2 (de) * 1993-03-25 1996-12-12 Siemens Ag Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
FR2703480B1 (fr) * 1993-03-30 1995-06-02 Merlin Gerin Interface analogique de sécurité.
DE4345232C2 (de) * 1993-11-30 1996-01-11 Dorma Gmbh & Co Kg Steuerung und Regelung für eine durch einen elektromechanischen Motor angetriebene Tür
DE4432237A1 (de) * 1994-06-08 1995-12-14 Orenstein & Koppel Ag Steuerung für mobile Arbeitsmaschinen
DE19800311A1 (de) 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
WO1999064938A1 (de) 1998-06-10 1999-12-16 Siemens Aktiengesellschaft Steuereinrichtung für eine maschine, anlage oder ein gerät, sowie verfahren zum überwachen einer steuerung
DE10227419A1 (de) 2002-06-20 2004-01-15 Zf Friedrichshafen Ag Getriebe mit einem hydrodynamischen Wandler
US10855072B2 (en) * 2017-12-27 2020-12-01 Shanghai Chenzhu Instrument Co., Ltd. Intelligent safety relay and circuit applied thereby
EP4641324A1 (de) * 2024-04-26 2025-10-29 Siemens Aktiengesellschaft Verfahren zum betrieb einer steuerbaren maschine

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2162093B1 (de) * 1971-12-02 1977-04-08 Hitachi Ltd
DE3139067C2 (de) * 1981-10-01 1990-10-25 Bayerische Motoren Werke AG, 8000 München Elektrische Einrichtung zum Auslösen von Schaltfunktionen in Kraftfahrzeugen
DE3303791C2 (de) * 1982-02-11 1992-04-16 ZF-Herion-Systemtechnik GmbH, 7990 Friedrichshafen Elektronische Steuerung mit Sicherheitseinrichtungen
DE3225455C2 (de) * 1982-07-07 1986-07-17 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren Betrieb eines redundanten Steuersystems
US5182755A (en) * 1987-06-19 1993-01-26 Diesel Kiki Co., Ltd. Malfunction checking system for controller

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19715098B4 (de) * 1997-04-11 2004-12-23 Schneider Electric Gmbh Überwachungsschaltung
DE19805819B4 (de) * 1997-05-06 2006-11-23 Ee-Signals Gmbh & Co. Kg Verfahren zur Überwachung von integrierten Schaltkreisen
DE19930994B4 (de) * 1999-07-05 2006-03-02 Leuze Lumiflex Gmbh + Co. Kg Schaltungsanordnung zur Überwachung von Relais in Sicherheitsschaltungen mit mindestens 3 Relais
DE10031956B4 (de) * 2000-06-30 2007-10-11 Igema Gmbh Schaltung
WO2019011164A1 (zh) * 2017-07-11 2019-01-17 上海蔚来汽车有限公司 换电站及其保护系统

Also Published As

Publication number Publication date
ZA918593B (en) 1992-07-29
DE4134396A1 (de) 1992-05-07

Similar Documents

Publication Publication Date Title
DE4134396C2 (de) Sicheres Automatisierungssystem
DE3706325C2 (de)
DE4032033C2 (de)
EP2691969B1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
DE69119523T2 (de) Fehlererkennung in Relaisansteuerungsschaltungen
EP1092177A1 (de) Regler bzw. triebwerksregler, triebwerk und verfahren zum regeln eines stell- oder antriebssystems bzw. eines triebwerks
EP2434358A1 (de) Verfahren zum Betreiben eines redundanten Systems und System
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
EP2239752B2 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
EP0660043B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
EP0770942A2 (de) Anordnung zur Erfassung und/oder Verarbeitung von Signalen elektrischer Bauteile, die sicherheitstechnische Zwecke oder Auflagen für Geräte oder Anlagen erfüllen
DE4302908A1 (de) Verfahren zur Ermittlung kritischer Fehler insbesondere für ein Kommunikationssystem und eine nach diesem Verfahren arbeitende Schaltungsanordnung
DE202007014753U1 (de) Schaltung zum Überwachen, ob die Schaltschwelle eines Schaltgebers innerhalb eines vorgegebenen Toleranzbereichs liegt
DE2134079B2 (de) Anordnung zur redundanten Prozeßrechnersteuerung
EP0270871B1 (de) System zur Ein- und/oder Ausgabe von Signalen eines digitalen Steuersystems
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
AT395358B (de) Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE19508841A1 (de) Sicherheitsschalteranordnung
DE2400604B2 (de) Elektronisches Fehleranzeigesystem
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE3209718A1 (de) Funktionssichere steuereinrichtung
EP0156388A2 (de) Signaltechnisch sichere Datenverarbeitungseinrichtung
EP1277094B1 (de) Überwachungsverfahren fur vernetzte datenverarbeitungsanlagen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee