ES2307263T3 - Dispositivo para la generacion segura de señales. - Google Patents

Dispositivo para la generacion segura de señales. Download PDF

Info

Publication number
ES2307263T3
ES2307263T3 ES06101384T ES06101384T ES2307263T3 ES 2307263 T3 ES2307263 T3 ES 2307263T3 ES 06101384 T ES06101384 T ES 06101384T ES 06101384 T ES06101384 T ES 06101384T ES 2307263 T3 ES2307263 T3 ES 2307263T3
Authority
ES
Spain
Prior art keywords
signal
control
connection means
connection
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES06101384T
Other languages
English (en)
Inventor
Joachim Schenk
Volker Breunig
Frank Schmidt
Achim Mahler
Karl Wenzel
Andre Owerfeldt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Application granted granted Critical
Publication of ES2307263T3 publication Critical patent/ES2307263T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H27/00Switches operated by a removable member, e.g. key, plug or plate; Switches operated by setting members according to a single predetermined combination out of several possible settings
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/08Circuits or control means specially adapted for starting of engines
    • F02N11/087Details of the switching means in starting circuits, e.g. relays or electronic switches
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02PIGNITION, OTHER THAN COMPRESSION IGNITION, FOR INTERNAL-COMBUSTION ENGINES; TESTING OF IGNITION TIMING IN COMPRESSION-IGNITION ENGINES
    • F02P1/00Installations having electric ignition energy generated by magneto- or dynamo- electric generators without subsequent storage
    • F02P1/08Layout of circuits
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02PIGNITION, OTHER THAN COMPRESSION IGNITION, FOR INTERNAL-COMBUSTION ENGINES; TESTING OF IGNITION TIMING IN COMPRESSION-IGNITION ENGINES
    • F02P3/00Other installations
    • F02P3/02Other installations having inductive energy storage, e.g. arrangements of induction coils
    • F02P3/04Layout of circuits
    • F02P3/0407Opening or closing the primary coil circuit with electronic switching means
    • F02P3/0435Opening or closing the primary coil circuit with electronic switching means with semiconductor devices
    • F02P3/0442Opening or closing the primary coil circuit with electronic switching means with semiconductor devices using digital techniques
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02PIGNITION, OTHER THAN COMPRESSION IGNITION, FOR INTERNAL-COMBUSTION ENGINES; TESTING OF IGNITION TIMING IN COMPRESSION-IGNITION ENGINES
    • F02P3/00Other installations
    • F02P3/06Other installations having capacitive energy storage
    • F02P3/08Layout of circuits
    • F02P3/0807Closing the discharge circuit of the storage capacitor with electronic switching means
    • F02P3/0838Closing the discharge circuit of the storage capacitor with electronic switching means with semiconductor devices
    • F02P3/0846Closing the discharge circuit of the storage capacitor with electronic switching means with semiconductor devices using digital techniques
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/20Output circuits, e.g. for controlling currents in command coils
    • F02D2041/2068Output circuits, e.g. for controlling currents in command coils characterised by the circuit design or special circuit elements
    • F02D2041/2072Bridge circuits, i.e. the load being placed in the diagonal of a bridge to be controlled in both directions
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/08Circuits or control means specially adapted for starting of engines
    • F02N11/0803Circuits or control means specially adapted for starting of engines characterised by means for initiating engine start or stop
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02NSTARTING OF COMBUSTION ENGINES; STARTING AIDS FOR SUCH ENGINES, NOT OTHERWISE PROVIDED FOR
    • F02N11/00Starting of engines by means of electric motors
    • F02N11/10Safety devices
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H9/00Details of switching devices, not covered by groups H01H1/00 - H01H7/00
    • H01H2009/0083Details of switching devices, not covered by groups H01H1/00 - H01H7/00 using redundant components, e.g. two pressure tubes for pressure switch

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Control Of Electric Motors In General (AREA)
  • Looms (AREA)

Abstract

Dispositivo para la generación segura de señales con un medio de control (10), al que se alimenta una señal de control (12), en donde el medio de control (10) genera dependiendo de la señal de control (12) al menos una primera y una segunda señal de activación (54, 56) para activar un medio de conexión (16), que activa o desactiva una carga (50), en donde están previstos medios de reconocimiento (10, 66) para reconocer un funcionamiento adecuado del medio de conexión (16), en donde los medios de reconocimiento (10, 66) influyen al menos en una primera y una segunda señal de activación (54, 56), en dependencia del funcionamiento adecuado del medio de conexión (16), y en donde el medio de conexión (16) comprende al menos dos rutas paralelas con al menos en cada caso dos medios de conexión (58, 60; 62, 64) conectados en serie, caracterizado porque la primera señal de activación (54) activa un medio de conexión (58) de la primera ruta y, con el dispositivo invertido para ello con un primer inversor (51), activa un medio de conexión (64) de la segunda ruta.

Description

Dispositivo para la generación segura de señales.
Estado de la técnica
La invención se basa en un dispositivo para la generación segura de señales según el género de la reivindicación independiente. Las señales críticas en cuanto a seguridad se conectan en los sistemas actuales directamente al disipador de señales, como por ejemplo señales de control de bornes del conmutador de arranque del encendido. Sin embargo, si se desea generar una señal crítica en cuanto a seguridad mediante un microcontrolador, es necesario asegurar que su señal de salida crítica en cuanto a seguridad, en el caso de producirse un fallo sencillo de un componente en el sistema, no pase a un estado erróneo o no pueda conmutarse de un estado a otro.
Del documento US-A-5 559 438 se conoce un interruptor de seguridad, que comprende un circuito en serie o en paralelo de dos conmutadores sencillos y que sirve para la activación protegida contra fallos de una carga crítica en cuanto a seguridad. Cada uno de los conmutadores del interruptor de seguridad contiene un elemento para medir la corriente a través del interruptor en el caso de un circuito en paralelo o para medir la tensión a través del interruptor en el caso de un circuito en serie. Un circuito de vigilancia recibe las informaciones de los elementos de medición y apronta una señal de activación para cada conmutador, en donde estos se activan cuando la tensión medida es elevada o la corriente medida es reducida, y se desactivan cuando la tensión medida es reducida o la corriente medida es elevada.
Es por ello tarea de la invención aumentar la seguridad del aprontamiento de señales mediante un microcontrolador.
Esta tarea es resuelta mediante las particularidades de la reivindicación independiente.
Ventajas de la invención
El dispositivo conforme a la invención para la generación segura de señales comprende un medio de control, al que se alimenta una señal de control, en donde el medio de control genera dependiendo de la señal de control al menos una primera y una segunda señal de activación para activar un medio de conexión, que activa o desactiva una carga. Están previstos medios de reconocimiento para reconocer un funcionamiento adecuado del medio de conexión, en donde los medios de reconocimiento influyen al menos en una primera y una segunda señal de activación, en dependencia del funcionamiento adecuado del medio de conexión. Para aumentar adicionalmente la seguridad, el medio de conexión comprende al menos dos rutas paralelas con al menos en cada caso dos medios de conexión conectados en serie. Conforme a la invención está previsto que la primera señal de activación active un medio de conexión de la primera ruta, e invertida para ello a través de un primer inversor, un medio de conexión de la segunda ruta. De forma ventajosa se consigue por medio de esto que sólo una de las dos señales de control tenga que estar protegida contra fallos.
De la descripción se deducen otros perfeccionamientos convenientes.
Dibujo
Los ejemplos de ejecución de la invención están representados en el dibujo y se describen a continuación con más detalle.
Las figuras 1 a 3 muestran esquemas de conexiones en bloques de varios ejemplos de ejecución del dispositivo conforme a la invención para una generación segura de señales.
Descripción de los ejemplos de ejecución
A un medio de control 10 y a un medio de funcionamiento de emergencia 30 se alimenta una señal de control 12. El medio de control 10 genera una señal de salida 13, que se alimenta al medio de conexión de funcionamiento de emergencia 32. Una señal de disparo 18 aprontada por el medio de control 10 es tratada por un medio de vigilancia 20. El medio de control 10 genera asimismo una señal de control de funcionamiento de emergencia 15 para el medio de funcionamiento de emergencia 30. El medio de funcionamiento de emergencia 30 obtiene además una señal de salida de vigilancia 22 generada por un medio de vigilancia 20. El medio de funcionamiento de emergencia 30 genera una señal de salida de funcionamiento de emergencia 34 y una señal de control de funcionamiento de emergencia 36. A través de la señal de control de funcionamiento de emergencia 36 puede modificarse el medio de conexión de funcionamiento de emergencia 32 en una posición de interruptor. En una de las posiciones de interruptor el medio de conexión de funcionamiento de emergencia 32 transmite la señal de salida 13 del medio de control 10 como señal de activación 14 a un medio de conexión 16. En la otra posición de interruptor el medio de conexión de funcionamiento de emergencia 32 transmite la señal de salida 13 del medio de control 10 como señal de activación 14 al medio de conexión 16. Con el medio de conexión 16 conectado mediante la señal de activación 14 puede activarse o desactivarse un componente relevante en cuanto a seguridad.
En el caso del ejemplo de ejecución conforme a la figura 2 se alimentan al medio de control 10 la señal y una señal de reset 24, que es generada por el medio de vigilancia 20. El medio de control 10 entrega a su vez la señal de salida 13 al medio de conexión de funcionamiento de emergencia 32, la señal de disparo 18 al medio de vigilancia 20 y la señal de activación de funcionamiento de emergencia 15 al medio de funcionamiento de emergencia 30. Como ya se ha descrito con relación al ejemplo de ejecución conforme a la figura 1 el medio de funcionamiento de emergencia 30 entrega la señal de funcionamiento de emergencia 32, cuya señal de salida se alimenta como señal de activación 14 al medio de conexión 16 para su activación. Está previsto un segundo medio de control 40, que intercambia datos a través de una línea de comunicación 44 con el medio de control 10. Una señal de activación de funcionamiento de emergencia 42 del segundo medio de control 40 se entrega al medio de funcionamiento de emergencia 30.
En el ejemplo de ejecución conforme a la figura 3 llega una primera señal de activación 54 tanto al primer inversor 51 como a un primer medio de conexión 58. Con la señal de salida del primer inversor 51 se controla un cuarto medio de conexión 64. Una segunda señal de activación 56 se alimenta tanto a un segundo medio de conexión 60 como a un segundo inversor 52. La señal de salida del segundo inversor 52 sirve para el tercer medio de conexión 62 como señal de activación. El primer medio de conexión 58 y el tercer medio de conexión 62 están conectados en serie, al igual que el segundo medio de conexión 60 y el cuarto medio de conexión 64. El primer medio de conexión 58 y el tercer medio de conexión 62 están conectados en paralelo con respecto a los medios de conexión segundo y cuarto 60, 64 situados en serie. Los potenciales comunes de los medios de conexión tercero y cuarto 62, 64 están unidos (a modo de ejemplo) a masa, a los potenciales comunes de los medios de conexión 58, 60 primero y segundo (a modo de ejemplo) con la carga 50. Para detectar la señal con la que se activa la señal 50 está prevista una línea de retroalimentación 66.
El ejemplo de ejecución conforme a la figura 1 se utiliza por ejemplo para la generación segura de señales para un conmutador de arranque del encendido en un vehículo de motor. La señal correspondiente del estado de encendido deseado llega como señal de control 12 tanto al medio de control 10 como al medio de funcionamiento de emergencia 30. El medio de control 10 trata la señal de control 12 entrante, dado el caso, con ayuda de otras informaciones. En el medio de control 10 está materializado por ejemplo un dispositivo automático de arranque/parada, que desactiva o activa automáticamente el encendido (como ejemplo para una carga 50) en caso de presentarse determinadas condiciones. El medio de control 10 genera por ello, dependiendo de la señal de control 12, una señal de salida 13 con la que en funcionamiento normal se activa el medio de conexión 16 por ejemplo para activar o desactivar el encendido.
Debido a que en el caso del encendido se trata de una función crítica en cuanto a seguridad, el medio de conexión 16 debe activarse correctamente también cuando el medio de control 10 no funcione adecuadamente. Para esto está previsto conforme a la invención el medio de funcionamiento de emergencia 30 con el medio de conexión de funcionamiento de emergencia 32 correspondiente. En caso de fallo del medio de control 10 el medio de funcionamiento de emergencia 30 controla el medio de conexión de funcionamiento de emergencia 32, de tal modo que el medio de conexión de funcionamiento de emergencia 32 ya no rectifica la señal de salida 13 del medio de control 10 como señal de activación 14 para el medio de conexión 16, sino la señal de salida de funcionamiento de emergencia 34. En el caso de la señal de salida de funcionamiento de emergencia 34 se trata del estado correspondiente de la señal de control 12. En el caso más sencillo se rectifica la señal de control 12 a través del medio de funcionamiento de emergencia 30, sencillamente como señal de salida de funcionamiento de emergencia 34. Sin embargo, en el medio de funcionamiento de emergencia 30 también podría estar integrada una lógica adicional, que transforme la señal de control 12 en la señal de salida de funcionamiento de emergencia 34, dependiendo de determinadas condiciones.
El medio de conexión de funcionamiento de emergencia 32 se conmuta después para transmitir la señal de salida de funcionamiento de emergencia 34 como señal de activación, cuando se ha reconocido un funcionamiento defectuoso del medio de control 10. La función de emergencia del medio de funcionamiento de emergencia 30 puede activarse mediante el propio medio de control 10 o el medio de vigilancia 20. En el medio de control 10 se ha integrado para esto una función de autodiagnóstico, para vigilar la propia capacidad de funcionamiento. Si el medio de control 10 reconoce un caso de fallo propio, envía un mensaje correspondiente a través de la señal de activación de funcionamiento de emergencia 15 al medio de funcionamiento de emergencia 30, para activar la función de funcionamiento de emergencia como ya se ha descrito anteriormente. Para la vigilancia adicional o alternativa del medio de control 10 está previsto el medio de vigilancia 20. Aquí se trata por ejemplo de un llamado Watchdog. El medio de control 10 entrega una señal de disparo 18 al medio de vigilancia 20. El medio de vigilancia 20 comprueba en la señal de disparo 18 entrante si coincide con una señal de disparo esperada. Como criterio para un caso de fallo podría utilizarse por ejemplo una variación de frecuencia de la señal de disparo 18. Si el medio de vigilancia 20 reconoce una desviación significativa de la señal de disparo 18 respecto al estado normal esperado, deduce que existe un medio de control 10 defectuoso y activa la función de funcionamiento de emergencia del medio de funcionamiento de emergencia 30 con una señal de salida de vigilancia 22 correspondiente. El medio de funcionamiento de emergencia 30 produce, a través de la señal de control de funcionamiento de emergencia 36, la rectificación de la señal de salida de funcionamiento de emergencia 34 como señal de activación 14 para el medio de conexión 16, como ya se ha descrito anteriormente. El medio de vigilancia 20, sin embargo, no autoriza en el caso del ejemplo de ejecución conforme a la figura 1 un reset del medio de control 10, sólo controla la función de emergencia del medio de funcionamiento de emergencia 30.
En el caso del ejemplo de ejecución conforme a la figura 2 está previsto como medio de vigilancia adicional del medio de control 10 un segundo medio de control 40. Con base en la comunicación dado el caso bidireccional, que es guiada a través de la línea de comunicación 44 entre el primer medio de control 10 y el segundo medio de control 40, el segundo medio de control 40 vigila la capacidad de funcionamiento del medio de control 10. Para esto el segundo medio de control 40 podría por ejemplo enviar señales de prueba al medio de control 10, que envía de vuelta señales de respuesta correspondientes. Con base en las señales de respuesta entrantes el segundo medio de control 40 determina si el medio de control 10 funciona todavía adecuadamente. Si la respuesta entrante del medio de control 10 se desviara de la esperada, el segundo medio de control 40 deduce que existe un funcionamiento defectuoso y activa el funcionamiento de emergencia consignado en el medio de funcionamiento de emergencia 30, a través de la señal de activación de funcionamiento de emergencia 42. El funcionamiento de emergencia coincide con el descrito en el ejemplo de ejecución 1. Se hace referencia a las ejecuciones correspondientes. El segundo medio de control 40 asume fundamentalmente la función del medio de vigilancia 20 del primer ejemplo de ejecución. De este modo el medio de vigilancia 20 conforme a la figura 2 está liberado de estas tareas y puede asumir la función de Watchdog citada. El medio de vigilancia 20 vigila a su vez si la señal de disparo 18 presenta desviaciones inesperadas de importancia. Si se produjeran éstas, el medio de vigilancia 20 envía una señal de Reset 24 correspondiente al medio de control 10. El medio de control 10 se reinicia. Este Reset es reconocido por el segundo medio de control 40, que activa como muy tarde entonces la función de emergencia del medio de funcionamiento de emergencia 30. Como también en el ejemplo de ejecución conforme a la figura 1, el propio medio de control 10 puede activar la función de emergencia del medio de funcionamiento de emergencia 30. Esto podría ser el caso si el propio medio de control 10 reconoce que funciona con fallos y/o si detecta un fallo del segundo medio de control 40. Alternativamente la función de emergencia del medio de funcionamiento de emergencia 30 podría activarse, después de un número prefijable de señales de Reset 24, mediante el medio de vigilancia 20. La llamada función de Watchdog del medio de vigilancia 20 se mantendría aquí.
Para aumentar más la seguridad, el medio de conexión 16 podría presentar una estructura como la representada en la figura 3. El medio de control 10 generaría dos señales, la primera y la segunda señal de activación 54, 56, en lugar de solamente una señal de salida 13. Sólo una de las dos señales de activación 54, 56 tendría que estar ejecutada con protección contra fallos (como se ha descrito anteriormente). La señal de activación sin protección contra fallos tiene que adoptar, en caso de fallo, solamente un estado definido. Aparte de esto, el medio de control 10 recibe y trata la señal tomada desde la línea de retroalimentación 66. Para garantizar ahora una apertura segura del medio de conexión 16, al primer medio de conexión 58 está conectado además un tercer medio de conexión 62 en serie. Si por ejemplo ya no pudiera abrirse el primer medio de conexión 58, la señal de salida deseada podría producirse todavía mediante la apertura del tercer medio de conexión 62. Sin embargo, si el primer medio de conexión 58 no pudiera cerrarse más, podría alcanzarse el estado de salida deseado mediante el cierre del segundo y del cuarto medio de conexión 60, 64.
En el estado básico, es decir, con la carga 50 desconectada, la primera y la segunda señal de activación 54, 56 presentan el estado de cero lógico. En cooperación con los dos inversores 51, 52 el tercero y el cuarto medio de conexión 62, 64 están cerrados. Debido a que el primer y el segundo medio de conexión 58, 60 permanecen asimismo abiertos, la carga 50 está desactivada.
Si se desea conectar la carga 50, como indica un cambio de la señal de control 12, el medio de control 10 genera una segunda señal de activación 56 con el nivel uno lógico. Por medio de esto se cierra el segundo medio de conexión 60. La ruta derecha del medio de conexión 16 se hace ahora conductora y de este modo se ha conectado la carga 50. En paralelo a esto el medio de control 10 detecta, a través de la línea de retroalimentación 66, el estado de la carga 50. En el caso de un funcionamiento adecuado del medio de conexión 16, un nivel de la segunda señal de control 56 de uno lógico conduce también a que por la carga 50 circule una corriente.
Sin embargo, si el medio de control 10 no reconoce una acción pretendida, a pesar de la activación deseada, pasa a un funcionamiento de emergencia. Para remediar el estado defectuoso se activa la ruta izquierda del medio de conexión 16 a través de una variación de la primera señal de activación 54 en uno lógico. Aquí se cierra el primer conmutador 58 y por medio de esto se conecta la carga 50.
Si el segundo medio de conexión 60 no se abriera en funcionamiento normal "desconectar" (primera señal de activación 54 cero lógico, segunda señal de activación 56 cero lógico) a pesar de una activación correspondiente, esto es también reconocido a través de la señal detectada por la línea de retroalimentación 66. Después se pasa la primera señal de activación 54 a uno lógico, de tal modo que se abre el cuarto medio de conexión 64 y con ello se desactiva la ruta derecha. Esta función puede ser asumida a continuación a través de la primera señal de activación 54 con una lógica inversora correspondiente.

Claims (1)

1. Dispositivo para la generación segura de señales con un medio de control (10), al que se alimenta una señal de control (12), en donde el medio de control (10) genera dependiendo de la señal de control (12) al menos una primera y una segunda señal de activación (54, 56) para activar un medio de conexión (16), que activa o desactiva una carga (50), en donde están previstos medios de reconocimiento (10, 66) para reconocer un funcionamiento adecuado del medio de conexión (16), en donde los medios de reconocimiento (10, 66) influyen al menos en una primera y una segunda señal de activación (54, 56), en dependencia del funcionamiento adecuado del medio de conexión (16), y en donde el medio de conexión (16) comprende al menos dos rutas paralelas con al menos en cada caso dos medios de conexión (58, 60; 62, 64) conectados en serie, caracterizado porque la primera señal de activación (54) activa un medio de conexión (58) de la primera ruta y, con el dispositivo invertido para ello con un primer inversor (51), activa un medio de conexión (64) de la segunda ruta.
ES06101384T 2000-03-09 2001-02-15 Dispositivo para la generacion segura de señales. Expired - Lifetime ES2307263T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10011410 2000-03-09
DE10011410A DE10011410A1 (de) 2000-03-09 2000-03-09 Vorrichtung zur sicheren Signalerzeugung

Publications (1)

Publication Number Publication Date
ES2307263T3 true ES2307263T3 (es) 2008-11-16

Family

ID=7634047

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06101384T Expired - Lifetime ES2307263T3 (es) 2000-03-09 2001-02-15 Dispositivo para la generacion segura de señales.

Country Status (8)

Country Link
US (1) US20030181998A1 (es)
EP (2) EP1264097A1 (es)
KR (1) KR20020083167A (es)
CN (1) CN1304745C (es)
DE (2) DE10011410A1 (es)
ES (1) ES2307263T3 (es)
MX (1) MXPA02008720A (es)
WO (1) WO2001066926A1 (es)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10127053A1 (de) 2001-06-02 2002-12-05 Bosch Gmbh Robert Vorrichtung zur Steuerung der Energieversorgung eines Kraftfahrzeugs
DE10139616B4 (de) * 2001-08-11 2010-12-09 Robert Bosch Gmbh Steuerkreis mit Redundanzfunktion
DE102005034911A1 (de) * 2005-07-26 2007-02-01 BSH Bosch und Siemens Hausgeräte GmbH Verfahren und Schaltungsanordnung zur gesicherten Ansteuerung von Aktoren, Sensoren bzw. Verbrauchern in einem diese enthaltenden elektrischen Gerät, insbesondere elektrischen Hausgerät
DE102008009905A1 (de) * 2008-02-19 2009-08-20 Robert Bosch Gmbh Verfahren zum Bereitstellen einer Notlauffunktion
DE102011081184A1 (de) * 2011-08-18 2013-02-21 Siemens Aktiengesellschaft Verfahren zum Schalten in einer Anordnung von Leistungsschaltern sowie Anordnung aus einer Mehrzahl von Leistungsschaltern
CN104865905B (zh) * 2014-02-21 2018-02-23 上海西门子医疗器械有限公司 通讯控制装置、通讯控制方法及医疗设备
DE102015224067A1 (de) * 2015-12-02 2017-06-08 Borgward Trademark Holdings Gmbh Batteriemanagementsystem, Fahrzeug damit und Verfahren zur Batterierelais-Steuerung
EP3288057A1 (de) * 2016-08-26 2018-02-28 Siemens Aktiengesellschaft Sicherheitsgerichtetes schaltgerät
EP4116620A1 (de) * 2021-07-09 2023-01-11 Leuze electronic GmbH + Co. KG Überwachungseinrichtung und verfahren zum betrieb einer überwachungseinrichtung

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4223295A (en) * 1978-10-18 1980-09-16 Nelson A. Faerber Emergency control system for traffic signals
EP0034839B1 (de) * 1980-02-13 1984-10-24 Werkzeugmaschinenfabrik Oerlikon-Bührle AG Vorrichtung zum Überwachen eines Raddrehzahlgebers
DE3130094A1 (de) * 1981-07-30 1983-02-17 Robert Bosch Gmbh, 7000 Stuttgart Notsteuersystem fuer eine diesel-brennkraftmaschine
JPS593596A (ja) * 1982-06-30 1984-01-10 日本警備保障株式会社 警報装置
DE3322074A1 (de) * 1982-07-23 1984-01-26 Robert Bosch Gmbh, 7000 Stuttgart Notlaufeinrichtung fuer mikrocomputergesteuerte systeme
DE3531198A1 (de) * 1985-08-31 1987-03-12 Bosch Gmbh Robert Sicherheits- und notfahrverfahren fuer eine brennkraftmaschine mit selbstzuendung und einrichtung zu dessen durchfuehrung
DE4106257A1 (de) * 1991-02-28 1992-09-03 Pierburg Gmbh Einrichtung zur steuerung der drosselklappe
DE4118558A1 (de) * 1991-06-06 1992-12-10 Bosch Gmbh Robert System zur steuerung einer brennkraftmaschine
JP3564148B2 (ja) * 1992-05-08 2004-09-08 株式会社ボッシュオートモーティブシステム 内燃機関の燃料噴射制御システム
DE4229774C2 (de) * 1992-09-05 2002-06-20 Bosch Gmbh Robert Vorrichtung zur Steuerung einer Brennkraftmaschine
FR2715738B1 (fr) * 1994-01-31 1996-04-12 Sextant Avionique Interrupteur composite de sécurité.
JP3276859B2 (ja) * 1996-08-30 2002-04-22 株式会社東海理化電機製作所 モータ制御装置
US5949677A (en) * 1997-01-09 1999-09-07 Honeywell Inc. Control system utilizing fault detection
FR2761173B1 (fr) * 1997-03-19 1999-05-14 Schneider Automation Module d'automate programmable
US6141628A (en) * 1997-06-10 2000-10-31 Amot Controls Corporation Programmable logic controller software with embedded class logic and alarm/shutdown functionality
US6122567A (en) * 1997-12-02 2000-09-19 Rheem Manufacturing Company Boiler system ignition sequence detector and associated methods of protecting boiler systems
DE19809709A1 (de) * 1998-03-06 1999-09-09 Sick Ag Vorrichtung zum Überwachen eines Schutzbereichs
US6167329A (en) * 1998-04-06 2000-12-26 Eaton Corporation Dual microprocessor electronic trip unit for a circuit interrupter
US6223091B1 (en) * 1998-05-29 2001-04-24 Siemens Energy & Automation, Inc. Alarm event generator apparatus, means and system
US6407469B1 (en) * 1999-11-30 2002-06-18 Balboa Instruments, Inc. Controller system for pool and/or spa

Also Published As

Publication number Publication date
CN1416503A (zh) 2003-05-07
US20030181998A1 (en) 2003-09-25
DE10011410A1 (de) 2001-09-20
EP1264097A1 (de) 2002-12-11
EP1679729A2 (de) 2006-07-12
EP1679729A3 (de) 2006-11-22
MXPA02008720A (es) 2004-05-05
EP1679729B1 (de) 2008-07-02
DE50114079D1 (de) 2008-08-14
KR20020083167A (ko) 2002-11-01
WO2001066926A1 (de) 2001-09-13
CN1304745C (zh) 2007-03-14

Similar Documents

Publication Publication Date Title
KR100246959B1 (ko) 폐색방지 조절장치
ES2307263T3 (es) Dispositivo para la generacion segura de señales.
ES2267512T3 (es) Sistema electronico de seguridad para ascensores.
ES2401103T3 (es) Dispositivo de conmutación de seguridad para la desconexión a prueba de errores de un consumidor eléctrico
US9740178B2 (en) Primary controller designation in fault tolerant systems
ES2262489T3 (es) Mecanismo a prueba de fallos.
KR101974978B1 (ko) 차량 내의 다전압 온-보드 전원 공급 시스템용 제어기
US6650522B2 (en) Semiconductor relay system and method for controlling the semiconductor relay system
JPH06324769A (ja) 制御装置の冗長なコンピュータシステム用電圧供給装置とその使用方法
ES2847399T3 (es) Interruptor de seguridad
ES2320711T3 (es) Dispositivo de campo de salida vital para interconectar directamente una unidad de control logico con al menos una o mas unidades de borde de via.
CA2155159C (en) Reconfigurable fault control apparatus
ES2208387T3 (es) Circuito para la conexion y funcionamiento de aparatos conectados en serie con respecto a su tension de alimentacion en una instalacion de control y de transmision de datos.
JP3569830B2 (ja) バーナー燃焼制御システムのリレー異常検出装置
JPH064415B2 (ja) 鉄道信号用出力リレーの駆動回路
ES2303651T3 (es) Unidad periferica para un sistema de control redundante.
ES2915655T3 (es) Protección contra fallas internas
US5671348A (en) Non-vital turn off of vital output circuit
JP4411910B2 (ja) ガス安全装置
EP0109696A1 (en) Circuit for fail safe control of a system
JPH0797438B2 (ja) ガス集中検針装置
JP2518400B2 (ja) 操作回路用故障監視装置
JP2766089B2 (ja) 冗長運転電源システム
ES2401331T3 (es) Generador eléctrico de alta seguridad, en particular para sistemas ferroviarios, o similares
JP3519633B2 (ja) 防災監視制御盤