PL176412B1 - Urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa - Google Patents

Urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa

Info

Publication number
PL176412B1
PL176412B1 PL94314720A PL31472094A PL176412B1 PL 176412 B1 PL176412 B1 PL 176412B1 PL 94314720 A PL94314720 A PL 94314720A PL 31472094 A PL31472094 A PL 31472094A PL 176412 B1 PL176412 B1 PL 176412B1
Authority
PL
Poland
Prior art keywords
microprocessor
microprocessors
memory
safety
instrument
Prior art date
Application number
PL94314720A
Other languages
English (en)
Other versions
PL314720A1 (en
Inventor
Klaus Krieger
Markus Koenig
Andreas Böttigheimer
Jürgen Schmidt
Original Assignee
Bosch Gmbh Robert
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bosch Gmbh Robert filed Critical Bosch Gmbh Robert
Publication of PL314720A1 publication Critical patent/PL314720A1/xx
Publication of PL176412B1 publication Critical patent/PL176412B1/pl

Links

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N5/00Systems for controlling combustion
    • F23N5/24Preventing development of abnormal or undesired conditions, i.e. safety arrangements
    • F23N5/242Preventing development of abnormal or undesired conditions, i.e. safety arrangements using electronic means
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2223/00Signal processing; Details thereof
    • F23N2223/04Memory
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F23COMBUSTION APPARATUS; COMBUSTION PROCESSES
    • F23NREGULATING OR CONTROLLING COMBUSTION
    • F23N2223/00Signal processing; Details thereof
    • F23N2223/08Microprocessor; Microcomputer

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)
  • Regulation And Control Of Combustion (AREA)
  • Hardware Redundancy (AREA)

Abstract

1. Urzadzenie do kontroli co najmniej jednej funkcji przyrzadu dotyczacej bezpieczenstwa, z dwoma albo wieksza liczba mikroprocesorów, przy czym kazdemu mikroprocesorowi jest przyporzad- kowana wlasna pamiec zapisywalna i kasowalna przez poszczególny mikroprocesor, znamienne tym, ze mikroprocesory (10a, 10b) sa polaczone ze soba szyna danych (11), pamiec (13a, 13b) jest odczytywalna przez mikroprocesor (10a, 10b), pamiec (13a, 13b) stanowi pamiec nieulotna, mikroprocesor (10a, 10b) jest przystosowany do rejestracji ustalonego bledu w pamieci (13a, 13b), a przy wystapieniu bledu nastepuje odlaczenie (48) przyrzadu i urzadzenie zawiera przelacznik (24) uruchamiany recznie do wznowienia pracy przyrzadu. Fig 1 PL

Description

Przedmiotem wynalazku jest urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa.
Znane jest z japońskiego skrótu opisu patentowego nr 01-174850, tom 013, nr 449 (M-878), 9.10.1989, urządzenie sterujące urządzeniem klimatyzacyjnym, które zawiera przesuwne zawory klapowe i sprężarkę. Urządzenie sterujące zawiera pamięć EEPROM wyłączaną i zapisywaną elektrycznie, do której mikroprocesor wprowadza przy powstałym błędzie warunki pracy odpowiadające punktowi czasowemu wystąpienia błędu. Technik obsługujący urządzenie odczytuje dane.
Znane jest na przykład z niemieckiego opisu patentowego nr 39 23 773 urządzenie do sterowania i kontroli przyrządu ogrzewanego paliwem, w którym są zastosowane dwa układy mikrokomputerowe połączone ze sobą szyną danych. Te sygnały wejściowe, które podają funkcje przyrządu dotyczące bezpieczeństwa, są wprowadzane do obu systemów mikrokomputerowych. Oba systemy mikrokomputerowe obliczają sygnały nastawne na przykład dla zaworów magnetycznych, przy czym sygnał wyjściowy jest przekazywany dalej do stopnia końcowego, gdy rozkazy nastawne obydwu systemów mikrokomputerowych są identyczne. Każdy system mikrokomputerowy ma możliwość bezprądowego przełączania wszystkich stopni końcowych poprzez wspólny wyłącznik bezpieczeństwa i dzięki temu przeprowadzania przyrządu ogrzewanego paliwem do stanu bezpiecznego.
176 412
Znane jest z europejskiego opisu patentowego nr 496 504 urządzenie, które zawiera mikroprocesory, .przy czym każdemu mikroprocesorowi jest przyporządkowana pamięć. Poszczególne pamięci są zapisywane przez mikroprocesory. Odczyt zawartości pamięci nie jest natomiast dokonywany przez mikroprocesory. Odczyt informacji zapisanej w pamięciach, jak również ewentualne dalsze zapamiętywanie danych przejmuje następny mikroprocesor. Poszczególne mikroprocesory podają dalej do pamięci bieżące dane, które reprezentują stan pracy sterowanego urządzenia. Wykrywanie błędu nie jest przewidziane w samym mikroprocesorze, przez co nie jest zakłócana szybkość przetwarzania informacji. To zadanie przejmuje następny mikroprocesor, który ustala w wyniku operacji porównania lub przetwarzania sygnałów, czy wystąpił błąd.
Znane jest z europejskiego opisu patentowego nr 566 177 urządzenie do sterowania urządzeniem ogrzewanym paliwem, które zawiera mikroprocesor, któremu jest przyporządkowana własna pamięć nielotna, która jest zapisywana i odczytywana przez mikroprocesor. Mikroprocesor rejestruje w pamięci ustalony błąd. Odłączanie urządzenia ogrzewanego paliwem nie jest przewidziane. Dane zarejestrowane w pamięci są tak długo przechowywane, aż technik z obsługi odczyta zawartość pamięci.
W urządzeniu według wynalazku mikroprocesory są połączone ze sobą szyną danych. Pamięć jest odczytywalna przez mikroprocesor. Pamięć tę stanowi pamięć nieulotna. Mikroprocesor jest przystosowany do rejestracji ustalonego błędu w pamięci, a przy wystąpieniu błędu następuje odłączenie przyrządu i urządzenie zawiera przełącznik uruchamiany ręcznie do wznowienia pracy przyrządu.
Korzystnie pamięć tę stanowi pamięć EEPROM.
Korzystnie pamięci EEPROM są dołączone do mikroprocesorów dla porównania zawartości i przy zgodności zapisanych błędów dla ostatecznego wyłączenia.
Korzystnie każdy mikroprocesor jest przystosowany do sterowania oddzielną funkcją, przy czym funkcje spełniają warunek logicznego I dla uruchomienia lub eksploatowania przyrządu.
Korzystnie urządzenie jest dołączone do przyrządu ogrzewanego paliwem.
Korzystnie każdemu mikroprocesorowi jest przyporządkowany zawór magnetyczny umieszczony w przewodzie z olejem albo gazem.
Urządzenie jest umieszczone w przyrządzie sterującym, korzystnie wbudowanym w pojazd.
Zaletą wynalazku jest zapewnienie urządzenia do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa, które mą, wysoką niezawodność przy eksploatacji. Bezpieczeństwo zwiększa się dzięki temu, że w dużym stopniu oddziela się kanały kontrolne, z których każdy zawiera jeden mikroprocesor. Mikroprocesory są połączone tylko jedną wspólną szyną danych, która umożliwia przekazywanie informacji do obu mikroprocesorów z dalszych mikroprocesorów, w szczególności umożliwia wymianę danych pomiędzy mikroprocesorami w celu porównania wykrytego błędu. Każdy mikroprocesor jest w stanie rejestrować w pamięci wykryty błąd i odczytywać zarejestrowaną tam informację.
Przedmiot wynalazku jest uwidoczniony w przykładach wykonania na rysunku, na którym fig. 1 przedstawia schemat blokowy połączeń urządzenia do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa i fig. 2 - sieć działań dla urządzenia z fig. 1.
Figura 1 pokazuje pierwszy i drugi mikroprocesor 10a, 10b, które są połączone ze sobą szyną danych 11. Pierwszy mikroprocesor 10a współpracuje z pamięcią stałą PROM 12a i z pierwszą zapisywalną i kasowalną pamięcią EePROM 13a. Pierwszy mikroprocesor wysyła pierwszy sygnał wyjściowy 14a do układu zapłonowego 15, jak również drugi sygnał wy‘ściowy 16a przez pierwszy kondensator 17a do pierwszego stopnia końcowego 18a.
Pierwszy stopień końcowy 18a zasila pierwsze uzwojenie 19a pierwszego zaworu magnetycznego 20a, który jest umieszczony w przewodzie 21. Do wykrywania prądu płynącego przez pierwsze uzwojenie 19a stosuje się czujnik 22a prądu, który wysyła pierwszy sygnał wejściowy 23a do pierwszego mikroprocesora 10a.
176 412
Pierwszy mikroprocesor 10a otrzymuje drugi sygnał wejściowy 25a wysłany przez przełącznik 24a, trzeci sygnał wejściowy 27a wysłany przez układ kontroli 26a płomienia, czwarty sygnał wejściowy 29 wysłany przez układ zerujący 28, jak również piąty sygnał wejściowy 31a z czujnika 30 temperatury granicznej.
Układ połączeń drugiego mikroprocesora 10b odpowiada całkowicie układowi połączeń pierwszego mikroprocesora 10a.
Drugi mikroprocesor 10b wysyła trzeci sygnał wyjściowy 14b do układu zapłonowego 15, jak również czwarty sygnał wyjściowy 16b przez drugi kondensator 17b do drugiego stopnia końcowego 18b.
Drugi stopień końcowy 18b zasila drugie uzwojenie 19b drugiego zaworu magnetycznego 20b, który jest umieszczony w przewodzie 21. Do wykrywania prądu płynącego przez drugie uzwojenie 19b stosuje się czujnik 22b prądu, który wysyła szósty sygnał wejściowy 23b do drugiego mikroprocesora 10b.
Drugi mikroprocesor 10b otrzymuje siódmy sygnał wejściowy 25b wysłany przez przełącznik 24, ósmy sygnał wejściowy 27b wysłany przez układ kontroli 26 płomienia, dziewiąty sygnał wejściowy 29 wysłany przez układ zerujący 28, jak również dziesiąty sygnał wejściowy 31b z czujnika temperatury granicznej 30.
Szyna danych 11 łącząca oba mikroprocesory 10a, 10b prowadzi dalej do trzeciego mikroprocesora 32, który wysyła piąty sygnał wyjściowy 33a do pierwszego stopnia końcowego 18a i szósty sygnał wyjściowy 33b do drugiego stopnia końcowego 18b. Trzeci mikroprocesor 33 współpracuje z trzecią pamięcią stałą PROM 38. Trzeci mikroprocesor 32 otrzymuje jedenasty sygnał wejściowy 34, udostępniony przez czujnik 30 temperatury granicznej. Dwunasty sygnał wejściowy 35 dla trzeciego mikroprocesora 32 jest wysyłany przez układ kontroli 26 płomienia. Ostatni, trzynasty sygnał wejściowy 36 jest wysyłany na wejście 37 trzeciego mikroprocesora 32.
Urządzenie pokazane na fig. 1 to dwukanałowe urządzenie zabezpieczające do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa. Istotne części dwukanałowego urządzenia zabezpieczającego tworzą oba mikroprocesory 10a, 10b. W razie potrzeby można dokonać rozszerzenia na wielokanałowe urządzenie z dalszymi mikroprocesorami. Rozszerzenie na dalsze kanały zabezpieczające nie sprawia problemu, ponieważ budowa poszczególnych kanałów jest w dużym stopniu identyczna. Od poszczególnego przypadku zależy, którą funkcję lub funkcje należy uważać za dotyczące bezpieczeństwa. Urządzenie na fig. 1 można zastosować w przyrządzie ogrzewanym paliwem. Paliwo doprowadza się przewodem 21 do nie pokazanego palnika. Zamknięciem albo otwarciem dopływu paliwa sterują dwa zawory magnetyczne 20a, 20b połączone szeregowo w urządzeniu przepływowym. Zawory magnetyczne 20a, 20b uruchamia się zależnie od przepływu prądu w uzwojeniach 19a, 19b. Pierwszą funkcją dotyczącą bezpieczeństwa jest stan uruchomienia zaworów magnetycznych 20a, 20b. Przepływ prądu w pierwszym uzwojeniu 19a jest wykrywany przez pierwszy czujnik 22a prądu, który wysyła pierwszy sygnał wejściowy 23a do pierwszego mikroprocesora 10a. Przepływ prądu w drugim uzwojeniu 19b wykrywa drugi czujnik 22b prądu, który wysyła szósty sygnał wejściowy 23b do drugiego mikroprocesora 10b. Szczególnie ważne ze względu na funkcje dotyczące bezpieczeństwa są ponadto czujnik 20 temperatury granicznej, jak również układ kontroli 26 płomienia. Niezależnie od zastosowania dostępny jest układ zerujący 28, który na przykład kontroluje napięcie elementów elektrycznych. Kontrolę napięcia zasilającego uważa się również za kontrolę funkcji dotyczącej bezpieczeństwa.
Do kontroli funkcji dotyczących bezpieczeństwa są zastosowane w zasadzie oba mikroprocesory 10a, 10b, podczas gdy trzeci mikroprocesor 32 służy do sterowania lub regulacji przyrządu. Przebieg programu dla trzeciego mikroprocesora 32 jest zapisany w pamięci PROM 38, która jest zawarta albo w mikroprocesorze 32, albo stanowi zewnętrzny podzespół. Dzięki trzynastemu sygnałowi wejściowemu 36, wysyłanemu przez wejście 37, ustala się na przykład zadaną temperaturę, którą osiąga przyrząd ogrzewany paliwem.
Trzeci mikroprocesor 32 steruje na przykład bezpośrednio obydwoma stopniami końcowymi 18a, 18b. Piąty sygnał wyjściowy 33a steruje pierwszym stopniem końcowym 18a, a szósty sygnał wyjściowy 33b drugim stopniem końcowym 18b. W innym przykładzie wykonania przyjmuje się, że oba stopnie końcowe 18a, 18b wymagają oprócz sygnałów wyjściowych 33a, 33b wysłanych przez mikroprocesor 32 dodatkowo sygnałów wyjściowych 16a, 16b wysłanych przez pierwszy i drugi mikroprocesor 10a, 10b dla zasilania uzwojeń 19a, 19b. W korzystnym przykładzie wykonania przyjmuje się, że oba stopnie końcowe 18a, 18b są uruchamiane wyłącznie sygnałami wyjściowymi 16a, 16b wysłanymi przez oba mikroprocesory 10a, 10b.
Informację o zapotrzebowaniu na ciepło trzeci mikroprocesor 32 przekazuje wspólną szyną danych 11 obydwu mikroprocesorom 10a, 10b, które wysyłają następnie sygnały wyjściowe 16a, 16b. Pierwszy i drugi kondensator 17a, 17b odpowiadają za dynamiczne sterowanie stopniami końcowymi 18a, 18b. Zwiększa to bezpieczeństwo pracy, ponieważ wykrywa się awarię przynajmniej jednego z mikroprocesorów 10a, 10b, przy której jeden lub oba sygnały wyjściowe 16a, 16b na wyjściu mikroprocesora 16a, 16b przyjęłyby stałą wartość. O ile oba zawory magnetyczne 20a, 20b umożliwiają ciągłe przestawianie przepływu, sygnały wyjściowe 33a, 33b trzeciego mikroprocesora 32 i/lub sygnały wyjściowe 16a, 16b pozostałych dwóch mikroprocesorów 16a, 16b są modulowane na przykład szerokością impulsu. Sygnał modulowany szerokością impulsu jest przepuszczany bez przeszkód przez oba kondensatory 17a, 17b.
Na figurze 1 albo pierwszy mikroprocesor 10a albo drugi mikroprocesor 10b sterują poprzez sygnały wyjściowe 14a, 14b układem zapłonowym 15. Układ zapłonowy 15 ma na przykład elektrody, pomiędzy którymi następuje przeskok wysokiego napięcia, który zapala na przykład rozpylony olej albo gaz. Wystąpienie płomienia jest wykrywane przez układ kontroli 26 płomienia. Wynik jest doprowadzany jako trzeci sygnał wejściowy 27a do pierwszego mikroprocesora 10a, jako ósmy sygnał wejściowy 27b do drugiego mikroprocesora 10b i w razie potrzeby jako dwunasty sygnał wejściowy 35 do trzeciego mikroprocesora 32. Kontrola bezpieczeństwa następuje korzystnie tylko w pierwszym i drugim mikroprocesorze 10a, 10b.
Inna kontrola bezpieczeństwa dotyczy sygnałów wysłanych przez czujnik 30 temperatury granicznej. Pierwszy mikroprocesor 10a otrzymuje piąty sygnał wejściowy 31a, a drugi mikroprocesor 10a dziesiąty sygnał wejściowy 31b, które są doprowadzane z czujnika temperatury granicznej 30.
Przetwarzanie sygnałów jest sterowane w pierwszym mikroprocesorze 10a w zależności od programu umieszczonego w pierwszej pamięci PROM 12a, a w drugim mikroprocesorze 10b w zależności od programu umieszczonego w drugiej pamięci PROM 12b. Obydwie pamięci PROM 12a, 12b są zawarte w mikroprocesorze 10a, 10b albo są podzespołami zewnętrznymi.
Każdemu z dwóch mikroprocesorów 10a, 10b jest przyporządkowana własna pamięć EEPROM 13a, 13b. Pamięci EEPROM 13a, 13b są również zawarte w mikroprocesorze 10a, 10b albo są oddzielnymi podzespołami. W pamięciach EEPROM 13a, 13b umieszcza się dane o stanach pracy przyrządu, powstałych błędach, znacznikach zamknięcia, jak również sygnałach znacznikowych.
Ustalanie stanów, błędów lub innych sygnałów pierwszy i drugi mikroprocesor 10a, 10b przeprowadzają oddzielnie. Wymiana danych między obydwoma mikroprocesorami 10a, 10b następuje szyną danych 11. Dzięki temu jeden mikroprocesor 10a, 10b dokonuje odczytu pamięci EEPROM 13a, 13b przyporządkowanej drugiemu mikroprocesorowi 10a, 10b.
Przy każdym ponownym uruchomieniu przyrządu, przyporządkowuje się funkcję master innemu mikroprocesorowi 10a, 10b i tylko master wywołuje czynność wymaganą do uruchomienia przyrządu. Czynnością tą jest na przykład wysłanie pierwszego sygnału wyjściowego 14a z pierwszego mikroprocesora 10a lub wysłanie trzeciego sygnału wyjściowego 14b z drugiego mikroprocesora 10b w celu uruchomienia układu zapłonowego 15. Ten mikroprocesor 10a, 10b, który nie działa jako master, działa jako slave. Oprócz zmiany upoważnienia do uruchomienia urządzenia, funkcja master oznacza, że master kontroluje przesyłanie danych szyną danych 11.
176 412
Uruchomienie urządzenia jest wywoływane na przykład przez trzeci mikroprocesor 32 jako następstwo zapotrzebowania na ciepło. Inną możliwość stanowi układ zerujący 28, który po zakłóceniu napięcia pracy, przy którym nie nastąpił żaden inny błąd, powoduje ponowne uruchomienie poprzez sygnały 29a, 29b wysłane z układu zerującego 28, doprowadzane do pierwszego mikroprocesora 10a jako czwarty sygnał wejściowy 29a i do drugiego mikroprocesora 10b jako dziewiąty sygnał wejściowy 29b. Inna możliwość ponownego uruchomienia wynika z przebiegu programu, który jest opisany w dalszej części. Ustalenie, który z mikroprocesorów 10a, 10b ma pracować jako master, może następować według zapisu w jednej lub w obu pamięciach 13a, 13b. Zapisem takim jest przykład sygnał znacznikowy.
Stany błędów, ustalane oddzielnie przez oba mikroprocesory 10a, 10b, wynikają na przykład z obserwacji niezawodności sygnałów wejściowych. Błąd występuje na przykład, gdy sygnał wejściowy 23a, 23b sygnalizuje występowanie przepływu prądu przez uzwojenie 19a, 19b, a układ zapłonowy 15 nie jest uruchamiany. Innym przykładem błędu jest kontrola ustalonego czasu, w którym układ kontroli 26 płomienia musi wysłać sygnał, po uruchomieniu układu zapłonowego 15. Odchylenia między obydwoma kanałami zawierającymi mikroprocesory 10a, 10b, na przykład takie, że pierwszy sygnał wejściowy 23a zgłasza wykrycie prądu przez pierwszy czujnik 22a prądu, zaś szósty sygnał wejściowy 23b, wysyłany przez drugi czujnik 22b prądu, nie zgłasza przepływu prądu, są również błędami.
Figura 2 wy‘aśnia korzystny sposób realizowany przy wykryciu błędu w co najmniej jednym z dwóch mikroprocesorów 10a, 10b, przy pomocy algorytmu. Po żądaniu 40 uruchomienia urządzenia przy ustalaniu 41 przypisuje się funkcję master pierwszemu mikroprocesorowi 10a lub drugiemu mikroprocesorowi 10b. Żądanie 40 uruchomienia urządzenia jest na przykład zapotrzebowaniem na ciepło, zgłoszonym przez trzeci mikroprocesor 32. Po uruchomieniu 42, które obejmuje uruchomienie układu zapłonowego 15 wywoływane przez jeden z dwóch mikroprocesorów 10a, 10b, jak również otwarcie obydwu zaworów magnetycznych 20a, 20b, przy zapytaniu 43 ustala się, czy wystąpił błąd. Zapytanie 42 następuje zarówno w pierwszym mikroprocesorze 10a, jak i w drugim mikroprocesorze 10b. Zapytania 43 mogą różnić się treścią od siebie w obu mikroprocesorach 10a, 10b. W szczególności w każdym przypadku występuje przesunięcie czasowe, warunkowane ustaleniem, który z nich to master, a który slave.
Błąd ustalony przy zapytaniu 43 może w następnym kroku spowodować szybkie wyłączenie 44. Wykonuje się na przykład szybkie wyłączenie, gdy po uruchomieniu układu zapłonowego 15, układ do kontroli 26 płomienia nie wysyła sygnału oznaczającego istnienie płomienia. Szybkie wyłączenie 44 wykonuje się na przykład w ten sposób, że co najmniej jeden, a korzystnie oba zawory magnetyczne 20a, 20b zostają zamknięte. Innym warunkiem prowadzącym do wywołania szybkiego wyłączenia jest na przykład przekroczenie temperatury granicznej zadanej przez czujnik 30 temperatury granicznej. Zamiast szybkiego wyłączenia 44, pokazanego przerywaną linią, można również przejść bezpośrednio do czynności zapamiętywania 45. Pominięcie szybkiego wyłączenia 44 jest określane w zależności od powstających błędów. Przy zapamiętywaniu 45 błędy wykryte przez pierwszy i drugi mikroprocesor 10a, 10b są zapisywane w pamięci EEPROM 13a, 13b. W razie potrzeby aktualne stany pracy są również zapamiętywane w pamięciach EEPROM 13a, 13b. Dodatkowo zapisuje się znacznik zablokowania, zwłaszcza wtedy, gdy przeprowadzono szybkie wyłączenie 44.
Za czynnością zapamiętywania 45 następuje porównywanie 46, w którym porównuje się ze sobą zawartości umieszczone w pamięciach EEPROM 13a, 13b. Wymianą danych w szynie danych 11 steruje ten mikroprocesor 10a, 10b, któremu przypisano wcześniej funkcję master. Master wykonuje także operacje porównania. W kolejnym zapytaniu 47 ustala się, czy zapisane zawartości są zgodne. Zgodny zapis błędu prowadzi w każdym przypadku do ostatecznego wyłączenia 48 urządzenia. Jeżeli urządzenie zostało już zatrzymane przy szybkim wyłączeniu 44, najpóźniej w tym momencie przy ostatecznym wyłączeniu 48, w pamięciach EEPROM 13a, 13b zapisuje się uwagę o zamknięciu przy wykryciu błędu.
176 412
Po ostatecznym wyłączeniu 48 ponowne uruchomienie urządzenia jest możliwe tylko poprzez ręczne włączenie przełącznika 24. Przełącznik 24 jest zwykle uruchamiany przez technika obsługującego, który w celu ustalenia powstałych błędów ma możliwość pobrania zawartości pamięci EEPROM 13a, 13b przy pomocy urządzenia nie pokazanego na fig. 1. Na przykład istnieje możliwość pobrania zawartości pamięci EEPROM 13a, 13b szyną danych 11 połączoną z urządzeniem diagnostycznym. Jeżeli pamięci EEPROM 13a, 13b są oddzielnymi podzespołami z pamięcią, ich zawartość odczytuje się bezpośrednio przy samych podzespołach.
Jeżeli w kolejnym zapytaniu 47 nastąpi przypadek, w którym tylko w jednej pamięci EEPROM 13a, 13b zapamiętano błąd lub w obu pamięciach 13a, 13b zapisano różne błędy, z pewnym prawdopodobieństwem zakłada się, że wystąpił jeden lub więcej błędów sporadycznych, wywołanych na przykład zakłóceniem elektromagnetycznym. W takim przypadku od kolejnego zapytania 47 przechodzi się bezpośrednio do ustalenia 41, w którym następuje zmiana przyporządkowania funkcji master jednemu z dwóch mikroprocesorów 10a, 10b. Jeśli nie doszło do szybkiego wyłączenia 44, przechodzi się bezpośrednio przed zapytanie 43, przy czym uruchomienie 42 jest pomijane. Korzystnie jednak najpierw wyłącza się urządzenie i przy uruchomieniu 42 włącza się go ponownie, aby mieć określone warunki początkowe.
Zamiast sieci działań z fig. 2, w której wyłącza się urządzenie dopiero po zapytaniu 43 lub w razie potrzeby po kolejnym zapianiu 47, porównywanie 46 jest wykonywane niezależnie. Na przykład można cyklicznie odczytuje i porównuje się zawartość pamięci EEPROM 13a, 13b, niezależnie od tego, czy nastąpił zapis albo czy w mikroprocesorach 10a, 10b wykryto błąd. Wówczas, jeżeli przy porównywaniu 46 stwierdzi się na przykład odchylenie zawartości obydwu pamięci EEPROM 13a, 13b, najpierw powoduje się wyłączenie, a następnie ponowne uruchomienie, aby ustalić, czy wystąpił błąd występujący sporadycznie, na przykład w jednym z mikroprocesorów 10a, 10b.
Urządzenie kontrolne według wynalazku znajduje zastosowanie, zwłaszcza w przyrządach, które mają duże wymagania co do bezpieczeństwa i jednocześnie muszą mieć dużą dyspozycyjność. Pierwsze zastosowanie ma miejsce w przyrządzie ogrzewanym paliwem, w którym najważniejszy jest duży poziom bezpieczeństwa. Inne zastosowanie ma miejsce w przyrządach sterujących wbudowanych w pojazd. Poza dużymi wymaganiami co do bezpieczeństwa w tym zastosowaniu jest wymagana dodatkowo wysoka dyspozycyjność, aby zapewnić łatwy dojazd do najbliższej stacji obsługi pojazdów. Przypadkowe zakłócenia, na przykład zakłócenia elektromagnetyczne, dochodzą do przyrządu ogrzewanego paliwem, zwłaszcza poprzez końcówkę zasilającą, natomiast przyrządy sterujące wbudowane w pojazdy są narażone na zakłócenia elektromagnetyczne, które występują poza pojazdem, jak również w samym pojeździe.
176 412
176 412
Fig.2
176 412
Fig.1 37
Departament Wydawnictw UP RP. Nakład 70 egz.
Cena 2,00 zł.

Claims (7)

  1. Zastrzeżenia patentowe
    1. Urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa, z dwoma albo większą liczbą mikroprocesorów, przy czym każdemu mikroprocesorowi jest przyporządkowana własna pamięć zapisywalna i kasowalna przez poszczególny mikroprocesor, znamienne tym, że mikroprocesory (10a, 10b) są połączone ze sobą szyną danych (11), pamięć (13a, 13b) jest odczytywalna przez mikroprocesor (10a, 10b), pamięć (13a, 13b) stanowi pamięć nieulotną, mikroprocesor (10a, 10b) jest przystosowany do rejestracji ustalonego błędu w pamięci (13a, 13b), a przy wystąpieniu błędu następuje odłączenie (48) przyrządu i urządzenie zawiera przełącznik (24) uruchamiany ręcznie do wznowienia pracy przyrządu.
  2. 2. Urządzenie według zastrz. 1, znamienne tym, że pamięć (13a, 13b) stanowi pamięć EEPROM.
  3. 3. Urządzenie według zastrz. 2, znamienne tym, że pamięci EEPROM (13a, 13b) są dołączone do mikroprocesorów (10a, 10b) dla porównania zawartości i przy zgodności zapisanych błędów dla ostatecznego wyłączenia (48).
  4. 4. Urządzenie według zastrz. 1, znamienne tym, że każdy mikroprocesor (10a, 10b) jest przystosowany do sterowania oddzielną funkcją (20a, 20b), przy czym funkcje (20a, 20b) spełniają warunek logicznego I dla uruchomienia lub eksploatowania przyrządu.
  5. 5. Urządzenie według zastrz. 1 albo 2, albo 3, albo 4, znamienne tym, że jest dołączone do przyrządu ogrzewanego paliwem.
  6. 6. Urządzenie według zastrz. 7, znamienne tym, że każdemu mikroprocesorowi (10a, 10b) jest przyporządkowany zawór magnetyczny (20a, 20b) umieszczony w przewodzie z olejem albo gazem.
  7. 7. Urządzenie według zastrz. 6, znamienne tym, że jest umieszczone w przyrządzie sterującym, korzystnie wbudowanym w pojazd.
PL94314720A 1993-12-16 1994-12-05 Urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa PL176412B1 (pl)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE4342903A DE4342903A1 (de) 1993-12-16 1993-12-16 Vorrichtung zum Überwachen wenigstens einer sicherheitsrelevanten Funktion eines Gerätes
PCT/DE1994/001438 WO1995016944A1 (de) 1993-12-16 1994-12-05 Vorrichtung zum überwachen wenigstens einer sicherheitsrelevanten funktion eines gerätes

Publications (2)

Publication Number Publication Date
PL314720A1 PL314720A1 (en) 1996-09-16
PL176412B1 true PL176412B1 (pl) 1999-05-31

Family

ID=6505166

Family Applications (1)

Application Number Title Priority Date Filing Date
PL94314720A PL176412B1 (pl) 1993-12-16 1994-12-05 Urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa

Country Status (7)

Country Link
EP (1) EP0734550B1 (pl)
CZ (1) CZ292451B6 (pl)
DE (2) DE4342903A1 (pl)
ES (1) ES2119365T3 (pl)
HU (1) HUT73858A (pl)
PL (1) PL176412B1 (pl)
WO (1) WO1995016944A1 (pl)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3390824B2 (ja) * 1997-03-19 2003-03-31 株式会社日立製作所 多重化制御装置及びその障害回復方法
DE19811235A1 (de) * 1998-03-14 1999-09-16 Valeo Electronics Gmbh & Co Kg Computer-System für Kraftfahrzeuge
DE19818181A1 (de) * 1998-04-23 1999-10-28 Heidenhain Gmbh Dr Johannes Verfahren und Anordnung zur Auswahl von zu überwachenden Sicherheitsparametern
DE19856954C1 (de) * 1998-12-10 2000-05-11 Bosch Gmbh Robert Steuereinrichtung für einen Brenner
DE10029642B4 (de) * 2000-06-15 2005-10-20 Daimler Chrysler Ag Einrichtung zur Überwachung eines Fahrzeugdatenbussystems
DE10321764B4 (de) * 2003-05-15 2005-04-28 Bbt Thermotechnik Gmbh Verfahren zur Ansteuerung eines Sicherheitsrelais in einem Feuerungsautomaten
DE10344088B4 (de) * 2003-09-23 2012-08-02 Samson Aktiengesellschaft Funktionsprüfvorrichtung für ein Feldgerät und Verfahren zur Funktionsprüfung eines Feldgeräts und Feldgerät
US8485137B2 (en) 2005-01-26 2013-07-16 Noritz Corporation Combustion control device
DE102009036423C5 (de) 2009-08-06 2023-03-02 Robert Bosch Gmbh Verfahren und Vorrichtung zur Unterbrechung einer Brennstoffzufuhr sowie deren Verwendung
DE102012201803A1 (de) * 2012-02-07 2013-08-08 Siemens Aktiengesellschaft Sicherheitsrelevantes System
ES2915655T3 (es) 2020-01-10 2022-06-24 Siemens Ag Protección contra fallas internas

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4641517A (en) * 1984-12-20 1987-02-10 United Technologies Corporation Control system actuator position synthesis for failure detection
JPH01174850A (ja) * 1987-12-29 1989-07-11 Daikin Ind Ltd 空気調和装置の制御装置
DE3923773A1 (de) * 1988-07-20 1990-03-01 Vaillant Joh Gmbh & Co Verfahren zum steuern und ueberwachen eines brennstoffbeheizten geraetes unter verwendung zumindest eines mikrocomputersystems und vorrichtung zur durchfuehrung des verfahrens
JPH04133102A (ja) * 1990-09-26 1992-05-07 Mitsubishi Electric Corp プログラマブル・コントローラ及びその制御方法
GB9101227D0 (en) * 1991-01-19 1991-02-27 Lucas Ind Plc Method of and apparatus for arbitrating between a plurality of controllers,and control system
DE4113959A1 (de) * 1991-04-29 1992-11-05 Kloeckner Humboldt Deutz Ag Ueberwachungseinrichtung
NL9200577A (nl) * 1992-03-27 1993-10-18 Encon B V Branderautomaat voor een gastoestel, in het bijzonder geschikt voor een ketel van een centraal verwarmingssysteem.

Also Published As

Publication number Publication date
WO1995016944A1 (de) 1995-06-22
EP0734550A1 (de) 1996-10-02
CZ174596A3 (en) 1997-01-15
DE59406151D1 (de) 1998-07-09
DE4342903A1 (de) 1995-06-22
PL314720A1 (en) 1996-09-16
ES2119365T3 (es) 1998-10-01
HU9601645D0 (en) 1996-08-28
CZ292451B6 (cs) 2003-09-17
HUT73858A (en) 1996-10-28
EP0734550B1 (de) 1998-06-03

Similar Documents

Publication Publication Date Title
KR100545131B1 (ko) 제어시스템
EP1722248B1 (en) A relay test device and method
US5802485A (en) Control device including an electrically programmable memory
EP2229662B1 (en) Vehicle information storage apparatus
PL176412B1 (pl) Urządzenie do kontroli co najmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa
US4990906A (en) Programmable vehicle anti-theft system
EP0126402A2 (en) Failure-monitor system for an automotive digital control system
US5367665A (en) Multi-processor system in a motor vehicle
US20030038464A1 (en) Passive safety device for vehicle
PL175549B1 (pl) Sposób kontroli przynajmniej jednej funkcji przyrządu dotyczącej bezpieczeństwa
JP2006316639A (ja) メインリレー故障診断方法及び電子制御装置
US4623974A (en) Method and apparatus for self-monitoring of microcomputer-controlled network devices in particular in motor vehicles
EP2020497B1 (en) Electronic control unit
CN101198916A (zh) 可编程控制器
JP3970196B2 (ja) エンジン用吸気量制御装置及びエンジン用吸気量制御方法
US5796332A (en) Diagnostic system for sensing and displaying functions of a motor vehicle heating apparatus
CN100419608C (zh) 电子控制器中差错处理的方法
US6600960B1 (en) Boiler system ignition sequence detector and associated methods of protecting boiler systems
JP2002024101A (ja) 不揮発性メモリ書き込み装置
CN111149088B (zh) 用于运行控制器的方法以及具有对应的控制器的设备
US20040039501A1 (en) Device for reliable signal generation
US20020120421A1 (en) Controller having internal durability test cycle driver
JP3831429B2 (ja) 車両制御装置
KR100532782B1 (ko) 연료분사장치의 운전제어방법 및 장치
KR100501277B1 (ko) 차량용 엔진 제어 유니트의 고장코드 소거방법