WO2022008592A1 - Emergency stop device - Google Patents

Emergency stop device Download PDF

Info

Publication number
WO2022008592A1
WO2022008592A1 PCT/EP2021/068829 EP2021068829W WO2022008592A1 WO 2022008592 A1 WO2022008592 A1 WO 2022008592A1 EP 2021068829 W EP2021068829 W EP 2021068829W WO 2022008592 A1 WO2022008592 A1 WO 2022008592A1
Authority
WO
WIPO (PCT)
Prior art keywords
devices
level
emergency stop
stop device
selection
Prior art date
Application number
PCT/EP2021/068829
Other languages
German (de)
French (fr)
Inventor
Sven Faehnle
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to JP2023501055A priority Critical patent/JP2023533532A/en
Priority to KR1020237004582A priority patent/KR20230036140A/en
Priority to CN202180048599.4A priority patent/CN115803690A/en
Priority to EP21743101.4A priority patent/EP4179392A1/en
Publication of WO2022008592A1 publication Critical patent/WO2022008592A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric

Definitions

  • the present invention relates to an emergency stop device of a system which has a number of devices which are controlled by a common control unit.
  • the general safety integrity i.e. the sufficient independence from safety-relevant measures of electronic control units, can be guaranteed by the 3-level safety concept according to the ISO 26262 standard.
  • the first level serves as a functional level
  • the second level serves as a security level, which monitors the first level
  • the third level ensures the integrity of the second level.
  • a control device can be used, for example, to control different actuators, for example vehicle engines such as ship engines, engines of agricultural machinery or engines of work machines.
  • the motors are supplied with electrical power via the control unit.
  • emergency stop switches are provided which interrupt the electrical energy supply of the control unit. This also immediately interrupts the electrical energy supply to the motor and thus to all electrically operated devices in the motor.
  • the emergency stop device of a system which has a number of devices that are controlled by a common control device, can be used in particular for the controlled shutting down of an engine, such as a ship's engine. If such a ship's engine is stopped by means of a conventional emergency stop switch by interrupting the electrical energy supply to its control device, this leads to an immediate shutdown of all electrically operated devices of this ship's engine. If, for example, this causes its throttle valve to return to its original position, it can make it impossible to restart the ship's engine. In addition, it is no longer possible to read data from the individual devices if the control unit is no longer supplied with electrical energy.
  • the EMERGENCY STOP facility is therefore designed to turn off only a selection of the devices, not turning off the controller.
  • the control unit is preferably a control unit with a 3-level security concept, in particular a 3-level security concept according to the ISO 26262 standard
  • a selection function that is set up to make the selection from the devices depending on the operating states of the devices when the emergency stop device is actuated. Depending on the operating states of the devices, it can be decided which devices may be disconnected from the energy supply and which must continue to be supplied with electrical energy. If the first level fails in the selection, this function can also be taken over by the second level.
  • the first level as a functional level, has the task of controlling the devices and supplying them with electrical energy, it has control connections to the devices. These control connections are preferably set up so that the selection from the devices can also be switched off. As long as a selection from the devices is provided in the first level, either in that it is generated in the first level itself or, if the selection in the first level fails, the first level is made available by the second level, a individual devices can be switched off selectively without having to provide additional electrical connections or data connections for this purpose.
  • the second level is connected to a module of the third level, which has at least one switch-off connection to the devices, which is set up to switch off a selection from the devices.
  • This shutdown connection can be used if it is not possible to send the shutdown signal via the control connections. It can also be used if the first level shows such severe functional failures that not only can it no longer select the devices itself, but it can also no longer receive a selection from the second level. In this case, after the selection has been generated in the second level, it can perform the shutdown directly via the shutdown connection.
  • the use of a module on the third level is preferred here because the 3-level security concept provides a hardware error management module (EMM) on the third level. This can be used to advantage for switching off, since hardware-specific functions are already implemented in it.
  • EMM hardware error management module
  • a permanently specified selection from the devices is stored in the third level.
  • the last fallback option in the third level is this fixed one Selection from the devices are used, which includes those devices that must be switched off to avert danger in any case.
  • the permanently specified selection from the devices is stored in a third-level monitoring module.
  • this is located in a hardware unit that is separated from the rest of the control unit by hardware and software mechanisms and is therefore particularly well protected against impairments that could affect other parts of the control unit.
  • the third level preferably has at least one switch-off connection to the devices, which is set up to switch off the selection from the devices stored in the third level.
  • This separate switch-off connection which does not run through the first and second levels, also enables the emergency stop to be particularly reliable in the event of danger.
  • the cut-off connection of the third level is partially routed via a common line with the cut-off connection of the second level.
  • FIG. 1 shows a system according to the prior art, which has an emergency stop device.
  • FIG. 2 shows an embodiment of an emergency stop device according to the invention.
  • FIG. 1 shows a conventional emergency stop device 10 in the form of an emergency stop switch, which is provided for switching off a system 20.
  • the system 20 has a control device 31 with a hardware module 32 . It has a safety concept with three levels 40, 50, 60 according to the ISO 26262 standard. By actuating the emergency stop device 10, this interrupter switch 34 is opened, so that the control unit 31 is no longer supplied with electrical energy.
  • the controller 31 controls a diesel engine that drives a ship.
  • This diesel engine has devices 71 to 74 in the form of a metering unit 71 for the high-pressure pump of the diesel engine, a throttle valve 72, an air valve 73 arranged in front of the throttle valve and an injection driver 74.
  • a functional module 41 in the first level 40 controls these devices 71 to 74 via control lines 81. These are shown in FIG. 1 as a single connection for the sake of simplicity. In fact, however, four control lines 81 are provided, so that each of the devices 71 to 74 is connected to a separate control line 81 . Control lines 81 also provide electrical power to devices 71-74. The actuation of the emergency stop device 10 therefore leads not only to the failure of the control unit 31 and its hardware module 32, but also to the failure of all the devices 71 to 74.
  • a security module 51 is provided in the second level 50 that monitors the functional module 41 .
  • a memory test module 61 that carries out memory tests of the second level 50 and the third level 60 is arranged in the third level 60 .
  • a configuration test module 62 monitors the hardware configuration of the second level 50 and the third level 60.
  • a hardware test module 63 monitors additional hardware modules of the control unit 31. Data from the memory test module 61, the configuration test module 62 and the hardware test module 63 are collected by a PFC (Program Flow Check) module . This also exchanges data with the security module 51 of the second level 50 .
  • PFC Program Flow Check
  • a monitoring module 65 in the hardware module 32 which is structurally dated remaining control unit 31 is separate, but forms part of the third level 60, can send requests to the memory test module 61, the configuration test module 62 and the hardware test module 63 as well as to the security module 51 of the second level 50. After the responses from these modules 51, 61, 62, 63 have been collected by the PFC module 64, they can be passed to the monitoring module 65, which in this way ensures the integrity of the second level 50. Furthermore, a safety mechanism 66 for a hardware memory test in the form of an ECC (Error Code Correction) and an EMM (Hardware Error Management Module) 67 are provided on the third level.
  • ECC Error Code Correction
  • EMM Hardware Error Management Module
  • FIG. 10 An emergency stop device 10 according to an exemplary embodiment of the invention is shown in FIG. In this embodiment, the interrupt switch 34 is omitted. Instead, the emergency stop device 10 sends an emergency stop request via two redundant lines to the function module 41 of the first level 40 and the safety module 51 of the second level 50. In the function module 41, based on the operating states of the devices 71 to 74, a decision is made as to which of the devices 71 to 74 must be switched off and which can continue to run safely. Based on this selection, the selected devices are then switched off via the control connections 81.
  • the safety module 51 Since the safety module 51 also receives the emergency stop request, it reproduces the selection from the devices 71 to 74 running in the function module 41 and corrects any errors that may occur in the first level 40 in the selection. If the error correction or the sending of shutdown requests via the control connections 81 fails, the security module 51 instead forwards the shutdown requests it has selected to the EMM 67 of the third level 60 via a shutdown module 52 of the second level 50 . This is connected to an output of the control lines 81 to 84 via a switch-off connection 82 in the form of a wire connection, which is not provided in the conventional system, in the control unit 31 and can switch off the devices 71 to 74 in accordance with the switch-off request.
  • the monitoring module 65 accesses a selection of the devices 71 to 74 that is permanently stored in it and which specifies in the form of a list which of the devices 71 to 74 are to be switched off if all other switch-off paths fail. In the present exemplary embodiment, this list only provides for switching off the injection driver 74, for example. This switch-off request is sent via a further switch-off connection 83 to the
  • Emergency stop device 10 active. They continue to provide data about the devices 71 to 74 and allow the entire system 20 to be quickly restarted once the emergency stop request has been removed.

Abstract

The invention relates to an emergency stop device (10) of a system (20), which comprises a plurality of devices (71-74) controlled by a common control device (31). The emergency stop device (10) is configured to switch off a selection from the devices (71-74).

Description

Beschreibung description
Titel title
Nothalt- Einrichtung emergency stop device
Die vorliegende Erfindung betrifft eine Nothalt- Einrichtung eines Systems, welches mehrere Vorrichtungen aufweist, die von einem gemeinsamen Steuergerät gesteuert werden. The present invention relates to an emergency stop device of a system which has a number of devices which are controlled by a common control unit.
Stand der Technik State of the art
Die allgemeine Sicherheitsintegrität, das heißt die genügende Unabhängigkeit von sicherheitsrelevanten Maßnahmen von elektronischen Steuergeräten, können durch das 3-Ebenen-Sicherheitskonzept gemäß der Norm ISO 26262 gewährleistet werden. In diesem dient die erste Ebene als Funktionsebene, die zweite Ebene dient als Sicherheitsebene, welche die erste Ebene überwacht und die dritte Ebene stellt die Integrität der zweiten Ebene sicher. Ein derartiges Steuergerät kann beispielsweise zum Steuern unterschiedlicher Aktoren, beispielsweise Fahrzeugmotoren wie Schiffsmotoren, Motoren von Landmaschinen oder Motoren von Arbeitsmaschinen verwendet werden. Die elektrische Energieversorgung der Motoren erfolgt dabei über das Steuergerät. The general safety integrity, i.e. the sufficient independence from safety-relevant measures of electronic control units, can be guaranteed by the 3-level safety concept according to the ISO 26262 standard. In this, the first level serves as a functional level, the second level serves as a security level, which monitors the first level, and the third level ensures the integrity of the second level. Such a control device can be used, for example, to control different actuators, for example vehicle engines such as ship engines, engines of agricultural machinery or engines of work machines. The motors are supplied with electrical power via the control unit.
Um im Gefahrenfall oder zur Abwendung einer Gefahr ein schnelles Abschalten derartiger Motoren zu ermöglichen, sind Notausschalter vorgesehen, welche die elektrische Energieversorgung des Steuergeräts unterbrechen. Hiermit wird auch die elektrische Energieversorgung des Motors und damit aller elektrisch betrieben Vorrichtungen des Motors sofort unterbrochen. In order to enable such motors to be switched off quickly in the event of danger or to avert a danger, emergency stop switches are provided which interrupt the electrical energy supply of the control unit. This also immediately interrupts the electrical energy supply to the motor and thus to all electrically operated devices in the motor.
Offenbarung der Erfindung Die Nothalt- Einrichtung eines Systems, welche mehrere Vorrichtungen aufweist, die von einem gemeinsamen Steuergerät gesteuert werden, kann insbesondere für das kontrollierte Herunterfahren eines Motors, wie beispielsweise eines Schiffsmotors, verwendet werden. Wird ein solcher Schiffsmotor mittels eines herkömmlichen Notausschalters gestoppt, indem die elektrische Energieversorgung zu seinem Steuergerät unterbrochen wird, so führt dies zu einem sofortigen Abschalten aller elektrisch betriebenen Vorrichtungen dieses Schiffsmotors. Wenn dadurch beispielsweise seine Drosselklappe in ihre Ausgansposition zurückkehrt, kann ein erneutes Starten des Schiffsmotors dadurch unmöglich gemacht werden. Außerdem ist es nicht mehr möglich, Daten der einzelnen Vorrichtungen auszulesen, wenn das Steuergerät nicht mehr mit elektrischer Energie versorgt wird. Die Nothalt- Einrichtung ist deshalb eingerichtet, um nur eine Auswahl aus den Vorrichtungen abzuschalten, wobei das Steuergerät nicht abgeschaltet wird. Dies ermöglicht es, auch nach Betätigen der Nothalt- Einrichtung, Daten der Vorrichtungen auszulesen und so gegebenenfalls schnell zu erkennen, weshalb der Nothalt notwendig geworden ist und die Ursache dafür zu beheben. Auch ist ein schnelles Wiederhochfahren des Systems möglich, wenn einzelne Vorrichtungen im Nothaltzustand weiterhin mit elektrischer Energie versorgt werden. Disclosure of Invention The emergency stop device of a system, which has a number of devices that are controlled by a common control device, can be used in particular for the controlled shutting down of an engine, such as a ship's engine. If such a ship's engine is stopped by means of a conventional emergency stop switch by interrupting the electrical energy supply to its control device, this leads to an immediate shutdown of all electrically operated devices of this ship's engine. If, for example, this causes its throttle valve to return to its original position, it can make it impossible to restart the ship's engine. In addition, it is no longer possible to read data from the individual devices if the control unit is no longer supplied with electrical energy. The EMERGENCY STOP facility is therefore designed to turn off only a selection of the devices, not turning off the controller. This makes it possible, even after the emergency stop device has been actuated, to read out data from the devices and, if necessary, to quickly identify why the emergency stop has become necessary and to remedy the cause. The system can also be restarted quickly if individual devices continue to be supplied with electrical energy in the emergency stop state.
Vorzugsweise handelt es sich bei dem Steuergerät um ein Steuergerät mit einem 3-Ebenen-Sicherheitskonzept, insbesondere einem 3-Ebenen- Sicherheitskonzept gemäß der Norm ISO 26262. Das bereits vorhandene Sicherheitskonzept kann genutzt werden, um in der ersten Ebene und der zweiten Ebene jeweils eine Auswahlfunktion zu implementieren, die eingerichtet ist, um bei Betätigung der Nothalt- Einrichtung die Auswahl aus den Vorrichtungen in Abhängigkeit von Betriebszuständen der Vorrichtungen vorzunehmen. Abhängig von den Betriebszuständen der Vorrichtungen kann entschieden werden, welche Vorrichtungen von der Energieversorgung getrennt werden dürfen und welche weiterhin mit elektrischer Energie versorgt werden müssen. Sollte die erste Ebene bei der Auswahl versagen, so kann diese Funktion auch von der zweiten Ebene übernommen werden. The control unit is preferably a control unit with a 3-level security concept, in particular a 3-level security concept according to the ISO 26262 standard To implement a selection function that is set up to make the selection from the devices depending on the operating states of the devices when the emergency stop device is actuated. Depending on the operating states of the devices, it can be decided which devices may be disconnected from the energy supply and which must continue to be supplied with electrical energy. If the first level fails in the selection, this function can also be taken over by the second level.
Da die erste Ebene als Funktionsebene die Aufgabe hat, die Vorrichtungen zu steuern und mit elektrischer Energie zu versorgen, weist sie Steuerverbindungen zu den Vorrichtungen auf. Diese Steuerverbindungen sind vorzugsweise eingerichtet, um auch die Auswahl aus den Vorrichtungen abschalten zu können. Solange in der ersten Ebene eine Auswahl aus den Vorrichtungen bereitgestellt wird, entweder indem diese in der ersten Ebene selbst generiert wird oder bei Versagen der Auswahl in der ersten Ebene, der ersten Ebene von der zweiten Ebene zur Verfügung gestellt wird, kann auf diese Weise eine selektive Abschaltung einzelner Vorrichtungen erfolgen, ohne dass hierfür zusätzliche elektrische Verbindungen oder Datenverbindungen vorgesehen werden müssten. Since the first level, as a functional level, has the task of controlling the devices and supplying them with electrical energy, it has control connections to the devices. These control connections are preferably set up so that the selection from the devices can also be switched off. As long as a selection from the devices is provided in the first level, either in that it is generated in the first level itself or, if the selection in the first level fails, the first level is made available by the second level, a individual devices can be switched off selectively without having to provide additional electrical connections or data connections for this purpose.
Weiterhin ist es bevorzugt, dass die zweite Ebene mit einem Modul der dritten Ebene verbunden ist, welches mindestens eine Abschaltverbindung zu den Vorrichtungen aufweist, welche eingerichtet ist, um eine Auswahl aus den Vorrichtungen abzuschalten. Diese Abschaltverbindung kann genutzt werden, wenn eine Sendung des Abschaltsignals über die Steuerverbindungen nicht möglich ist. Ebenfalls kann sie genutzt werden, wenn die erste Ebene so starke Funktionsausfälle zeigt, dass sie nicht nur die Auswahl der Vorrichtungen selbst nicht mehr vornehmen kann, sondern auch keine Auswahl aus der zweiten Ebene mehr empfangen kann. In diesem Fall kann nachdem die Auswahl in der zweiten Ebene erzeugt wurde, diese die Abschaltung über die Abschaltverbindung direkt vornehmen. Die Nutzung eines Moduls der dritten Ebene ist hierbei deshalb bevorzugt, weil das 3-Ebenen-Sicherheitskonzept in der dritten Ebene ein Hardware-Error-Management-Module (EMM) vorsieht. Dieses kann vorteilhaft für die Abschaltung verwendet werden, da in ihm bereits hardwarespezifische Funktionen implementiert sind. Furthermore, it is preferred that the second level is connected to a module of the third level, which has at least one switch-off connection to the devices, which is set up to switch off a selection from the devices. This shutdown connection can be used if it is not possible to send the shutdown signal via the control connections. It can also be used if the first level shows such severe functional failures that not only can it no longer select the devices itself, but it can also no longer receive a selection from the second level. In this case, after the selection has been generated in the second level, it can perform the shutdown directly via the shutdown connection. The use of a module on the third level is preferred here because the 3-level security concept provides a hardware error management module (EMM) on the third level. This can be used to advantage for switching off, since hardware-specific functions are already implemented in it.
Weiterhin ist bevorzugt, dass in der dritten Ebene eine fest vorgegebene Auswahl aus den Vorrichtungen hinterlegt ist. Für den Fall, dass die ersten beiden Ebenen nicht dazu in der Lage sind, eine Auswahl aus den Vorrichtungen vorzunehmen, beispielsweise deshalb, weil sie keine Daten über die Betriebszustände der Vorrichtungen mehr empfangen können, kann als letzte Rückfallmöglichkeit in der dritten Ebene diese fest vorgegebene Auswahl aus den Vorrichtungen verwendet werden, welche jene Vorrichtungen umfasst, die zur Gefahrenabwendung auf jeden Fall abgeschaltet werden müssen. Das Verwenden der festen Auswahl ohne Auswertung der Betriebszustände ist zwar nicht so vorteilhaft wie die Abschaltung aufgrund der Auswahl die in der ersten oder zweiten Ebene getroffen werden könnte, ermöglicht es jedoch immer noch, bekannterweise ungefährliche aber für ein Wiederhochfahren des Systems essenzielle Vorrichtungen weiterhin zu bestromen und auch die elektrische Energieversorgung des Steuergeräts aufrechtzuerhalten. Furthermore, it is preferred that a permanently specified selection from the devices is stored in the third level. In the event that the first two levels are not able to make a selection from the devices, for example because they can no longer receive data about the operating states of the devices, the last fallback option in the third level is this fixed one Selection from the devices are used, which includes those devices that must be switched off to avert danger in any case. Using the fixed selection without evaluating the operating states is not as advantageous as switching off due to the selection in the first or second level could be taken, it still makes it possible, however, to continue to energize devices that are known to be harmless but essential for restarting the system and also to maintain the electrical energy supply of the control unit.
Es ist hierbei besonders bevorzugt, dass die fest vorgegebene Auswahl aus den Vorrichtungen in einem Monitoring Module der dritten Ebene hinterlegt ist. Dieses ist im 3-Ebenen-Sicherheitskonzept in einer durch Hardware- und Softwaremechanismen vom restlichen Steuergerät separierten Hardwareeinheit angeordnet und deshalb besonders gut vor Beeinträchtigungen geschützt, welche andere Teile des Steuergerätes betreffen könnten. In this case, it is particularly preferred that the permanently specified selection from the devices is stored in a third-level monitoring module. In the 3-level safety concept, this is located in a hardware unit that is separated from the rest of the control unit by hardware and software mechanisms and is therefore particularly well protected against impairments that could affect other parts of the control unit.
Die dritte Ebene weist vorzugsweise mindestens eine Abschaltverbindung zu den Vorrichtungen auf, welche eingerichtet ist, um die in der dritten Ebene hinterlegte Auswahl aus den Vorrichtungen abzuschalten. Auch diese separate Abschaltverbindung, welche nicht durch die erste und die zweite Ebene verläuft, ermöglicht im Gefahrenfall eine besondere Zuverlässigkeit des Nothalts. The third level preferably has at least one switch-off connection to the devices, which is set up to switch off the selection from the devices stored in the third level. This separate switch-off connection, which does not run through the first and second levels, also enables the emergency stop to be particularly reliable in the event of danger.
Um die Anzahl der für die Nothalt- Einrichtung erforderlichen zusätzlichen elektrischen Verbindungen oder Datenverbindungen gering zu halten, ist es weiterhin bevorzugt, dass die Abschaltverbindung der dritten Ebene teilweise über eine gemeinsame Leitung mit der Abschaltverbindung der zweiten Ebene geführt ist. In order to keep the number of additional electrical connections or data connections required for the emergency stop device low, it is also preferred that the cut-off connection of the third level is partially routed via a common line with the cut-off connection of the second level.
Kurze Beschreibung der Zeichnungen Brief description of the drawings
Ein Ausführungsbeispiel der Erfindung ist in den Zeichnungen dargestellt und wird in der nachfolgenden Beschreibung näher erläutert. An embodiment of the invention is shown in the drawings and is explained in more detail in the following description.
Figur 1 zeigt ein System gemäß dem Stand der Technik, welches eine Nothalt- Einrichtung aufweist. FIG. 1 shows a system according to the prior art, which has an emergency stop device.
Figur 2 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen Nothalt- Einrichtung. Figure 2 shows an embodiment of an emergency stop device according to the invention.
Ausführungsbeispiel der Erfindung Figur 1 zeigt eine herkömmliche Nothalt- Einrichtung 10 in Form eines Notausschalters, die zum Abschalten eines Systems 20 vorgesehen ist. Das System 20 weist ein Steuergerät 31 mit einem Hardwaremodul 32 auf. Es verfügt über ein Sicherheitskonzept mit drei Ebenen 40, 50, 60 gemäß der Norm ISO 26262. Eine elektrische Energieversorgung 33 des Steuergeräts 31 weist einen Unterbrechungsschalter 34 auf. Durch Betätigung der Nothalt- Einrichtung 10 wird dieser Unterbrechungsschalter 34 geöffnet, sodass das Steuergerät 31 nicht mehr mit elektrischer Energie versorgt wird. Im vorliegenden Ausführungsbeispiel steuert das Steuergerät 31 einen Dieselmotor, welche ein Schiff antreibt. Dieser Dieselmotor weist Vorrichtungen 71 bis 74 in Form einer Zumesseinheit 71 für die Hochdruckpumpe des Dieselmotors, einer Drosselklappe 72, einem vor der Drosselklappe angeordneten Luftventil 73 und einem Einspritztreiber 74 auf. Ein Funktionsmodul 41 in der ersten Ebene 40 steuert diese Vorrichtungen 71 bis 74 über Steuerleitungen 81. Diese sind in Figur 1 vereinfachend als eine einzige Verbindung dargestellt. Tatsächlich sind jedoch vier Steuerleitungen 81 vorgesehen, so dass jede der Vorrichtungen 71 bis 74 an eine separate Steuerleitung 81 angeschlossen ist. Die Steuerleitungen 81 versorgen die Vorrichtungen 71 bis 74 auch mit elektrischer Energie. Die Betätigung der Nothalt- Einrichtung 10 führt deshalb nicht nur zum Ausfall des Steuergeräts 31 und seines Hardwaremoduls 32, sondern auch zum Ausfall aller Vorrichtungen 71 bis 74. embodiment of the invention FIG. 1 shows a conventional emergency stop device 10 in the form of an emergency stop switch, which is provided for switching off a system 20. The system 20 has a control device 31 with a hardware module 32 . It has a safety concept with three levels 40, 50, 60 according to the ISO 26262 standard. By actuating the emergency stop device 10, this interrupter switch 34 is opened, so that the control unit 31 is no longer supplied with electrical energy. In the present embodiment, the controller 31 controls a diesel engine that drives a ship. This diesel engine has devices 71 to 74 in the form of a metering unit 71 for the high-pressure pump of the diesel engine, a throttle valve 72, an air valve 73 arranged in front of the throttle valve and an injection driver 74. A functional module 41 in the first level 40 controls these devices 71 to 74 via control lines 81. These are shown in FIG. 1 as a single connection for the sake of simplicity. In fact, however, four control lines 81 are provided, so that each of the devices 71 to 74 is connected to a separate control line 81 . Control lines 81 also provide electrical power to devices 71-74. The actuation of the emergency stop device 10 therefore leads not only to the failure of the control unit 31 and its hardware module 32, but also to the failure of all the devices 71 to 74.
In dem 3-Ebenen-Sicherheitskonzept ist in der zweiten Ebene 50 ein Sicherheitsmodul 51 vorgesehen, dass das Funktionsmodul 41 überwacht. In the 3-level security concept, a security module 51 is provided in the second level 50 that monitors the functional module 41 .
Hierzu empfängt es Daten vom Funktionsmodul 41 und sendet auch Daten an dieses zurück. In der dritten Ebene 60 ist ein Speichertestmodul 61 angeordnet, dass Speichertests der zweiten Ebene 50 und der dritten Ebene 60 durchführt. Ein Konfigurationstestmodul 62 überwacht die Hardwarekonfiguration der zweiten Ebene 50 und der dritten Ebene 60. Ein Hardwaretestmodul 63 überwacht zusätzliche Hardwaremodule des Steuergeräts 31. Daten des Speichertestmoduls 61, des Konfigurationstestmoduls 62 und des Hardwaretestmoduls 63 werden von einem PFC-Modul (Program Flow Check) gesammelt. Dieses tauscht auch Daten mit dem Sicherheitsmodul 51 der zweiten Ebene 50 aus. Ein Monitoring Module 65 im Hardwaremodul 32, das baulich vom restlichen Steuergerät 31 getrennt ist, jedoch einen Teil der dritten Ebene 60 bildet, kann Anfragen an das Speichertestmodul 61, das Konfigurationstestmodul 62 und das Hardwaretestmodul 63 sowie an das Sicherheitsmodul 51 der zweiten Ebene 50 senden. Nachdem die Antworten dieser Module 51, 61, 62, 63 vom PFC-Modul 64 gesammelt wurden, können sie an das Monitoring Module 65 übergeben werden, das auf diese Weise die Integrität der zweiten Ebene 50 sicherstellt. Weiterhin sind in der dritten Ebene ein Sicherheitsmechanismus 66 für einen Hardware- Memory Test in Form eines ECC (Error-Code-Correction) und ein EMM (Hardware-Error-Management-Module) 67 vorgesehen. For this purpose it receives data from the function module 41 and also sends data back to it. A memory test module 61 that carries out memory tests of the second level 50 and the third level 60 is arranged in the third level 60 . A configuration test module 62 monitors the hardware configuration of the second level 50 and the third level 60. A hardware test module 63 monitors additional hardware modules of the control unit 31. Data from the memory test module 61, the configuration test module 62 and the hardware test module 63 are collected by a PFC (Program Flow Check) module . This also exchanges data with the security module 51 of the second level 50 . A monitoring module 65 in the hardware module 32, which is structurally dated remaining control unit 31 is separate, but forms part of the third level 60, can send requests to the memory test module 61, the configuration test module 62 and the hardware test module 63 as well as to the security module 51 of the second level 50. After the responses from these modules 51, 61, 62, 63 have been collected by the PFC module 64, they can be passed to the monitoring module 65, which in this way ensures the integrity of the second level 50. Furthermore, a safety mechanism 66 for a hardware memory test in the form of an ECC (Error Code Correction) and an EMM (Hardware Error Management Module) 67 are provided on the third level.
Eine Nothalt- Einrichtung 10 gemäß einem Ausführungsbeispiel der Erfindung ist in Figur 2 dargestellt. In diesem Ausführungsbeispiel wird auf den Unterbrechungsschalter 34 verzichtet. Die Nothalt- Einrichtung 10 sendet eine Nothalt-Anforderung stattdessen über zwei redundante Leitungen an das Funktionsmodul 41 der ersten Ebene 40 und das Sicherheitsmodul 51 der zweiten Ebene 50. Im Funktionsmodul 41 wird aufgrund der Betriebszustände der Vorrichtungen 71 bis 74 entschieden, welche der Vorrichtungen 71 bis 74 abgeschaltet werden müssen und welche gefahrlos weiterlaufen können. Aufgrund dieser Auswahl werden die ausgewählten Vorrichtungen dann über die Steuerverbindungen 81 abgeschaltet. An emergency stop device 10 according to an exemplary embodiment of the invention is shown in FIG. In this embodiment, the interrupt switch 34 is omitted. Instead, the emergency stop device 10 sends an emergency stop request via two redundant lines to the function module 41 of the first level 40 and the safety module 51 of the second level 50. In the function module 41, based on the operating states of the devices 71 to 74, a decision is made as to which of the devices 71 to 74 must be switched off and which can continue to run safely. Based on this selection, the selected devices are then switched off via the control connections 81.
Da das Sicherheitsmodul 51 die Nothalt-Anforderung ebenfalls empfängt, reproduziert es die im Funktionsmodul 41 ablaufende Auswahl aus den Vorrichtungen 71 bis 74 und korrigiert ein eventuell in der ersten Ebene 40 auftretende Fehler bei der Auswahl. Sollte die Fehlerkorrektur oder die Absendung von Abschaltanforderungen über die Steuerverbindungen 81 misslingen, so leitet das Sicherheitsmodul 51 die von ihm ausgewählten Abschaltanforderungen stattdessen über ein Abschaltmodul 52 der zweiten Ebene 50 an das EMM 67 der dritten Ebene 60 weiter. Dieses ist über eine Abschaltverbindung 82 in Form einer in dem herkömmlichen System nicht vorgesehenen Drahtverbindung im Steuergerät 31 mit einem Ausgang der Steuerleitungen 81 bis 84 verbunden und kann die Vorrichtungen 71 bis 74 gemäß der Abschaltanforderung abschalten. Sollte das Ausführen der Nothalt-Anforderung sowohl in der ersten Ebene 40 als auch in der zweiten Ebene 50 misslingen, so wird dies vom Monitoring Module 65 erkannt. Dieses versucht selbst keine Auswahl aus den Vorrichtungen vorzunehmen, um eine Entscheidung zu treffen, welche der Vorrichtungen 71 bis 74 abgeschaltet werden sollen. Stattdessen greift es auf eine in ihm fest hinterlegte Auswahl der Vorrichtungen 71 bis 74 zu, die in Form einer Liste angibt, welche der Vorrichtungen 71 bis 74 bei Versagen aller anderen Abschaltwege abgeschaltet werden sollen. Im vorliegenden Ausführungsbeispiel sieht diese Liste beispielsweise nur das Abschalten des Einspritztreibers 74 vor. Diese Abschaltanforderung wird über eine weitere Abschaltverbindung 83 an dieSince the safety module 51 also receives the emergency stop request, it reproduces the selection from the devices 71 to 74 running in the function module 41 and corrects any errors that may occur in the first level 40 in the selection. If the error correction or the sending of shutdown requests via the control connections 81 fails, the security module 51 instead forwards the shutdown requests it has selected to the EMM 67 of the third level 60 via a shutdown module 52 of the second level 50 . This is connected to an output of the control lines 81 to 84 via a switch-off connection 82 in the form of a wire connection, which is not provided in the conventional system, in the control unit 31 and can switch off the devices 71 to 74 in accordance with the switch-off request. If the execution of the emergency stop request fails both in the first level 40 and in the second level 50, this is recognized by the monitoring module 65. This does not itself attempt to select from among the devices in order to make a decision as to which of the devices 71-74 should be turned off. Instead, it accesses a selection of the devices 71 to 74 that is permanently stored in it and which specifies in the form of a list which of the devices 71 to 74 are to be switched off if all other switch-off paths fail. In the present exemplary embodiment, this list only provides for switching off the injection driver 74, for example. This switch-off request is sent via a further switch-off connection 83 to the
Vorrichtungen 71 bis 74 gesandt. Diese ist als zusätzliche Drahtverbindung ausgeführt, die im Hardwaremodul 32 beginnt und die im Steuergerät 31 der Abschaltverbindung 82 zusammengeführt wird. Das Steuergerät 31 und sein Hardwaremodul 32 bleiben nach Betätigen derDevices 71-74 sent. This is designed as an additional wire connection that starts in the hardware module 32 and that is brought together in the control unit 31 of the disconnection connection 82 . The control unit 31 and its hardware module 32 remain after pressing the
Nothalt- Einrichtung 10 aktiv. Sie liefern weiterhin Daten über die Vorrichtungen 71 bis 74 und ermöglichen ein schnelles Wiederhochfahren des gesamten Systems 20, sobald die Nothalt-Anforderung zurückgenommen wurde. Emergency stop device 10 active. They continue to provide data about the devices 71 to 74 and allow the entire system 20 to be quickly restarted once the emergency stop request has been removed.

Claims

Ansprüche Expectations
1. Nothalt- Einrichtung (10) eines Systems (20), welches mehrere Vorrichtungen (71-74) aufweist, die von einem gemeinsamen Steuergerät (31) gesteuert werden, dadurch gekennzeichnet, dass die Nothalt- Einrichtung (10) eingerichtet ist, um eine Auswahl aus den Vorrichtungen (71-74) abzuschalten. 1. Emergency stop device (10) of a system (20) having a plurality of devices (71-74) which are controlled by a common control unit (31), characterized in that the emergency stop device (10) is set up to disable a selection from the devices (71-74).
2. Nothalt- Einrichtung (10) nach Anspruch 1, dadurch gekennzeichnet, dass das Steuergerät (31) ein Sicherheitskonzept mit drei Ebenen (40, 50, 60) aufweist und in der ersten Ebene (40) und der zweiten Ebene (50) jeweils eine Auswahlfunktion implementiert ist, die eingerichtet ist, um bei Betätigung der Nothalt- Einrichtung die Auswahl aus den Vorrichtungen in Abhängigkeit von Betriebszuständen der Vorrichtungen (71-74) vorzunehmen. 2. Emergency stop device (10) according to claim 1, characterized in that the control unit (31) has a safety concept with three levels (40, 50, 60) and in the first level (40) and the second level (50), respectively a selection function is implemented, which is set up to make the selection from the devices depending on the operating states of the devices (71-74) when the emergency stop device is actuated.
3. Nothalt- Einrichtung (10) nach Anspruch 2, dadurch gekennzeichnet, dass die erste Ebene (40) Steuerverbindungen (81) zu den Vorrichtungen (71-74) aufweist, welche eingerichtet sind, um die Vorrichtungen (71-74) zu steuern und um eine Auswahl aus den Vorrichtungen (71-74) abzuschalten. 3. Emergency stop device (10) according to claim 2, characterized in that the first level (40) comprises control connections (81) to the devices (71-74) which are arranged to control the devices (71-74). and to turn off a selection from the devices (71-74).
4. Nothalt- Einrichtung (10) nach Anspruch 2 oder 3, dadurch gekennzeichnet, dass die zweite Ebene (50) mit einem Modul der dritten Ebene (60) verbunden ist, welches mindestens eine Abschaltverbindung (82) zu den Vorrichtungen (71-74) aufweist, welche eingerichtet ist, um eine Auswahl aus den Vorrichtungen (71-74) abzuschalten. 4. Emergency stop device (10) according to claim 2 or 3, characterized in that the second level (50) is connected to a third level module (60) which has at least one switch-off connection (82) to the devices (71-74 ) arranged to switch off a selection from the devices (71-74).
5. Nothalt- Einrichtung (10) nach Anspruch 4, dadurch gekennzeichnet, dass das Modul ein Hardware-Error-Management-Module (67) ist. 5. Emergency stop device (10) according to claim 4, characterized in that the module is a hardware error management module (67).
6. Nothalt- Einrichtung (10) nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass in der dritten Ebene (60) eine fest vorgegebene Auswahl aus den Vorrichtungen (71-74) hinterlegt ist. 6. emergency stop device (10) according to any one of claims 2 to 5, characterized in that in the third level (60) a fixed predetermined selection from the devices (71-74) is stored.
7. Nothalt- Einrichtung (10) nach Anspruch 6, dadurch gekennzeichnet, dass die fest vorgegebene Auswahl aus den Vorrichtungen in einem Monitoring Module (65) hinterlegt ist. 7. Emergency stop device (10) according to claim 6, characterized in that the permanently predetermined selection from the devices is stored in a monitoring module (65).
8. Nothalt- Einrichtung (10) nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die dritte Ebene (60) mindestens eine Abschaltverbindung (83) zu den Vorrichtungen (71-74) aufweist, welche eingerichtet ist, um die in der dritten Ebene (60) hinterlegte Auswahl aus den Vorrichtungen (71-74) abzuschalten. 8. emergency stop device (10) according to claim 6 or 7, characterized in that the third level (60) has at least one shutdown connection (83) to the devices (71-74), which is set up to the in the third level (60) switch off the stored selection from the devices (71-74).
9. Nothalt- Einrichtung (10) nach Anspruch 8, dadurch gekennzeichnet, dass die Abschaltverbindung (83) der dritten Ebene (60) teilweise über eine gemeinsame Leitung mit einer Abschaltverbindung (82) der zweiten Ebene (50) geführt ist. 9. Emergency stop device (10) according to claim 8, characterized in that the disconnection connection (83) of the third level (60) is guided partially via a common line with a disconnection connection (82) of the second level (50).
PCT/EP2021/068829 2020-07-08 2021-07-07 Emergency stop device WO2022008592A1 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2023501055A JP2023533532A (en) 2020-07-08 2021-07-07 Emergency stop device
KR1020237004582A KR20230036140A (en) 2020-07-08 2021-07-07 emergency stop device
CN202180048599.4A CN115803690A (en) 2020-07-08 2021-07-07 Emergency stop device
EP21743101.4A EP4179392A1 (en) 2020-07-08 2021-07-07 Emergency stop device

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020208577.3 2020-07-08
DE102020208577.3A DE102020208577A1 (en) 2020-07-08 2020-07-08 emergency stop device

Publications (1)

Publication Number Publication Date
WO2022008592A1 true WO2022008592A1 (en) 2022-01-13

Family

ID=76971855

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/068829 WO2022008592A1 (en) 2020-07-08 2021-07-07 Emergency stop device

Country Status (6)

Country Link
EP (1) EP4179392A1 (en)
JP (1) JP2023533532A (en)
KR (1) KR20230036140A (en)
CN (1) CN115803690A (en)
DE (1) DE102020208577A1 (en)
WO (1) WO2022008592A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN205891232U (en) * 2016-07-08 2017-01-18 上海工程技术大学 Urgent safe launching appliance of four rotor unmanned aerial vehicle
WO2017149039A1 (en) * 2016-03-04 2017-09-08 Ge Aviation Systems Limited Method and apparatus for modular power distribution
CN107352025A (en) * 2017-07-26 2017-11-17 安徽云翼航空技术有限公司 A kind of multipurpose captive unmanned plane

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014213206B4 (en) 2014-07-08 2022-03-17 Vitesco Technologies GmbH Control arrangement for safety-related actuators
DE102019125867B4 (en) 2019-09-25 2022-05-05 Keba Industrial Automation Germany Gmbh Programmable electronic power controller

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017149039A1 (en) * 2016-03-04 2017-09-08 Ge Aviation Systems Limited Method and apparatus for modular power distribution
CN205891232U (en) * 2016-07-08 2017-01-18 上海工程技术大学 Urgent safe launching appliance of four rotor unmanned aerial vehicle
CN107352025A (en) * 2017-07-26 2017-11-17 安徽云翼航空技术有限公司 A kind of multipurpose captive unmanned plane

Also Published As

Publication number Publication date
DE102020208577A1 (en) 2022-01-13
KR20230036140A (en) 2023-03-14
EP4179392A1 (en) 2023-05-17
JP2023533532A (en) 2023-08-03
CN115803690A (en) 2023-03-14

Similar Documents

Publication Publication Date Title
EP2765045B1 (en) Circuit for controlling an acceleration, braking and steering system of a vehicle
DE10255614B4 (en) Electronic vehicle control system with reliable function
DE4425388B4 (en) control unit
EP0236803B1 (en) Method for the operation of a fault-protected and highly available multiprocessor central controller of a switching system
DE102015003194A1 (en) Method and device for handling safety-critical errors
DE10207314A1 (en) Intake air quantity control system for internal combustion engines
DE10143454B4 (en) Device for controlling a vehicle
DE19732319A1 (en) Method and device for electronic throttle monitoring
DE102013113296A1 (en) Redundant computing architecture
DE102015107622A1 (en) Motor drive device comprising fault detection function in the inverter and in the power line
DE4113959A1 (en) MONITORING DEVICE
WO2021018640A1 (en) Vehicle electrical system and method for protecting a vehicle electrical system
DE10200847A1 (en) Fault detection circuit of a fuel injector
DE3139067C2 (en) Electrical device for triggering switching functions in motor vehicles
DE102006024378A1 (en) Electronic control device of an electric drive system, electronic drive unit of an electric drive system and electric drive system
EP2239752B2 (en) Secure switching device and modular error-proof control system
WO2022008592A1 (en) Emergency stop device
EP1679729B1 (en) Method for secure signal generation
DE102006051909A1 (en) Electronic motor vehicle control device for use in e.g. electrical brake system, has additional control circuit provided for restarting microprocessor, when error occurs in device, where error results in failure of microprocessor
DE102005025994A1 (en) Method for operating an electric machine and drive system for this purpose
EP1397729B1 (en) Device for reliable signal generation
DE102018209227A1 (en) Electronic control unit
DE10040246B4 (en) Method and device for controlling at least one consumer
DE102008009905A1 (en) Method for providing an emergency function
DE102005037236A1 (en) Device and method for configuring a semiconductor circuit

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21743101

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2023501055

Country of ref document: JP

Kind code of ref document: A

ENP Entry into the national phase

Ref document number: 20237004582

Country of ref document: KR

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021743101

Country of ref document: EP

Effective date: 20230208