WO2023062112A1 - Verfahren zur sicherheitsgerichteten steuerung - Google Patents
Verfahren zur sicherheitsgerichteten steuerung Download PDFInfo
- Publication number
- WO2023062112A1 WO2023062112A1 PCT/EP2022/078468 EP2022078468W WO2023062112A1 WO 2023062112 A1 WO2023062112 A1 WO 2023062112A1 EP 2022078468 W EP2022078468 W EP 2022078468W WO 2023062112 A1 WO2023062112 A1 WO 2023062112A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- relay
- actuator
- monitoring device
- control device
- switched
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000012806 monitoring device Methods 0.000 claims abstract description 40
- 230000004913 activation Effects 0.000 claims abstract description 5
- 239000004020 conductor Substances 0.000 claims description 13
- 230000002950 deficient Effects 0.000 claims description 7
- 230000007935 neutral effect Effects 0.000 claims description 6
- 230000003213 activating effect Effects 0.000 claims description 2
- 230000008859 change Effects 0.000 claims description 2
- 238000012546 transfer Methods 0.000 claims description 2
- 239000007789 gas Substances 0.000 description 12
- 230000007547 defect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 238000003466 welding Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000000853 adhesive Substances 0.000 description 1
- 230000001070 adhesive effect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000010304 firing Methods 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F23—COMBUSTION APPARATUS; COMBUSTION PROCESSES
- F23N—REGULATING OR CONTROLLING COMBUSTION
- F23N1/00—Regulating fuel supply
- F23N1/002—Regulating fuel supply using electronic means
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F23—COMBUSTION APPARATUS; COMBUSTION PROCESSES
- F23N—REGULATING OR CONTROLLING COMBUSTION
- F23N5/00—Systems for controlling combustion
- F23N5/24—Preventing development of abnormal or undesired conditions, i.e. safety arrangements
- F23N5/242—Preventing development of abnormal or undesired conditions, i.e. safety arrangements using electronic means
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F23—COMBUSTION APPARATUS; COMBUSTION PROCESSES
- F23N—REGULATING OR CONTROLLING COMBUSTION
- F23N2223/00—Signal processing; Details thereof
- F23N2223/20—Opto-coupler
-
- F—MECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
- F23—COMBUSTION APPARATUS; COMBUSTION PROCESSES
- F23N—REGULATING OR CONTROLLING COMBUSTION
- F23N2231/00—Fail safe
- F23N2231/10—Fail safe for component failures
Definitions
- the invention relates to a method according to claim 1 and a system for carrying out the method according to claim 14 .
- electrical safety components and actuators such as gas valves
- two independent relay contacts in order to ensure that a defect welded and therefore no longer detachable contact does not cause an unsafe condition and, for example gas escapes unintentionally.
- Welding or sticking of a contact can occur, for example, in that it switches to a short circuit or an overload and as a result the two poles of the contact weld together due to the switching current being too high.
- a high switching current can occur, among other things, due to a back-up fuse in the circuit not tripping quickly enough.
- WO 2011/058159 A2 discloses a control system for a magnetic valve of a household appliance with a switch for controlling the current of the magnetic valve.
- EP 1 826 640 A1 discloses a method for the safety-related control of an actuator, which is characterized in that a first and a second dynamic signal with different frequencies are generated by a microprocessor to control the actuator, which correspond to a band pass or a high pass be supplied.
- DE 103 21 764 A1 also discloses a method for controlling a safety relay in an automatic firing device, in particular for use in a burner on a heating device, with the safety relay enabling the power supply for the downstream outputs of the burner components.
- a further disadvantage is that a faulty state is only recognized by the fact that a component, such as a gas valve, is activated and then safely switched off via a second switch-off path.
- a component such as a gas valve
- the still functioning contact also switches to a short circuit or an overload and also welds, which means that safe shutdown is no longer given and a high safety risk occurs.
- the object of the invention is therefore to create a way of detecting an unsafe state of an electrical safety component to be switched, even before the component to be secured is switched on.
- the invention provides a method for the safety-related control of at least one actuator of a device, in particular at least one electrically actuated gas valve, which is switched by means of two relays connected in series, the actuator being only activated when the first relay and the second relay are switched , a current flow via the first relay being monitored by a first monitoring device, a current flow via the second relay being monitored by a second monitoring device, a control device being programmed in such a way that the actuator is only activated by switching the two relays , if no current flow is reported to the control device by either the first monitoring device or the second monitoring device prior to activation.
- the method according to the invention advantageously ensures that the prerequisites that enable the actuator to be activated are only met if no current flow is detected via the monitoring devices.
- a welded contact of a relay which prevents reliable and safe switching of the relay and thus poses a risk to the safe operation of the device, can thus be detected and necessary measures that are necessary either to activate the actuator or to transfer the device to a safe state are to be initiated.
- control device to store information about the relay and/or monitoring device in which the error occurs, with the information being stored persistently, in particular in a fail-safe manner, preferably using an EEPROM memory chip.
- the information can be accessed quickly and reliably during further operation of the device without it being lost, for example due to a power failure triggered by a short circuit.
- the two relays for activating the actuator are closed one after the other by the control device, in particular with a delay of 10 ms to 500 ms, preferably with a delay of about 100 ms.
- the two relays for deactivating the actuator of the control device one after the other in particular with a delay of 10 ms to 500 ms, preferably with a delay of about 100 ms.
- the relays are advantageously switched sequentially and unconditionally opened, as a result of which the actuator is closed and a safe state of the device is thus established.
- the first and the second relay are evenly loaded, since they alternately switch the load on and off.
- the respective other of the two relays switches load-free, in the sense of switching without electrical load. This can have an advantageous effect on the service life both of the relays and of the device and ensure reliable operation of the device.
- control device detects an error of the type of a welded relay contact by detecting a signal from the monitoring device corresponding to the switched-off relay despite a switched-off relay.
- an error of the type of a defective relay or an error of the type of a defective monitoring device is determined by means of the control device by a signal to the despite a switched-on relay switched-on relay corresponding monitoring device is not detected.
- an error such as a welded relay contact in combination with a defective monitoring device is detected by means of the control device by no change in the signal of the corresponding monitoring device being detected when the switching state of the relay changes.
- the expected functionality of the two relays and the two respective monitoring devices can advantageously be checked and statements about this can be made. Imaginable errors such as the welding of a relay contact, a defective monitoring device, or a combination of the two can thus be found out before the actuator is activated and safe control can be made possible.
- first relay is operated in an outer conductor of the actuator and the second relay is operated in a neutral conductor of the actuator, or that the first relay and the second relay are operated in an outer conductor of the actuator, or that the first relay and the second relay are operated in a neutral conductor of the actuator.
- At least one monitoring device is operated by means of a voltage feedback, in particular an optocoupler, preferably a forcibly guided double contact.
- the flow of current through the corresponding relay can be measured inexpensively and, as a result, statements about its status can be determined quickly, and in the case of an optocoupler this can be made possible by being electrically isolated from the circuit of the relay.
- the invention also provides a system comprising at least one actuator of a device, the actuator being designed in particular as an electrically actuated gas valve, a first relay and a second relay, the actuator only being activated when the first relay and the second relay are switched are, a first monitoring device which monitors a current flow via the first relay, a second monitoring device which monitors a current flow via the second relay, a control device which is programmed in such a way that the actuator can be activated by switching the two relays only takes place if, before the activation of the actuator, no current flow is reported to the control device by either the first monitoring device or the second monitoring device.
- an adhesive contact is understood as meaning an originally detachable contact whose connection points or poles are, for example due to a switching process to a short circuit and the associated high switching current, can no longer be detached from one another, since they are not detachably connected to one another, in particular welded to one another.
- FIG. 1 is a block diagram of a system according to the invention.
- FIG. 2 shows a time diagram of the system in alternating normal operation and subsequent error.
- Figure 1 is a block diagram to illustrate the interaction of a first relay 2 arranged in an outer conductor 1 with an associated first optocoupler 9, a second relay 10 arranged in a neutral conductor 12 with an associated second optocoupler 11, one by means of the first and the second Relay 2 , 10 gas valve 3 to be controlled and the control device 6 connected to the first relay 2 , the second relay 10 , the first optocoupler 9 , and the second optocoupler 11 4 , 5 , 7 , 8 .
- the first optocoupler ( 9 ) forms a first monitoring device
- the second optocoupler ( 11 ) forms a second monitoring device.
- FIG. 2 shows a timing diagram of the system in normal operation and in the event of a fault.
- An example is a welding of the contact of the first relay 2 in the outer conductor and a faulty optocoupler 9 this relay shown .
- the following data is plotted over time for three exemplary and unspecified starts of the device: a signal 13 from the first relay 2 and a signal 16 from the second relay 10 , a feedback signal 14 from the first optocoupler 9 corresponding to the first relay 2 and a Feedback signal 17 of the second optocoupler 11 corresponding to the second relay 10 , as well as a state of the physical contact 15 of the first relay 2 and the state of the physical contact 18 of the second relay 10 .
- the first relay 2 switches without load at a first point in time 19 .
- the second relay 10 switches on the load at the second point in time 20 .
- the second relay 10 switches the load off again at the third point in time 21 .
- the first relay 2 now switches load-free.
- each relay 2 , 10 is monitored by means of corresponding optocouplers 9 , 11 . Any error can advantageously be detected by means of the delays and appropriate measures can be initiated by means of the control device 6 .
- the switching of the load alternates between the two relays 2 and 10 with a corresponding delay.
- the second relay 10 first switches to no-load and the first relay 2 the load. Switching off takes place in the same way. In this way, the service life of the two relays can advantageously be extended.
- first relay 2 switches again without any load.
- the second relay 10 now switches the load, for example, to a short circuit, as a result of which the contact of the second relay 10 welds and this can no longer be switched from then on. This can be detected by means of the control device to the effect that, despite an attempt to switch off the second relay 10 at the sixth point in time 24, the feedback signal 17 of the second relay 10 is still present.
- the gas valve 3 can be safely closed.
- the defect that still exists in the second relay 10 can be detected by starting the device again, instead of the first relay 2 as is normally the case, the relay is switched first, in which a defect was previously detected. This is the case shown as an example in FIG. 2, the second relay 10 .
Landscapes
- Engineering & Computer Science (AREA)
- Chemical & Material Sciences (AREA)
- Combustion & Propulsion (AREA)
- Mechanical Engineering (AREA)
- General Engineering & Computer Science (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
Verfahren zur sicherheitsgerichteten Steuerung wenigstens eines Stellglieds einer Vorrichtung, insbesondere wenigstens eines elektrisch betätigten Gasventils (3), welches mittels zweier in Reihe geschalteter Relais geschaltet wird, wobei das Stellglied nur dann angesteuert ist, wenn das erste Relais (2) und das zweite Relais (10) geschaltet sind, wobei ein Stromfluss über das erste (2) Relais von einer ersten Überwachungseinrichtung überwacht wird, und wobei ein Stromfluss über das zweite Relais 10 von einer zweiten Überwachungseinrichtung überwacht wird, und wobei eine Kontrolleinrichtung (6) derart programmiert ist, dass eine Aktivierung des Stellglieds mittels eines Schaltens der beiden Relais (1, 10) nur dann erfolgt, wenn sowohl von der ersten Überwachungseinrichtung als auch von der zweiten Überwachungseinrichtung kein Stromfluss an die Kontrolleinrichtung (6) gemeldet wird.
Description
"Verfahren zur sicherheitsgerichteten Steuerung"
Die Erfindung betri f ft ein Verfahren nach Anspruch 1 , sowie ein System zur Durchführung des Verfahrens gemäß Anspruch 14 .
Bei derartigen Verfahren, beispielsweise bei Verwendung an einer Gastherme , werden elektrische Sicherheitskomponenten, und Stellglieder, wie beispielsweise Gasventile mit zwei voneinander unabhängigen Relaiskontakten geschaltet , um zu gewährleisten, dass ein durch einen Defekt verschweißter und somit nicht mehr lösbarer Kontakt keinen unsicheren Zustand hervorruft und beispielsweise ungewollt Gas ausströmt .
Ein Verschweißen, oder Verkleben eines Kontakts kann beispielsweise dadurch vorkommen, indem dieser auf einen Kurzschluss oder eine Überlast schaltet und in Folge dessen die beiden Pole des Kontaktes auf Grund des zu hohen Schaltstroms miteinander verschweißen . Auftreten kann ein hoher Schaltstrom unter Anderem etwa auf Grund einer nicht ausreichend schnell auslösenden Vorsicherung im Stromkreis .
Aus der WO 2011 / 058159 A2 ist ein Steuersystem für ein Magnetventil eines Haushaltsgeräts mit einem Schalter zur Regelung des Stroms des Magnetventils bekannt .
Weiterhin ist aus der EP 1 826 640 Al ein Verfahren zur sicherheitsgerichteten Ansteuerung eines Stellgliedes bekannt , das sich dadurch kennzeichnet , dass zur Ansteuerung des Stellgliedes von einem Mikroprozessor ein erstes und ein zweites dynamisches Signal mit unterschiedlichen Frequenzen erzeugt werden, die einem Bandpass beziehungsweise einem Hochpass zugeführt werden .
Aus der DE 103 21 764 Al ist weiterhin ein Verfahren zur Ansteuerung eines Sicherheitsrelais in einem Feuerungsautomaten, insbesondere zum Einsatz bei einem Brenner an einem Hei zgerät bekannt , wobei mit dem Sicherheitsrelais die Spannungsversorgung für die nachgeschalteten Ausgänge der Brennerkomponenten freigegeben wird .
Nachteilig an dem bereits bekannten Stand der Technik ist , dass bei derartigen Vorrichtungen und Verfahren eine aufwendige Elektronik zur Auswertung vorhanden sein muss , die hohe Kosten in der Herstellung und einen aufwändigen Betrieb erfordert .
Weiterhin von Nachteil ist , dass ein fehlerhafter Zustand nur dadurch erkannt wird, dass eine Komponente , wie beispielsweise ein Gasventil , angesteuert und daraufhin über einen zweiten Abschaltweg sicher abgeschaltet wird . Liegt j edoch bereits vor dem Einschaltvorgang ein verschweißter und als solcher nicht erkannter Kontakt vor, schaltet der noch funktionierende Kontakt ebenfalls auf einen Kurzschluss oder eine Überlast und verschweißt ebenfalls , wodurch die sichere Abschaltung nicht mehr gegeben ist und ein hohes Sicherheitsrisiko eintritt .
Aufgabe der Erfindung ist daher eine Möglichkeit zur Erkennung eines unsicheren Zustandes einer zu schaltenden elektrischen Sicherheitskomponente zu schaf fen, noch vor dem Einschalten der zu sichernden Komponente .
Diese Aufgabe wird durch den Oberbegri f f des Anspruch 1 bzw . 14 , erfindungsgemäß durch die kennzeichnenden Merkmale gelöst .
Zweckmäßige und vorteilhafte Aus führungs formen sind in den Unteransprüchen angegeben .
Die Erfindung sieht ein Verfahren vor zur sicherheitsgerichteten Steuerung wenigstens eines Stellglieds einer Vorrichtung, insbesondere wenigstens eines elektrisch betätigten Gasventils , welches mittels zweier in Reihe geschalteter Relais geschaltet wird, wobei das Stellglied nur dann angesteuert ist , wenn das erste Relais und das zweite Relais geschaltet sind, wobei ein Stromfluss über das erste Relais von einer ersten Überwachungseinrichtung überwacht wird, wobei ein Stromfluss über das zweite Relais von einer zweiten Überwachungseinrichtung überwacht wird, wobei eine Kontrolleinrichtung derart programmiert ist , dass eine Aktivierung des Stellglieds mittels eines Schaltens der beiden Relais nur dann erfolgt , wenn sowohl von der ersten Überwachungseinrichtung als auch von der zweiten Überwachungseinrichtung vor der Aktivierung kein Stromfluss an die Kontrolleinrichtung gemeldet wird .
In vorteilhafter Weise sorgt das erfindungsgemäße Verfahren dafür, dass die Voraussetzungen, die ein Aktivieren des Stellglieds ermöglichen nur dann gegeben sind, wenn kein Stromfluss über die Überwachungseinrichtungen detektiert wird . Ein verschweißter Kontakt eines Relais , der ein zuverlässiges und sicheres Schalten des Relais verhindert und dadurch eine Gefahr für den sicheren Betrieb der Vorrichtung darstellt , kann dadurch erkannt und notwendige Maßnahmen, die entweder zum Aktivieren des Stellgliedes oder dem Überführen der Vorrichtung in einen sicheren Zustand notwendig sind, eingeleitet werden .
Weiterhin ist vorgehsehen, dass im Fall eines Fehlers wenigstens eines der beiden Relais und/oder wenigstens eines der beiden Überwachungseinrichtungen, die Vorrichtung, insbesondere das
Stellglied, in einen zur weiteren Steuerung gesperrten, sicheren Zustand überführt wird, bevorzugt das Gasventil geschlossen wird .
Hierdurch kann in vorteilhafter Weise ein weiterer Betrieb der Vorrichtung oder beispielsweise ein Ausströmen von brennbaren Gasen beim Vorliegen eines Fehlers unterbunden werden .
Außerdem ist vorgesehen, dass mittels der Kontrolleinrichtung eine Information bezüglich desj enigen Relais und/oder derj enigen Überwachungseinrichtung gespeichert wird, bei dem/der der Fehler aufritt , wobei die Information persistent , insbesondere netzaus fallsicher, bevorzugt mittels eines EEPROM- Speicherbausteins gespeichert wird .
Hierdurch kann im weiteren Betrieb der Vorrichtung schnell und zuverlässig auf die Information zurückgegri f fen werden, ohne dass diese , beispielsweise auf Grund eines durch einen Kurzschluss ausgelösten Netzaus falls , verloren gehen würde .
Weiterhin ist vorgesehen, dass mittels eines Zurücksetzens der Kontrolleinrichtung, insbesondere eines manuellen Zurücksetzens , der sichere Zustand aufgehoben und ein erneutes Steuern des Stellglieds ermöglicht wird .
Hierdurch wird ermöglicht , dass in Folge eines den sicheren Zustand auslösenden Fehlers , ein externes Eingrei fen zur Widerherstellung der Steuerbarkeit bzw . Wieder- Inbetriebnahme der Vorrichtung benötigt wird und dieses beispielsweise mit etwaigen Wartung- oder Reparaturarbeiten, Prüfungen oder Ähnlichem verbunden werden kann, die in Folge des vorliegenden Fehlers notwendig sein könnten .
Außerdem ist vorgesehen, dass nach Aufhebung des gesperrten Zustands , insbesondere nach dem Zurücksetzen der Kontrolleinrichtung, stets dasj enige Relais zuerst geschaltet wird, bezüglich dessen die Information eines Defekts gespeichert wurde .
In dem Fall , dass ein verschweißter Kontakt eines der beiden Relais mit einem Defekt der zu diesem Relais korrespondierenden Überwachungseinrichtung zusammenfällt , ist es für den sicherheitsgerichteten Betrieb der Vorrichtung vorteilhaft , ein erneutes Aktivieren des Stellgliedes mit dem Relais zu initiieren, bei dem ein verschweißter Kontakt detektiert und dadurch eine Information in der Kontrolleinrichtung gespeichert wurde .
Weiterhin ist vorgesehen, dass die beiden Relais zur Aktivierung des Stellglieds von der Kontrolleinrichtung nacheinander, insbesondere mit einer Verzögerung von 10 ms bis 500 ms , vorzugsweise einer Verzögerung von etwa 100 ms , geschlossen werden .
Hierdurch kann sichergestellt werden, dass beim Vorliegen eines Fehlers des zuerst geschalteten Relais , mit dem Schalten des daraufhin zu schaltenden Relais auf den Fehler reagiert werden und so ein unsicherer Zustand der Vorrichtung verhindert werden kann . Hierdurch soll verhindert werden, dass in Folge eines Fehlers des zuerst geschalteten Relais , das daraufhin zu schaltende Relais geschaltet wird .
Außerdem ist vorgesehen, dass die beiden Relais zur Deaktivierung des Stellglieds von der Kontrolleinrichtung nacheinander, insbesondere mit einer Verzögerung von 10 ms bis
500 ms , vorzugsweise einer Verzögerung von etwa 100 ms , geöf fnet werden .
Hierdurch werden vorteilhaft die Relais sequentiell geschaltet und unbedingt geöf fnet , wodurch das Stellglied geschlossen und so ein sicherer Zustand der Vorrichtung hergestellt wird .
Weiterhin ist vorgesehen, dass von der Kontrolleinrichtung ein Schalten unter Last derart auf das erste und das zweite Relais verteilt wird, dass das erste und das zweite Relais über eine Lebensdauer der Vorrichtung und in Summe etwa die gleiche Anzahl von Schaltvorgängen aufweisen, die unter Last erfolgt sind .
Mittels des hierdurch erzeugten alternierenden Schaltverhaltens unter Last , werden das erste und das zweite Relais gleichmäßig belastet , da sie abwechselnd die Last ein- und ausschalten . Das j eweils andere der beiden Relais schaltet lastfrei , im Sinne eines Schaltens ohne elektrische Belastung . Vorteilhaft kann sich dieses sowohl auf die Lebensdauer sowohl der Relais , als auch die der Vorrichtung auswirken und einen zuverlässigen Betrieb der Vorrichtung gewährleisten .
Außerdem ist vorgesehen, dass mittels der Kontrolleinrichtung ein Fehler der Art eines verschweißten Relaiskontakts festgestellt wird, indem trotz eines ausgeschalteten Relais ein Signal der zu dem ausgeschalteten Relais korrespondierenden Überwachungseinrichtung detektiert wird .
Weiterhin ist vorgesehen, dass mittels der Kontrolleinrichtung ein Fehler der Art eines defekten Relais oder ein Fehler der Art einer defekten Überwachungseinrichtung festgestellt wird, indem trotz eines eingeschalteten Relais ein Signal der zu dem
eingeschalteten Relais korrespondierenden Überwachungseinrichtung nicht detektiert wird .
Außerdem ist vorgesehen, dass mittels der Kontrolleinrichtung ein Fehler der Art eines verschweißten Relaiskontakts in Kombination mit einer defekten Überwachungseinrichtung festgestellt wird, indem bei einem Wechsel des Schalt zustandes des Relais kein Wechsel des Signals der korrespondierenden Überwachungseinrichtung detektiert wird .
Mittels dieser Verfahrensschritte kann vorteilhaft die erwartete Funktions fähigkeit der beiden Relais und der beiden j eweiligen Überwachungseinrichtungen kontrolliert und Aussagen darüber getrof fen werden . Vorstellbare Fehler wie das Verschweißen eines Relaiskontakts , einer defekten Überwachungseinrichtung, oder eine Kombination der beiden können somit noch vor der Aktivierung des Stellglieds in Erfahrung gebracht und ein sicheres Steuern ermöglicht werden .
Weiterhin ist vorgesehen, dass entweder das erste Relais in einem Außenleiter des Stellglieds betrieben wird und das zweite Relais in einem Neutralleiter des Stellglieds betrieben wird, oder dass das erste Relais und das zweite Relais in einem Außenleiter des Stellglieds betrieben werden, oder dass das erste Relais und das zweite Relais in einem Neutralleiter des Stellglieds betrieben werden .
Vorteilhaft können somit j e nach Bau- oder Konstruktionsanforderung unterschiedliche Schaltungen ermöglicht werden, was die Flexibilität bei Konstruktion und Fertigung erhöht .
Außerdem ist vorgesehen, dass wenigstens eine Überwachungseinrichtung mittels einer Spannungsrückmeldung, insbesondere eines Optokopplers , bevorzugt eines zwangsgeführten Doppelkontakts , betrieben wird .
Hierdurch kann vorteilhaft der Stromfluss über das entsprechende Relais kostengünstig gemessen werden und dadurch zügig Aussagen über dessen Zustand ermittelt werden und dies im Fall eines Optokopplers galvanisch vom Stromkreis des Relais getrennt ermöglicht werden kann .
Die Erfindung sieht weiterhin ein System vor, umfassend wenigstens ein Stellglied einer Vorrichtung, wobei das Stellglied insbesondere als elektrisch betätigtes Gasventil ausgebildet ist ein erstes Relais und ein zweites Relais , wobei das Stellglied nur dann angesteuert ist , wenn das erste Relais und das zweite Relais geschaltet sind, eine erste Überwachungseinrichtung von welcher ein Stromfluss über das erste Relais überwacht ist , eine zweite Überwachungseinrichtung von welcher ein Stromfluss über das zweite Relais überwacht ist , eine Kontrolleinrichtung, welche derart programmiert ist , dass eine Aktivierung des Stellglieds mittels eines Schaltens der beiden Relais nur dann erfolgt , wenn vor der Aktivierung des Stellglieds sowohl von der ersten Überwachungseinrichtung als auch von der zweiten Überwachungseinrichtung kein Stromfluss an die Kontrolleinrichtung gemeldet ist .
Im Sinne der Erfindung wird unter einem klebenden Kontakt ein ursprünglich lösbarer Kontakt verstanden, dessen Verbindungsstellen oder Pole sich, beispielsweise auf Grund
eines Schaltvorgangs auf einen Kurzschluss und des damit einher gehenden hohen Schaltstroms , nicht mehr voneinander lösen lassen, da sie nicht lösbar miteinander verbunden, insbesondere miteinander verschweißt sind .
Weitere Einzelheiten der Erfindung werden in den Zeichnungen anhand von schematisch dargestellten Aus führungsbeispielen beschrieben .
Hierbei zeigt
Figur 1 ein Blockdiagram eines erfindungsgemäßen Systems und
Figur 2 ein Zeitdiagramm des Systems im alternierenden Normalbetrieb und anschließendem Fehlerfall .
In Figur 1 ist ein Blockdiagramm zur Veranschaulichung des Zusammenwirkens eines beispielhaft in einem Außenleiter 1 angeordneten ersten Relais 2 mit einem dazugehörigen ersten Optokoppler 9 , eines in einem Neutralleiter 12 angeordneten zweiten Relais 10 mit einem dazugehörigem zweiten Optokoppler 11 , eines mittels des ersten und des zweiten Relais 2 , 10 anzusteuernden Gasventils 3 und der mit dem ersten Relais 2 , dem zweiten Relais 10 , dem ersten Optokoppler 9 , sowie dem zweiten Optokoppler 11 in Verbindung 4 , 5 , 7 , 8 stehenden Kontrolleinrichtung 6 . Hierbei bildet der erste Optokoppler ( 9 ) eine erste Überwachungseinrichtung und der zweite Optokoppler ( 11 ) eine zweite Überwachungseinrichtung .
Die Figur 2 zeigt in einer Zusammenschau mit Figur 1 ein Zeitdiagramm des Systems im Normalbetrieb und anschließendem Fehlerfall . Beispielhaft ist ein verschweißen des Kontakts des ersten Relais 2 im Außenleiter und fehlerhaftem Optokoppler 9
dieses Relais dargestellt . Für drei exemplarische und nicht näher bezeichnete Starts der Vorrichtung sind über die Zeit die folgenden Daten aufgetragen : ein Signal 13 des ersten Relais 2 und ein Signals 16 des zweite Relais 10 , ein Feedbacksignal 14 des zu dem ersten Relais 2 korrespondierenden ersten Optokopplers 9 und ein Feedbacksignal 17 des zu dem zweiten Relais 10 korrespondierenden zweiten Optokopplers 11 , sowie ein Zustand des physischen Kontakts 15 des ersten Relais 2 und der Zustand des physischen Kontakts 18 des zweiten Relais 10 .
Bei einem ersten Start der Vorrichtung, beispielsweise eines Gasbrenners , schaltet zu einem ersten Zeitpunkt 19 das erste Relais 2 lastfrei . Nach einer Verzögerung, insbesondere von 100 ms , schaltet das zweite Relais 10 zum zweiten Zeitpunkt 20 die Last ein . Nach einer gewissen Betriebs zeit schaltet das zweite Relais 10 zum dritten Zeitpunkt 21 die Last wieder ab . Nach einer weiteren Verzögerung, insbesondere von 100 ms , und zum vierten Zeitpunkt 22 schaltet das erste Relais 2 nun last frei .
Der j eweilige Schalt zustand eines j eden Relais 2 , 10 wird mittels korrespondierender Optokoppler 9 , 11 überwacht . Vorteilhaft kann mittels der Verzögerungen ein etwaiger Fehler festgestellt und entsprechende Maßnahmen mittels der Kontrolleinrichtung 6 eingeleitet werden .
Mit j edem weiteren Start der Vorrichtung alterniert nun das Schalten der Last zwischen den beiden Relais 2 und 10 mit entsprechender Verzögerung . Bei dem zweiten dargestellten Start schaltet zunächst beispielhaft das zweite Relais 10 lastfrei und
das erste Relais 2 die Last . Analog erfolgt das Abschalten . Hierdurch kann vorteilhaft die Lebensdauer der beiden Relais verlängert werden .
Bei dem dritten dargestellten Start schaltet erneut zunächst das erste Relais 2 lastfrei . Zum fünften Zeitpunkt 23 schaltet das zweite Relais 10 nun j edoch die Last beispielsweise auf einen Kurzschluss , wodurch ein Verschweißen des Kontakts des zweiten Relais 10 auftritt und sich dieses fortan nicht mehr schalten lässt . Mittels der Kontrolleinrichtung kann dieses dahingehend detektiert werden, als dass trotz eines Abschaltversuchs des zweiten Relais 10 zum sechsten Zeitpunkt 24 , das Feedbacksignal 17 des zweiten Relais 10 weiterhin vorhanden ist . Mittels eines Schaltens des ersten Relais 2 zum siebten Zeitpunkt 25 kann nun das Gasventil 3 j edoch sicher geschlossen werden . Kommt es zu einem achten Zeitpunkt 26 zu einem Defekt beispielsweise des zweiten Optokopplers 11 , so ist der weiterhin vorhandene Defekt des zweiten Relais 10 dadurch detektierbar , dass einem weiteren Start der Vorrichtung, statt wie im Normal fall üblich das erste Relais 2 , dasj enige Relais zuerst geschaltet wird, bei dem ein Defekt vorausgehend festgestellt wurde . Dieses ist in Figur 2 beispielhaft gezeigten Fall das zweite Relais 10 .
Bezugs zeichenliste :
1 Außenleiter
2 erstes Relais
3 Gasventil
4 erste Verbindung
5 zweite Verbindung
6 Kontrolleinrichtung
7 dritte Verbindung
8 vierte Verbindung
9 erster Optokoppler, korrespondierend zu erstem Relais
10 zweites Relais
11 zweiter Optokoppler, korrespondierend zu zweitem Relais
12 Neutralleiter
13 Signal erstes Relais
14 Feedbacksignal erstes Relais
15 physischer Kontakt erstes Relais
16 Signal zweites Relais
17 Feedbacksignal zweites Relais
18 physischer Kontakt zweites Relais
19 erster Zeitpunkt
20 zweiter Zeitpunkt
21 dritter Zeitpunkt
22 vierter Zeitpunkt
23 fünfter Zeitpunkt
24 sechster Zeitpunkt
25 siebter Zeitpunkt
26 achter Zeitpunkt
27 Zeitachse
Claims
1. Verfahren zur sicherheitsgerichteten Steuerung wenigstens eines Stellglieds einer Vorrichtung, insbesondere wenigstens eines elektrisch betätigten Gasventils (3) , welches mittels zweier in Reihe geschalteter Relais (2, 10) geschaltet wird, wobei das Stellglied nur dann angesteuert ist, wenn das erste Relais (2) und das zweite Relais (10) geschaltet sind, dadurch gekennzeichnet, dass ein Stromfluss über das erste Relais (2) von einer ersten Überwachungseinrichtung überwacht wird, dass ein Stromfluss über das zweite Relais (10) von einer zweiten Überwachungseinrichtung überwacht wird, dass eine Kontrolleinrichtung (6) derart programmiert ist, dass eine Aktivierung des Stellglieds mittels eines Schaltens der beiden Relais (2, 10) nur dann erfolgt, wenn vor der Aktivierung sowohl von der ersten Überwachungseinrichtung als auch von der zweiten Überwachungseinrichtung kein Stromfluss an die Kontrolleinrichtung (6) gemeldet wird.
2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass im Fall eines Fehlers wenigstens eines der beiden Relais (2, 10) und/oder wenigstens eines der beiden Überwachungseinrichtungen, die Vorrichtung, insbesondere das Stellglied, in einen zur weiteren Steuerung gesperrten, sicheren Zustand überführt wird, bevorzugt das Gasventil (3) geschlossen wird.
3. Verfahren nach Anspruch 2 dadurch gekennzeichnet, dass mittels der Kontrolleinrichtung (6) eine Information bezüglich desjenigen Relais (2, 10) und/oder derjenigen Überwachungseinrichtung gespeichert wird, bei dem/der der
Fehler aufritt, wobei die Information persistent, insbesondere netzausfallsicher, bevorzugt mittels eines EEPROM-Speicherbausteins gespeichert wird. Verfahren nach Anspruch 3 dadurch gekennzeichnet, dass mittels eines Zurücksetzens der Kontrolleinrichtung (6) , insbesondere eines manuellen Zurücksetzens, der sichere Zustand aufgehoben und ein erneutes Steuern des Stellglieds ermöglicht wird. Verfahren nach Anspruch 4 dadurch gekennzeichnet, dass nach Aufhebung des gesperrten Zustands, insbesondere nach dem Zurücksetzen der Kontrolleinrichtung (6) , stets dasjenige Relais zuerst geschaltet wird, bezüglich dessen die Information gespeichert wurde. Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass die beiden Relais (2, 10) zur Aktivierung des Stellglieds von der Kontrolleinrichtung (6) nacheinander, insbesondere mit einer Verzögerung von 10 ms bis 500 ms, vorzugsweise etwa 100 ms, geschlossen werden. Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass die beiden Relais (2, 10) zur Deaktivierung des Stellglieds von der Kontrolleinrichtung (6) nacheinander, insbesondere mit einer Verzögerung von 10 ms bis 500 ms, vorzugsweise etwa 100 ms, geöffnet werden. Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass von der Kontrolleinrichtung (6) ein Schalten unter Last derart auf das erste (2) und das zweite Relais (10) verteilt wird, dass das erste und das zweite Relais (2, 10) über eine Lebensdauer der Vorrichtung und in
- 15 -
Summe etwa die gleiche Anzahl von Schaltvorgängen aufweisen, die unter Last erfolgt sind. Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass mittels der Kontrolleinrichtung (6) ein Fehler der Art eines verschweißten Relaiskontakts festgestellt wird, indem trotz eines ausgeschalteten Relais (2, 10) ein Signal der zu dem ausgeschalteten Relais (2, 10) korrespondierenden Überwachungseinrichtung detektiert wird. Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass mittels der Kontrolleinrichtung (6) ein Fehler der Art eines defekten Relais (2, 10) oder ein Fehler der Art einer defekten Überwachungseinrichtung festgestellt wird, indem trotz eines eingeschalteten Relais (2, 10) ein Signal (14, 17) der zu dem eingeschalteten Relais (2, 10) korrespondierenden Überwachungseinrichtung nicht detektiert wird . Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass mittels der Kontrolleinrichtung ein Fehler der Art eines verschweißten Relaiskontakts in Kombination mit einer defekten Überwachungseinrichtung festgestellt wird, indem bei einem Wechsel des Schalt zustandes des Relais (2, 10) kein Wechsel des Signals (14, 17) der korrespondierenden Überwachungseinrichtung detektiert wird. Verfahren nach einem der vorausgehenden Ansprüche, dadurch gekennzeichnet, dass entweder das erste Relais (2) in einem Außenleiter des Stellglieds betrieben wird und das zweite Relais (10) in einem Neutralleiter des Stellglieds betrieben wird, oder dass das erste Relais und das zweite Relais in
16 einem Außenleiter des Stellglieds betrieben werden, oder dass das erste Relais und das zweite Relais in einem Neutralleiter des Stellglieds betrieben werden. Verfahren nach einem der vorausgehenden Ansprüche dadurch gekennzeichnet, dass wenigstens eine Überwachungseinrichtung mittels einer Spannungsrückmeldung, insbesondere eines Optokopplers (9, 11) , bevorzugt eines zwangsgeführten Doppelkontakts, betrieben wird. System umfassend wenigstens ein Stellglied einer Vorrichtung, wobei das Stellglied insbesondere als elektrisch betätigtes Gasventil (3) ausgebildet ist ein erstes Relais (2) und ein zweites Relais (10) , wobei das Stellglied nur dann angesteuert ist, wenn das erste Relais (2) und das zweite Relais (10) geschaltet sind, eine erste Überwachungseinrichtung von welcher ein Stromfluss über das erste Relais (2) überwacht ist, eine zweite Überwachungseinrichtung von welcher ein Stromfluss über das zweite Relais (10) überwacht ist, eine Kontrolleinrichtung (6) , welche derart programmiert ist, dass eine Aktivierung des Stellglieds mittels eines Schaltens der beiden Relais (2, 10) nur dann erfolgt, wenn vor der Aktivierung des Stellglieds sowohl von der ersten Überwachungseinrichtung als auch von der zweiten Überwachungseinrichtung kein Stromfluss an die Kontrolleinrichtung gemeldet ist.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102021126553.3A DE102021126553A1 (de) | 2021-10-13 | 2021-10-13 | Verfahren zur sicherheitsgerichteten Steuerung |
| DE102021126553.3 | 2021-10-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2023062112A1 true WO2023062112A1 (de) | 2023-04-20 |
Family
ID=84330336
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/EP2022/078468 WO2023062112A1 (de) | 2021-10-13 | 2022-10-13 | Verfahren zur sicherheitsgerichteten steuerung |
Country Status (2)
| Country | Link |
|---|---|
| DE (1) | DE102021126553A1 (de) |
| WO (1) | WO2023062112A1 (de) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0497147A2 (de) * | 1991-01-28 | 1992-08-05 | Siemens Aktiengesellschaft | Redundantes Automatisierungssystem |
| WO1998059191A1 (de) * | 1997-06-19 | 1998-12-30 | Mannesmann Rexroth Ag | Elektromagnetischer stellantrieb |
| DE10321764A1 (de) | 2003-05-15 | 2004-12-09 | Bbt Thermotechnik Gmbh | Verfahren zur Ansteuerung eines Sicherheitsrelais in einem Feuerungsautomaten |
| EP1826640A1 (de) | 2006-02-23 | 2007-08-29 | Siemens Building Technologies HVAC Products GmbH | Verfahren zur sicherheitsgerichteten Ansteuerung eines Stellgliedes |
| WO2009031169A1 (en) * | 2007-09-05 | 2009-03-12 | Bertelli & Partners S.R.L. | Monitoring device for a safety element of a domestic electrical appliance or of a gas appliance |
| WO2011058159A2 (de) | 2009-11-16 | 2011-05-19 | BSH Bosch und Siemens Hausgeräte GmbH | Steuersystem für ein magnetventil eines haushaltsgeräts |
-
2021
- 2021-10-13 DE DE102021126553.3A patent/DE102021126553A1/de active Pending
-
2022
- 2022-10-13 WO PCT/EP2022/078468 patent/WO2023062112A1/de unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0497147A2 (de) * | 1991-01-28 | 1992-08-05 | Siemens Aktiengesellschaft | Redundantes Automatisierungssystem |
| WO1998059191A1 (de) * | 1997-06-19 | 1998-12-30 | Mannesmann Rexroth Ag | Elektromagnetischer stellantrieb |
| DE10321764A1 (de) | 2003-05-15 | 2004-12-09 | Bbt Thermotechnik Gmbh | Verfahren zur Ansteuerung eines Sicherheitsrelais in einem Feuerungsautomaten |
| EP1826640A1 (de) | 2006-02-23 | 2007-08-29 | Siemens Building Technologies HVAC Products GmbH | Verfahren zur sicherheitsgerichteten Ansteuerung eines Stellgliedes |
| WO2009031169A1 (en) * | 2007-09-05 | 2009-03-12 | Bertelli & Partners S.R.L. | Monitoring device for a safety element of a domestic electrical appliance or of a gas appliance |
| WO2011058159A2 (de) | 2009-11-16 | 2011-05-19 | BSH Bosch und Siemens Hausgeräte GmbH | Steuersystem für ein magnetventil eines haushaltsgeräts |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102021126553A1 (de) | 2023-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE102005055325B3 (de) | Sicherheitsschaltvorrichtung zum fehlersicheren Abschalten eines elektrischen Verbrauchers | |
| EP1667302B1 (de) | Verfahren und Vorrichtung zur Erfassung eines fehlerhaften Stromes oder einer fehlerhaften Spannung und Abschaltung der Versorgungsspannung | |
| EP2089892A1 (de) | Sicherheitsschaltereinrichtung | |
| CH650087A5 (de) | Relais-steueranordnung. | |
| AT507540B1 (de) | Verfahren zur ansteuerung einer gleichstrommaschine | |
| DE102004021978A1 (de) | Verfahren und Vorrichtung zum Abschalten eines in einem Wechselstromnetz auftretenden Fehlerstroms | |
| WO2013135719A1 (de) | Sicherheitsrelaisschaltung | |
| WO2006002725A1 (de) | Vorrichtung zum fehlersicheren abschalten eines elektrischen verbrauchers, insbesondere einer elektrisch engetriebenen maschine. | |
| DE112014002062T5 (de) | Stromzufuhrsteuerungsvorrichtung und speicherprogrammierbare Steuerung | |
| EP3465898B1 (de) | Sanftstarter, betriebsverfahren und schaltsystem | |
| WO2016142163A1 (de) | Schaltvorrichtung zum betreiben mindestens einer last | |
| WO2023062112A1 (de) | Verfahren zur sicherheitsgerichteten steuerung | |
| DE19711622C1 (de) | Verfahren und Vorrichtung zum Betreiben einer in einen Stromkreis geschalteten, elektrischen Last | |
| WO2002071600A2 (de) | Sicherheitsschaltvorrichtung | |
| EP2461341A1 (de) | Fehlersicheres Schaltmodul und Verfahren zum Betrieb | |
| EP1968089B1 (de) | Ansteuermodul für einen elektrischen Schutzschalter, Verfahren zu dessen Betreiben und elektrisches Schutzsystem | |
| EP1081431B1 (de) | Steuergerät für wärmetechnische Anlagen | |
| EP3288057A1 (de) | Sicherheitsgerichtetes schaltgerät | |
| EP2461342B1 (de) | Fehlersicheres Schaltmodul | |
| EP3848633B1 (de) | Schaltanordnung mit schutz vor internen fehlern | |
| EP2146549B1 (de) | Sicherheitseinrichtung für ein Gargerät mit Mikrowellenfunktion hoher Leistung | |
| EP0105054A1 (de) | Schaltungseinrichtung zur aktiven Kontrolle von paarig angeordneten Endschaltern | |
| BE1030869B1 (de) | Verfahren zur Ansteuerung eines elektromechanischen Schaltelements | |
| EP2704326B1 (de) | Ausgabebaugruppe und Verfahren zum Betrieb | |
| EP2053625A1 (de) | Schalteinrichtung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22801462 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |