用于失效保險(xiǎn)系統(tǒng)的安全架構(gòu)的制作方法
【專利摘要】本發(fā)明涉及用于失效保險(xiǎn)系統(tǒng)的安全架構(gòu)。安全設(shè)備包括監(jiān)視單元、測試塊和具有至少一個接觸構(gòu)件的輸出級,其中監(jiān)視單元包括至少兩個、優(yōu)選地至少三個輸出端并且被配置成提供至少兩個、優(yōu)選地至少三個不同的輸出信號以用于測試其暫離故障,其中監(jiān)視單元被配置成提供用于關(guān)斷功能的至少一個使能信號,其中測試塊包括至少一個輸入端并且被配置成對監(jiān)視單元的輸出信號中的至少一個進(jìn)行監(jiān)視,其中測試塊包括至少一個輸出端并且被配置成提供用于關(guān)斷功能的至少一個使能信號,其中輸出級的至少一個接觸構(gòu)件具有至少兩個輸入端并且被配置成將監(jiān)視單元的輸出信號中的至少一個鏈接到測試塊的至少一個使能信號。
【專利說明】用于失效保險(xiǎn)系統(tǒng)的安全架構(gòu)
[0001 ] 描述
本申請要求2015年3月23日在歐洲專利局提交的EP15160378的權(quán)益,其公開內(nèi)容通過引用以其全部并入本文中。
[0002]本公開內(nèi)容涉及安全架構(gòu),特別地涉及用于燃燒器系統(tǒng)的安全設(shè)備。失效保險(xiǎn)(failsafe)保護(hù)是根據(jù)本公開內(nèi)容的安全架構(gòu)的集成部分。
[0003]除其它外,安全架構(gòu)在IEC61508標(biāo)準(zhǔn)中被解決。該標(biāo)準(zhǔn)的第二版本在2010年公開。其涉及電氣/電子/可編程安全性相關(guān)的系統(tǒng)的功能安全性。
[0004]標(biāo)準(zhǔn)EN13611—一用于燃?xì)馊紵骱腿細(xì)馄骶叩陌踩?、調(diào)節(jié)和控制設(shè)備一一從2011以及EN 60730——用于家庭和類似使用的自動電氣調(diào)節(jié)和控制設(shè)備——也從2011描述了針對安全系統(tǒng)的最小要求。
[0005]安全性相關(guān)的控制系統(tǒng)除其它外從燃燒器系統(tǒng)、自動化技術(shù)、醫(yī)學(xué)技術(shù)和交通工具技術(shù)的領(lǐng)域中已知。
[0006]在現(xiàn)有技術(shù)中已知,在用于安全性關(guān)鍵的任務(wù)的系統(tǒng)中,必須采取措施以保護(hù)免受誤運(yùn)轉(zhuǎn)(malfunct1n)。例如,這包括借助于測試信號來監(jiān)視安全設(shè)備的功能塊。還已知具有結(jié)果比較的安全架構(gòu)的多通道實(shí)施例。
[0007]隨機(jī)發(fā)生(以及還可選地系統(tǒng)地發(fā)生)的故障旨在使用這些措施來標(biāo)識。(燃燒器)系統(tǒng)或過程的安全狀態(tài)可以通過使用監(jiān)視單元來實(shí)現(xiàn)。
[0008]在安全架構(gòu)和對應(yīng)的安全電路的上下文中,在故障容忍(fault-tolerant)和失效保險(xiǎn)架構(gòu)之間進(jìn)行區(qū)分。故障容忍架構(gòu)特征在于,在發(fā)生一個或多個故障之后,對于控制任務(wù)和監(jiān)視任務(wù)而言還可能進(jìn)一步被實(shí)施。為了能夠?qū)崿F(xiàn)相對于隨機(jī)發(fā)生的故障的這樣的容忍,架構(gòu)經(jīng)常必須被構(gòu)造有多通道冗余。
[0009]與故障容忍架構(gòu)形成對照,失效保險(xiǎn)系統(tǒng)必須在發(fā)生第一故障之后實(shí)現(xiàn)安全系統(tǒng)狀態(tài)。所述適用于發(fā)生的另外故障。甚至在這樣的情況下,系統(tǒng)必須實(shí)現(xiàn)安全系統(tǒng)狀態(tài)。因此,安全設(shè)備中的第一和第二故障必須導(dǎo)致安全系統(tǒng)狀態(tài)。
[0010]特別地,用于管理多個故障的要求經(jīng)常導(dǎo)致多重冗余,并且因而增加架構(gòu)的復(fù)雜性。此外,多通道構(gòu)造增加這樣的系統(tǒng)的成本。最后,與多通道構(gòu)造關(guān)聯(lián)的軟件和硬件的顯著復(fù)雜性經(jīng)常不貢獻(xiàn)于系統(tǒng)的控制任務(wù)和/或調(diào)節(jié)任務(wù)的實(shí)際履行。
[0011]本公開內(nèi)容的主題是至少部分地克服現(xiàn)有系統(tǒng)的前述缺陷的經(jīng)改進(jìn)的安全設(shè)備和/或安全架構(gòu)。
[0012]技術(shù)目標(biāo)和優(yōu)勢
本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是產(chǎn)生一種安全架構(gòu)和/或安全電路,其提供用于安全設(shè)備的成本優(yōu)化的和高效的結(jié)構(gòu)。特別地,所述安全架構(gòu)和/或安全電路旨在比具有多重冗余的設(shè)計(jì)更成本有效。同時(shí),安全設(shè)備中的隨機(jī)的第一和第二故障被設(shè)計(jì)成導(dǎo)致安全系統(tǒng)狀態(tài)。因而,已經(jīng)在發(fā)生了第一故障之后,根據(jù)本公開內(nèi)容的安全設(shè)備和/或安全電路旨在發(fā)起(系統(tǒng))關(guān)斷。不要求另外的操作。另外的獨(dú)立故障不應(yīng)導(dǎo)致不安全系統(tǒng)狀態(tài)。因而,安全架構(gòu)旨在是失效保險(xiǎn)的。
[0013]根據(jù)本發(fā)明的前述目標(biāo)由安全架構(gòu)和/或由安全電路和/或由根據(jù)本公開內(nèi)容的獨(dú)立權(quán)利要求的安全設(shè)備來實(shí)現(xiàn)。在從屬權(quán)利要求中闡述了優(yōu)選的實(shí)施例。
[0014]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種安全架構(gòu)和/或安全電路和/或安全設(shè)備,其通過中斷能量供應(yīng)、特別地通過中斷電功率的供應(yīng)來(除其它外)產(chǎn)生安全系統(tǒng)狀態(tài)。
[0015]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種準(zhǔn)許(安全)鎖定的安全架構(gòu)和/或安全電路和/或安全設(shè)備。
[0016]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種準(zhǔn)許監(jiān)視多個(不同地執(zhí)行的)輸入信號的安全架構(gòu)和/或安全電路和/或安全設(shè)備。
[0017]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種(至少部分地)在具有冗余的(多核)處理器上產(chǎn)生的安全架構(gòu)和/或安全電路和/或安全設(shè)備。
[0018]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種被配置成處理安全性相關(guān)的模擬或數(shù)字信號的安全架構(gòu)和/或安全電路和/或安全設(shè)備。
[0019]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種被配置成處理(初始地)靜態(tài)信號的安全架構(gòu)和/或安全電路和/或安全設(shè)備。
[0020]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種被配置成規(guī)律地針對故障來測試它自身的安全架構(gòu)和/或安全電路和/或安全設(shè)備。
[0021]本公開內(nèi)容潛在的本發(fā)明的目標(biāo)是還提供一種具有所公開的安全架構(gòu)和/或所公開的安全電路和/或所公開的安全設(shè)備的燃燒器系統(tǒng)、特別是燃?xì)馊紵骱?或機(jī)動車輛和/或燃料電池和/或電池。
【附圖說明】
[0022]各種細(xì)節(jié)借助于以下詳細(xì)描述對本領(lǐng)域技術(shù)人員可用。在該情況下,單獨(dú)的實(shí)施例是非限制性的。伴隨描述的附圖可以被描述如下:
圖1示出具有能夠在輸入和輸出之間執(zhí)行安全功能的監(jiān)視單元的簡單系統(tǒng)的框圖。
[0023]圖2示出具有附加的監(jiān)視和診斷通道的簡單系統(tǒng)的框圖。
[0024]圖3示出具有多重冗余的系統(tǒng)的框圖。
[0025]圖4使用框圖來圖示信號的動態(tài)化(dynamizat1n)。
[0026]圖5使用框圖來圖示通過反饋對輸出信號的控制。
[0027]圖6使用框圖來描述諸如用于防止篡改(falsificat1n)數(shù)字?jǐn)?shù)據(jù)信號的冗余和控制機(jī)制之類的措施。
[0028]圖7使用框圖來描述將安全性相關(guān)的信號供應(yīng)到安全架構(gòu)的不同方式。
[0029]圖8使用框圖指代用于標(biāo)識另外的隨機(jī)發(fā)生的第二故障的措施。
[0030]圖9將具有通過冗余的(多核)處理器的診斷的單通道架構(gòu)的實(shí)際實(shí)現(xiàn)圖示為框圖。
[0031]圖10使用框圖來圖示安全性相關(guān)的模擬信號到冗余的(多核)處理器的供應(yīng)。
【具體實(shí)施方式】
[0032]圖1示出具有輸入端I和輸出端2和監(jiān)視單元3的簡單架構(gòu)1001(—個出自一個)。該簡單架構(gòu)1001的監(jiān)視單元3中的誤運(yùn)轉(zhuǎn)或故障可能導(dǎo)致系統(tǒng)不再能夠?qū)嵤┫到y(tǒng)的安全功能。結(jié)果,要求另外的措施用于為系統(tǒng)安全性而管理隨機(jī)(且可選地還有系統(tǒng)性的)故障。
[0033]圖2示出所謂的1001D架構(gòu)(S卩,具有診斷和固有安全性的通道)。圖2的架構(gòu)提供監(jiān)視單元5,所述監(jiān)視單元5可以初始地導(dǎo)致輸入端I和輸出端2之間的安全功能。然而,監(jiān)視單元5中的故障也可能導(dǎo)致安全功能的誤運(yùn)轉(zhuǎn)。附加的監(jiān)視和診斷通道6確保監(jiān)視單元5中的故障導(dǎo)致安全系統(tǒng)狀態(tài)。在一方面,該情況中的監(jiān)視和診斷通道6具有標(biāo)識監(jiān)視單元5中發(fā)生的故障的任務(wù)。另一方面,監(jiān)視和診斷通道6具有能夠通過另外的措施實(shí)現(xiàn)安全關(guān)斷的任務(wù)。措施的有效性取決于監(jiān)視和診斷通道6的診斷能力。
[0034]在圖3中,具有多重冗余的架構(gòu)1003(—個出自三個)被示出有輸出端2。監(jiān)視單元的一個通道或兩個通道7、8、9的誤運(yùn)轉(zhuǎn)導(dǎo)致通過第三功能通道的安全性相關(guān)的關(guān)斷。在該情況下,可能在監(jiān)視單元中發(fā)生高達(dá)兩個獨(dú)立的故障。然而,可以實(shí)施過程的安全性相關(guān)的關(guān)斷。然而,這要求至少三個獨(dú)立的監(jiān)視單元7、8、9。在最簡單的情況下,監(jiān)視單元被設(shè)計(jì)有冗余。諸如逆冗余功能之類的另外的變體或具有診斷設(shè)備的那些被提供,并也可以被使用。
[0035]從上文示出如果盡管有多個故障仍必須實(shí)現(xiàn)安全系統(tǒng)狀態(tài)或安全操作狀態(tài)則架構(gòu)的復(fù)雜性上升。
[0036]本公開內(nèi)容的目標(biāo)之一是提供一種保證針對兩個獨(dú)立故障的失效保險(xiǎn)性能的安全架構(gòu)。在發(fā)生第一故障之后不要求另外的操作。因此,架構(gòu)不一定必須是故障容忍的。附加的獨(dú)立故障不應(yīng)導(dǎo)致不安全系統(tǒng)狀態(tài)。同時(shí),架構(gòu)旨在具有高效且成本有效的結(jié)構(gòu)。
[0037]為了能夠減少功能單元的數(shù)目,不是所有監(jiān)視單元都應(yīng)重復(fù)地運(yùn)行。例如,可以在輸出結(jié)果信號之前不久在安全結(jié)構(gòu)中實(shí)施結(jié)果比較。在該情況下,在所有通道中,在監(jiān)視單元中要求對應(yīng)地高度復(fù)雜性(見圖3)。
[0038]復(fù)雜計(jì)算的結(jié)果可以例如由使能信號簡單地表示。在這樣的情況下,后續(xù)信號處理可以被減少到使能信號的失效保險(xiǎn)方面。信號處理的正確處理因而能夠以縮減形式被監(jiān)視。根據(jù)本公開內(nèi)容的架構(gòu)還考慮系統(tǒng)僅必須被設(shè)計(jì)成是失效保險(xiǎn)的。不一定要求故障容忍。因此,在發(fā)生第一故障之后,可能已經(jīng)實(shí)施安全關(guān)斷和可選地鎖定。
[0039]對于成本有效的安全架構(gòu)的先決條件是將功能塊減少到最小數(shù)目的所要求的單元。圖2的100ID架構(gòu)為此提供基礎(chǔ)。監(jiān)視單元5中的第一故障通過監(jiān)視和診斷通道6來標(biāo)識。它們受通過監(jiān)視和診斷通道6的安全關(guān)斷所控制。該情況中的診斷能力必須具有高質(zhì)量(并且是可靠的),以使得發(fā)生的故障被安全地標(biāo)識。
[0040]換言之,診斷能力應(yīng)避免和/或優(yōu)選地消除第一類型的故障,即發(fā)生的故障的不識別。同時(shí),診斷能力應(yīng)避免和/或優(yōu)選地消除第二類型的故障,即,將非故障標(biāo)識為故障。根據(jù)特定實(shí)施例,提供了監(jiān)視和診斷通道6中的故障可以通過對診斷結(jié)果進(jìn)行測試而被標(biāo)識。
[0041]如圖4中所示,所有靜態(tài)信號10被附加的測試信號11動態(tài)化。目的是用于測試的連續(xù)能力。因而,安全架構(gòu)能夠?qū)嵤┕δ軌K的值離散測試和時(shí)間離散測試。
[0042]圖5圖示出在輸出信號13的情況下由監(jiān)視單元所采取的措施。輸出信號13被反饋到控制單元作為監(jiān)視單元4b的輸入信號12。它們接收借助于測試信號14的對應(yīng)的動態(tài)化。因而,對于監(jiān)視單元而言有可能控制初始靜態(tài)的信號。
[0043]因此,圖4和5涉及借助于測試信號的動態(tài)化。下文中詳細(xì)公開的安全設(shè)備的監(jiān)視設(shè)備30優(yōu)選地被配置成借助于測試信號使監(jiān)視設(shè)備的至少一個輸出信號31、37動態(tài)化以用于控制目的。下文中詳細(xì)公開的安全設(shè)備的測試塊34優(yōu)選地被配置成借助于測試信號使測試塊34的至少一個輸出信號35動態(tài)化以用于控制目的。下文中詳細(xì)公開的安全設(shè)備的輸出級38優(yōu)選地被配置成借助于測試信號使輸出級38的至少一個輸出信號39動態(tài)化以用于控制目的。
[0044]根據(jù)可選存在的輸出驅(qū)動器和/或中繼接觸(relay contact)19,在圖5中實(shí)現(xiàn)信號反饋。以此方式,可以在輸出端子處監(jiān)視值。
[0045]根據(jù)圖6,單獨(dú)的功能單元17、18之間的數(shù)字?jǐn)?shù)據(jù)信號通過附加的安全措施而被保護(hù)免受篡改。在該情況下,附加的測試數(shù)據(jù)16被添加到有用數(shù)據(jù)15。因而,產(chǎn)生附加的冗余和有效的控制機(jī)制。在該情況中的發(fā)射和接收單元可以實(shí)施相同的計(jì)算方法或逆冗余計(jì)笪并ο
[0046]根據(jù)圖7,安全性相關(guān)的模擬信號28可以通過冗余的模擬或數(shù)字變換器和/或經(jīng)由信號復(fù)用器在單個通道中被供應(yīng)到安全架構(gòu)。根據(jù)特定實(shí)施例,為了測試功能能力,定義的參考信號27a、27b經(jīng)由可調(diào)電壓參考而被切換到用于模擬信號的監(jiān)視單元29的A/D變換器的模擬輸入端。隨后,實(shí)施測試。
[0047]借助于接口信號的該動態(tài)化,在單個通道上運(yùn)行的所有輸入信號獲得針對控制的附加可能性。輸出信號可以由去往輸入端的反饋所控制。
[0048]為了能夠標(biāo)識另外的隨機(jī)發(fā)生的第二故障,圖8的1001D架構(gòu)30產(chǎn)生兩個另外的控制信號32、33以用于實(shí)際輸出信號31??刂菩盘?2、33在此處標(biāo)識不存在故障。至少一個控制信號是動態(tài)可變的信號。所述至少一個動態(tài)可變的信號可以被另外的測試塊34所測試。
[0049]根據(jù)圖8,測試塊34包括監(jiān)視和診斷通道53。優(yōu)選地,因此,測試塊34具有包括至少一個輸入端的監(jiān)視和診斷通道53,其中測試塊34的監(jiān)視和診斷通道53的所述至少一個輸入端被配置成接收監(jiān)視單元30的輸出信號中的至少一個32。
[°°50] 在該情況下,根據(jù)計(jì)算方法和時(shí)間控制(temporal control)機(jī)制所建立的數(shù)據(jù)值存在于控制信號32中。時(shí)間控制機(jī)制準(zhǔn)許時(shí)間和邏輯控制??刂菩盘柛鶕?jù)所定義的算法來改變其數(shù)據(jù)值。因而,確保免受篡改的高(動態(tài))保護(hù)。
[0051]根據(jù)優(yōu)選的實(shí)施例,控制信號32通過問題和回答監(jiān)視來實(shí)現(xiàn)。在該情況下,另外的測試塊34產(chǎn)生4位二進(jìn)制值。4位二進(jìn)制值應(yīng)請求被傳輸?shù)?001D架構(gòu)30。4位二進(jìn)制值在每一個成功測試之后根據(jù)以下準(zhǔn)則改變:位值X3、X4的XOR(異或)。針對每個移位命令,它被集成在Xl中。因而,1001D架構(gòu)30接收具有16個值的循環(huán)的可變?nèi)蝿?wù)。作為對每個任務(wù)的響應(yīng)(4位值),1001D架構(gòu)30必須在看門狗(Watchdog)窗口內(nèi)向測試塊34傳輸三個接連的響應(yīng)(8位值),并隨后在看門狗窗口外傳輸另外的響應(yīng)。響應(yīng)是固定定義的值,并且被測試塊34所測試。在已經(jīng)完成四個循環(huán)之后,使能輸出信號35。
[0052]根據(jù)圖8,監(jiān)視單元30包括監(jiān)視和診斷通道6 ο優(yōu)選地,因此,監(jiān)視單元30具有監(jiān)視和診斷通道6,所述監(jiān)視和診斷通道6具有至少一個輸出端,其中監(jiān)視單元30的監(jiān)視和診斷通道6的所述至少一個輸出端被配置成為測試塊34提供至少一個控制信號33。特別優(yōu)選地,監(jiān)視單元30的架構(gòu)對應(yīng)于1001D架構(gòu)。
[0053]為了證明測試塊34的有效性,控制信號32和33被1001D架構(gòu)30循環(huán)地改變成故障信號。這導(dǎo)致輸出信號35。該輸出信號由另外的比較器36利用不同地產(chǎn)生的信號37所測試。
[0054]換言之,本公開內(nèi)容涉及安全設(shè)備,所述安全設(shè)備包括監(jiān)視單元30、測試塊34和具有至少一個接觸構(gòu)件&41的輸出級38,其中監(jiān)視單元30包括至少兩個、優(yōu)選地至少三個輸出端并且被配置成提供至少兩個32、37、優(yōu)選地至少三個不同的31、32、37輸出信號以用于測試其暫離(absence from)故障。
[0055]在正確信號的情況下,結(jié)果信號導(dǎo)致借助于被設(shè)計(jì)有冗余的輸出級38來使能。
[0056]換言之,輸出級38通過考慮由接觸構(gòu)件&41所采取的鏈接和來自塊30和34的信號激活的結(jié)果而提供關(guān)斷功能。
[0057]優(yōu)選地,測試塊34因此被配置成為監(jiān)視單元30提供至少一個反饋信號。
[0058]監(jiān)視單元30優(yōu)選地被配置成將監(jiān)視單元30的輸出信號中的至少一個32循環(huán)地變更成故障信號以用于證明測試塊34的有效性。
[0059]監(jiān)視單元30還優(yōu)選地被配置成將監(jiān)視單元30的監(jiān)視和診斷通道6的所述至少一個輸出端上的控制信號33循環(huán)地變更成故障信號以用于證明測試塊34的有效性。
[0060]安全系統(tǒng)狀態(tài)例如可以在燃燒技術(shù)中的應(yīng)用中通過中斷所連接的致動器的功率供應(yīng)和/或能量供應(yīng)和/或電壓供應(yīng)來實(shí)現(xiàn)。功率供應(yīng)和/或能量供應(yīng)和/或電壓供應(yīng)被串聯(lián)布置的接觸構(gòu)件關(guān)斷。使能優(yōu)選地僅在所有接觸構(gòu)件閉合時(shí)發(fā)生。
[0061 ]所有輸出級38的輸出值再次作為(動態(tài))信號39被供應(yīng)到1001D架構(gòu)30。因此,產(chǎn)生(動態(tài))安全監(jiān)視電路。在該情況下,信號39的反饋可以單獨(dú)地或作為公共信號而發(fā)生。
[0062 ]在該情況中發(fā)生的故障導(dǎo)致(系統(tǒng)的)安全關(guān)斷。
[0063]優(yōu)選地,因此,輸出級38的所述至少一個接觸構(gòu)件&41處于斷開(OPEN)狀態(tài)或閉合(CLOSED)狀態(tài),并且輸出級38包括至少一個輸出端并且被配置成將所述至少一個接觸構(gòu)件&41的狀態(tài)提供為用于監(jiān)視單元30的反饋信號39。
[0064]優(yōu)選地,在該情況下,監(jiān)視單元30包括至少一個輸入端,并且監(jiān)視單元30的所述至少一個輸入端被配置成從輸出級38接收反饋信號39。
[0065]接觸構(gòu)件40的使能在該情況下直接借助于1001D架構(gòu)30而發(fā)生。接觸構(gòu)件&41由來自測試塊34和來自1001D架構(gòu)30的兩個(動態(tài))使能信號所控制。用于接觸構(gòu)件&42的使能信號要求測試塊34和1001D 30架構(gòu)的動態(tài)。
[0066]換言之,本公開內(nèi)容涉及安全設(shè)備,其中監(jiān)視單元30被配置成提供用于關(guān)斷功能的至少一個使能信號37,并且其中測試塊34被配置成提供用于關(guān)斷功能的至少一個使能信號,并且其中測試塊34具有至少一個輸入端并且被配置成對監(jiān)視單元30的輸出信號中的至少一個32進(jìn)行監(jiān)視。
[0067]換言之,測試塊34包括至少一個輸出端,并且被配置成提供用于關(guān)斷功能的至少一個使能信號35。
[0068]換言之,輸出級38的所述至少一個接觸構(gòu)件&41具有至少兩個輸入端,并且被配置成將監(jiān)視單元30的輸出信號中的至少一個37鏈接到測試塊34的所述至少一個使能信號以便獲得結(jié)果。
[0069]優(yōu)選地,輸出級38具有帶有輸入端的至少一個另外的接觸構(gòu)件40,其中輸出級38的所述至少一個另外的接觸構(gòu)件40被配置成由監(jiān)視單元30的輸出信號之一 31直接使能。
[0070]特別優(yōu)選地,在該情況下,輸出級(38)通過考慮由接觸構(gòu)件40的使能來提供其關(guān)斷功能。
[0071]演變是可能的和/或以并聯(lián)的接觸構(gòu)件&42的形式來提供。為此,要求來自1001D架構(gòu)30的多個激活。使能信號35可以被重復(fù)地使用。
[0072]因此,監(jiān)視的原則是僅僅在整個系統(tǒng)內(nèi)不存在故障才能夠?qū)е孪到y(tǒng)使能。第一故障已經(jīng)導(dǎo)致借助于不同的安全監(jiān)視電路的關(guān)斷功能。
[0073]借助于該內(nèi)置架構(gòu),多個安全性相關(guān)的功能可以在一個系統(tǒng)中被處置。因而,有可能監(jiān)視多個不同類型的輸入信號。因而,監(jiān)視系統(tǒng)中的故障和/或安全性相關(guān)的事件的發(fā)生導(dǎo)致安全性相關(guān)的系統(tǒng)反應(yīng)。
[0074]在該情況下的監(jiān)視單元的復(fù)雜性被降低到簡單的冗余關(guān)斷功能。因而,相對于設(shè)計(jì)有完全冗余的安全架構(gòu),節(jié)約是可能的。
[0075]在根據(jù)圖9的實(shí)際實(shí)現(xiàn)方式中,1001D架構(gòu)30通過集成的鎖步(lockstep)架構(gòu)(冗余的多核處理器)44來實(shí)現(xiàn)。在該情況下的冗余多核處理器除了三個監(jiān)視單元45、46、47之外包括主處理器48和測試處理器49。此外,比較元件50存在。
[0076]冗余(多核)處理器44特征在于在所監(jiān)視的功能通道中實(shí)施安全性相關(guān)的信號的處理。在該情況下的監(jiān)視和診斷具有這樣的高質(zhì)量使得故障可以被可靠地標(biāo)識。
[0077]合適的冗余(多核)處理器44可以從德州儀器(Hercules系列TMS570、RM4x)、飛思卡爾(MPC564x系列、SPC5744x)或STM(SPC56EL54系列)獲得。該列表不是限定性的。
[0078]多個不同的信號32、33產(chǎn)生自冗余(多核)處理器44。這些信號此外通過測試塊34來測試。在實(shí)際實(shí)現(xiàn)方式中,測試塊34可以通過集成切換(switching)電路來實(shí)現(xiàn)。集成切換電路執(zhí)行例如(動態(tài))控制信號32的值離散監(jiān)視和時(shí)間離散監(jiān)視。結(jié)果,產(chǎn)生使能信號35。使能信號35具有定義的動態(tài)。
[0079]合適的監(jiān)視塊34是例如從德州儀器(TPS65381)或飛思卡爾(MC33908)可得到的。該列表不是限定性的。
[0080]要求該動態(tài)以用于使能和/或激活輸出級38中的接觸構(gòu)件&41和&42。這導(dǎo)致依賴性,根據(jù)所述依賴性第一單元30的結(jié)果被第二單元34循環(huán)地測試。要求用于使能輸出級38中的接觸構(gòu)件&41和&42的(動態(tài)產(chǎn)生的)測試結(jié)果連同來自1001D架構(gòu)30的至少一個(動態(tài))
激活信號。
[0081]優(yōu)選地,因此,監(jiān)視單元30包括至少一個輸入端,并且監(jiān)視單元30的所述至少一個輸入端被配置成從測試塊34接收反饋信號35,并且監(jiān)視單元30被配置成使用來自測試塊34的反饋信號35,所述反饋信號35跟隨在來自監(jiān)視單元30的被改變成故障信號以用于證明測試塊34的有效性的信號32、33之后。
[0082]優(yōu)選地,在該情況下,輸出級38被配置成使用接觸構(gòu)件&42將測試塊的反饋信號35鏈接到監(jiān)視單元的輸出信號,以便在測試塊34的非有效性被證明的情況下使用輸出級的接觸構(gòu)件&42來采取關(guān)斷和/或鎖定。
[0083]此外優(yōu)選地,監(jiān)視單元30被配置成在測試塊34的非有效性被證明時(shí)提供輸出信號31、37,以使得通過輸出級38的接觸構(gòu)件&41對輸出信號31、37的接收激活輸出級38的關(guān)斷功能。
[0084]根據(jù)優(yōu)選的實(shí)施例,在診斷和監(jiān)視單元中發(fā)生故障的情況下,鎖定輸出級38。因而,在發(fā)生多故障之前,故障指示符被存儲在(多核)處理器44的存儲器區(qū)域中和/或在外部存儲器(優(yōu)選地,非易失性)中。該存儲器區(qū)域的內(nèi)容涉及控制信號32的生成。因此,在1001D架構(gòu)30的多故障的情況下,安全鎖定可以借助于測試塊34和輸出級38而發(fā)生。
[0085]優(yōu)選地,因此,監(jiān)視單元30因而被配置成在內(nèi)部或在外部以及以易失性或非易失性的方式來存儲輸出信號31、37,其適合用于激活輸出級38的關(guān)斷功能。此外優(yōu)選地,監(jiān)視設(shè)備30被配置成從內(nèi)部或外部以及易失性或非易失性存儲器讀取這樣的信號。優(yōu)選地,監(jiān)視設(shè)備30另外被配置成評估這樣從存儲器讀取的信號。特別優(yōu)選地,作為所讀取的信號的評估的結(jié)果,監(jiān)視設(shè)備被配置成提供至少一個輸出信號31、37,以使得輸出級38的關(guān)斷功能被激活和或保持被激活。結(jié)果,輸出級被鎖定或保持被鎖定。
[0086]所述適用,而無論其是否涉及輸出級38及其(一個或多個)輸出信號39。此外,輸出級38優(yōu)選地被配置用于存儲、用于讀取、用于關(guān)于鎖定的信號的評估。
[0087]根據(jù)圖10,安全性相關(guān)的模擬信號可以通過冗余的模擬/數(shù)字變換器51、52和/或經(jīng)由信號復(fù)用器通過單個通道被供應(yīng)到安全架構(gòu)。為了測試功能能力,定義的參考信號27經(jīng)由測試塊34和/或經(jīng)由可變電壓參考而切換到A/D變換器的模擬輸入端。測試結(jié)果可以以與之前相同的方式被鏈接到使能信號32的生成。在該情況中的參考信號可以被直接切換到模擬輸入變量和/或經(jīng)由信號復(fù)用器。動態(tài)測試的原則在該情況下被維持。
[0088]優(yōu)選地,監(jiān)視單元30因此包括用于接收安全性相關(guān)的信號的至少一個輸入端。優(yōu)選地,監(jiān)視單元30包括至少一個模擬/數(shù)字變換器51、52以用于供應(yīng)至少一個安全性相關(guān)的模擬信號。
[0089]還提供了使用根據(jù)本公開內(nèi)容的安全架構(gòu)用于控制和/或調(diào)節(jié)和監(jiān)視燃料電池。該使用可以涉及固態(tài)氧化物燃料電池和聚合物電解質(zhì)燃料電池二者。此外,可能的是使用根據(jù)本公開內(nèi)容的安全架構(gòu)用于控制和/或調(diào)節(jié)和用于監(jiān)視電池。這特別地涉及控制和/或調(diào)節(jié)和監(jiān)視氧化還原液流電池(redox flux battery ),諸如例如銀氧化還原存儲電池、溴化鈉氧化還原存儲電池和/或溴鋅存儲電池。同樣,提供了基于有機(jī)醌的氧化還原液流電池的控制和/或調(diào)節(jié)和監(jiān)視。
[0090]根據(jù)本公開內(nèi)容的安全架構(gòu)或方法的部分可以體現(xiàn)為硬件、體現(xiàn)為由計(jì)算機(jī)或使用云計(jì)算機(jī)實(shí)現(xiàn)的軟件模塊、或可以使用前述可能性的組合來實(shí)現(xiàn)。軟件可以包括固件、在操作系統(tǒng)內(nèi)實(shí)現(xiàn)的硬件驅(qū)動器或應(yīng)用程序。本公開內(nèi)容因而還涉及包含本公開內(nèi)容的特征和/或?qū)崿F(xiàn)所要求的步驟的計(jì)算機(jī)程序產(chǎn)品。在作為軟件的實(shí)現(xiàn)方式中,公開的功能可以作為一個或多個命令而存儲在計(jì)算機(jī)可讀介質(zhì)上。計(jì)算機(jī)可讀介質(zhì)的一些示例包括隨機(jī)存取存儲器(RAM)、磁性隨機(jī)存取存儲器(MRAM)、只讀存儲器(ROM)、閃速存儲器、電子可編程ROM(EPR0M)、電子可編程且可擦除ROM(EEPROM)、數(shù)據(jù)處理器的寄存器、硬驅(qū)動器、可互換存儲器單元、光學(xué)存儲器或可以被計(jì)算機(jī)或被其它IT設(shè)備和應(yīng)用所使用的任何其它合適的介質(zhì)。
[0091]以上描述涉及本公開內(nèi)容的單獨(dú)實(shí)施例。在不偏離本發(fā)明潛在的想法的情況下以及在不脫離本公開內(nèi)容的范圍的情況下可以采取對實(shí)施例的各種變更。本公開內(nèi)容的主題由其權(quán)利要求所限定。在不脫離以下權(quán)利要求的保護(hù)范圍的情況下可以采取不同的修改。
[0092]參考標(biāo)號列表 I輸入端
2輸出端 3監(jiān)視單元 4a監(jiān)視單元4b監(jiān)視單元5監(jiān)視單元6監(jiān)視和診斷通道7監(jiān)視單元的通道8監(jiān)視單元的通道9監(jiān)視單元的通道
10(一個或多個)靜態(tài)信號
11(一個或多個)附加測試信號
12(—個或多個)輸入信號
13(一個或多個)輸出信號
14(一個或多個)測試信號15有用數(shù)據(jù)
16測試數(shù)據(jù)17功能單元
18功能單元
19輸出驅(qū)動器和/或中繼接觸
27、27a、27b (—個或多個)參考信號
28 (—個或多個)安全性相關(guān)的模擬信號
29用于模擬信號的監(jiān)視單元
30 (1001D)架構(gòu)
31輸出信號
32另外的控制信號
33另外的控制信號
34測試塊
35輸出信號
36另外的比較器
37不同地產(chǎn)生的信號
38輸出級
39 (動態(tài))反饋信號
40接觸構(gòu)件
&41接觸構(gòu)件
&42接觸構(gòu)件
44 (多核)處理器
45監(jiān)視單元
46監(jiān)視單元
47監(jiān)視單元
48主處理器
49測試處理器
50比較元件51A/D變換器
52A/D變換器
53監(jiān)視和診斷通道。
【主權(quán)項(xiàng)】
1.一種安全設(shè)備,其包括監(jiān)視單元(30)、測試塊(34)和具有至少一個接觸構(gòu)件(&41)的輸出級(38), 其中所述監(jiān)視單元(30)包括至少兩個、優(yōu)選地至少三個輸出端,并且被配置成提供至少兩個(32、37)、優(yōu)選地至少三個(31、32、37)不同的輸出信號以用于測試其暫離故障, 其中所述監(jiān)視單元(30)被配置成提供至少一個輸出信號作為用于關(guān)斷功能的使能信號(37), 其中所述測試塊(34)包括至少一個輸入端,并且被配置成對監(jiān)視單元(30)的輸出信號中的至少一個(32)進(jìn)行監(jiān)視, 其中所述測試塊(34)包括至少一個輸出端,并且被配置成提供用于關(guān)斷功能的至少一個使能信號, 其中輸出級(38)的所述至少一個接觸構(gòu)件(&41)具有至少兩個輸入端,并且被配置成將監(jiān)視單元(30)的輸出信號中的至少一個(37)鏈接到測試塊(34)的所述至少一個使能信號以便獲得結(jié)果, 其中所述輸出級(38)通過考慮由接觸構(gòu)件(&41)采取的鏈接的結(jié)果來提供關(guān)斷功能。2.如權(quán)利要求1中要求保護(hù)的安全設(shè)備,其中所述測試塊(34)具有監(jiān)視和診斷通道(53),所述監(jiān)視和診斷通道(53)具有至少一個輸入端,并且其中測試塊(34)的監(jiān)視和診斷通道(53)的所述至少一個輸入端被配置成接收監(jiān)視單元(30)的輸出信號中的至少一個(32)。3.如權(quán)利要求1或2中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)包括具有至少一個輸出端的監(jiān)視和診斷通道(6),并且其中監(jiān)視單元(30)的監(jiān)視和診斷通道(6)的所述至少一個輸出端被配置成為測試塊(34)提供至少一個控制信號(33)。4.如權(quán)利要求1至3中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述輸出級(38)包括具有輸入端的至少一個另外的接觸構(gòu)件(40),其中輸出級(38)的所述至少一個另外的接觸構(gòu)件(40)被配置成直接通過監(jiān)視單元(30)的輸出信號之一 (31)使能。5.如權(quán)利要求4中要求保護(hù)的安全設(shè)備,其中所述輸出級(38)通過考慮接觸構(gòu)件(40)的使能來提供其關(guān)斷功能。6.如權(quán)利要求1至5中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述測試塊(34)被配置成為監(jiān)視單元(30)提供反饋信號(35)。7.如權(quán)利要求1至6中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)被配置成將監(jiān)視單元(30)的輸出信號中的至少一個(32)循環(huán)地變更成故障信號以用于證明測試塊(34)的有效性。8.如權(quán)利要求3中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)被配置成將監(jiān)視單元(30)的監(jiān)視和診斷通道(6)的所述至少一個輸出端上的控制信號(33)循環(huán)地變更成故障信號以用于證明測試塊(34)的有效性。9.如權(quán)利要求6中要求保護(hù)的以及如權(quán)利要求7或8中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)包括至少一個輸入端,并且其中監(jiān)視單元(30)的所述至少一個輸入端被配置成從測試塊(34)接收反饋信號(35),并且其中所述監(jiān)視單元(30)被配置成使用來自測試塊(34)的反饋信號(35),所述反饋信號(35)跟隨在來自監(jiān)視單元(30)的被改變成故障信號以用于證明測試塊(34)的有效性的信號(32、33)之后。10.如權(quán)利要求9中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)被配置成在測試塊(34)的非有效性被證明時(shí)提供輸出信號(31、37),以使得輸出信號(31、37)的接收通過輸出級(3 8 )的接觸構(gòu)件(&41)激活輸出級(3 8 )的關(guān)斷功能。11.如前述權(quán)利要求中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中輸出級(38)的所述至少一個接觸構(gòu)件(&41)處于斷開狀態(tài)或閉合狀態(tài),并且其中所述輸出級(38)包括至少一個輸出端,并且被配置成提供所述至少一個接觸構(gòu)件(&41)的狀態(tài)作為用于監(jiān)視單元(30)的反饋信號(39)。12.如權(quán)利要求11中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)包括至少一個輸入端,并且其中監(jiān)視單元(30)的所述至少一個輸入端被配置成從輸出級(38)接收反饋信號(39)。13.如前述權(quán)利要求中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)被配置成借助于測試信號使監(jiān)視單元(30)的至少一個輸出信號(31、37)動態(tài)化以用于控制目的。14.如前述權(quán)利要求中的一項(xiàng)中要求保護(hù)的安全設(shè)備,其中所述監(jiān)視單元(30)包括用于接收安全性相關(guān)的信號的至少一個輸入端,并且其中優(yōu)選地,所述監(jiān)視單元(30)包括用于供應(yīng)至少一個安全性相關(guān)的模擬信號的至少一個模擬/數(shù)字變換器(51、52)。15.—種燃燒器系統(tǒng),特別是一種燃?xì)馊紵飨到y(tǒng)或油料燃燒器系統(tǒng),其包括如前述權(quán)利要求中的一項(xiàng)中要求保護(hù)的安全設(shè)備。
【文檔編號】G05B9/03GK105988365SQ201610167873
【公開日】2016年10月5日
【申請日】2016年3月23日
【發(fā)明人】K.奧布雷奇特
【申請人】西門子公司