亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

冗余電源的制作方法

文檔序號:7433100閱讀:268來源:國知局
專利名稱:冗余電源的制作方法
冗余電源本發(fā)明涉及一種冗余電源,具體涉及真正安全電路中的冗余,還涉及用于為了真 正安全電路中的功能冗余將多個真正安全輸出多路復(fù)用的方法和裝置。工業(yè)危險環(huán)境可包括存在潛在的爆炸性氣體或細(xì)粉末的混合物的場所。真正安全是用來防止電氣設(shè)備在危險環(huán)境中引起爆炸的概念。真正安全(IS)系 統(tǒng)包括位于該危險環(huán)境中的IS設(shè)備(稱為現(xiàn)場電路或現(xiàn)場設(shè)備)、位于電源與IS設(shè)備之間 的不危險區(qū)域(或安全區(qū)域)中的功率限制裝置(IS阻隔或電隔離器)以及關(guān)聯(lián)的布線。 在真正安全系統(tǒng)中,所有設(shè)備按照這樣的方式設(shè)計和安裝即使在故障狀況下,這些設(shè)備也 不會提供足以弓I發(fā)潛在的爆炸性氣體混合物爆炸的能量或功率??煽啃允荌S系統(tǒng)的特別重要的因素,其中對現(xiàn)場設(shè)備的易于操作性通常是非常 受限的,而且關(guān)鍵部件的故障可能不僅成本高而且潛在的高度危險。系統(tǒng)中的部件或電路 的冗余或重復(fù)是提高系統(tǒng)可靠性的一種方法,而且通常冗余地提供對安全很關(guān)鍵的電路, 以使如果主電路出故障,則還存在能被激活的等效備用電路。對于實時分布式控制系統(tǒng)尤其是具有危險區(qū)域的制造廠越來越常用的IS系統(tǒng)是 基于真正安全現(xiàn)場總線系統(tǒng)的IEC標(biāo)準(zhǔn)(IEC 60079-27)的,該標(biāo)準(zhǔn)已被稱為現(xiàn)場總線真正 安全概念(FISCO)。在FISCO系統(tǒng)中,每個分段僅允許一個活動源(功率調(diào)節(jié)器或電源單元)。所有其 它部件必須作為無源電流宿(設(shè)備)。在需要防止分段上的所有設(shè)備在維護(hù)的情況下都失 效的系統(tǒng)中,可安裝一個或多個冗余電源單元(PSU),以及用于在一個電源單元出故障或需 要更換時在電源之間切換的裝置。在歐洲,危險環(huán)境和防爆區(qū)域被分類為所謂的區(qū)(Zone)。在0區(qū)、1區(qū)和2區(qū)之間 進(jìn)行區(qū)分,0區(qū)是最敏感的區(qū),其中可燃?xì)夥蘸芸赡荛L期或持續(xù)存在。在1區(qū)中,可燃?xì)夥湛?能存在但不太可能長期存在,而在2區(qū)中,除了很短時間之外,可燃?xì)夥詹豢赡艽嬖?,存?的時間典型地是由處理故障狀況引起。還存在公認(rèn)的電氣裝置的三類真正安全,其對應(yīng)于這些危險環(huán)境區(qū)真正安全 “ia”,或簡稱為“Ex ia”,是適用于0、1和2區(qū)的設(shè)備;“Exib”設(shè)備僅適用于1和2區(qū);以 及“Ex ic”設(shè)備僅適用于2區(qū)危險區(qū)域。US2004/025M^描述了使用限流電阻器的用于防爆區(qū)域中的電氣負(fù)載的IS、冗 余電流-電壓源的設(shè)備。US2004/0145843描述了一種有源保護(hù)電路,其利用N溝道FET來隔離兩個或多個 電源與共同負(fù)載的連接并對這些連接定序,并對電源進(jìn)行電壓感測和反向偏壓感測來操作 控制器。與已知的IS冗余系統(tǒng)和方法相關(guān)聯(lián)的問題包括它們不能保證在電源轉(zhuǎn)換期間僅 一個輸入電源連接至負(fù)載,等等。需要的是一種在轉(zhuǎn)換期間保證所有輸入電源從負(fù)載完全 斷開的系統(tǒng),以確保不安全狀況即多于一個的輸入電源同時連接至輸出負(fù)載的狀況不會發(fā)生。因此,本發(fā)明的目的是提供一種符合所謂的冗余FISCO PSU方案的要求的方法和
5系統(tǒng),該FISCO PSU方案要求兩個FISCO PSU以待機冗余配置工作,同時它們的負(fù)載安裝于 1區(qū)或2區(qū)危險區(qū)域,且該方案確保在任何時間點輸入電源中最多一個電源連接至輸出負(fù)載。本發(fā)明尤其適合于在FISCO系統(tǒng)中實現(xiàn),并為此類系統(tǒng)提供冗余PSU,但并不限于 此。本發(fā)明尋求提供一種為了 IS電路的功能冗余而將IS輸出多路復(fù)用的方法,以及 用于實現(xiàn)用于IS輸出的多路復(fù)用器的多級切換裝置。根據(jù)本發(fā)明的第一方面,提供了一種為了功能冗余而將多個真正安全輸入多路復(fù) 用的方法,該方法使用連接至真正安全輸出的多個開關(guān)模塊;以及從多個真正安全的輸 入源到多個相應(yīng)的開關(guān)模塊的多個基本相同的輸入;其中,使用多個開關(guān)模塊中的每個開 關(guān)模塊之間的多個聯(lián)鎖信號來允許在任何時間點開關(guān)模塊中最多一個開關(guān)模塊活動,從而 允許來自多個輸入源的多個輸入中最多一個輸入連接至真正安全的輸出;以及還包括提供 有保證的最小周期的步驟,其中在切換至替換開關(guān)模塊期間無輸入連接至真正安全輸出。優(yōu)選使用兩個開關(guān)模塊,以使在使用時一個開關(guān)模塊活動,同時另一個開關(guān)模塊 冗余。其中在切換至替換開關(guān)模塊期間無輸入連接至真正安全的輸出的有保證的最小 周期優(yōu)選為至少10 μ s (或者確?;蜃C明安全性所需的任何最小周期),且具有500 μ S的最 大周期(或確保對任一所連接現(xiàn)場設(shè)備無不利功能影響所需的任何最大周期)。優(yōu)選地,如果活動開關(guān)模塊的輸入或活動開關(guān)模塊本身出故障,則輸出自動切換 至替代的開關(guān)模塊。多個開關(guān)模塊中的每個開關(guān)模塊和多個真正安全的輸入源中的每個輸入源優(yōu)選 是可移除的,同時至少一個輸入連接至真正安全的輸出。這意味著,可維護(hù)或更換部件,同 時仍對連接至輸出的一個或多個IS設(shè)備供電。優(yōu)選為每個開關(guān)模塊設(shè)置機械式聯(lián)鎖,該機械式聯(lián)鎖被安排成防止在關(guān)聯(lián)輸入存 在的同時移除開關(guān)模塊。這有利地防止了輸入的任何瞬態(tài)組合,且簡化了開關(guān)模塊的故障 分析和電子設(shè)計。多個輸入中的每個輸入優(yōu)選地包括來自真正安全電源的經(jīng)調(diào)節(jié)電流和/或電壓, 具體而言是FISCO PSU0通過確保輸入來自真正安全的源,輸出適用于驅(qū)動“Ex ib”現(xiàn)場電路。優(yōu)選地,控制危險邏輯功能和不危險邏輯功能的邏輯電路是物理隔離的。在特別 有利的布置中,危險邏輯功能利用分立的邏輯實現(xiàn),而不危險的邏輯功能在單芯片微處理 器上實現(xiàn)。根據(jù)本發(fā)明的另一方面,提供了一種用于將多個真正安全輸入多路復(fù)用的切換電 路,該電路包括連接至真正安全輸出的多個開關(guān)模塊,每個開關(guān)模塊被安排成接收多個基 本相同輸入中的一個輸入;每個開關(guān)模塊包括被安排成允許在任何時間點多個輸入中最多 一個輸入連接至真正安全輸出的鎖定裝置;其中該鎖定裝置進(jìn)一步被安排成提供有保證的 最小周期,在該最小周期中在切換至替代開關(guān)模塊期間無輸入連接至真正安全輸出。該鎖定裝置優(yōu)選包括多個開關(guān)模塊中的每個開關(guān)模塊之間的多個鎖定信號。優(yōu)選地,輸出在最少一個可數(shù)故障施加至切換電路的情況下保持真正安全。
根據(jù)本發(fā)明的另一方面,提供了一種為了功能冗余而將多個真正安全輸入多路復(fù) 用的系統(tǒng),該系統(tǒng)包括多個輸入源;切換電路,包括連接至真正安全輸出的多個開關(guān)模 塊,每個開關(guān)模塊被安排成從多個輸入源接收多個基本相同輸入中的一個輸入;每個開關(guān) 模塊包括被安排成允許在任何時間點多個輸入中最多一個輸入連接至真正安全輸出的鎖 定裝置;其中該鎖定裝置進(jìn)一步被安排成提供有保證的最小周期,在該最小周期中在切換 至替代開關(guān)模塊期間無輸入連接至真正安全輸出。以下參照僅作為示例的附圖進(jìn)一步描述本發(fā)明,在附圖中

圖1是根據(jù)本發(fā)明的一個實施例的雙冗余FISCO PSU方案的簡化示意性框圖;圖2是根據(jù)本發(fā)明的一個實施例的雙冗余FISCO PSU方案的一般化邏輯框圖;圖3是根據(jù)本發(fā)明的一個實施例的雙冗余FISCO PSU方案的更詳細(xì)邏輯圖;圖4是根據(jù)本發(fā)明的一個實施例的雙冗余FISCO PSU方案的簡單邏輯模擬的示意 圖;以及圖5是從在圖4的邏輯模擬上運行模擬而獲得的一系列曲線圖。參照圖1,示出了一種方案,通過該方案兩個FISCO PSU裝置能以適用于驅(qū)動“Ex ib”現(xiàn)場電路的雙冗余配置連接至同一電氣系統(tǒng)。該系統(tǒng)10分成兩個物理區(qū)域安全區(qū)域 12和1區(qū)危險區(qū)域14。在安全區(qū)域12內(nèi),第一FISCO PSU(PSU_A) 16和第二FISCO PSU(PSU_ B) 22分別連接至第一開關(guān)仲裁模塊(SAM)觀和第二 SAM 30。PSU_A 16由第一本地電源18 驅(qū)動,并耦合至第一通信端口 20。同樣,PSU_B 22由第二本地電源M驅(qū)動,并耦合至第二 通信端口 26。SAM 28,30通過底板聯(lián)鎖信號32連接到一起,以形成IS切換電路33。來自 SAM 28、30的輸出共同連接至危險區(qū)域14中的“Ex ib”負(fù)載34。IS切換電路33被設(shè)計成通過切換以選擇功能PSU 16、22來對PSU故障作出響應(yīng)。 系統(tǒng)10被設(shè)計成允許在系統(tǒng)10繼續(xù)工作的同時維修、更換或移除出故障的PSU或SAM。包 括聯(lián)鎖以確保在任何時刻僅一個PSU連接至危險區(qū)域負(fù)載34。為了保持足夠的保護(hù)以避免PSU在現(xiàn)場維護(hù)期間的瞬時組合,每個SAM包括機械 式聯(lián)鎖,該機械式聯(lián)鎖防止在關(guān)聯(lián)PSU存在時移除或插入SAM。這確保在SAM通電時永遠(yuǎn)不 會被移除或更換。因此,當(dāng)“熱交換”SAM時,確保該SAM未通電。來自另一 SAM的接口信號 將仍然保持活動。每個SAM內(nèi)的邏輯的實現(xiàn)分成兩個不同部分,“功能邏輯”和“危險邏輯”。為安全起 見,危險邏輯部分利用分立邏輯部件實現(xiàn),然而功能邏輯部分能利用單芯片微處理器(MPU) 最高效地實現(xiàn)。圖2示出根據(jù)本發(fā)明的IS切換電路33的一般化實現(xiàn),其中相同元件用相同附圖 標(biāo)記來標(biāo)識。第一 SAM 28包括經(jīng)由信號al控制開關(guān)SAl的邏輯塊36,以及經(jīng)由信號a2控 制開關(guān)SA2的邏輯塊38。第二 SAM 30包括經(jīng)由信號bl控制開關(guān)SBl的邏輯塊40,以及經(jīng) 由信號1^2控制開關(guān)SB2的邏輯塊。兩個SAM 28,30通過包括聯(lián)鎖信號32的接口來互連。SAM的保護(hù)功能是a)防止兩個FISCO PSU 16,22向現(xiàn)場電路;34上的危險組合;以及b)在轉(zhuǎn)換期間提供具有有保證的最小“不工作周期”的“先斷后通”動作,在該最 小“不工作周期”期間,PSU_A 16或PSU_B 22都不連接至負(fù)載。因為期望現(xiàn)場電路被批準(zhǔn)為“Ex ib”,所以在最多一個可數(shù)故障施加至兩個互連
7SAM 28,30的組合及其聯(lián)鎖信號連接32上情況下必須保持如此的保護(hù)水平,其中該一個可 數(shù)故障可以是開路、短路或出故障成為另一電阻值??紤]到此因素,限定以下設(shè)計規(guī)則,旨 在使未預(yù)見的邏輯錯誤或邏輯狀態(tài)的風(fēng)險最小a)該邏輯將被設(shè)計為狀態(tài)機;b)所有狀態(tài)都將被宣告;c)所有四個邏輯塊36、38、40和42同時開啟的狀態(tài)將是“不允許”狀態(tài),經(jīng)由在正 常操作或所施加的單個可數(shù)故障下出現(xiàn)的任何狀態(tài)轉(zhuǎn)換永遠(yuǎn)不會進(jìn)入該“不允許”狀態(tài)。一 旦這樣的狀態(tài)發(fā)生,狀態(tài)機就被安排成立即且無條件地試圖轉(zhuǎn)換至四個邏輯塊36、38、40、 42中的至少兩個邏輯塊切換為“關(guān)閉”的較安全狀態(tài)。d)任何三個邏輯塊36、38、40、42同時“開啟”的狀態(tài)將是“不允許”狀態(tài),經(jīng)由正 常操作中可能出現(xiàn)的任何狀態(tài)轉(zhuǎn)換永遠(yuǎn)不會進(jìn)入該“不允許”狀態(tài)。一旦這樣的狀態(tài)發(fā)生, 狀態(tài)機就被安排成立即且無條件地試圖轉(zhuǎn)換至四個邏輯塊36、38、40、42中的至少兩個邏 輯塊切換為“關(guān)閉”的較安全狀態(tài)。e)每個開關(guān)邏輯塊36、38、40、42被安排成由邏輯源欠壓檢測器和過壓箝位器保 護(hù);以及f)每個SAM 28,30中的每個半導(dǎo)體功率開關(guān)SA1、SA2、SBU SB2被安排成在無功 率施加至邏輯的情況下缺省至“常關(guān)閉”??紤]了如圖2所示的一般化SAM實現(xiàn)方式的兩種可能的狀態(tài)機實現(xiàn)方式。第一實 現(xiàn)方式僅使用中繼干線A1、B1以及輸出干線C的感測電壓。第二實現(xiàn)方式使用信號al、a2、 bl、b2( “al和b2”選通)來更好地控制不希望有的瞬時狀態(tài),并確保這些狀態(tài)被強制為空 閑狀態(tài)。雖然這種額外控制不被認(rèn)為是足夠的“Ex ib”解決方案所必需的,但它優(yōu)選用于 增強保護(hù)。然而,如果由于無限制的開路接口故障使SAM可熱交換,則不能使用“al和1^2” 選通。利用這些設(shè)計規(guī)則,當(dāng)在該接口 ( "al和b2”選通)上轉(zhuǎn)移信號al、a2、bl、b2時, 可導(dǎo)出以下對稱保護(hù)邏輯方程以用于圖2的電路中的實現(xiàn)方式¢/1+ = 51 · b2{A\ + C)α2+ = Β\·δ2·Α\W+ =· a2(B\ + C)δ2+ = Α ·α2·Β\其中Jl=別的邏輯反al+ = al 的下一狀態(tài)·=各項的邏輯與關(guān)系+=各項的邏輯或關(guān)系圖3是實現(xiàn)上述安全邏輯方程的圖1的IS切換電路33的一般化邏輯框圖。如圖 1和2所示,該系統(tǒng)包括通過互連信號32連接的第一 SAM模塊觀和第二 SAM模塊30。以 粗體示出的連接表明功率從PSU_A 16和PSU_B 22流向危險區(qū)域負(fù)載34的路徑。電壓檢測器a9、b9是確定PSU輸入電壓的足夠性并將其作為邏輯信號VAQK、VBQK發(fā) 送的功能(非安全)部件。這些信號和來自手動按鈕A 36和按鈕B 38的那些信號被提供給微處理器中實現(xiàn)的功能邏輯塊MPUa和MPUb,功能邏輯塊MPUa和MPUb可分別利用功能信 號ENA和ENB關(guān)閉邏輯開關(guān)SA1、SA2和SB1、SB2。雖然未示出,但電壓檢測器a9、b9可交 換信號以確定輸出V皿、VTOK。開關(guān)SA1、SA2和SB1、SB2是分別由邏輯信號al、a2和bl、l32控制的半導(dǎo)體開關(guān)。 這些開關(guān)被設(shè)計成在本地邏輯電源出故障的情況下常斷開。欠壓檢測器(未示出)提供逆邏輯信號UVQmi、Uvolta2以及UVQlTB1,如果本地邏輯源 欠壓,則逆邏輯信號UTOUIA1、Utoua2以及Utouibi迫使關(guān)聯(lián)開關(guān)斷開。MPUa和MPUb邏輯功能具有關(guān)聯(lián)的看門狗檢測器,關(guān)聯(lián)的看門狗檢測器分別提供逆 輸出RESETa和RESETb(重置A和重置B)。它們是在關(guān)聯(lián)微處理器重置時迫使半導(dǎo)體開關(guān) SA1、SA2和SB1、SB2斷開的功能邏輯信號。邏輯門al、a2、al0、bl、b2、bl0以及關(guān)聯(lián)反相器和緩沖器實現(xiàn)如上所述的狀態(tài)轉(zhuǎn)
換方程。定時器TA1、TA2和TBI、TB2是不對稱的定時電路,其將正向輸入延時30 μ s到 68 μ S,但它們對于負(fù)向輸入幾乎無延時。在關(guān)聯(lián)選通下(例如,a3和a4用于ΤΑ1),這些定 時器負(fù)責(zé)提供有保證的“先斷后通”中斷時間。多個定時器確保即使在施加可數(shù)故障時也 能保證該延時。中繼干線電壓檢測器a8、al6、al2、a5和b8、bl6、bl2、b5檢測相關(guān)干線電壓是否 超過2. 3V到3. 7V范圍的閾值電壓。低電壓閾值確保一旦存在足夠的干線電壓對5V邏輯 供電,聯(lián)鎖信號就有效,從而確保在干線電壓超過4. 5V(最低工作邏輯源)時,在任一時刻 僅一個開關(guān)模塊“導(dǎo)通”。輸出干線電壓檢測器17、17檢測輸出干線電壓是否超過7. 6V到 IlV的范圍中的閾值電壓。選擇相對高的電壓,以使在幾乎無現(xiàn)場負(fù)載時的切換延遲最小, 從而在移除電源時現(xiàn)場總線線路端接電容緩慢放電。驅(qū)動器al4、al5和bl4、bl5提供允許“a2和1^2”選通功能的輸出。驅(qū)動器設(shè)計使 得在施加任何單個可數(shù)故障時輸出不會出故障“斷開”(低)。電阻器RAl到RA14和RBl到RB14在功能電路和危險區(qū)域保護(hù)邏輯之間提供絕對 可靠的保護(hù)。電阻器值被選擇成使功能邏輯內(nèi)的任何短路狀況不會在危險區(qū)域保護(hù)功能內(nèi) 引起危險故障。Al和Bl選通(分別經(jīng)由a5、al2和b5、bU)通過經(jīng)由支座確定中繼干線Al和Bl 的路線來實現(xiàn)。輸出連接的開路故障將引起聯(lián)鎖信號32的喪失,但同時也斷開對危險區(qū)域 14的供電。用于開關(guān)SA2和SB2的邏輯控制分別從用于開關(guān)SAl和SA2的邏輯控制的輸出 “級聯(lián)”操作。當(dāng)每個開關(guān)接通時,這實現(xiàn)“格雷碼(Gray-coded)”序列。以下描述涉及危險區(qū)域保護(hù)的各層。邏輯項a5、a2、a3、a4、SAl、b5、b2、b3、b4、SBl 形成在任一時刻僅允許 SAl 或 SA2
接通的雙穩(wěn)態(tài)。施加至任一項的任何單個可數(shù)故障會引起狀態(tài)變化,但不會引起SAl和SA2 二者 在任一時間點(靜態(tài)地)導(dǎo)通。邏輯源欠壓檢測器not_UTOmi和not_UTOm2在低于4. 5V的電壓下工作,以使在該 邏輯被保證通電的時候,干線電壓檢測器a5、1^5將具有有效輸出,從而保證雙穩(wěn)態(tài)操作。
邏輯項al6、al2、al0、all、SA2、bl6、bl2、bl0、bll、SB2 具有主要與瞬時性能有關(guān) 的功能,如下文詳細(xì)解釋。然而,該邏輯還提供了輔助保護(hù)功能。該邏輯使得,倘若相對的 中繼干線Al或Bl “開啟”,則開關(guān)SA2或SBl將斷開。該邏輯還確保由SAl和SBl形成的 觸發(fā)器的兩個輸出Al和Bl永遠(yuǎn)不會連接在一起,從而該觸發(fā)器能工作于雙穩(wěn)態(tài)。倘若任 一個SA2或SB2邏輯出故障,則將SA2或SB2置于“接通”狀態(tài)同時其它SAM開啟,這樣經(jīng) 由出故障的SA2或SB2 (至Al或Bi)的反向?qū)▽⑹归_關(guān)改變狀態(tài),從而從“三開關(guān)接通” 狀態(tài)轉(zhuǎn)換至“兩開關(guān)接通”狀態(tài)。由 a6、a2、al3、alO、al4、al5、b6、b2、bl3、blO、bl4、bl5 提供的邏輯選通實現(xiàn)如
上所述的“a2和b2”選通功能。選通的目的主要是設(shè)計用于通過識別不希望出現(xiàn)的瞬態(tài)來 幫助防止不希望出現(xiàn)的瞬態(tài)出現(xiàn),并導(dǎo)致向較安全的空閑狀態(tài)的狀態(tài)轉(zhuǎn)換。然而,它還提供 對靜態(tài)危險狀態(tài)出現(xiàn)的附加保護(hù)。輸出、互連以及輸入被設(shè)計成在任何單個可數(shù)故障的情況下不會全部出故障而 “關(guān)閉”。定時器TAl和TBl提供延時,這些延時在開關(guān)改變狀態(tài)時確保有保證的最小“中 斷”周期。當(dāng)狀態(tài)改變在一個方向或另一方向上出現(xiàn)時,施加至任一定時器TAl或TBl的可 數(shù)故障將使該保護(hù)失效。然而,定時器TA2和TB2與TAl和TBl串聯(lián)地工作,從而不管施加 至TAl或TBl的可數(shù)故障如何確保轉(zhuǎn)換中斷延時出現(xiàn)。即使TAl和TBl正確地工作,在開關(guān)SAl和SBl 二者均接通的情況下,由SAl和 SBl形成的雙穩(wěn)態(tài)在原則上也能進(jìn)入瞬時不穩(wěn)定狀態(tài)。定時器TA2和TB2防止干線Al和 Bl上的瞬態(tài)傳播至輸出C。即使TAl或TBl出現(xiàn)單個可數(shù)故障,該瞬態(tài)也可能僅經(jīng)由一個 而不是兩個SAM模塊傳播。當(dāng)接通時,開關(guān)SA2(和SB2)相對于SAl (和SBl)按順序工作。這是借助經(jīng)由邏 輯項al6(和bl6)感測Al (和Bi)的狀態(tài)來實現(xiàn)的。該順序旨在使傳播至輸出的“開啟” 瞬態(tài)最少。該編碼不是嚴(yán)格的格雷編碼,因為當(dāng)斷開時,兩個開關(guān)SAl和SA2(以及SBl和 SB2)同時斷開,這樣看起來最安全。當(dāng)施加單個可數(shù)故障時,該先后順序難免有錯誤。邏輯項a8和b8感測輸出干線C,并在轉(zhuǎn)換期間防止開關(guān)接通,直到輸出干線電壓 已經(jīng)下降到7. 6V到IlV的范圍中的閾值電壓以下。這將有效地提供先后順序,以在另一開 關(guān)能接通之前(在某種程度上)確認(rèn)之前活動的開關(guān)的斷開。單個可數(shù)故障的施加會使該 保護(hù)失效。如上所述,該系統(tǒng)必須保證在兩個PSU之間的“先斷后通”轉(zhuǎn)換,具有有保證的斷 開(中斷)時間間隔。最小中斷時間間隔的大小取決于用于SAM斷開和接通的各個關(guān)鍵電 路中的最壞情況傳播延時。為完全起見,該設(shè)計必須確保用于接通的最小時間延時始終超 過用于斷開的最大延時,且這兩個延時之差表示有保證的中斷間隔。通過設(shè)計,該間隔必須 超過10 μ s,一般認(rèn)為在該時長下任何潛在的易燃狀況可能已經(jīng)減弱至另一 PSU的重連將 不會引起易燃危險風(fēng)險增加的程度。然而,對于現(xiàn)場總線應(yīng)用,該間隔不能超過500μ s,這 是能接受的最大掉電間隔。參照圖3,下表示出了計算得到的用于接通和斷開SAM中的每個安全部件的延時。
權(quán)利要求
1.一種為了功能冗余將多個真正安全輸入多路復(fù)用的方法,所述方法使用連接至真正安全輸出的多個開關(guān)模塊;以及從多個真正安全輸入源到多個相應(yīng)的開關(guān)模塊的多個基本相同的輸入;其中使用多個開關(guān)模塊中的每個開關(guān)模塊之間的多個聯(lián)鎖信號來允許在任何時間點 開關(guān)模塊中最多一個開關(guān)模塊活動,從而允許來自多個輸入源的多個輸入中最多一個輸入 連接至真正安全輸出;且進(jìn)一步包括步驟提供有保證的最小周期,在所述有保證的最小周期中無輸入在切換至替代開關(guān)模塊期 間連接至真正安全輸出。
2.如權(quán)利要求1所述的方法,其特征在于,包括兩個開關(guān)模塊。
3.如權(quán)利要求1或2所述的方法,其特征在于,無輸入在切換至替代開關(guān)模塊期間連接 至真正安全輸出的所述有保證的最小周期至少是消除危險組合的可能性所需的時間或證 明所有源(在測試期間)從負(fù)載斷開所需的時間。
4.如權(quán)利要求1至3中的任一項所述的方法,其特征在于,無輸入在切換至替代開關(guān)模 塊期間連接至真正安全輸出的所述有保證的最小周期具有取決于所連接的IS負(fù)載設(shè)備的 掉電特性的最大周期。
5.如權(quán)利要求1至4中的任一項所述的方法,其特征在于,還包括如果活動開關(guān)模塊的 輸入出故障則自動切換至替代的開關(guān)模塊的步驟。
6.如權(quán)利要求1至5中的任一項所述的方法,其特征在于,還包括如果活動開關(guān)模塊出 故障則自動切換至替代的開關(guān)模塊的步驟。
7.如權(quán)利要求1至6中的任一項所述的方法,其特征在于,多個開關(guān)模塊中的每個開關(guān) 模塊和多個真正安全的輸入源中的每個輸入源是能移除的,同時至少一個輸入連接至真正 安全的輸出。
8.如權(quán)利要求1至7中的任一項所述的方法,其特征在于,還包括為每個開關(guān)模塊提供 機械聯(lián)鎖的步驟,所述機械聯(lián)鎖被安排成防止當(dāng)開關(guān)模塊的關(guān)聯(lián)輸入存在時移除所述開關(guān) 模塊。
9.如權(quán)利要求1至8中的任一項所述的方法,其特征在于,所述多個輸入中的每個輸入 包括來自真正安全電源的經(jīng)調(diào)節(jié)電流和/或電壓。
10.如權(quán)利要求9所述的方法,其特征在于,所述多個電源中的每一個電源包括FISCOPSU。
11.如權(quán)利要求1至10中的任一項所述的方法,其特征在于,所述輸出適用于驅(qū)動“Ex ib”現(xiàn)場電路。
12.如權(quán)利要求1至11中的任一項所述的方法,其特征在于,還包括使控制危險邏輯功 能和不危險邏輯功能的邏輯電路在物理上分離的步驟。
13.如權(quán)利要求12所述的方法,其特征在于,還包括利用分立邏輯實現(xiàn)危險邏輯功能 并在單芯片微處理器上實現(xiàn)不危險功能的步驟。
14.一種用于將多個真正安全輸入多路復(fù)用的切換電路,包括連接至真正安全輸出的多個開關(guān)模塊,每個開關(guān)模塊被安排成接收多個基本相同輸入 中的一個輸入;每個開關(guān)模塊包括鎖定裝置,所述鎖定裝置被安排成允許在任何時間點多個輸入中最多一個輸入連接至真正安全輸出;其中所述鎖定裝置還被安排成提供有保證的最小周期,在所述有保證的最小周期中無輸入
15.如權(quán)利要求14所述的切換電路,其特征在于,剛好包括兩個開關(guān)模塊。
16.如權(quán)利要求14所述的切換電路,其特征在于,所述鎖定裝置包括在所述多個開關(guān) 模塊中的每個模塊之間的多個鎖定信號。
17.如權(quán)利要求14、15或16所述的切換電路,其特征在于,無輸入在切換至替代開關(guān)模 塊期間連接至真正安全輸出的所述有保證的最小周期至少是消除危險組合的可能性所需 的時間或證明所有源(在測試期間)從負(fù)載斷開所需的時間。
18.如權(quán)利要求14至17中的任一項所述的切換電路,其特征在于,無輸入在切換至替 代開關(guān)模塊期間連接至真正安全輸出的所述有保證的最小周期具有取決于所連接的IS負(fù) 載設(shè)備的掉電特性的最大周期。
19.如權(quán)利要求14至18中的任一項所述的切換電路,其特征在于,在使用時,所述切換 電路被安排成,如果活動開關(guān)模塊的輸入出故障,則所述切換電路自動切換至替代開關(guān)模 塊。
20.如權(quán)利要求14至19中的任一項所述的切換電路,其特征在于,在使用時,所述切換 電路被安排成,如果活動開關(guān)模塊出故障,則所述切換電路自動切換至替代開關(guān)模塊。
21.如權(quán)利要求14至20中的任一項所述的切換電路,其特征在于,在使用時,所述切換 電路被安排成響應(yīng)于外部命令切換至替代開關(guān)模塊。
22.如權(quán)利要求14至21中的任一項所述的切換電路,其特征在于,在使用時,多個開關(guān) 模塊中的每個開關(guān)模塊能從所述切換電路移除,同時其它切換電路中的至少一個連接至輸 出ο
23.如權(quán)利要求22所述的切換電路,其特征在于,所述多個開關(guān)模塊中的每個開關(guān)模 塊包括機械式聯(lián)鎖,所述機械式聯(lián)鎖被安排成防止在開關(guān)模塊的關(guān)聯(lián)輸入存在的同時移除 所述開關(guān)模塊。
24.如權(quán)利要求14至23中的任一項所述的切換電路,其特征在于,所述多個輸入包括 來自真正安全電源的經(jīng)調(diào)節(jié)電流和/或電壓。
25.如權(quán)利要求M所述的切換電路,其特征在于,所述真正安全電源是FISCOPSU0
26.如權(quán)利要求14至25中的任一項所述的切換電路,其特征在于,所述輸出適用于驅(qū) 動“Ex ib”現(xiàn)場電路。
27.如權(quán)利要求14至沈中的任一項所述的切換電路,其特征在于,所述切換電路中的 控制危險邏輯功能的邏輯電路與控制不危險邏輯功能的邏輯電路在物理上分離。
28.如權(quán)利要求27所述的切換電路,其特征在于,危險邏輯功能利用分立的邏 輯實現(xiàn), 而不危險的功能在單芯片微處理器上實現(xiàn)。
29.如權(quán)利要求14至觀中的任一項所述的切換電路,其特征在于,所述輸出在最少一 個可數(shù)故障施加至所述切換電路的情況下保持真正安全。
30.一種為了功能冗余將多個真正安全輸入多路復(fù)用的系統(tǒng),所述系統(tǒng)包括多個輸入源; 切換電路,包括連接至真正安全輸出的多個開關(guān)模塊,每個模塊被安排成從多個輸入源接收多個基本 相同輸入中的一個輸入;每個開關(guān)模塊包括鎖定裝置,所述鎖定裝置被安排成允許在任何時間點多個輸入中最 多一個輸入連接至真正安全輸出;其中所述鎖定裝置還被安排成提供有保證的最小周期,在所述有保證的最小周期中無 輸入在切換至替代開關(guān)模塊期間連接至真正安全輸出。
31.一種基本如之前參照圖1至5所描述的將多個真正安全輸入多路復(fù)用的方法。
32.—種基本如之前參照圖1至5所描述的將多個真正安全輸入多路復(fù)用的切換電路。
33.一種基本如之前參照圖1至5所描述的將多個真正安全輸入多路復(fù)用的系統(tǒng)。
全文摘要
本發(fā)明提供一種為了功能冗余將多個真正安全輸入多路復(fù)用的方法,該方法使用連接至真正安全輸出的多個開關(guān)模塊;以及從多個真正安全的輸入源到多個相應(yīng)的開關(guān)模塊的多個基本相同的輸入;其中,使用多個開關(guān)模塊中的每個開關(guān)模塊之間的多個聯(lián)鎖信號來允許在任何時間點開關(guān)模塊中最多一個開關(guān)模塊活動,從而允許來自多個輸入源的多個輸入中最多一個輸入連接至真正安全的輸出;以及還包括提供有保證的最小周期的步驟,其中在切換至替換開關(guān)模塊期間無輸入連接至真正安全輸出。
文檔編號H02J1/10GK102150339SQ200980136756
公開日2011年8月10日 申請日期2009年9月14日 優(yōu)先權(quán)日2008年9月15日
發(fā)明者M·J·蘭帕德, R·D·威弗爾 申請人:庫帕技術(shù)公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1