CN108885433A - 安全控制装置和用于运行安全控制装置的方法 - Google Patents
安全控制装置和用于运行安全控制装置的方法 Download PDFInfo
- Publication number
- CN108885433A CN108885433A CN201780018526.4A CN201780018526A CN108885433A CN 108885433 A CN108885433 A CN 108885433A CN 201780018526 A CN201780018526 A CN 201780018526A CN 108885433 A CN108885433 A CN 108885433A
- Authority
- CN
- China
- Prior art keywords
- controller
- counter
- clock signal
- clock
- safety control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/06—Clock generators producing several clock signals
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
- G06F1/04—Generating or distributing clock signals or signals derived directly therefrom
- G06F1/12—Synchronisation of different clock signals provided by a plurality of clock generators
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25047—Common clock for redundant processors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/076—Error or fault detection not based on redundancy by exceeding limits by exceeding a count or rate limit, e.g. word- or bit count limit
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0766—Error or fault reporting or storing
- G06F11/0772—Means for error signaling, e.g. using interrupts, exception flags, dedicated error registers
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Engineering & Computer Science (AREA)
- Safety Devices In Control Systems (AREA)
- Pinball Game Machines (AREA)
Abstract
本发明涉及一种安全控制装置(1),该安全控制装置具有第一控制器(10)和分开的第二控制器(20),该第一控制器具有用于生成第一时钟信号(30)的第一时钟发生器(11),该第二控制器具有用于生成第二时钟信号(40)的第二时钟发生器(21);其中,第一时钟信号(30)输出给第一控制器(10)的第一输入端(13)和第二控制器(20)的第一输入端(23),并且第二时钟信号(40)输出给第一控制器(10)的第二输入端(14)和第二控制器(20)的第二输入端(24)。本发明还涉及一种用于运行安全控制装置的方法。
Description
技术领域
本发明涉及一种安全控制装置和一种用于运行安全控制装置的方法。
背景技术
在自动技术领域中使用安全控制装置,以便监控安全性要求高的设备和过程,并且保证安全运行。在此,及时识别偏离正常运行具有重要意义,以便还在合理的时间区间内执行相应的对应措施。
例如在焊接机器人中,利用光栅监控机器人工作范围的边缘。例如,如果有人要通过这些光栅中的一个光栅,则必须由安全控制装置保证,在给人带来伤害之前,将设备置于安全的状态。这一点用于保护设备周边的人,而且也用于保护设备本身。
为了防止安全控制装置中断和由此带来的设备的不可控的工作,安全控制装置冗余地运行,即,在至少两个处理器或控制器上尽可能时钟同步地执行用于控制一个设备或一个过程的相同软件。
所谓的锁步控制器、例如德州仪器公司的TMS570具有两个处理器核心,其中,在每个处理器核心上分别执行相同的程序。因为该控制器仅具有一个晶振作为两个处理器核心的时钟源,因此两个程序被时钟同步地执行。但是,在时钟源故障的情况下不再能通过处理器核心断开与安全有关的输出。
在文献EP 1 916 581 A2中描述了两个控制器的相互监控,由此可以检测时钟错误。在此,第一控制器首先监控第二控制器的参考时基的准确性,然后按照给定的模式交换两个控制器的角色,并且第二控制器监控第一控制器的准确性。由此能够保证,所有在两个控制器上执行的安全功能在给定的时间内完成。在此,如果确认错误,例如在执行安全功能时超时,则控制器进入安全状态。
但是在这种方法中,只能不准确地给出确认错误的时刻。但是由此不能准确地说明控制器的响应时间。然而,这样的响应时间在安全功能领域具有重要的意义,并且应该能尽可能准确地确定。此外,在执行安全循环期间出现相对频繁的等待时间。应避免这些等待时间,以便不会不必要地延长程序过程并且保证及时对于出现的错误作出响应。
发明内容
本发明的任务是,提供一种安全控制装置和一种用于运行安全控制装置的方法,它们满足上文提到的要求。
该任务通过按照权利要求1所述的安全控制装置得以实现。该任务尤其通过一种安全控制装置得以实现,该安全控制装置具有第一控制器和分开的第二控制器,第一控制器具有用于生成第一时钟信号的第一时钟发生器,第二控制器具有用于生成第二时钟信号的第二时钟发生器;其中,第一时钟信号输出给第一控制器的第一输入端和第二控制器的第一输入端;并且第二时钟信号输出给第一控制器的第二输入端和第二控制器的第二输入端。
向两个控制器提供公共的时钟信号,由此,能够在第一和第二控制器上同步地执行两个程序。在此,所述控制器本身例如可以是微处理器、CPU或可编程的逻辑***。向第一时钟信号提供第二时钟信号与基准时钟信号。由此,在相互比较两个时钟信号时可以显示时钟错误。这不仅适用于第一时钟信号的时钟错误,而且适用于第二时钟信号的时钟错误。每个时钟发生器优选是晶振。通过在第一和第二控制器上的分开的第一和第二输入端,也相互独立地并且在各自的控制器上没有时间上的影响地提供两个时钟信号。
优选第二时钟信号的频率高于第一时钟信号的频率。由此,可以确定第二时钟信号在第一时钟信号的一个时钟间隔内生成的整数时钟数。频率差别越大,可以越精确地检测第一时钟信号和/或第二时钟信号关于各自的额定值的频率偏差。
优选第一控制器具有第一计数器并且第二控制器具有第二计数器,并且第二时钟信号输送到第一计数器和第二计数器,并且第二时钟信号的时钟由第一和第二计数器计数。通过计数第二时钟信号的时钟可以简便地确定第一时钟信号的时钟长度。
优选所述计数器构造为硬件计数器。在此,该计数本身或者可以向上计数,或者可以向下计数。
优选第一时钟信号同时在第一和第二控制器中触发P1-中断;第一计数器和第二计数器确定从先前的P1-中断开始的第二时钟信号的时钟数量;第一控制器和/或第二控制器设定成,使相应的第一或第二计数器的计数器读数与两个P1-中断之间的时间相关;并且当所述控制器确认,相应的第一或第二计数器的计数器读数位于其基准范围以外的时候,第一控制器和/或第二控制器提供错误输出。
由此,当第一或第二时钟发生器的时钟频率相对于各自的额定频率这样强烈地变化,以至于超过或低于误差范围时,识别并且输出错误,所述变化可以通过控制器识别,其方式为,所述控制器将第一或第二计数器的计数器读数与其基准范围进行比较。由此,能够简便且可靠地识别第一或第二时钟发生器的频率偏差,从而可靠地检测在所述安全控制装置的两个控制器的同步性中的错误。通过确认第一和第二时钟信号的频率和基准范围能够精确地说明响应时间。
在此,在P1中断期间优选启动优先级1过程,即具有高的优先级的过程。并且优选随着P1-中断请求的边沿触发P1-中断。附加地,在P1-中断期间评估第一计数器的计数器读数和第二计数器的计数器读数。优选借助窗口比较器使第一和第二计数器的计数器读数与两个P1-中断之间的时间相关。在此优选所述P1-中断是两个相互衔接的P1-中断。基准范围优选是要根据第一时钟信号的频率和第二时钟信号的频率预期的时钟数量,所述基准范围具有确定的误差范围,该误差范围定义基准范围的最大值和最小值。优选能够任意地确定所述基准范围的最大值和最小值,从而能够个性化地适配允许的频率偏差。
优选当第一或第二计数器的计数器值中的至少一个计数器值位于基准范围的最小值以下时,第一或第二控制器的错误输出引起与安全有关的断开。由此,不继续执行运行中的过程,所述过程在其他情况下执行并且由P1-中断仅短时间地断开。这能够实现将安全控制装置非常快速地转变成与安全有关的断开的模式。因为已知第一时钟信号的时钟间隔,所以也能精确地确定直到在这种状况中发现错误的时间间隔。
此外,优选当第一或第二计数器的计数器值中的至少一个计数器值超过基准范围的最大值时,第一和/或第二控制器开始与安全有关的断开。为此,优选相应的第一和/或第二计数器生成计数器中断或者说P0-中断请求,该中断请求触发P0-中断。已知第二时钟信号的频率以及基准范围的最大值,由此,同样能够精确地说明在这种情况下执行P0-中断的时间。附加地,可以通过在使用相应的第一和/或第二计数器的情况下直接触发P0-中断而非常快速地对检测到的错误作出响应。如果基准信号、即第二时钟信号比第一时钟信号更快,则这正好与当第一时钟信号比第二时钟信号更慢的时候一样地起作用。在两种情况下在确定的时间内与安全有关地断开所述安全控制装置。
优选已经在P1-中断期间提供错误输出。在短时间内检验第一和第二时钟信号相互间的时间特性的偏差。这导致非常短的响应时间并且保证连续地监控安全控制装置的时钟错误或频率错误。
上面提到的任务也通过一种用于运行安全控制装置的方法得以实现,该安全控制装置具有第一控制器和分开的第二控制器,第一控制器具有第一时钟发生器,第二控制器具有第二时钟发生器,其中,所述方法具有下面的步骤:通过第一时钟发生器生成第一时钟信号;通过第二时钟发生器生成独立于第一时钟信号的第二时钟信号;将第一时钟信号输出给第一控制器的第一输入端和第二控制器的第一输入端;并且将第二时钟信输出给第一控制器的第二输入端和第二控制器的第二输入端。
在两个控制器上提供公共的时钟信号,由此,能够在两个控制器上同步地执行程序。此外,因为相互独立地生成两个时钟信号,因此这两个时钟信号可以用于相互比较可能的时钟错误或频率错误。优选第一时钟信号用于在第一和第二控制器上同步地执行两个一致的或者部分一致的程序。优选第二时钟信号用作第一时钟信号的基准时钟信号。因为第一和第二时钟信号分别在第一和第二控制器上的分开的输入端上提供,因此两个时钟信号可以同时且相互独立地在每个控制器中使用,并且被每个控制器监控。
优选第二时钟信号的频率高于第一时钟信号的频率。由此,可以确定第二时钟信号在第一时钟信号的时钟间隔内生成的整数时钟数。频率差别越大,可以越精确地检测第一时钟信号和/或第二时钟信号基于各自的额定值的频率偏差。
优选所述方法还具有通过第一控制器中的第一计数器并通过第二控制器中的第二计数器检验第二时钟信号的计数器读数。通过计数第二时钟信号的时钟和检验计数器读数可以非常简便地确定第一时钟信号的时钟频率。在此,所述计数器优选是硬件计数器。优选所述计数器可以向上计数读数或者从初始值向下计数。
优选所述方法还具有下面的步骤:通过第一时钟信号在第一和第二控制器中触发P1-中断;通过第一计数器和第二计数器确定第二时钟信号从先前的P1-中断开始的时钟数量;使第一控制器中的第一计数器的和/或第二控制器中的第二计数器的计数器读数与两个P1-中断之间的时间相关;并且当相应的第一或第二计数器的计数器读数位于其基准范围以外时,通过第一控制器和/或通过第二控制器提供错误输出。
通过所述方法步骤,当第一或第二时钟发生器的时钟频率相对于各自的额定频率显著变化时,识别并输出错误。由于与额定值的所述偏差而超过或低于误差范围。该误差范围保证允许与额定值的微小偏差。然后通过控制器识别离开误差范围,其方式为,所述控制器将第一或第二计数器的计数器读数与其基准范围进行比较。利用这个简单的方法能够可靠地识别第一或第二时钟发生器的频率偏差。由此可靠地检测所述安全控制装置的两个控制器的同步性中的错误。于是,通过确定第一和第二时钟信号的频率和基准范围能够精确地说明安全控制装置的响应时间。
在此,优选在P1-中断期间启动优先级1的过程,即具有高的优先级的过程。并且优选随着P1-中断请求的边沿触发P1-中断。附加地,优选在P1-中断期间评估第一计数器的计数器读数和第二计数器的计数器读数。优选借助窗口比较器使第一和第二计数器的计数器读数与两个P1-中断之间的时间相关。在此优选所述P1-中断是两个相互衔接的P1-中断。基准范围优选是要根据第一时钟信号的频率和第二时钟信号的频率预期的时钟数量,所述基准范围具有确定的误差范围,该误差范围定义基准范围的最大值和最小值。优选能够任意地确定所述基准范围的最大值和最小值,由此能够个性化地适配允许的频率偏差。
优选所述方法还具有与安全有关的断开的步骤,当第一或第二计数器的计数器值中的至少一个计数器值位于基准范围的最小值以下时,通过第一或第二控制器的错误输出引起所述与安全有关的断开。由此不继续执行运行中的过程,所述过程在其他情况下执行并且由P1-中断仅短时间地断开。这能够实现将安全控制装置非常快速地转变成与安全有关的断开的模式。因为已知第一时钟信号的时钟间隔,所以也能精确地确定直到在这种状况中发现错误的时间间隔。
优选所述方法还具有与安全有关的断开的步骤,当第一或第二计数器的计数器值中的至少一个计数器值超过基准范围的最大值时,通过第一和/或第二计数器开始所述与安全有关的断开。为此,优选相应的第一和/或第二计数器生成计数器中断或者说P0-中断请求,该中断请求触发P0-中断。已知第二时钟信号的频率以及基准范围的最大值,由此能够精确地预言在这种情况下最迟执行P0-中断的时间。附加地,通过由相应的第一和/或第二计数器直接触发P0-中断能够非常快速地对检测到的错误作出响应。
优选在P1-中断期间提供错误输出。在短时间内检验第一和第二时钟信号相互间的时间特性的偏差。这导致非常短的响应时间并且保证连续地监控安全控制装置的时钟错误。
附图说明
下面参照附图描述本发明的优选实施方式,在附图中:
图1示出安全控制装置的优选实施方式与呈现的信号曲线的示意图;
图2示出在按照图1的安全控制装置的正常运行中的信号曲线的示意图;
图3示出在第一时钟信号的错误地延长的时钟间隔时的信号曲线的示意图;
图4示出在第一时钟信号的错误地缩短的时钟间隔时的信号曲线的示意图;
图5示出在第二时钟信号的错误地缩短的时钟间隔时的信号曲线的示意图;
图6示出在第二时钟信号的错误地延长的时钟间隔时的信号曲线的示意图。
具体实施方式
下面参照附图详细描述本发明的优选实施方式。
图1示出安全控制装置1的示意图,该安全控制装置具有第一控制器10和第二控制器20。第一控制器10具有第一时钟发生器11,第二控制器20具有第二时钟发生器21。第一时钟发生器11在第一控制器10中生成第一时钟信号(PWM_0_SC1)30。第二时钟发生器21在第二控制器20中生成第二时钟信号(REF_CLK_SC2)40。
第一时钟信号30同时传送给第一控制器10的第一中断输入端13和第二控制器20的第一中断输入端23。在第一控制器10中,第一时钟信号30生成触发P1-中断50的P1-中断请求(P1_IRQ_SC1)31。在第二控制器20中,第一时钟信号30生成触发P1-中断50的P1-中断请求(P1_IRQ_SC2)32。P1-中断50在P1-中断请求31,32的边沿处生成。
第二时钟信号40同时传送给第一控制器10的第二输入端14和第二控制器20的第二输入端24。在第一控制器10中,第二时钟信号40作为输入信号(REF_IN_SC1)41传送给第一计数器15。在第二控制器20中,第二时钟信号40作为输入信号(REF_IN_SC2)传送给第二计数器25。
在第一和第二计数器15,25中,计数各个输入信号41,42的时钟数量。在此可以向上或向下计数。第一计数器15能够生成P0-中断请求(P0_IRQ_SC1)43。第二计数器25能够生成P0-中断请求(P0_IRQ_SC2)44。然后两个P0-中断请求43,44在各自的控制器10,20中触发P0-中断52。在该实施方式中,如果出现故障,则P0-中断作为永久的P0-中断58执行。
图2示出在正常运行中、亦即当第一和第二时钟信号30,40分别遵循它们预先给定的时钟间隔或频率时的示意性的信号曲线。在此,第二时钟信号40具有比第一时钟信号30更高的频率。
通过第一时钟信号30生成P1-中断请求31,32,它们又在各自的控制器10,20中生成P1-中断50,以便使在控制器10,20中的程序进程的启动同步化。
在各个控制器10,20的第一和第二计数器15,25中计数第二时钟信号40的时钟数量。在该实施例中向上计数,从而两个相应的计数器15,25的计数器读数16,26增加。
如果触发P1-中断50,计数器读数16,26优选又重置到其初始的数值。另一优选的实施方式在于,在运行的计数器中形成与上一个检测到的计数器读数的差值。如果安全控制装置1处于正常运行中、亦即第一和第二频率30,40遵循它们的预先给定的数值,则最大计数器值16,26在快要评估时位于其基准范围54以内,该基准范围定义频率偏差的允许的误差,如同在图2中所示的那样。
图3示出在第一时钟信号30的错误地延长的时钟间隔33的情况下的示意性信号曲线。由于第一时钟信号30的时钟的延迟而不触发P1-中断请求31,32,并由此也不触发P1-中断50。由此,两个计数器15,25的计数器值16,26总是继续增加,直到它们各自达到或超过基准范围54的最大值55。
于是,两个计数器15,25中的至少一个计数器触发相应的P0-中断请求43,44并且生成永久的P0-中断58。从生成永久的中断58的时间点59起,与安全有关地断开安全控制装置。
图4示出在第一时钟信号30的错误地缩短的时钟间隔34的情况下的示意性信号曲线。通过第一时钟信号30的边沿触发P1-中断请求31,32,进而P1-中断50。
不过,因为这发生在预先确定的时间点之前,所以两个计数器15,25的计数器值16,26位于基准范围54的最小值53以下。作为对错误的计数器值16,26的响应,保持永久的P1-中断56。从生成永久的中断56的时间点59起,与安全有关地断开安全控制装置。
图5示出在第二时钟信号40的错误地缩短的时钟间隔45的情况下的示意性信号曲线。由于第二时钟信号40在第一时钟信号30的一个时钟间隔内的时钟数增多,计数器15,25的计数器值16,26比预先确定的更快地增加。由此,还在触发P1-中断50并评估计数器值16,26之前,计数器值16,26就达到基准范围54的最大值55。随着达到基准范围54的最大值55,由至少一个所述计数器15,25触发相应的P0-中断请求43,44,并由此又生成永久的P0-中断58,这导致与安全有关地断开安全控制装置。
图6示出在第二时钟信号40的错误地延长的时钟间隔46的情况下的示意性的信号曲线。在第一时钟信号30的边沿执行P1-中断请求31,32,由此生成P1-中断50。
在P1-中断50期间,确定两个计数器15,25的计数器读数16,26。因为第二时钟信号40具有比预先确定的更大的时钟间隔,所以第二时钟信号40在第一时钟信号30的一个时钟间隔内的时钟数量更少,并由此计数器读数16,26比期待的更小并且位于基准范围54的最小值53以下。作为对错误的计数器值16,26的响应,保持永久的P1-中断56,这导致与安全有关地断开安全控制装置。
第一和第二时钟信号的时钟频率与各自的额定频率的偏差相应地导致安全地断开安全控制装置。由此,避免在两个控制器的同步性方面的错误,并且保证安全控制装置可以在所需的响应时间以内执行与安全有关的断开。
针对按照本发明的安全控制装置,可以使用标准微控制器,这些标准微控制器按照本发明相互间在时间上同步。但是所述安全控制装置通常也可以由多于两个控制器构造。这能够实现所述安全控制装置的兼容性和可扩展性,由此降低成本或者保持低成本,并且所述安全控制装置可以灵活地适配于各种任务状况。
附图标记列表
1 安全控制装置
10 第一控制器
11 第一时钟发生器
12 第一控制器上的输出
13 第一控制器上的第一输入端
14 第一控制器上的第二输入端
15 第一控制器中的第一计数器
16 第一计数器的计数器读数
20 第二时钟发生器
22 第二控制器上的输出
23 第二控制器上的第一输入端
24 第二控制器上的第二输入端
25 第二控制器中的第二计数器
26 第二计数器的计数器读数
30 第一时钟信号
31 第一控制器中的P1-中断请求
32 第二控制器中的P1-中断请求
33 第一时钟信号的延长的时钟间隔
34 第一时钟信号的缩短的时钟间隔
40 第二时钟信号
41 第二时钟信号在第一控制器中的输入信号
42 第二时钟信号在第二控制器中的输入信号
43 第一控制器中的P0-中断请求
44 第二控制器中的P0-中断请求
45 第二时钟信号的缩短的时钟间隔
46 第二时钟信号的延长的时钟间隔
50 P1-中断
52 P0-中断
53 基准范围的最小值
54 基准范围
55 基准范围的最大值
56 永久的P1-中断
58 永久的P0-中断
59 触发持续中断的时间点
Claims (12)
1.安全控制装置(1),具有:
a)第一控制器(10),其具有用于生成第一时钟信号(30)的第一时钟发生器(11);
b)分开的第二控制器(20),其具有用于生成第二时钟信号(40)的第二时钟发生器(21);其中,
c)第一时钟信号(30)输出给第一控制器(10)的第一输入端(13)和第二控制器(20)的第一输入端(23),并且;
d)第二时钟信号(40)输出给第一控制器(10)的第二输入端(14)和第二控制器(20)的第二输入端(24)。
2.如权利要求1所述的安全控制装置,其中,第二时钟信号(40)的频率高于第一时钟信号(30)的频率。
3.如权利要求1或2所述的安全控制装置,其中,第一控制器(10)具有第一计数器(15)并且第二控制器(20)具有第二计数器(25),并且第二时钟信号(40)输送给第一计数器(15)和第二计数器(25),并且第二时钟信号(40)的时钟由第一和第二计数器(15,25)计数。
4.如权利要求3所述的安全控制装置,其中,
a)第一时钟信号(30)同时在第一和第二控制器(10,20)中触发P1-中断(50);
b)第一计数器(15)和第二计数器(25)确定第二时钟信号(40)从先前的P1-中断(50)开始的时钟数量;
c)第一控制器(10)和/或第二控制器(20)设定成,使相应的第一或第二计数器(15,25)的计数器读数(16,26)与两个P1-中断(50)之间的时间相关联;并且
d)当所述控制器(10,20)确认相应的第一或第二计数器(15,25)的计数器读数(16,26)位于其基准范围(54)以外的时候,第一控制器(10)和/或第二控制器(20)提供错误输出。
5.如权利要求4所述的安全控制装置,其中,当第一或第二计数器(15,25)的计数器值中的至少一个计数器值(16,26)位于基准范围(54)的最小值(53)以下时,第一或第二控制器(10,20)的错误输出引起与安全有关的断开(56)。
6.如权利要求3至5中任一项所述的安全控制装置,其中,当第一或第二计数器(15,25)的计数器值中的至少一个计数器值(16,26)超过基准范围(54)的最大值(55)时,第一和/或第二控制器(10,20)开始与安全有关的断开。
7.一种用于运行安全控制装置(1)的方法,所述安全控制装置具有第一控制器(10)和分开的第二控制器(20),第一控制器具有第一时钟发生器(11),第二控制器具有第二时钟发生器(21),其中,所述方法具有下面的步骤:
a)通过第一时钟发生器(11)生成第一时钟信号(30);
b)通过第二时钟发生器(21)生成独立于第一时钟信号(30)的第二时钟信号(40);
c)将第一时钟信号(30)输出给第一控制器(10)的第一输入端(13)和第二控制器(20)的第一输入端(23);并且
d)将第二时钟信号(40)输出给第一控制器(10)的第二输入端(14)和第二控制器(20)的第二输入端(24)。
8.如权利要求7所述的方法,其中,第二时钟信号(40)的频率高于第一时钟信号(30)的频率。
9.如权利要求7或8所述的方法,还具有通过第一控制器(10)中的第一计数器(15)并通过第二控制器(20)中的第二计数器(25)计数第二时钟信号(40)的步骤。
10.如权利要求9所述的方法,还具有下面的步骤:
a)通过第一时钟信号(30)在第一和第二控制器(10,20)中触发P1-中断(50);
b)通过第一计数器(15)和第二计数器(25)确定第二时钟信号(40)从先前的P1-中断(50)开始的时钟数量;
c)使第一控制器(10)中的第一计数器(15)和/或第二控制器(20)中的第二计数器(25)的计数器读数(16,26)与两个P1-中断(50)之间的时间相关联;并且
d)当第一或第二计数器(15,25)的计数器读数(16,26)位于其基准范围(54)以外时,通过第一控制器(10)和/或通过第二控制器(20)提供错误输出。
11.如权利要求10所述的方法,还具有与安全有关的断开(56)的步骤,当第一或第二计数器(15,25)的计数器值中的至少一个计数器值(16,26)位于基准范围(54)的最小值(53)以下时,通过第一或第二控制器(10,20)的错误输出引起所述与安全有关的断开。
12.如权利要求9至11中任一项所述的方法,还具有与安全有关的断开(58)的步骤,当第一或第二计数器(15,25)的计数器值中的至少一计数器值(16,26)超过基准范围(54)的最大值(55)时,通过第一和/或第二计数器(15,25)开始所述与安全有关的断开。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102016204965.8A DE102016204965B4 (de) | 2016-03-24 | 2016-03-24 | Sicherheitssteuerung und Verfahren zum Betreiben einer Sicherheitssteuerung |
| DE102016204965.8 | 2016-03-24 | ||
| PCT/EP2017/053212 WO2017162371A1 (de) | 2016-03-24 | 2017-02-14 | Sicherheitssteuerung und verfahren zum betreiben einer sicherheitssteuerung |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108885433A true CN108885433A (zh) | 2018-11-23 |
Family
ID=58094397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780018526.4A Pending CN108885433A (zh) | 2016-03-24 | 2017-02-14 | 安全控制装置和用于运行安全控制装置的方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10969819B2 (zh) |
| EP (1) | EP3433682B1 (zh) |
| CN (1) | CN108885433A (zh) |
| DE (1) | DE102016204965B4 (zh) |
| WO (1) | WO2017162371A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019101515A (ja) * | 2017-11-29 | 2019-06-24 | ルネサスエレクトロニクス株式会社 | 半導体装置及びその電源監視方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10163010A1 (de) * | 2001-04-25 | 2002-11-14 | Siemens Ag | Verfahren und Vorrichtung zur sicheren Geschwindigkeitsüberwachung |
| CN101119192A (zh) * | 2007-09-11 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种时钟同步方法和*** |
| DE102007018468A1 (de) * | 2007-04-19 | 2008-10-23 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Ansteuerung von Personenschutzmitteln |
| CN103777072A (zh) * | 2012-10-24 | 2014-05-07 | 上海华虹集成电路有限责任公司 | 对多个时钟源的时钟频率进行监测的方法 |
| CN103853081A (zh) * | 2012-12-06 | 2014-06-11 | 海尔集团公司 | Mcu内部时钟校准***及方法及印刷电路板 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3225455C2 (de) | 1982-07-07 | 1986-07-17 | Siemens AG, 1000 Berlin und 8000 München | Verfahren zum sicheren Betrieb eines redundanten Steuersystems |
| US6202115B1 (en) * | 1998-04-17 | 2001-03-13 | Adaptec, Inc. | Fault tolerant redundant bus bridge systems and methods |
| US5991844A (en) * | 1998-04-17 | 1999-11-23 | Adaptec, Inc. | Redundant bus bridge systems and methods using selectively synchronized clock signals |
| US7089462B2 (en) | 2003-04-17 | 2006-08-08 | International Business Machines Corporation | Early clock fault detection method and circuit for detecting clock faults in a multiprocessing system |
| JP2004355362A (ja) * | 2003-05-29 | 2004-12-16 | Nec Electronics Corp | マイクロコンピュータおよびその初期設定方法 |
| US7617412B2 (en) | 2006-10-25 | 2009-11-10 | Rockwell Automation Technologies, Inc. | Safety timer crosscheck diagnostic in a dual-CPU safety system |
| JP5880603B2 (ja) * | 2014-03-19 | 2016-03-09 | 日本電気株式会社 | クロック発生装置、サーバシステムおよびクロック制御方法 |
-
2016
- 2016-03-24 DE DE102016204965.8A patent/DE102016204965B4/de active Active
-
2017
- 2017-02-14 EP EP17706176.9A patent/EP3433682B1/de active Active
- 2017-02-14 WO PCT/EP2017/053212 patent/WO2017162371A1/de active Application Filing
- 2017-02-14 US US16/086,349 patent/US10969819B2/en active Active
- 2017-02-14 CN CN201780018526.4A patent/CN108885433A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10163010A1 (de) * | 2001-04-25 | 2002-11-14 | Siemens Ag | Verfahren und Vorrichtung zur sicheren Geschwindigkeitsüberwachung |
| DE102007018468A1 (de) * | 2007-04-19 | 2008-10-23 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Ansteuerung von Personenschutzmitteln |
| CN101119192A (zh) * | 2007-09-11 | 2008-02-06 | 杭州华三通信技术有限公司 | 一种时钟同步方法和*** |
| CN103777072A (zh) * | 2012-10-24 | 2014-05-07 | 上海华虹集成电路有限责任公司 | 对多个时钟源的时钟频率进行监测的方法 |
| CN103853081A (zh) * | 2012-12-06 | 2014-06-11 | 海尔集团公司 | Mcu内部时钟校准***及方法及印刷电路板 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3433682A1 (de) | 2019-01-30 |
| EP3433682B1 (de) | 2021-04-07 |
| US10969819B2 (en) | 2021-04-06 |
| DE102016204965A1 (de) | 2017-09-28 |
| WO2017162371A1 (de) | 2017-09-28 |
| DE102016204965B4 (de) | 2023-05-04 |
| US20190094903A1 (en) | 2019-03-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7617412B2 (en) | Safety timer crosscheck diagnostic in a dual-CPU safety system | |
| EP3001653B1 (en) | Method and device for starting debugging port of terminal, and terminal | |
| US9778988B2 (en) | Power failure detection system and method | |
| CN110221353B (zh) | 判定装置以及判定装置的控制方法 | |
| EP3048499A1 (en) | Redundant watchdog method and system utilizing safety partner controller | |
| JP2007041650A (ja) | 安全plc | |
| KR101178186B1 (ko) | Pc 기반 시스템에서 피엘씨 신호 패턴을 이용하여 다수의 설비로 구성된 자동화 라인의 비정상 상태 알람 방법. | |
| CN108885433A (zh) | 安全控制装置和用于运行安全控制装置的方法 | |
| CN109960599B (zh) | 芯片***及其看门狗自检方法、电器设备 | |
| CN104156289A (zh) | 基于检测电路的同步控制方法及*** | |
| US10606703B2 (en) | Monitoring circuit | |
| CN107817729B (zh) | 电子产品回收测试方法、存储介质及设备 | |
| CN104932957B (zh) | 检查数据处理装置是否适于实施失效保护自动化过程的方法 | |
| US9335754B2 (en) | Method for testing the real-time capability of an operating system | |
| CN205880638U (zh) | 一种提高分散控制***主保护项目投入安全性的装置 | |
| KR101289746B1 (ko) | 유리식각 장비의 plc 연동 통합 정보화 시스템 | |
| US4710928A (en) | Method and apparatus for detecting the uncontrollable operation of a control system | |
| CN110851309A (zh) | 一种集成验证***及方法 | |
| US20170060666A1 (en) | Controller capable of detecting factor at time of abnormality of pc function | |
| US11016523B2 (en) | Control of redundant processing units | |
| CN107658835B (zh) | 一种保护压板及其防误操作方法和*** | |
| CN115964234A (zh) | 一种时钟异常检测方法、装置、存储介质及终端 | |
| CN111859471A (zh) | 一种基于可编程器件实现服务器***保护的***、方法 | |
| CN115454752A (zh) | 一种BIOS检测PCIe设备降速的验证方法、装置、终端及介质 | |
| JPS60243751A (ja) | コンピユ−タにおける不正割り込み監視回路 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |