CN116774666A - 一种高安全完整性测控设备io诊断方法及装置 - Google Patents

一种高安全完整性测控设备io诊断方法及装置 Download PDF

Info

Publication number
CN116774666A
CN116774666A CN202210230483.9A CN202210230483A CN116774666A CN 116774666 A CN116774666 A CN 116774666A CN 202210230483 A CN202210230483 A CN 202210230483A CN 116774666 A CN116774666 A CN 116774666A
Authority
CN
China
Prior art keywords
processor
switch
output
measurement
diagnosis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210230483.9A
Other languages
English (en)
Inventor
周秀芳
闫炳均
张博
刘明哲
胡波
王志平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenyang Institute of Automation of CAS
Original Assignee
Shenyang Institute of Automation of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenyang Institute of Automation of CAS filed Critical Shenyang Institute of Automation of CAS
Priority to CN202210230483.9A priority Critical patent/CN116774666A/zh
Publication of CN116774666A publication Critical patent/CN116774666A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Safety Devices In Control Systems (AREA)

Abstract

本发明涉及一种高安全完整性测控设备IO诊断方法及装置。测控装置由两路冗余的测控单元组成,测控单元的逻辑控制部分进行逻辑处理和输出控制,诊断过程中输出部分会输出控制信号,当两个控制器都接收到输出反馈信号,诊断IO输出正常,否则诊断为IO输出输出错误。本发明解决了控制器IO输出的安全动作问题,通过两路侧空单元的冗余输出,提高了测控装置输出的可靠性,通过脉冲诊断的方式,提高了测控装置输出的安全性。本发明可满足测控设备IO输出高安全完整性要求,具有很大的应用推广空间。

Description

一种高安全完整性测控设备IO诊断方法及装置
技术领域
本发明属于工控仪表领域,特别提供一种高安全完整性测控设备IO诊断方法及装置。
背景技术
功能安全***,又叫安全仪表***(SIS)或者紧急停车***(ESD)是具有功能安全的***。安全仪表***由高安全完整性测控设备组成,包括传感器、控制器和执行机构,主要用于工业生产中,保护操作人员和生产设备,避免严重危害人员生命安全的事故发生,功能安全是安全仪表***能否有效执行其安全功能的体现,是危险事故发生前的最后一道保障,所以对安全仪表***的安全完整性等级(SIL)要求更高。
硬件随机失效是一种时间随机、后果固定的失效,无论失效原因为何种,最后结果总是输出错误或者行为错误。那么,如果采用冗余结构,则通过比较多部件并行运行的计算结果即能判断是否有错误或失效发生。常规***常采用单通道结构,即不带冗余的线性1oo1(1out of 1)结构,但该结构既不能保障可靠性也不能保障安全性。
从功能安全产品的开发技术上看,冗余和容错是国际上安全性设计的通行方法,通过***的多重化设计,如:多重控制器、多重IO、多重电源等,来保证***发生故障情况下的可用性。通过在***中增加表决、诊断等技术措施,检查***的发生故障情况下的安全运行。常见冗余结构包括:双通道冗余1oo2、三通道冗余2oo3,而大于四重以上的冗余很少见,主要因为成本问题和效率问题。冗余结构应用包括两种,一种是可靠性应用,一种是安全应用。可靠性应用主要为保障***的可靠性,如双机热备或者冷备,但不需要投票结构,不必考虑计算结果的正确性。可靠性应用侧重点在于提供持续服务的能力,而结果的正确性要求不太严格。安全性应用的侧重点是结果的正确性,如某一应用的安全功能为输出高电平,则该输出高电平一定要输出高电平,不能输出低电平。安全性应用类似于“演算”,多个通道同时工作,将结果进行比较,如果相同或者结果可接受(如2oo3中有两个结果一致)则认为结果正确,否则需要安全输出。可以看出,这两者最大的区别在于,可靠性应用一般无投票机制,而安全性应用一般包含投票机制。
诊断时提高测控设备安全完整性能力的另一个有效手段,对于电子/电气/可编程元件构成的安全相关应用而言,诊断主要是为了在随机失效早期发现并进行处理,避免危险失效。特别是针对执行器的控制部分为电感性元件,例如继电器,由于电感对高频脉冲的平滑左右,高频脉冲不影响正常的工作,在输出脉冲后,可以通过反馈高频脉冲,判断输出状态,从而完成对输出的诊断。
当前现有的***设计过程中,通过更高阶的冗余来提高***的安全完整性能力,成本比较高。因此,出于成本的考虑,本发明专利将冗余和诊断技术相融合,在冗余的基础上加入诊断措施提高***的诊断能力,以弥补冗余数量不足带来的缺陷,通过1oo2的***加入诊断措施,来达到和2oo3同样的安全完整性能力。
发明内容
针对现有技术中存在的上述不足之处,本发明要解决的技术问题是提供一种高安全完整性测控设备IO诊断方法及装置,主要用于测控装置IO输出诊断功能。本设计依据测控设备的高安全完整性技术,通过两路冗余单元的设计,提高了测控装置输出的可靠性,通过脉冲诊断的方式,提高了测控装置输出的安全性。本发明通过在1oo2的***中加入IO输出诊断的脉冲,可以有效诊断测控设备IO输出功能,具有结构简单,安全性能高的特点,具有广泛的应用推广价值。
本发明为实现上述目的所采用的技术方案是:一种高安全完整性测控设备IO诊断装置,包括两个测控单元;
所述测控单元包括:
处理器,用于生成输出脉冲控制命令给输出模块,接收通过输出模块获取的反馈脉冲信号,进行脉冲诊断;
输出模块,用于接收开关的反馈脉冲信号反馈至处理器,并将处理器的脉冲控制命令发送至开关。
两个处理器互为冗余,定期进行数据交换和时钟同步。
一种高安全完整性测控设备IO诊断装置,用于诊断开关电路,所述开关电路包括串联的第一开关、第二开关,开关电路一端与电源连接,另一端用于连接执行器。
所述第一开关和第二开关均为MOS管;
第一MOS管的栅极与第一测控单元的输出模块连接以接收脉冲,漏极与输入电源相连,源极与第二MOS管的漏极连接;
第二MOS管的栅极与第二测控单元的输出模块连接以接收脉冲,源极与执行器连接,并反馈开关状态至第一测控单元的输出模块、第二测控单元的输出模块。
在诊断状态,定期发送的脉冲,周期不小于500ms,脉冲宽度不大于250ns。
处理器进行脉冲诊断时,判断当前相应开关的反馈脉冲信号,输出高电平以表示开关关断,输出低电平以表示开关打开;
当反馈脉冲信号表示开关运行输出状态为打开时,诊断输出的脉冲为高电平;
当反馈脉冲信号表示开关运行输出状态为为关断,诊断输出的脉冲为低电平;
所述脉冲诊断具体如下:
第一处理器和第二处理器分别定期发送脉冲信号给各自的输出模块,以控制相应开关的导通,同时将第一开关、第二开关的反馈脉冲信号分别发送给第一处理器和第二处理器,第一处理器和第二处理器分别判断发送的脉冲信号和反馈脉冲信号是否一致;如果不一致,则断开第一开关和第二开关,并发出报警信号。
所述脉冲诊断,包括以下步骤为:
第一处理器和第二处理器进行时间同步;
诊断周期开始后,开启定时器,第一处理器和第二处理器同时发出脉冲控制命令,使第一开关和第二开关同时动作;
第一处理器和第二处理器同时接收反馈脉冲信号;
第一处理器和第二处理器通过数据交互判断是否都收到了反馈脉冲信号;
当第一处理器和第二处理器都接收到反馈脉冲信号后,诊断结果为输出工作正常;
当第一处理器和第二处理器都没接收到反馈脉冲信号,诊断结果为输出工作故障;
当仅第一处理器或第二处理器接收到反馈脉冲信号,诊断结果为该路诊断电路工作故障;
判断定时器时间到,进行下一次诊断。
本发明是用来实现一种高安全完整性测控设备IO诊断方法及装置。它具有如下优点:
1.实现方法简单易于操作,本方法基于冗余的测控设备设计架构的基础上,通过增加脉冲输出来进行功能诊断,方法简单,只需简单的电路配合即可实现上述功能,方法实现简单,可操作性强。
2.硬件电路设计方便。本发明应用硬件电路配合软件实现输出的诊断,只需在原有硬件基础上增加反馈电路即可,硬件电路设计方便,解决了应用复杂电路来实现高诊断覆盖率的问题。
3.通用性强。随着测控设备安全性能在工业中的需求不断增加,在原有设备的基础上,应用上述方法,较大程度的实现输出诊断的高安全完整性,不需要大量改***件***平台,特别适用于通过高频脉冲来实现对继电器类输出原件的诊断,通用性能强,易于实现。
附图说明
图1是本发明结构图;
图2是本发明控制器端的算法流程图。
具体实施方式
下面结合附图及实施实例对本发明做进一步的详细说明。
本发明涉及一种高安全完整性测控设备IO诊断方法及装置。测控装置由两路冗余的测控单元组成,测控单元的逻辑控制部分进行逻辑处理和输出控制,诊断过程中输出部分会输出控制信号,当两个控制器都接收到输出反馈信号,诊断IO输出正常,否则诊断为IO输出输出错误。本发明解决了控制器IO输出的安全动作问题,通过两路侧空单元的冗余输出,提高了测控装置输出的可靠性,通过脉冲诊断的方式,提高了测控装置输出的安全性。本发明可满足测控设备IO输出高安全完整性要求,具有很大的应用推广空间。
图1为本发明的结构图。测控装置由两路测控单元组成,两单元连接成冗余结构,每个单元各控制一路输出,两路输出串接在一起,共同实现控制电源的供给和断开;每一路测控单元由输入、处理器和输出三部分组成,其中输入部分采集传感器的数据,将模拟数值通过A/D转化成数字信号,并将输出传输给处理器,处理器通过逻辑运算,来实现对输出的控制;输出单元主要根据逻辑控制部分的明令来实现输出,通过发出控制信号来实现开关的打开和关闭
输入模块用于接收传感器信号,并将传感器信号转换为数字信号发送至处理器,例如温度传感器(热电阻、热电偶等)或压力传感器等;处理器用于接收传感器的输入信号,进行逻辑处理,发送脉冲至开关,并进行脉冲诊断生成输出脉冲控制命令给输出模块,可以是通用的ARM结构的处理器;输出模块用于接收开关的反馈脉冲信号,冗余的开关可以选择MOS管或其他的具有开关性质的电子器件。
如图1所示,冗余开关部分连接如下,以MOS作为开关为例,第一MOS管的栅极与第一测控单元的输出模块连接以接收脉冲,漏极与输入电源相连,源极与第二MOS管的漏极连接;第二MOS管的栅极与第二测控单元的输出模块连接以接收脉冲,源极与执行器连接,并反馈开关状态。
为了保障输出的安全性,定义开关都打开时为安全状态。逻辑控制单元通过控制两路开关来执行输出功能,当两路开关都导通时,才实现给执行器供电,当其中任何一路发生故障不能导通时,不能执行给执行器供电,当两路都发生故障不能导通时,不能执行供电,但不会发生危险失效;当逻辑控制单元通过控制两路开关关断时,实现给给执行器断电,当其中任何一路发生故障不能段开时,执行器依然不能供电,当两路开关都发生故障不能断开时,会发生危险失效。上述通过冗余的方法能提高输出的安全性,但不能解决两路开关都发生故障不能断开这种危险失效。
针对上述问题,考虑到危险失效的避免要求,通过脉冲诊断的方式,冗余逻辑单元会定期发送脉冲信号给输出部分,输出部分控制开关的导通,同时将输出状态监测信号反馈给处理器,处理器判断发送的控制信号和反馈的信号是否一致,如果不一致,会全部打开开关,并发出报警信号。处理器进行脉冲诊断时,会判断当前的运行状态,当前运行输出状态为打开时,诊断输出的脉冲为高电平,当前运行输出状态为关断,诊断输出的脉冲为低电平。
图2是本发明诊断的流程图,测控设备正常运行后,冗余处理器通过数据交换,进行时间同步;冗余处理器在诊断周期开始时,分别开启定时器,判断各自当前开关输出状态,控制器同时发出脉冲控制明令,当前运行输出状态为打开时,诊断输出的脉冲为高电平,当前运行输出状态为关断,诊断输出的脉冲为低电平。测控设备逻辑单元控制两开关同时动作;两处理器同时接收反馈的脉冲信号;通过数据交换进行比较,来判断是否都收到了脉冲反馈信号;当两处理器都接收到反馈脉冲信号后,诊断结果为输出工作正常;当两处理器都没能接收到反馈脉冲信号,诊断结果为输出工作故障;当两处理器都只有一路接收到反馈脉冲信号,诊断结果为该路诊断电路工作故障。判断定时器时间到,进行下一次诊断。

Claims (8)

1.一种高安全完整性测控设备IO诊断装置,其特征在于,包括两个测控单元;所述测控单元包括:
处理器,用于生成输出脉冲控制命令给输出模块,接收通过输出模块获取的反馈脉冲信号,进行脉冲诊断;
输出模块,用于接收开关的反馈脉冲信号反馈至处理器,并将处理器的脉冲控制命令发送至开关。
2.根据权利要求1所述的一种高安全完整性测控设备IO诊断装置,其特征在于,两个处理器互为冗余,定期进行数据交换和时钟同步。
3.根据权利要求1所述的一种高安全完整性测控设备IO诊断装置,其特征在于,用于诊断开关电路,所述开关电路包括串联的第一开关、第二开关,开关电路一端与电源连接,另一端用于连接执行器。
4.根据权利要求3所述的一种高安全完整性测控设备IO诊断装置,其特征在于,所述第一开关和第二开关均为MOS管;
第一MOS管的栅极与第一测控单元的输出模块连接以接收脉冲,漏极与输入电源相连,源极与第二MOS管的漏极连接;
第二MOS管的栅极与第二测控单元的输出模块连接以接收脉冲,源极与执行器连接,并反馈开关状态至第一测控单元的输出模块、第二测控单元的输出模块。
5.根据权利要求1所述的一种高安全完整性测控设备IO诊断装置,其特征在于,在诊断状态,定期发送的脉冲,周期不小于500ms,脉冲宽度不大于250ns。
6.根据权利要求1所述的一种高安全完整性测控设备IO诊断方法,其特征在于,处理器进行脉冲诊断时,判断当前相应开关的反馈脉冲信号,输出高电平以表示开关关断,输出低电平以表示开关打开;
当反馈脉冲信号表示开关运行输出状态为打开时,诊断输出的脉冲为高电平;
当反馈脉冲信号表示开关运行输出状态为为关断,诊断输出的脉冲为低电平。
7.根据权利要求1所述的一种高安全完整性测控设备IO诊断方法,其特征在于,所述脉冲诊断具体如下:
第一处理器和第二处理器分别定期发送脉冲信号给各自的输出模块,以控制相应开关的导通,同时将第一开关、第二开关的反馈脉冲信号分别发送给第一处理器和第二处理器,第一处理器和第二处理器分别判断发送的脉冲信号和反馈脉冲信号是否一致;如果不一致,则断开第一开关和第二开关,并发出报警信号。
8.根据权利要求1或7所述的一种高安全完整性测控设备IO诊断方法,其特征在于,所述脉冲诊断,包括以下步骤为:
第一处理器和第二处理器进行时间同步;
诊断周期开始后,开启定时器,第一处理器和第二处理器同时发出脉冲控制命令,使第一开关和第二开关同时动作;
第一处理器和第二处理器同时接收反馈脉冲信号;
第一处理器和第二处理器通过数据交互判断是否都收到了反馈脉冲信号;
当第一处理器和第二处理器都接收到反馈脉冲信号后,诊断结果为输出工作正常;
当第一处理器和第二处理器都没接收到反馈脉冲信号,诊断结果为输出工作故障;
当仅第一处理器或第二处理器接收到反馈脉冲信号,诊断结果为该路诊断电路工作故障;
判断定时器时间到,进行下一次诊断。
CN202210230483.9A 2022-03-10 2022-03-10 一种高安全完整性测控设备io诊断方法及装置 Pending CN116774666A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210230483.9A CN116774666A (zh) 2022-03-10 2022-03-10 一种高安全完整性测控设备io诊断方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210230483.9A CN116774666A (zh) 2022-03-10 2022-03-10 一种高安全完整性测控设备io诊断方法及装置

Publications (1)

Publication Number Publication Date
CN116774666A true CN116774666A (zh) 2023-09-19

Family

ID=87990176

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210230483.9A Pending CN116774666A (zh) 2022-03-10 2022-03-10 一种高安全完整性测控设备io诊断方法及装置

Country Status (1)

Country Link
CN (1) CN116774666A (zh)

Similar Documents

Publication Publication Date Title
CN103149907B (zh) 基于双dsp的热冗余can总线高容错性控制终端及容错控制方法
CN102096401B (zh) 基于现场总线和arm处理器的冗余容错安全仪表***
US7120820B2 (en) Redundant control system and control computer and peripheral unit for a control system of this type
US6853292B1 (en) Security control system, method for the operation thereof
JP7509345B2 (ja) 機能が安全なスイッチ量出力モジュール及び診断処理方法
US8755917B2 (en) Safety control device
CN107942820B (zh) 一种高可靠性的模拟量冗余输出装置及方法
CN215416351U (zh) 一种可容错冗余控制装置
CN105278516A (zh) 一种双冗余开关量plc控制***可靠容错控制器的实现方法
JP2004529353A (ja) ソフトウェア共通類型故障を自体排除したデジタル原子炉保護システム
WO2016002416A1 (ja) 電力変換装置
EP2595018A2 (en) Method and apparatus for analogue output current control
CN110134001A (zh) 一种具有冗余安全的异构双核电机伺服控制器及其冗余安全控制方法
US10386832B2 (en) Redundant control system for an actuator and method for redundant control thereof
CN116774666A (zh) 一种高安全完整性测控设备io诊断方法及装置
CN112282934A (zh) 一种船用发动机电控***三冗余控制方法
US9003067B2 (en) Network and method for operating the network
US7890817B2 (en) Protective system for an installation and a method for checking a protective system
CN110767338A (zh) 一种核动力堆dcs架构
CN106199403B (zh) 一种热工保护***状态监测和诊断方法
CN112034774A (zh) 一种热冗余控制方法
CN114094614A (zh) 一种mmc柔性直流输电换流阀子模块旁路开关冗余控制装置及方法
Xi et al. A study about software-implemented fault injection strategy for digital RPS in nuclear power plant
CN219392514U (zh) 一种化工原理实验用dcs控制***
JPH06245280A (ja) 情報伝送装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination