DE2549467C2 - Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte - Google Patents
Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen GeräteInfo
- Publication number
- DE2549467C2 DE2549467C2 DE2549467A DE2549467A DE2549467C2 DE 2549467 C2 DE2549467 C2 DE 2549467C2 DE 2549467 A DE2549467 A DE 2549467A DE 2549467 A DE2549467 A DE 2549467A DE 2549467 C2 DE2549467 C2 DE 2549467C2
- Authority
- DE
- Germany
- Prior art keywords
- output
- sequence
- complementary
- data
- output signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired
Links
- 238000000034 method Methods 0.000 title claims description 17
- 230000007257 malfunction Effects 0.000 title claims description 15
- 230000000295 complement effect Effects 0.000 claims description 21
- 238000012806 monitoring device Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000001960 triggered effect Effects 0.000 claims description 4
- 230000008859 change Effects 0.000 claims description 2
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 claims 1
- 230000005764 inhibitory process Effects 0.000 claims 1
- 238000011144 upstream manufacturing Methods 0.000 claims 1
- 241000282414 Homo sapiens Species 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000005070 sampling Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000001154 acute effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000001684 chronic effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001816 cooling Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000002405 diagnostic procedure Methods 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 210000003608 fece Anatomy 0.000 description 1
- 230000004907 flux Effects 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0763—Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0703—Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
- G06F11/0751—Error or fault detection not based on redundancy
- G06F11/0754—Error or fault detection not based on redundancy by exceeding limits
- G06F11/0757—Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Digital Computer Display Output (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Monitoring And Testing Of Nuclear Reactors (AREA)
Description
Die Erfindung betrifft ein Verfahren zj-i Bestimmung
der Fehlfunktion in einem elektrischen Gerät, das eine Anzahl von unterschiedlichen Operationen ausführt,
die in einer vorbestimmten Aufeinanderfolge auftreten, bei welchen Operationen ein vorbestimmtes Ausgangssignal
bei richtigem Auftreten einer gegebenen Anzahl der verschiedenen Operationen periodisch erzeugt
wird, wobei das Ausgangssignal einem ein Zeitintervall festlegenden Glied zugeführt wird, das ein einen Fehler
anzeigendes Fehlersignal solange unterdrückt, wie innerhalb des ausgelösten Zeitintervalls eine erneute
Auslösung erfolgt.
Ein derartiges Verfahren ist aus der Druckschrift »Anke/Kaltenecker/Oetker, Prozeßrechner«, Oldenbourg
Verlag, München 1970, Seite 424 bis 429, bereits bekannt.
Bei der Benutzung von elektrischen oder mechanischen Geräten werden häufig elektrische Überwachungssysteme
verwendet, um die Betriebsweise des Gerätes fortlaufend zu überwachen und Fehlfunktionen
mitzuteilen, die, wenn nicht unmittelbar korrigierend eingegriffen wird, die Arbeit, für die das Gerät verwendet
wird, negativ beeinflussen. Überwachungsverfahren sind besonders wichtig bei vielen industriellen Anwendungen,
bei denen Kleincomputer eingeführt werden, um Daten zu sammeln, zu verarbeiten und Steuerungen
und Datenausgänge zu liefern. Es ist möglich und sogar wahrscheinlich, daß Fehler innerhalb der Zentraleinheit,
dem Speicher oder den Anschlußsystemen auf-
reten. Viele dieser Fehler werden wahrscheinlich nicht irkannt, unabhängig von der Systemanordnung, wenn
licht eine geeignete Anzeige vorhanden ist. Derartige Fehler könnten durchaus zu unrichtigen Handlungen
and damit zu kostspieligen Konsequenzen führen.
Diese Probleme werden noch akuter bei digitalen Übertragungssystemen, bei denen nicht nur die Verirbeitungselektronik
überwacht werden muß, sondern bei der auch einige Sicherheit gegeben sein muß, daß
die Datenübeitragungsleitungen mit der erforderlichen Anpassungsfähigkeit arbeiten.
Das aus der eingangs genannten Druckschrift bereits bekannte Verfahren iöst schon viele Probleme, die
Überwachungssysteme älterer Bauart noch nicht zu lösen vermochten. Es fehlen allerdings Einzelheiten,
wie das Verfahren ausgeführt wird, vielmehr erschöpft sich die Druckschrift in allgemeinen Hinweisen.
Aufgabe der Erfindung ist es, das bekannte Verfahren näher auszugestalten, insbesondere es für Kernreaktor-Neutronen-Durchflußmessungen
anwendbar zu machen, bei denen es auf besonders hohe Betriebssicherheit
ankommt
Dabei sollen auch Fehler aufgefunden werden, die sowohl Fehlfunktion innerhalb eines Gerätes als auch
innerhalb der Überwachungsinstrumentierung verur-Sachen, und zwar selbst dann, wenn der Teil, der die
Fehlfunktion verursacht, nicht in Betrieb ist.
Gelöst wird die Aufgabe dadurch, daß bei dem eingangs genannten Verfahren das Ausgangssignal codiert
ist und das codierte Ausgangssignal erst nach Decodierung in einem Decodierglied dem ein Zeitintervall festlegenden
Glied zugeführt wird, wobei die codierten Ausgangssignale während vorgewählter unterschieülicher
Operationen erzeugt werden.
Das Verfahren läßt sich dadurch weiter ausgestalten, daß über die das elektrische Gerät und die das Decodierglied
enthaltende Überwachungseinrichtung verbindende Sammelleitung laufende Eingangssignale
derart codiert sind, daß in einer der Übertragungsleitungen der Sammelleitung auftretende Fehler die
Codierung- ändern würden.
Insbesondere kann das Ausgangssignal eine Folge von Komplementäradressen umfassen, die die zugeteilten
Adressenleitungen vollständig einnehmen, sowie eine entsprechende Folge von Komplementärdaten-Wörtern,
die die zugeteilten Datenleitungen der Sammelleitung vollständig beanspruchen.
Bezüglich eines Gerätes zur Ausführung des Verfahrens gibt der Stand der Technik nur insoweit etwas her,
als ein Digitalprozessor über eine Sammelleitung mit zumindest einem Ein^abe/Ausgabemodul sowie einer
Überwachungseinrichtung verbunden ist. die einen Alarmausgang besitzt.
Nähere Einzelheiten fehlen auch bezüglich der gerätetechnischen Ausbildung, wenn es auch aus der US-PS
37 95 800 an sich bekannt ist, wie man die einwandfreie Funktion der Datenübertragung zwischen einem zentralen
Prozessorsystem und einem entfernten Digitalprozessor (entspricht dem Eingabe-/Ausgabemodul der
vorliegenden Schaltung) durch eine Überwachungseinrichtung kontrollieren kann. Sobald ein Zustand
erkannt wird, der eine Fehifunktion innerhalb des entfernt angeordneten Prozessorsystems bedeuten kann,
veranlaßt die Überwachungseinrichtung diesen entfernten Prozessor, sich von der Übertragungsleitung
für eine vorbestimmte Zeitperiode abzuschalten. Anschließend löst die Überwachungseinrichtung eine
Serie von Operation.*;} aus, die das System wieder auf
Normalzustand bringt und die Datenverbindung mit dem zentralen Prozessorsystem wieder einrichtet.
Die in den Geräteansprüchen enthaltenen kennzeichnenden Merkmale gehen aus dieser Druckschrift jedoch
nicht hervor.
Die Erfindung ist nachfolgend anhand der in den Zeichnungen dargestellten Ausführungsbeispiele
beschrieben. Es zeigt
Fig. 1 eine schematische Darstellung der Anwendung der Erfindung bei einem Kommunikationssystem·.
Fig. 2 eine schematische Darstellung der Anwendung der Erfindung bei einem Digitalrechner, einschließlich
einem Blockdiagramm der erfindungsgemäßen Überwachungseinrichtung; und
Fig. 3 ein Schaltschema der elektrischen Komponenten der erfindungsgemäßen Überwachungseinrichtung.
Fig. 1 zeigt eine Übertragungssammelleitung 10, die im allgemeinen eine Anzahl von Adressenleitungen,
Steuerleitungen und Datenwortleitungen umfaßt, um codierte Informationen in elektrisch digitaler Form
zwischen verschiedenen Orten zu übertragen. Die Sammelleitungssteuerung,
auch als »Master« bezeichnet, steuert die Abgabe und Aufnahme von Informationen
zu und von entfernten Stationen 14 über die Sammelleitung 10, wobei die entfernten Stationen 14 auch als »Slaves«
oezeichnet werden. Jede der entfernten Stationen 14 identifiziert die Tür sie bestimmte Digitalinformation,
indem die entsprechende zugeteilte Adresse decodiert wird. Die tatsächlich übertragene Information ist
in der Form von Digitaldatenworten codiert. Entsprechend umfaßt die Sammelleitung 10 im allgemeinen
getrennte Adressen-, Steuer- und Datenwortleitungen. Der Samrnelleitungssteuerung 12 wird die zusätzliche
Aufgabe der periodischen Aktivierung eines Totmann-Auslösers 16 zugeteilt, der in der Weise arbeitet, daß er
einen gegebenen Satz von Adressen- und Datenworten an einen asynchronen Fehlerdetektor-Schaitkreis 18
abgibt, der im folgenden noch näher erläuten werden wird. Somit aktiviert die Sammelleitungssieuerung
periodisch den Totmann-Auslöser 16, der wiederum eine vorgewählte Anordnung von codierten Digitalausgängen
erzeugt, die über die Sammelleitung 10 zu dem asynchronen Fehlerdetektorschaltkreis 18 transportiert
werden.
Es ist günstig, wenn die von dem Totmann-Auslöser übertragenen Ausgänge eine Folge von Komplementäradressen
umfassen, die die zugeteilten Adressenleitungen vollständig einnehmen, sowie eine entsprechende
Folge von Komplementär-Datenworten, die die zugeteilte Datenleitung der Sammelleitung vollständig beanspruchen.
Ein Aktivierungssignal von der Sammelleituagssteuerung
12 löst innerhalb des Totmann-Auslösers 16 den Taktgeber 20 aus, der wiederum einen entsprechenden
Ausgang liefert, um den Zähler 22 durch eine vorgegebene Zahl von Zuständen hindurchiuführen, die
repräsentativ sind für die gewünschten vorgewählten Adressen- und Datenworte. Der Zähler liefert einen
zyklischen Ausgang, der verwendet wird, um vorbestimmte Adressen- und Datenworte auszuwählen,
die in einem Festwertspeicher 24 gespeichert sind. Die Informationen werden gespeichert, bis die Sammelleitungssteuerung
12 mittels eines entsprechenden Ausgangsbefehls den Festwertspeicher 24 veranlaßt, die
gewünschte Auigangsfolge dem asynchronen Fehlerdetektor
18 über die Leitung 10 zu übermitteln. Der Festwertspeicher reagiert in diesem Ausfuhrungs-
beispiel auf den Befehl der Sammelleitungssteuemng,
um Komplementäradressen und entsprechende Komplementär-Datenworte gemäß der vorgewählten Folge
zu verteilen.
Die Aufnahme der geeignet codierten Information in
der gewünschten Folge wird durch ein Decodiernetzwerk innerhalb es Fehlerdetektor-Schaltkreises 18 identifiziert. Der Ausgang des Decodier-Netzwerkes löst ein
Zeitsteuerintervall erneut aus, das einen entsprechenden elektrischen Ausgang mit einer Dauer besitzt, die
gleich ist der Dauer des Zeitsteuerintervalls. Der Ausgang des Zeitsteuergebers wird verwendet, um einen
aktiven Fehlerausgang daran zu hindern, zu entsprechenden Fehleranzeigern weitergeleitet zu werden,
die so angeordnet sein können, daß sie korrigierend die gewünschte Handlung ausführen. Vorzugsweise wird
der Ausgang des Festwertspeichers mit einer Periodizität übertragen, die ausreicht, um den Zeitsteuerausgang
ununterbrochen laufen 7u lassen, so daß eine Fehlfunktion nur unter solchen Umständen angezeigt wird, bei
denen die Sammelleitungssteuerung nicht die gewünschte Operation durchläuft. Alternativ kann die
Periode des Festwertspeicherausijanges etwas größer gemacht werden, als das Zeitsteuerintervall innerhalb
des asynchronen Fehlerdetektors 18 beträgt, um die Anzeigeeinrichtungen für eine kurze Dauer zu aktivieren und damit ihre Betriebsfähigkeit zu kontrollieren.
Der Festwertspeicher 24 ist ein Element, das in bekannter Weise drei Ausgangszustände aufweist, wobei zwei
den komplementären Zuständen der Adressen- und Datenworte entsprechen. Der dritte Zustand ist ein
schwebender Ausgang, der während des normalen Betriebes der Sammelleitungsstsuerung 12 benutzt
wird, um die Übertragung und Aufnahme der Information zu ermöglichen, die normalerweise zwischen der
Sammelleitungssteuemng und den entfernten Stationen 14 durchgeführt wird. Auch der Taktgeber 20 und
der Zähler 22 sind bekannt und im Handel erhäitiich.
Bei vielen industriellen Systemen wurden Kleincomputer eingesetzt, um Daten zu sammeln, zu verarbeiten
und auch um Steuerungen sowie Datenausgänge zu liefern. Es ist möglich und sogar wahrscheinlich, daß
innerhalb des Rechners, seinem Speicher oder seinen Interface-Systemen Fehler auftreten. Viele dieser Fehler werden nicht erkannt werden, abhängig von dem
Aufbau des Systems. Derartige Fehler könnten zu falschen Handlungen führen, die kostspielige Konsequenzen haben können. Entsprechend kann die erfindungsgemäße Fehlerüberwachung mit besonderem Vorteil
bei Kleincomputer-Anwendungen benutzt werden und wird im folgenden beispielhaft im Zusammenhang mit
einem derartigen System zur Identifizierung von Fehlfunktionen in der Eingangs-/Sammelleitung wie auch in
dem Rechner selbst beschrieben werden.
Fig. 2 illustriert ein Ausführungsbeispiel, wobei die Erfindung mit einem Kleinrechnersystem zusammenarbeitet, der aus einer Zentraleinheit 26. einer Eingangs-/Ausgangs-SammelIeitung 10 und Eingabe-/
Ausgabeeinheiten 28 besteht. Die Ähnlichkeiten zwischen den in Fig. 2 und 1 dargestellten Systemen
wird ohne weiteres deutlich, da die Zentraleinheit 26, wie vom Fachmann leicht zu erkennen ist. die Verantwortung sowohl für die Sammelleitungssteuemng 12 als
auch für den Totmann-Auslöser 16 übernimmt. Die Eingabe-ZAusgabe-Sammelleitung 10 der Fig. 2 ist im
wesentlichen identisch mit der in Fig. 1 dargestellten
Übertragungs-Sammelleitung, während die Eingabe-/ Auseabeeinheiten 28 den entfernten Stationen 14
entsprechen. Der asynchrone Fehlerdetektor 18 ist in Fig. 2 in größeren Einzelheiten dargestellt und umfaßt
den Folgedetektor 30, der dem Decodiernetzwerk der Fig. 1 entspricht. Der Ausgang des Folgedetektors 30
S wird dem Intervall-Taktgeber 32 zugeführt, der daraufhin das vorbestimmte Zeitintervall (erneut) auslöst. Der
Intervall-Taktgeber-Ausgang wird dem Alarmrelais 34 übermittelt, um den Alarmausgang 36 so lange zu deaktivieren, solange das Taktgeberintervall nicht abgelau-
fen ist.
Wie aus der folgenden, mehr ins einzelne gehenden Beschreibung des Rechners hervorgeht, übermittelt der
Rechner während seiner normalen Operationsfolge, in der er mit den Eingabe-/Ausgabeeinheiten in Verbin-
IS dung steht, periodisch einen vorbestimmten codierten
Ausgang an den asynchronen Fehlerdetektor 18. Der Folgedetektor überprüft die Gültigkeit und Aufeinanderfolge der empfangenen Signale. Wenn der codierte
Ausgang in der richtigen Folge und Form, wie von dem
Folgedetektor 30 ermittelt, aufgenommen wurde, wird
dem Intervall-Zeitgeber 32 ein Wiederauslösesignal zugeführt, wodurch der Alarmausgang 36 daran gehindert wird, das Auftreten einer Fehlfunktion anzuzeigen.
Solange der Rechner den codierten Ausgang dem asyn
chronen Fehlerdetektor gemäß seiner Operationsfolge
in richtiger Aufeinanderfolge und periodisch den codierten Ausgang liefert, wird der Fehlerausgang keine
Fehlfunktion anzeigen. Wenn jedoch der Rechner nicht mehr durchweine normale Folge hindurchläuft, wird ein
codierter Ausgang in der richtigen Zeitfolge nicht geliefert und ein Alarmausgang erzeugt.
Zusätzlich ist der asynchrone Fehlerdetektor an einem entfernten Ende der Eingangs-/Ausgangs-Sammelleitung angeordnet, um sowohl auf Kurzschlüsse wie
auch auf Schaltkreisunterbrechungen innerhalb der Übertragungsleitung zu reagieren und einen entsprechenden Fehlerausgang zu liefern. Eine derartige Fehlfunktion innerhalb der Leitung unterbricht die richtige
Übertragung des codierten Ausganges an den asynchro
nen Fehlerdetektor, was wiederum dazu führt, daß das
Zeitgeberintervall abläuft und den Alarmausgang 36 auslöst.
Zusätzlich wird der Rechner durch ein diagnostisches Programm in die Lage versetzt, ein Selbstprüfpro
gramm zu durchlaufen und periodisch einen codierten
Ausgang zu liefern, der anzeigt, daß ein gültiger Test stattgefunden hat. Wie aus der folgenden Erläuterung
noch hervorgeht, wird der codierte Ausgang dem asynchronen Fehlerdetektor während des Testverlaufs in
Intervallen geliefert, die ausreichen, um den Zeitgeberausgang ununterbrochen einzuschalten und somit die
Anzeige einer Fehlfunktion zu verhindern.
Fig. 3 gibt in größeren Einzelheiten eine schematische Schaltungsdarstellung des asynchronen Fehler-
detektors, der bisher mit der Bezugszahl 18 versehen wurde, wieder. Der Fehlerdetektor decodiert zwei
Adressen, die auf den Eingangs-ZAusgangs-Sammeladressenleitungen ÖSÜ bis DS5 übermittelt wurden.
Diese Adressen lauten hier als Beispiel 25s und S2g, um
dem jeweils benutzten Kleincomputer, der in der im
folgenden dargestellten beispielhaften Anwendung benutzt wird, zu genügen. Die Adressen komplementieren günstigerweise einander, so daß jede Adressenleitung in beiden Zuständen benutzt wird. Der Verglei-
eher 38 decodiert die Adressen 52« und der Vergleicher
40 decodiert die Adresse 25g. Zusätzlich zur Decodierung der komplementären Adressen muß der Fehlerdetektor ein spezifisches Datenwort bei jeder Adresse
aufnehmen. Die Adresse 25* muß das Datenwort
052525* und die Adresse 52« das Datenwort 125252« aufnehmen. Diese Dalcnwortc sind octal komplementär,
so daß beide Zustände jeder Datenleitung (DATAQ bis
DATAlS) auftreten werden. Die Vergleicher 42 und 44 liefern für beide Worte eine Decodierung. Die Steuerleitungen können in ähnlicher Weise erregt werden,
ind^Ti komplementäre Steuersignale in dem codierten
Ausgang für den Fehlerdetektor aufgenommen werden. Die Schaltkreisanordnung 46 liefert lediglich die notwendige Signalanpassung für den Übergang der Daten
und Adressensignale zu der Fehlerdetektorelektronik.
Zusätzlich zu den vorgewählten Bit-Kombinationen, die in dem codierten Ausgang enthalten sind, müssen
die Bit-Kombinationen in einer bestimmten Folge übertragen werden. Der in Fig. 3 dargestellte Schaltkreis erfordert, daß auf zwei Adressen des Fehlerdetektors zugegriffen wird. Die Verknüpfungsglieder
48. 50, 52 und 54 bilden einen Flipflop, der diese Funktion der Aufeinanderfolge steuert. Das Signal
DATAOUTA vom Kreis DATOA auf der Eingang-/ Ausgangs-Sammelschiene ist ein Steuerimpuls, der
anzeigt, daß die Adresse und die Daten gültig sind. Der Ausgang des Flipflop wird verwendet, um zwei monostabile Schaltungen 56 und 58 auszulösen. Zwei re-
dundante monostabile Schaltungen werden bevorzugt verwendet, um den Zugriff zu verbessern. Jede monostabile Schaltung ist in dem dargestellten Beispiel auf
eine Verzögerungszeit von 150 ms eingestellt. Natürlich wird die Verzögerungszeit so gewählt, daß die besondererv Bedingungen für die Periodizität der Daten und
Adressen erfüllt werden, die von dem Rechner über die Eingangs-/Ausgangs-Sammelschiene aufgenommen
werden. Die Ausgänge der monostabilen Schaltungen werden mit einem NAND-Verknüpfungsglied 60 verbunden, um ein Relais 62 zu erregen und das Alarmsignal für die Dauer des Zeitsteuersignals der monostabilen Schaltungen zu deaktivieren. Entsprechend -wird
das Relais so lange aktiviert, wie die monostabilen Schaltungen ununterbrochen aufs neue ausgelöst werden. Wird eine erneute Auslösung der monostabilen
Schaltungen innerhalb des Zeitsteuersignals nicht durchgeführt, schließt das Relais und aktiviert den
Fehlerausgang, der über die Anschlüsse 64 läuft. Somit ist ein Fehlerausgang vorhanden, wenn nicht das
System fortlaufend den vorgeschriebenen codierten Ausgang in der gewünschten Folge liefert.
Ein volles Verständnis der Erfindung, soweit bisher beschrieben, kann am besten in Verbindung mit der
Darstellung einer tatsächlichen Anwendung erhalten so werden, beispielsweise in der Anwendung als Durchfluß-Überwachungssystem für Kernreaktoren. Ein
solches System ist allgemein in der US-PS 3932211 (entspricht der deutschen Patentanmeldung P
2432566.4) beschrieben.
Der Zweck dieses Systems liegt darin, den Atomreaktorkem periodisch abzufragen, wobei sin bereits
vorhandenes bewegliches im Kern angeordnetes Durchfluß-Darstellungssysiem verwendet wird. Der
Neutronendurchfluß durch die axiale Höhe des Kerns wird aufgezeichnet, normiert und dann nach ungewöhnlichen Spitzen gesucht, die die annehmbaren Grenzen
überschreiten. Ungewöhnliche Spitzen in der axialen Verschiebung können auf abnormal lokalisierte Erhitzung im Kern zurückgeführt werden. Die lokalisierte
Leistungserhöhung muß innerhalb annehmbarer Grenzen gehalten werden, um die Wirksamkeit derNotkühlsvsteme für den Kern im Falle von unwahrschein
lichen ernsten Betriebsstörungen sicherzustellen.
Das Überwachungssystem für die axiale Leistungsverteilung benutzt analoge Schaltkreise, um die axialen
Durchflußdaten zu normieren, indem ein Verhältnis Spitze zu Durchschnitt berechnet wird. Das System
erzeugt dann einen Alarm, wenn das berechnete Verhältnis einen festen annehmbaren Schwellwen überschreitet. Neue Spezifikationen machen es notwendig,
einen Alarmschwellwert festzulegen, der eine Funktion der axialen Stellung innerhalb des Kerns ist. Höhere
Spitzen können am Boden des Reaktorkerns eher toleriert werden, als am oberen Ende des Kerns. Der Alarmschwellwert nimmt daher gleichförmig mit ansteigender Kernhöhe ab. Um diese Funktion in richtiger Weise
durchzuführen, müssen die Rohdaten abgetastet und während der gesamten Abtastung gespeichert werden,
da der wahre Durchschnitt nur am Ende eines jeden AbtastzykJusses berechnet werden kann. Eine
normierte Kurve muß erzeugt und mit dem veränderlichen Alarmschwellwert verglichen werden. Eine analoge Ausführung dieser Funktion wäre sehr aufwendig
und kompliziert, verglichen mit einer digitalen Lösung, wenn eine große Anzahl von Abtastungen vorhanden
ist. Entsprechend sollte ein Digitalrechnersystem verwendet werden, das einen Kleincomputer benutzt.
Um die Gültigkeit der gesammelten Daten und der aus diesen Daten errechneten Ergebnisse sicherzustellen, wird die erfindungsgemäße Fehlerüberwachung
angewendet, um das Kraftwerkspersonal unmittelbar auf fehlerhafte Betriebsbedingungen aufmerksam zu
machen. Im wesentlichen ist das System in Fig. 2 schematisch dargestellt, wo der Computer so programmiert
ist, daß er periodisch eine ausgebildete Folge von codierten Ausgängen einem asynchronen Fehlerdetektor während des Verlaufs des normalen Rechenprogramms vorlegt. Wiederum wird die Periode, mit der die
codierten Ausgänge geliefert werden, durch das Intervall des IniervaUtaktgebers 32 festgelegt. Zusätzlich ist
der Kleincomputer so programmiert, daß er ununterbrochen Diagnoseroutinen zwischen den Axial-Abtastperioden des Durchfhißmonitors durchführt, um fcr*.-laufend den Betrieb des Rechners und der zugehörigen
Ausrüstung zu überprüfen. Während des Verlaufs einer derartigen Diagnoseroutine werden von dem
Diagnoseprogramm der vorgewählte codierte Ausgang des asynchronen Fehlerdetektor geliefert, um das Taktgeberintervall neu auszulösen. Wird während des
Diagnoseverfahrens eine Fehlfunktion ermittelt, wird der Kleincomputer nicht durch die nächst folgende
Anordnung von Befehlen laufen und die Ausgabe von vorgewählten codierten Signalen, die zur Wiederauslösung des Intervalltaktgebers erforderlich sind, nicht liefern. Somit wird ein Ausgang erzeugt, der eine Fehlfunktion anzeigt, die auf den Betrieb des Rechners
zurückgeführt werden kann.
Claims (10)
1. Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Gerät, das eine Anzahl von un- S
terschiedlichen Operationen ausführt, die in einer vorbestimmten Aufeinanderfolge auftreten, bei
welchen Operationen ein vorbestimmtes Ausgangssignal bei richtigem Auftreten einer gegebenen
Anzahl der verschiedenen Operationen periodisch erzeugt wird, wobei das Ausgangssignal einem ein
Zeitintervall festlegenden Glied zugeführt wird, das ein einen Fehler anzeigendes Fehlersignal solange
unterdrückt, wie innerhalb des ausgelösten Zeitintervalls eine erneute Auslösung erfolgt, dadurch is
gekennzeichnet, daß das Ausgangssignal codiert ist und das codierte Ausgangssignal erst nach
Decodierung in einem Decodierglied (38, 40,42,44 Fig. 3) dem ein Zeitintervall festlegenden Glied (48
bis 60) zugeführt wird, wobei die codierten Ausgangssignale während vorgewählter Operationen
erzeugt werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß über die das elektrische Gerät (14) und
die das Decodierglied enthaltende Überwachungseinrichtung (18) verbindende Sammelleitung (10)
laufende Eingangssignale derart codiert sind, daß in einer der Übertragungsleitungen der Sammelleitung
(10) auftretende Fehler die Codierung ändern würden.
3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, daß das Ausgangssignal eine Folge von
Komplementäradressen umfaßt, di» die zugeteilten Adressenleitungen vollständig einnehmen, sowie
eine entsprechende Folge von Komp'-^mentärdaten-Worten,
die die zugeteilten Datenleitungen der Sammelleitung vollständig beanspruchen.
4. Gerät zur Ausführung des Verfahrens nach den Ansprüchen 1 und 3, bei denen ein Digitalprozessor
(26) über eine Sammelleitung (10) mit zumindest einem Eingabe/Ausgabemodul (28) sowie einer
Überwachungseinrichtung (18) verbunden ist, die einen Alarmausgang (36) besitzt, dadurch gekennzeichnet,
daß der Digitalprozessor (26) einen Festwertspeicher (24) aufweist, in dem vorbestimmte
Adressen- und Datenworte gespeichert sind, dem ein Auslösekreis (20, 22) vorgeschaltet ist, der aufgrund
eines von der Sammelleitung (10) stammenden Auslösesignals den Festwertspeicher (24) derart
ansteuert, daß dieser der Sammelleitung Komplementäradressen und Komplementärdatenworte in
vorbestimmter Folge zufuhrt, und daß die Überwachungseinrichtung (18) einen die vorbestimmten
Folgen identifizierende Decodierschaltkreis (30) umfaßt, der bei Aufnahme und richtiger Decodierung
der Folgen ein Ausgangssignal abgibt, das einem Zeitglied (35) zugeführt ist, das bei Aufnahme
des Ausgangssignals ein Signal vorbestimmter Zeitdauer abgibt, das als Inhibitionssignal einem
Alarmkreis (34) zugeführt ist.
5. Gerät nach Anspruch 4, dadurch gekennzeichnet, daß der Auslösekreis (20. 22) einen Zähler (22)
mit vorgeschaltetem Takij'-ber (20) mit einer festen
Taktperiode umfaßt, so daß der Festwertspeicher (24) mit einer festen Taktperiode seine Ausgangsdaten
an die Sammelleitung (10) abgibt, und daß die Festwertspeicherperiode geringfügig größer als die
vorbestimmte Dauer des Zeitgliedes (32) der Überwachungseinrichtungen zur Überprüfung ihrer
Betriebsfähigkeit kurzzeitig zu aktivieren.
6. Gerät nach Anspruch 4 oder 5, dadurch gekennzeichnet, daß der Auslösekreis von dem
Digjtalprozessor (26) gebildet ist, der die Folge von
Komplementäradressen und Komplementärdatenworten abgibt
7. Gerät nach einem der Ansprüche 4 bis 6, dadurch gekennzeichnet, daß die Überwachungseinrichtung
(18) einen Decodierer (38, 40; 42, *4.
Fig. 3) für zwei zueinander komplementäre Adressen auf zugehörigen Adressenleitungen (DSO bis
DSS), für zwei zueinander komplementäre Datenworte auf zugehörigen Datenleitungen (DATA 0 bis
DATA 15) und/oder für zueinander komplementäre Si-juersignale auf zugehörigen Steuerleitungen
umfaßt.
8. Gerät nach Anspruch 7, dadurch gekennzeichnet, daß die Überwachungseinrichtung .(18)
eine dem Decodierer (38 bis 44) nachgeschaltete Verknüpfungsschaltung (Flip-Flop 48 bis 54) zur
Steuerung der Aufeinanderfolge der Komplementärwerte umfaßt.
9. Gerät nach Anspruch 8, dadurch gekennzeichnet, daß der Verknüpfungsschaltung zwei
monostabile Schaltungen (56, 58) mit einstellbarer Verzögerungszeit nachgeschaltet sind, deren jeweiliger
Ausgang mit einem NAND-Verknüpfungsglied (60) verbunden ist, das seinerseits ein Alarmrelais
(62) derart ansteuert, daß das Relais für die Dauer des Zeitsteuersignals der monostabilen Schaltungen
deaktiviert ist.
10. Verwendung des Gerätes nach einem der Ansprüche 4 bis 9 in einem Neutronendurchflußüberwachungssystem
für einen Kernreaktor.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US522191A US3919533A (en) | 1974-11-08 | 1974-11-08 | Electrical fault indicator |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE2549467A1 DE2549467A1 (de) | 1976-05-13 |
| DE2549467C2 true DE2549467C2 (de) | 1986-03-27 |
Family
ID=24079824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE2549467A Expired DE2549467C2 (de) | 1974-11-08 | 1975-11-05 | Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US3919533A (de) |
| JP (1) | JPS546470B2 (de) |
| BE (1) | BE835338A (de) |
| BR (1) | BR7507300A (de) |
| CA (1) | CA1038040A (de) |
| DE (1) | DE2549467C2 (de) |
| ES (1) | ES442432A1 (de) |
| FR (1) | FR2290668A1 (de) |
| GB (1) | GB1522810A (de) |
| IT (1) | IT1048663B (de) |
| SE (1) | SE7512523L (de) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2533995A1 (de) * | 1975-07-30 | 1977-02-17 | Bodenseewerk Geraetetech | Vorrichtung zur ueberwachung eines digitalen flugreglers |
| US4084262A (en) * | 1976-05-28 | 1978-04-11 | Westinghouse Electric Corporation | Digital monitor having memory readout by the monitored system |
| US4228496A (en) * | 1976-09-07 | 1980-10-14 | Tandem Computers Incorporated | Multiprocessor system |
| JPS5458115A (en) * | 1977-10-19 | 1979-05-10 | Hitachi Ltd | Engine controller |
| US4183460A (en) * | 1977-12-23 | 1980-01-15 | Burroughs Corporation | In-situ test and diagnostic circuitry and method for CML chips |
| US4255789A (en) * | 1978-02-27 | 1981-03-10 | The Bendix Corporation | Microprocessor-based electronic engine control system |
| US4224506A (en) * | 1978-03-24 | 1980-09-23 | Pitney Bowes Inc. | Electronic counter with non-volatile memory |
| DE2838619A1 (de) * | 1978-09-05 | 1980-03-20 | Bosch Gmbh Robert | Einrichtung zum steuern von betriebsparameterabhaengigen und sich wiederholenden vorgaengen fuer brennkraftmaschinen |
| US4184630A (en) * | 1978-06-19 | 1980-01-22 | International Business Machines Corporation | Verifying circuit operation |
| JPS5561801A (en) * | 1978-10-31 | 1980-05-09 | Toshiba Corp | Unit using control device such as microcomputer |
| JPS6032217B2 (ja) * | 1979-04-02 | 1985-07-26 | 日産自動車株式会社 | 制御用コンピュ−タのフェィルセ−フ装置 |
| CH638043A5 (en) * | 1979-07-20 | 1983-08-31 | Landis & Gyr Ag | Arrangement for the central measurement of the thermal energy drawn by a plurality of heat consumers |
| FR2480000A1 (fr) * | 1980-04-03 | 1981-10-09 | Renault | Commande electronique pour transmission automatique de vehicule automobile utilisant un microcalculateur |
| US4340965A (en) * | 1980-10-22 | 1982-07-20 | Owens-Corning Fiberglas Corporation | Method of and apparatus for detecting and circumventing malfunctions in a current-loop communications system |
| GB2087119B (en) * | 1980-11-06 | 1985-05-15 | British Gas Corp | Fail-safe supervisory circuit |
| FR2514522A1 (fr) * | 1981-10-09 | 1983-04-15 | Commissariat Energie Atomique | Dispositif de securite entre un systeme de commande d'un actionneur de surete et un circuit logique de commande de cet actionneur |
| US4468768A (en) * | 1981-10-26 | 1984-08-28 | Owens-Corning Fiberglas Corporation | Self-testing computer monitor |
| US4524449A (en) * | 1982-09-28 | 1985-06-18 | Framatome & Cie. | Safety device |
| JPS59114652A (ja) * | 1982-12-21 | 1984-07-02 | Nissan Motor Co Ltd | ウォッチドッグ・タイマ回路 |
| GB2197507A (en) * | 1986-11-03 | 1988-05-18 | Philips Electronic Associated | Data processing system |
| DE68926794D1 (de) * | 1988-03-29 | 1996-08-14 | Advanced Micro Devices Inc | Zeitüberwachungseinrichtung |
| US5233613A (en) * | 1988-03-29 | 1993-08-03 | Advanced Micro Devices, Inc. | Reliable watchdog timer |
| US4956842A (en) * | 1988-11-16 | 1990-09-11 | Sundstrand Corporation | Diagnostic system for a watchdog timer |
| US5097470A (en) * | 1990-02-13 | 1992-03-17 | Total Control Products, Inc. | Diagnostic system for programmable controller with serial data link |
| US5309445A (en) * | 1992-06-12 | 1994-05-03 | Honeywell Inc. | Dynamic self-checking safety circuit means |
| EP0704074B1 (de) * | 1993-06-16 | 1997-07-23 | Honeywell Inc. | Dynamisch selbstprüfendes sicherheitschaltungsmittel |
| US5692123A (en) * | 1994-12-07 | 1997-11-25 | Cray Research, Inc. | Maintenance channel for modulator, highly interconnected computer systems |
| CN101847452B (zh) * | 2009-08-31 | 2012-04-18 | 中广核工程有限公司 | 一种压水堆核电站首故障诊断方法和*** |
| DE102011001015B4 (de) | 2011-03-02 | 2016-03-03 | Nordson Holdings S.À.R.L. & Co. Kg | Filterelement für die Filtrierung eines Fluids und daraus gebildete Filtereinheit |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US3500318A (en) * | 1967-11-02 | 1970-03-10 | Sperry Rand Corp | Plural communication channel test circuit |
| US3745529A (en) * | 1971-12-27 | 1973-07-10 | Trivex Inc | Trouble alarm device for transmission system |
| US3795800A (en) * | 1972-09-13 | 1974-03-05 | Honeywell Inf Systems | Watchdog reload initializer |
-
1974
- 1974-11-08 US US522191A patent/US3919533A/en not_active Expired - Lifetime
-
1975
- 1975-10-08 CA CA237,249A patent/CA1038040A/en not_active Expired
- 1975-10-31 GB GB45446/75A patent/GB1522810A/en not_active Expired
- 1975-11-05 DE DE2549467A patent/DE2549467C2/de not_active Expired
- 1975-11-06 BR BR7507300A patent/BR7507300A/pt unknown
- 1975-11-07 ES ES442432A patent/ES442432A1/es not_active Expired
- 1975-11-07 BE BE161662A patent/BE835338A/xx not_active IP Right Cessation
- 1975-11-07 SE SE7512523A patent/SE7512523L/xx unknown
- 1975-11-07 JP JP13316775A patent/JPS546470B2/ja not_active Expired
- 1975-11-07 IT IT29098/75A patent/IT1048663B/it active
- 1975-11-10 FR FR7534265A patent/FR2290668A1/fr active Granted
Also Published As
| Publication number | Publication date |
|---|---|
| IT1048663B (it) | 1980-12-20 |
| FR2290668B1 (de) | 1980-04-30 |
| SE7512523L (sv) | 1976-05-10 |
| BE835338A (fr) | 1976-05-07 |
| ES442432A1 (es) | 1977-04-01 |
| JPS546470B2 (de) | 1979-03-28 |
| FR2290668A1 (fr) | 1976-06-04 |
| GB1522810A (en) | 1978-08-31 |
| BR7507300A (pt) | 1976-08-31 |
| CA1038040A (en) | 1978-09-05 |
| JPS5169966A (de) | 1976-06-17 |
| US3919533A (en) | 1975-11-11 |
| DE2549467A1 (de) | 1976-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| DE2549467C2 (de) | Verfahren zur Bestimmung der Fehlfunktion in einem elektrischen Geräte | |
| DE3587281T2 (de) | Verteiltes mikroprozessorsystem fuer die verarbeitung von sensorsignalen eines verwickelten prozesses. | |
| DE3702006A1 (de) | Speichervorrichtung | |
| DE1538493A1 (de) | Rechneranlage zur ausfallsicheren Regelung von industriellen Verfahrensablaeufen | |
| DE2946081A1 (de) | Anordnung zur ueberwachung der funktion eines programmierbaren elektronischen schaltkreises | |
| DE3201768C2 (de) | ||
| DE2258917B2 (de) | Regelvorrichtung mit mindestens zwei parallelen signalkanaelen | |
| EP3073333B1 (de) | Brenneranlage mit einer Sicherheitseinrichtung | |
| DE69927571T2 (de) | Datenprozessor und Verfahren zum Verarbeiten von Daten | |
| WO2017080793A2 (de) | Verfahren zum betrieb eines mehrkernprozessors | |
| DE2647367C3 (de) | Redundante Prozeßsteueranordnung | |
| DE2636352C3 (de) | Schutzsystem für einen Kernreaktor | |
| DE4039013C2 (de) | ||
| DE2364314C2 (de) | Zeitmultiplexübertragungssystem für mehrere Kanäle | |
| DE1937259C3 (de) | Selbstprüf ende Fehlererkennungsschaltung | |
| EP0077450B1 (de) | Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage | |
| DE2106163A1 (de) | Verfahren zum Prüfen von Einheiten eines programmgesteuerten Verarbeitungssystems | |
| DE2014729C3 (de) | Datenverarbeitungssystem mit Einrichtungen zur Fehlerermittlung und zur Systemumkonfiguration unter Ausschluß fehlerhafter Systemeinheiten | |
| DE2913371A1 (de) | Verfahren und system zur ablaufsteuerung | |
| DE1267887B (de) | Fehlererkennungseinrichtung zur UEberwachung von Programmverzweigungen in datenverarbeitenden Maschinen | |
| EP0012794B1 (de) | Verfahren und Einrichtung für eine elektronische Datenverarbeitungsanlage zur Prüfung der aus einer Instruktion abgeleiteten Steuersignale | |
| DE3739227C2 (de) | ||
| CH662682A5 (de) | Einrichtung zur ueberwachung von thyristoren eines hochspannungsventils. | |
| DE2048473C3 (de) | Mit einem Hauptdatenrechner verbundener Fehlerdatenrechner geringerer Leistungsfähigkeit | |
| DE2315285C3 (de) | Anordnung zur Steuerung der Abtastung in Vermittlungssystemen |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 8110 | Request for examination paragraph 44 | ||
| D2 | Grant after examination | ||
| 8364 | No opposition during term of opposition | ||
| 8339 | Ceased/non-payment of the annual fee |