DE3920516A1 - Steuersystem fuer industrielle anlagen - Google Patents

Steuersystem fuer industrielle anlagen

Info

Publication number
DE3920516A1
DE3920516A1 DE3920516A DE3920516A DE3920516A1 DE 3920516 A1 DE3920516 A1 DE 3920516A1 DE 3920516 A DE3920516 A DE 3920516A DE 3920516 A DE3920516 A DE 3920516A DE 3920516 A1 DE3920516 A1 DE 3920516A1
Authority
DE
Germany
Prior art keywords
logic
group
control system
control
signals
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE3920516A
Other languages
English (en)
Inventor
Christopher Rowland Li Spiller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rolls Royce Submarines Ltd
Original Assignee
Rolls Royce Marine Power Operations Ltd
Rolls Royce and Associates Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rolls Royce Marine Power Operations Ltd, Rolls Royce and Associates Ltd filed Critical Rolls Royce Marine Power Operations Ltd
Publication of DE3920516A1 publication Critical patent/DE3920516A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C3/00Registering or indicating the condition or the working of machines or other apparatus, other than vehicles
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B19/00Alarms responsive to two or more different undesired or abnormal conditions, e.g. burglary and fire, abnormal temperature and abnormal rate of flow
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N5/00Details of television systems
    • H04N5/76Television signal recording
    • H04N5/78Television signal recording using magnetic recording
    • H04N5/782Television signal recording using magnetic recording on tape
    • H04N5/78206Recording using a special track configuration, e.g. crossing, overlapping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N9/00Details of colour television systems
    • H04N9/79Processing of colour television signals in connection with recording
    • H04N9/80Transformation of the television signal for recording, e.g. modulation, frequency changing; Inverse transformation for playback
    • H04N9/802Transformation of the television signal for recording, e.g. modulation, frequency changing; Inverse transformation for playback involving processing of the sound signal

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung bezieht sich auf Steuersysteme für industrielle Anlagen.
Oft besteht bei industriellen Anlagen das Bedürfnis nach einem Steuersystem, das die industrielle Anlage abschaltet, falls die Anlage nicht innerhalb eines vorbestimmten Arbeitsbedingungsbereichs läuft.
Ein bekanntes Steuersystem, das die industrielle Anlage abschaltet, wenn diese außerhalb vorbestimmter Betriebsparameter arbeitet, umfaßt mehrere Sensoren, die Parameter der industriellen Anlage feststellen und Ausgangssignale an eine Logikschaltung liefern, die die Ausgangssignale analysiert, um festzustellen, ob die industrielle Anlage außerhalb des vorbestimmten Betriebsbereichs arbeitet. Wenn die Logikschaltung bestimmt, daß die industrielle Anlage außerhalb des vorbestimmten Arbeitsbereichs läuft, wird ein Abschaltsignal erzeugt, das verschiedenen Vorrichtungen zugeführt wird, um die industrielle Anlage schnell abzuschalten.
Die Folgen eines Fehlers bei der Abschaltung der industriellen Anlage bei Bedarf, d. h. wenn die Anlage außerhalb des vorbestimmten Arbeitsbereichs läuft, sind jedoch sehr schwerwiegend, insbesondere bei gewissen chemischen Anlagen oder bei Kernreaktoranlagen. Das bekannte Steuersystem ist unzulänglich, da ein Fehler irgendeines Teils des Steuersystems die Möglichkeit schaffen kann, daß die industrielle Anlage weiterhin arbeitet, obgleich ein Abschalten notwendig ist.
Um die Probleme eines Fehlers irgendeines Teils des beschriebenen Steuersystems zu lösen, sind verbesserte Steuersysteme entwickelt worden, die mehrere Gruppen von Sensoren und eine Zahl logischer Kreise sowie eine Mehrheitslogikschaltung aufweisen. Bei einem derartigen Steuersystem sendet jede Gruppe von Sensoren ihre Ausgangssignale nach einer der Logikschaltungen, welche die Ausgangssignale analysiert, um festzustellen, ob die industrielle Anlage außerhalb vorbestimmter Betriebsbereiche arbeitet. Jede Logikschaltung sendet der Mehrheitslogik ein Signal. Die Mehrheitslogik führt eine Funktion der von den Logikschaltungen empfangenen Signale durch, um ein äußerst betriebssicheres Abschaltsignal zu erzeugen. Wenn irgendeiner der Sensoren oder irgendeine der Logikschaltungen ausfällt, dann gewährleisten die übrigen Sensoren in den anderen Gruppen und Logikschaltungen, daß Abschaltsignale der Mehrheitslogik durch einige der Logikschaltungen übermittelt werden.
Die Mehrheitslogikschaltungen sind jedoch fehleranfällig und bei gewissen industriellen Anlagen ist die Fehlermöglichkeit einer Mehrheitslogikschaltung noch zu groß im Hinblick auf die Möglichkeit, daß kein Abschalten erfolgt, wenn dies aus Betriebsgründen erforderlich ist.
Ein weiteres Steuersystem löst das Problem des Ausfalls der Mehrheitslogikschaltung, wobei mehrere Mehrheitslogikschaltungen benutzt werden, von denen jede Ausgangssignale von allen Logikschaltungen empfängt. Bei diesem Steuersystem arbeitet jede Mehrheitslogik unabhängig im Hinblick auf das Abschalten der industriellen Anlage.
Ein solches Steuersystem stellt ein wirksames Mittel zur Abschaltung industrieller Anlagen bei Bedarf mit einer verminderten Fehlerwahrscheinlichkeit dar. Jedoch erfordert dieses Steuersystem eine relativ große Zahl von Mehrheitslogikschaltungen und eine relativ große Zahl von Verbindungen, wodurch das Steuersystem relativ umfangreich, komplex und teuer wird.
Der Erfindung liegt die Aufgabe zugrunde, ein Steuersystem für eine industrielle Anlage zu schaffen, welches ein Abschalten der Anlage mit Sicherheit dann gewährleistet, wenn die industrielle Anlage außerhalb eines vorbestimmten Arbeitsbereichs läuft, wobei eine relativ niedrige Fehlerwahrscheinlichkeit besteht und wobei das Steuersystem einen verminderten Aufwand hat und relativ einfach und billig herzustellen ist.
Gemäß der Erfindung wird die gestellte Aufgabe bei einem Steuersystem für eine industrielle Anlage gelöst durch die folgenden Merkmale: mehrere Instrumentengruppen und mehrere Logikschaltungen, wobei jede Instrumentengruppe mehrere Sensoren umfaßt, um Parameter der industriellen Anlage festzustellen, und jede Instrumentengruppe mehrere in Reihe geschaltete Steuergeräte umfaßt und jeder Sensor jedem in Reihe geschalteten Steuergerät ein Ausgangssignal liefert; jede Logikgruppe umfaßt mehrere Selbstwähllogikkreise, ein Synchronisiergerät, eine Mehrheitslogikschaltung, einen Seriell-Parallel-Wandler und eine Steuerlogik; jedes in Reihe geschaltete Steuergerät in jedem Instrument ist so angeordnet, daß Ausgangssignale von jedem Sensor in der Instrumentengruppe sequentiell einem der Selbstwähllogikschaltungen in jeder Logikgruppe seriell über jeweilige Übertragungsleitungen geliefert werden; jede der Selbstwähllogikschaltungen in jeder Gruppe ist so angeordnet, daß Daten von mehreren Sensoren von einer der Instrumentengruppen ausgewählt und die Daten der Synchronisierstufe geliefert werden; die Synchronisierstufe jeder Logikschaltung ist so angeordnet, daß die Daten von jeder Selbstwähllogik der Mehrheitslogik der Logikgruppe derart zugeführt werden, daß die Ausgangssignale der Sensoren in jeder Instrumentengruppe die gleichen Parameter feststellen, die der Mehrheitslogik im wesentlichen gleichzeitig zugeführt werden; jede Mehrheitslogik ist so angeordnet, daß eine Mehrheitsfunktion an den Ausgangssignalen der Sensoren in allen Instrumentengruppen, die den gleichen Parameter feststellen, eine Reihe von einzelnen höchst betriebssicheren Signalen erzeugt, die dem Seriell- Parallel-Wandler der Logikschaltung zugeführt werden, wobei jeder Seriell-Parallel-Wandler die seriellen höchst betriebssicheren Signale in parallele höchst betriebssichere Signale umwandelt, die der Steuerlogik der Logikschaltung zugeführt werden; jede Steuerlogik ist so angeordnet, daß der Betrieb einer industriellen Anlage gemäß den höchst betriebssicheren Signalen gesteuert wird.
Die Steuerlogik kann eine Abschaltlogik sein, welche die Arbeitsweise einer Abschaltvorrichtung für die industrielle Anlage steuert.
Die Steuerlogik kann ein Steueralgorithmus- Prozessorkreis sein, der kontinuierlich die industrielle Anlage steuert.
Wenigstens eine der Selbstwähllogikschaltungen kann Daten von den Sensoren einer der Instrumentengruppen auswählen, indem die Übertragungsleitungen mit seriellen Signalen gewählt werden.
Wenigstens einer der Selbstwähllogikkreise kann Daten von den Sensoren der Instrumentengruppen auswählen, indem eine Fehlerdetektorcodierung bewirkt wird.
Die Synchronisierstufe kann einen ersten Eingangs-/ ersten Ausgangsspeicher aufweisen.
Die sequentiellen Ausgangssignale können den seriellen Verbindungssteuerstufen über die jeweiligen zweiten Übertragungsleitungen zugeführt werden, um eine Decodierung und einen Vergleich mit den übertragenen Ausgangssignalen herbeizuführen.
Jede serielle Verbindungssteuerstufe kann einen Fehleralarm besitzen.
Jede Instrumentengruppe kann eine Selbstprüfstufe aufweisen, die so angeordnet ist, daß Prüfsignale jedem seriellen Steuergerät zugeführt werden und jede serielle Steuerstufe die Prüfsignale sequentiell mit den Ausgangssignalen von jedem Sensor im Instrument der Selbstwähllogik in jeder Logikgruppe seriell über Übertragungsleitungen übermittelt, wobei die Mehrheitslogikschaltung jeder Logikgruppe eine Mehrheitsfunktion für die Prüfsignale von der Selbstprüfstufe jeder Instrumentengruppe durchführt, um ein äußerst betriebssicheres Prüfsignal zu erzeugen, wobei jede Logikgruppe eine Prüfstufe aufweist, um zu gewährleisten, daß das äußerst betriebssichere Prüfsignal richtig ist.
Die Prüfstufe kann Signale von dem Seriell-Parallel- Wandler empfangen.
Jede Prüfstufe kann einen Fehleralarm aufweisen.
Die industrielle Anlage kann eine Kernreaktoranlage sein.
Die Kernreaktoranlage kann ein Druckwasserreaktor sein.
Jede Fehlerabschaltlogikschaltung kann die Arbeitsweise einer getrennten Abschaltvorrichtung steuern.
Jede Fehlerabschaltlogikschaltung kann so ausgebildet sein, daß die Arbeitsweise eines einzigen Steuerstabes oder einer Gruppe von Steuerstäben gesteuert wird.
Nachstehend wird ein Ausführungsbeispiel der Erfindung anhand der Zeichnung beschrieben. In der Zeichnung zeigen:
Fig. 1 ein Blockschaltbild eines Steuersystems für eine industrielle Anlage, aufgebaut gemäß der Erfindung,
Fig. 2 ein Blockschaltbild einer Instrumentengruppe gemäß Fig. 1,
Fig. 3 ein Blockschaltbild der Logikgruppe gemäß Fig. 1,
Fig. 4 eine Tabelle, welche die Testvektoren einer Zwei-von-Drei-Mehrheitslogik veranschaulicht.
Ein Steuersystem (10) für eine (nicht dargestellte) industrielle Anlage ist in Fig. 1 dargestellt. Es weist mehrere Instrumentengruppen (12 A, 12 B bis 12 N) und mehrere Logikgruppen (14 A, 14 B bis 14 L) auf.
Die Instrumentengruppe (12 A) ist schematisch im einzelnen in Fig. 2 dargestellt und sie umfaßt mehrere Sensoren (16 A, 16 B, 16 C bis 16 N), von denen jeder einen Parameter oder eine Bedingung der industriellen Anlage feststellt. Die Sensoren können beispielsweise Temperaturen, Drücke, Vibrationen oder andere erforderliche Parameter an gleicher Stelle oder an unterschiedlichen Stellen der industriellen Anlage messen. Jeder der Sensoren (16 A, 16 B, 16 C bis 16 N) erzeugt ein Ausgangssignal, abhängig von dem festzustellenden Parameter, welches den jeweiligen Instrumentenkanälen (20 A, 20 B, 20 C bis 20 N) über elektrische Leiter (18 A, 18 B, 18 C bis 18 N) zugeführt wird. Die Instrumentenkanäle (20 A, 20 B, 20 C bis 20 N) verarbeiten die Ausgangssignale und diese werden beispielsweise verstärkt, gefiltert usw., um Auslösesignale zu erzeugen. Die Instrumentenkanäle (20 A, 20 B, 20 C bis 20 N) sind derart angeordnet, daß die jeweiligen Ausgangssignale zwei seriellen Verbindungssteuergeräten (24 A und 24 B) über elektrische Leiter (22 A, 22 B, 22 C bis 22 N bzw. 22 A′, 22 B′, 22 C′ bis 22 N′) zugeführt werden. Die Instrumentenkanäle (20 A bis 20 N) erzeugen außerdem partielle Auslösesignale. In dem Ausführungsbeispiel werden zwei serielle Verbindungssteuergeräte benutzt, jedoch ist es auch möglich, mehr als zwei vorzusehen, so daß die Betriebssicherheit des Steuersystems erhöht wird. Die seriellen Verbindungssteuergeräte (24 A und 24 B) sind vorgesehen, um die Ausgangssignale von jedem Sensor (16 A, 16 B, 16 C bis 16 N) seriell jeder Logikgruppe (14 A, 14 B bis 14 L) über elektrische Leiter (26 A bzw. 26 A′) zuzuführen, die die Logikgruppen (14 A bis 14 L) in Reihe verbinden. Elektrisch leitende Elemente (28 A und 28 A′) führen die Ausgangssignale zu den seriellen Verbindungssteuergeräten (24 A und 24 B) zurück, um zu prüfen, ob die Ausgangssignale, die von den Logikgruppen empfangen wurden, mit den ausgesandten Ausgangssignalen übereinstimmen. Wenn eine Diskrepanz festgestellt wird, hören die seriellen Verbindungssteuergeräte auf zu senden, und wenn serielle Signale vorhanden sind, werden diese durch die Logikgruppen benutzt. Die seriellen Verbindungssteuergeräte (24 A und 24 B) sind elektrisch durch Elemente (30 A und 30 B) mit Fehleralarmvorrichtungen (nicht dargestellt) verbunden, um ein Fehleralarmsignal zu liefern und auszulösen, wenn eine Diskrepanz durch die seriellen Verbindungssteuergeräte (24 A und 24 B) zwischen den ausgesandten Ausgangssignalen und den von den Logikgruppen empfangenen Ausgangssignalen festgestellt wird.
Die Instrumentengruppen (12 B, 12 C bis 12 N) sind im wesentlichen gleich der Instrumentengruppe (12 A) und die Instrumentengruppen (12 B, 12 C bis 12 N) besitzen Sensoren, die die gleichen Parameter an den gleichen Stellen wie bei der Instrumentengruppe (12 A) messen. Einige der Instrumentengruppen brauchen jedoch nicht alle Sensoren zu haben, wenn die Sensoren, die einen speziellen Parameter messen, genügend betriebssicher sind und demgemäß weniger Kopien erfordern als Instrumentengruppen vorhanden sind. Wenn ein Sensor weggelassen wird, dann wird seine Ausgangsleitung in den Anschalt- oder Abschaltzustand gelegt, wie dies erforderlich ist, um die gewünschte Mehrheitsbestimmung von den vorhandenen Sensoren zu gewährleisten.
Die seriellen Verbindungssteuergeräte können irgendwelche geeigneten Protokolle benutzen, beispielsweise ein Fehlerdetektorprotokoll, welches beispielsweise einen hamming-code (Fehlerkorrekturcode) codiert oder eine zyklische Redundanzüberprüfung.
Die Logikgruppe (14 A) ist schematisch in weiteren Einzelheiten in Fig. 3 dargestellt und sie umfaßt mehrere Selbstwähllogikschaltungen (32 A, 32 B bis 32 N), d. h. jeweils eine Selbstwähllogikschaltung für jede Instrumentengruppe, und jede der Selbstwähllogikschaltungen (32 A, 32 B bis 32 N) ist so angeordnet, daß die Ausgangssignale von allen Sensoren von einer Instrumentengruppe dadurch ausgewählt werden, daß ein elektrisch leitfähiges Element mit seriellen Signalen gewählt wird oder daß ein leitfähiges Element unwirksam gewacht wird, welches keine seriellen Signale hat. Daher wählt beispielsweise die Selbstwähllogikschaltung (32 A) die Ausgangssignale von allen Sensoren (16 A, 16 B, 16 C bis 16 N) von der Instrumentengruppe (12 A) von dem leitenden Element (26 A oder 26 A′). In gleicher Weise wählt die Selbstwähllogikschaltung (32 B) die Ausgangssignale von allen Sensoren von der Instrumentengruppe (12 B) vom leitfähigen Element (26 B oder 26 B′). In gleicher Weise wählen die Selbstwähllogikschaltungen (32 C bis 32 N) die Ausgangssignale von allen Sensoren in den Gruppen (12 C bis 12 N) .
Wenn ein Codierungsschema der hamming-Type benutzt wird, dann wird in der Wähllogik ein Codeüberprüfer benutzt.
Die Selbstwähllogikschaltungen (32 A bis 32 N) sind so angeordnet, daß Daten geliefert werden, d. h. die gewählten Ausgangssignale werden nach der Synchronisierstufe (36) überführt und diese gewährleistet, daß die Ausgangssignale vom Sensor in jeder Instrumentengruppe, die den gleichen Parameter feststellen, der Mehrheitslogikschaltung (40) im wesentlichen gleichzeitig über elektrisch leitfähige Elemente (38 A bis 38 N) zugeführt werden. Die Synchronisierstufe (36) kann einen ersten Eingangs-/ ersten Ausgangsspeicher aufweisen.
Die Mehrheitslogikschaltung (40) bewirkt eine Mehrheitsfunktion der Ausgangssignale der Sensoren aller Instrumentengruppen, die den gleichen Parameter feststellen, und die Mehrheitsfunktion wird für die Ausgangssignale für die Sensoren in allen Instrumentengruppen für die Parameter aufeinanderfolgend durchgeführt, um ein einziges serielles äußerst betriebssicheres Signal zu erzeugen. Das einzige serielle betriebssichere Signal wird mehreren Seriell-Parallel- Wandlern (44) über ein elektrisch leitfähiges Element (42) zugeführt und der Seriell-Parallel-Wandler (44) wandelt das einzige serielle betriebssichere Signal in parallele betriebssichere Signale um, die einer Fehlerabschaltlogik (45) über elektrisch leitfähige Elemente (46 A bis 46 N) zugeführt werden.
Die Fehlerabschaltlogik (48) steuert die Arbeitsweise eines Abschaltmechanismus für die industrielle Anlage gemäß den betriebssicheren Signalen, indem Abschaltausgangssignale über Elemente (50) geliefert werden.
Die Logikgruppen (14 B bis 14 L) sind im wesentlichen die gleichen und sie arbeiten im wesentlichen in der gleichen Weise wie die Instrumentengruppe (14 A).
Die Abschaltlogik ist so ausgebildet, daß die Abschaltausgangssignale in einem von zwei-, zwei von drei-, zwei von vier-, drei von vier- oder anderen geeigneten Codierungen geliefert werden. Die Abschaltausgangssignale werden durch Elemente (52) zurückgeführt und geprüft, so daß sowohl die Abschaltlogik und die Ausgangsverbindungselemente (50) überprüft werden. Wenn durch diese Überprüfung ein Fehler festgestellt wird, dann wird ein Fehleralarmsignal einer (nicht dargestellten) Fehleralarmvorrichtung durch elektrische Verbindungselemente (54) zugeführt, um den Fehlalarm auazulösen und die Instandsetzung einzuleiten. Die Abschaltlogik (48) weist außerdem Fehlerdetektorcodierungen zusätzlich zu der Rückführungsprüfung auf.
Die Instrumentengruppe (12 A) besitzt ein Selbstprüfsystem (56), welches Prüfsignale dem seriellen Verbindungssteuergerät (24 A und 24 B) über elektrische Verbinderelemente (58 A bzw. 58 B) liefert. Die seriellen Verbindungssteuergeräte (24 A, 24 B) liefern die Prüfsignale sequentiell mit den Ausgangssignalen von den Sensoren nach der Instrumentengruppe nach einem Selbstwähllogikkreis in jeder Logikgruppe. Die Prüfsignale werden durch die Synchronisiervorrichtung, die Mehrheitslogik und den Seriell-Parallel-Wandler behandelt. Die Logikgruppe (14 A) besitzt eine Prüfschaltung (64), die das Prüfsignal durch die elektrischen Verbinderelemente (62) vom Seriell-Parallel- Wandler (44) empfängt. Die Prüfschaltung (64) weist ein elektrisches Verbindungselement (66) auf, das ein Fehleralarmsignal einer Fehleralarmvorrichtung (nicht dargestellt) zuführt.
Wenn die Selbstwähllogikschaltungen ihre Entscheidung auf das Vorhandensein serieller Signale gründen, ist es notwendig, daß die seriellen Verbindungssteuergeräte mit einer Übertragung aufhören, wenn ein Fehler festgestellt wird.
Sämtliche Instrumentengruppen (12 B bis 12 N) besitzen außerdem Selbstprüfsysteme und sämtliche Logikgruppen (14 B bis 14 L) besitzen Prüfschaltungen.
Die Selbstprüfsysteme in den verschiedenen Instrumentengruppen sind so ausgebildet, daß unterschiedliche Testsignale abgestrahlt werden, so daß sie bei Erreichen der Mehrheitslogikschaltungen eine Gruppe von Testvektoren bilden. Die Prüfschaltungen stellen fest, ob die Mehrheitslogikschaltungen richtig auf die Testvektoren ansprechen, nachdem diese in Parallelform umgewandelt sind, und wenn das Ansprechen unzutreffend ist, wird ein Fehleralarmsignal der Fehleralarmvorrichtung zugeführt, um die Instandsetzung einzuleiten. Ein Beispiel von Testsignalen ist in Fig. 4 für ein Zwei-aus-drei-Mehrheitssystem ersichtlich. Die Mehrheitslogik sollte die Kombination von Testsignalen von den Selbsttestsystemen von drei Instrumentengruppen erhalten, und zwar von 001, 011, 001 . . . 111 in der Folge, und es sollten die Ausgänge 0, 1, 0 . . . 1 erzeugt werden, wobei die Prüfstufe feststellt, ob dies der Fall ist.
Das Steuersystem besitzt eine individuelle Parametermehrheit und ermöglicht eine hohe Flexibilität, um das Ausmaß der Redundanz eines jeden individuellen Sensors und Kanals festzulegen. Das Steuersystem weist Selbsttestmerkmale auf, wodurch gewährleistet wird, daß Fehler im empfindlichsten Bereich sich selbst anzeigen, und hierdurch wird die Wahrscheinlichkeit eines Systemfehlers durch Verminderung der Fehlererfaßzeit vermindert. Die Redundanz an einzelnen Sensoren und Kanälen statt in der Instrumentengruppe vermindert ebenfalls die Wahrscheinlichkeit von Steuersystemfehlern, so daß ein extrem betriebssicheres Steuersystem geschaffen wird.
Bei dem Steuersystem wird die Mehrheit von einzelnen Parametern benutzt und nicht eine Überwachung einer Leitung wie bei bisherigen Anlagen. Ein weiterer Vorteil des Steuersystems besteht darin, daß eine Parametermehrheit erreicht wird mit der Zahl der Logikgruppen, die eine Funktion der Zahl von unabhängigen Ausgangssignalen ist, die erforderlich sind, statt eine Funktion der Zahl der zu messenden Parameter.
Das beschriebene Steuersystem ist insbesondere geeignet zur Verwendung in Verbindung mit Kernreaktoranlagen, beispielsweise mit Druckwasserreaktoren (PWR). Bei einem solchen Steuersystem werden die Abschaltausgangssignale von den Logikgruppen getrennten Steuerstäben zugeführt oder einer kleinen Gruppe von Steuerstäben, derart, daß ein Fehler einer Logikgruppe oder eines Steuerstabes weder eine Abschaltung bewerkstelligen noch verhindern kann, infolge des beschränkten Effektes eines einzigen Steuerstabes oder einer kleinen Gruppe von Steuerstäben.
Das Steuersystem kann benutzt werden, um die Kernreaktoranlage unter Benutzung anderer Verfahren abzuschalten.
Die Erfindung wurde unter Bezugnahme auf eine Abschaltlogik beschrieben, jedoch kann ein geeigneter Steuerlogikkreis benutzt werden, um beispielsweise die Abschaltlogik durch eine Steueralgorithmusprocessor- Schaltung dann zu ersetzen, wenn eine kontinuierliche Steuerung der industriellen Anlage erforderlich ist und nicht eine Abschaltsteuerung.
Das Steuersystem ist in gleicher Weise geeignet zur Benutzung bei anderen industriellen Anlagen, beispielsweise bei gefährlichen chemischen Anlagen.
Im Steuersystem zur Benutzung in Verbindung mit einem Kernreaktor sind die Ausgangssignale der Sensoren Auslösezustände, während bei Steuersystemen zur Benutzung in Verbindung mit anderen industriellen Anlagen die Steuersignale der Sensoren Pegelsignale sein können. Die Mehrheitslogik für andere industrielle Anlagen wäre so anzuordnen, daß stürmische Ausgangssignale verhindert werden, um ein höchst betriebssicheres am besten angepaßtes Signal für diese Anlagen zur Verfügung zu haben.

Claims (14)

1. Steuersystem für eine industrielle Anlage, bestehend aus mehreren Instrumentengruppen und mehreren Logikgruppen, wobei jede Instrumentengruppe mehrere Sensoren aufweist, um Parameter der industriellen Anlage festzustellen, und jede Logikgruppe eine Mehrheitslogik umfaßt, dadurch gekennzeichnet, daß jede Instrumentengruppe (12 A bis 12 N) mehrere serielle Verbindungssteuergeräte (24 A, 24 B) aufweist, daß jeder Sensor (16 A bis 16 N) ein Ausgangssignal jedem seriellen Verbindungssteuergerät (24 A, 24 B) liefert, daß jede Logikgruppe (14 A bis 14 L) mehrere Selbstwähllogikkreise (32 A, 32 B, 32 C), eine Synchronisierstufe (36), einen Seriell-Parallel- Wandler (44) und eine Steuerlogik (48) umfaßt, daß alle seriellen Verbindungssteuergeräte (24 A, 24 B) in jeder Instrumentengruppe (12 A bis 12 N) so angeordnet sind, daß Ausgangssignale von jedem Sensor (16 A bis 16 N) in der Instrumentengruppe (12 A bis 12 N) sequentiell zu einem der Selbstwähllogikschaltungen (32 A bis 32 N) in jeder Logikgruppe (14 A bis 14 L) seriell über entsprechende Übertragungsleitungen (26 A bis 26 N) geliefert werden, daß jede Selbstwähllogikschaltung (32 A bis 32 N) in jeder Logikgruppe (14 A bis 14 L) so ausgebildet ist, daß Daten von den Sensoren (16 A bis 16 N) von einer Instrumentengruppe (12 A) ausgewählt werden, um die Daten der Synchronisierstufe (36) zu liefern, daß die Synchronisierstufe (36) jeder Logikschaltung (14 A bis 14 L) so angeordnet ist, daß die Daten von jedem Selbstwähllogikkreis (32 A bis 32 N) der Mehrheitslogik (40) der Logikgruppe (14 A bis 14 L) derart zugeführt werden, daß die Ausgangssignale von den Sensoren (16 A bis 16 N) in jeder Instrumentengruppe (12 A bis 12 N), die den gleichen Parameter feststellen, an den Mehrheitslogikkreis (40) im wesentlichen gleichzeitig angelegt werden, daß jede Mehrheitslogik (40) eine Mehrheitsfunktion auf die Ausgangssignale der Sensoren in allen Instrumentengruppen (12 A bis 12 N), die den gleichen Parameter feststellen, ausübt, um eine Reihe von einzelnen betriebssicheren Signalen zu liefern, die dem Seriell-Parallel-Wandler (44) der Logikgruppe (14 A bis 14 L) zugeführt werden, daß jeder Seriell- Parallel-Wandler (44) die seriellen betriebssicheren Signale in parallele betriebssichere Signale umwandelt, die der Steuerlogik (48) der Logikgruppe (14 A bis 14 L) zugeführt werden, und daß jede Steuerstufe (48) die Arbeitsweise der industriellen Anlage gemäß den betriebssicheren Signalen steuert.
2. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß die Steuerlogik (48) eine Abschaltlogik ist, die eine Abschaltvorrichtung der industriellen Anlage steuert.
3. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß die Steuerlogik (48) eine Steueralgorithmusprozessorschaltung ist, die kontinuierlich die industrielle Anlage steuert. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß wenigstens eine der Selbstwähllogikschaltungen (32 A bis 32 N) Daten von den Sensoren (16 A bis 16 N) von einer Instrumentengruppe (12 A bis 12 N) auswählt, indem Übertragungsleitungen mit seriellen Signalen ausgewählt werden.
5. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß wenigstens eine der Selbstwähllogikschaltungen (32 A bis 32 N) Daten von den Sensoren (16 A bis 16 N) von einer Instrumentengruppe (12 A bis 12 N) auswählt, indem eine Fehlerdetektorcodierung ausgewählt wird.
6. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß die Synchronisierstufe (36) einen ersten Eingangs-/ ersten Ausgangsspeicher umfaßt.
7. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß die sequentiellen Ausgangssignale den seriellen Verbindungssteuergeräten (24 A, 24 B) über jeweilige zweite Übertragungsleitungen (28 A bis 28 N) zugeführt werden, um die übertragenen Ausgangssignale zu decodieren und zu vergleichen.
8. Steuersystem nach Anspruch 7, dadurch gekennzeichnet, daß jedes serielle Verbindungssteuergerät (24 A, 24 B) eine Fehleralarmvorrichtung besitzt.
9. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß jede Instrumentengruppe (12 A bis 12 N) eine Selbstprüfvorrichtung (56) umfaßt, die Testsignale jedem seriellen Verbindungssteuergerät (24 A, 24 B) zuführt, daß jedes serielle Verbindungssteuergerät (24 A, 24 B) Testsignale sequentiell zu Ausgangssignalen von jedem Sensor in der Instrumentengruppe nach einer Selbstwähllogikschaltung (32 A bis 32 N) in jeder Logikgruppe (14 A bis 14 L) seriell über Übertragungsleitungen (26 A bis 26 N) liefert, daß die Mehrheitslogik (40) jeder Logikgruppe (14 A bis 14 L) eine Mehrheitsfunktion auf die Testsignale der Selbstprüfvorrichtung (56) einer jeden Instrumentengruppe (12 A bis 12 N) ausführt, um ein hochbetriebssicheres Testsignal zu erzeugen, und daß jede Logikgruppe (14 A bis 14 L) eine Prüfeinrichtung (64) besitzt, um zu gewährleisten, daß die betriebssicheren Testsignale richtig sind.
10. Steuersystem nach Anspruch 9, dadurch gekennzeichnet, daß die Prüfvorrichtung (64) Signale von dem Seriell- Parallel-Wandler (44) erhält.
11. Steuersystem nach Anspruch 9, dadurch gekennzeichnet, daß jede Prüfvorrichtung (64) eine Fehleralarmvorrichtung besitzt.
12. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß jede Fehlerabschaltlogik (48) die Arbeitsweise einer getrennten Abschaltvorrichtung steuert.
13. Steuersystem nach Anspruch 1, dadurch gekennzeichnet, daß die industrielle Anlage eine Kernreaktoranlage ist.
14. Steuersystem nach Anspruch 13, dadurch gekennzeichnet, daß die Kernreaktoranlage ein Druckwasserreaktor ist.
15. Steuersystem nach Anspruch 13, dadurch gekennzeichnet, daß jede Fehlerabschaltlogik (48) die Arbeitsweise eines einzelnen Steuerstabes oder einer Gruppe von Steuerstäben steuert.
DE3920516A 1988-07-04 1989-06-22 Steuersystem fuer industrielle anlagen Withdrawn DE3920516A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB8815897A GB2220280B (en) 1988-07-04 1988-07-04 A control system for industrial plant

Publications (1)

Publication Number Publication Date
DE3920516A1 true DE3920516A1 (de) 1990-01-18

Family

ID=10639846

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3920516A Withdrawn DE3920516A1 (de) 1988-07-04 1989-06-22 Steuersystem fuer industrielle anlagen

Country Status (6)

Country Link
US (1) US5057994A (de)
JP (1) JPH0273403A (de)
CA (1) CA1329248C (de)
DE (1) DE3920516A1 (de)
FR (1) FR2633757B1 (de)
GB (1) GB2220280B (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19941440B4 (de) * 1999-08-31 2006-10-19 Siemens Ag Verfahren zum gesteuerten Betrieb einer Vorrichtung

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8913048D0 (en) * 1989-06-07 1990-04-25 Marconi Co Ltd Processor
US5237518A (en) * 1990-10-27 1993-08-17 Vanderbilt University Optimization method for adaptive sensor reading scheduling and delayed alarm evaluation in real-time diagnostic systems
US5422808A (en) * 1993-04-20 1995-06-06 Anthony T. Catanese, Jr. Method and apparatus for fail-safe control of at least one electro-mechanical or electro-hydraulic component
WO1997018502A1 (en) * 1995-11-14 1997-05-22 Westinghouse Electric Corporation Apparatus and method for prioritization of multiple commands in an instrumentation and control system
JPH10261185A (ja) * 1997-03-19 1998-09-29 Hitachi Ltd 入出力混在形信号変換器
DE19721366A1 (de) * 1997-05-22 1998-11-26 Bosch Gmbh Robert Elektrische Schaltungsanordnung
NZ508052A (en) * 2000-11-09 2003-06-30 Derek Ward Programmable controller
US20050263670A1 (en) * 2001-10-18 2005-12-01 Res-Q-Jack, Inc. Methods and apparatus for buttress stabilization and embedded illumination means
DE10301504B3 (de) 2003-01-17 2004-10-21 Phoenix Contact Gmbh & Co. Kg Einsignalübertragung sicherer Prozessinformation
US7089072B2 (en) * 2004-05-26 2006-08-08 Taiwan Semiconductor Manufacturing Company, Ltd. Semiconductor manufacturing fault detection and management system and method
EP1632825B1 (de) 2004-09-03 2008-10-29 Derek Ward Verbesserungen an numerischen Steuerungen und verwandten elektronischen Geräten
US7657814B2 (en) * 2006-02-23 2010-02-02 Rockwell Automation Technologies, Inc. Optimizing availability and safety by reconfiguring and auto-adjusting redundancy
US8769360B2 (en) 2010-10-14 2014-07-01 International Business Machines Corporation Dynamic detection and identification of the functional state of multi-processor cores

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3639778A (en) * 1970-03-26 1972-02-01 Lear Siegler Inc Testing a signal voter
US3805234A (en) * 1972-07-31 1974-04-16 Westinghouse Electric Corp Digital data transmission system
US3863215A (en) * 1973-07-03 1975-01-28 Rca Corp Detector for repetitive digital codes
DE2701924C3 (de) * 1977-01-19 1987-07-30 Standard Elektrik Lorenz Ag, 7000 Stuttgart Steuereinrichtung für spurgebundene Fahrzeuge
US4101958A (en) * 1977-09-01 1978-07-18 Rockwell International Corporation Apparatus and method for effecting redundant control data transfer in a digital flight control system
GB2063021B (en) * 1979-09-12 1984-02-08 Atomic Energy Authority Uk Monitoring apparatus
US4327437A (en) * 1980-07-30 1982-04-27 Nasa Reconfiguring redundancy management
US4447903A (en) * 1981-05-22 1984-05-08 Ael Microtel, Ltd. Forward error correction using coding and redundant transmission
US4409635A (en) * 1981-06-18 1983-10-11 Westinghouse Electric Corp. Electrical power system with fault tolerant control unit
FR2512980B1 (de) * 1981-09-14 1983-12-23 Aero Etudes Conseils
US4497059A (en) * 1982-04-28 1985-01-29 The Charles Stark Draper Laboratory, Inc. Multi-channel redundant processing systems
DE3314181A1 (de) * 1983-04-19 1984-10-25 Kraftwerk Union AG, 4330 Mülheim Verfahren zur ueberwachung der ermuedung von bauteilen, z.b. in kernkraftwerken
US4749985A (en) * 1987-04-13 1988-06-07 United States Of America As Represented By The United States Department Of Energy Functional relationship-based alarm processing

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19941440B4 (de) * 1999-08-31 2006-10-19 Siemens Ag Verfahren zum gesteuerten Betrieb einer Vorrichtung

Also Published As

Publication number Publication date
US5057994A (en) 1991-10-15
JPH0273403A (ja) 1990-03-13
GB8815897D0 (en) 1988-08-10
GB2220280B (en) 1992-10-21
CA1329248C (en) 1994-05-03
GB2220280A (en) 1990-01-04
FR2633757A1 (fr) 1990-01-05
FR2633757B1 (fr) 1993-09-24

Similar Documents

Publication Publication Date Title
DE69531817T2 (de) Steuereinrichtung mit Fehlersicherheitsfunktion
DE69120168T2 (de) System für das Überwachen und Steuern einer Anlage
DE2132565C3 (de) Umsetzer
DE3920516A1 (de) Steuersystem fuer industrielle anlagen
EP1695055B1 (de) Messeinrichtung, insbesondere temperaturmessumformer
DE102008057474B4 (de) Meßumformer
EP0325318B1 (de) Vermittlungsanlage
EP1365543B1 (de) Verfahren und Vorrichtung zur Übertragung von Information und Fehlererkennung in einem ringförmigen Netzwerk
DE1599084A1 (de) Einrichtung zur Korrektur von Fehlerbuendeln
EP2837142B1 (de) Verfahren zum übertragen von prozessdaten in einer automatisiert gesteuerten anlage
EP0625751A1 (de) Sicheres Informationsübertragungsverfahren für einen Bus
EP1597470B1 (de) Signalverarbeitungsvorrichtung und steuergerät zur zusammenarbeit mit einer signalverarbeitungsvorrichtung
DE2364314C2 (de) Zeitmultiplexübertragungssystem für mehrere Kanäle
DE19614654C1 (de) Sensor-Aktor-Bussystem
DE3716594C2 (de) Schaltungsanordnung für Fernmeldeanlagen, insbesondere Fernsprechvermittlungsanlagen, mit Speichereinrichtungen, in denen gespeicherte Informationsportionen auf ihre Richtigkeit überprüft werden
DE1211687B (de) System zur linearen systematischen Kodierung
DE2531775C3 (de) Verfahren und Anordnung zur gesicherten Betriebsüberwachung bei Datenübertragung
EP0029216A1 (de) Datenübertragungseinrichtung mit Pufferspeicher und Einrichtungen zur Sicherung der Daten
EP0432401A2 (de) Spinnereimaschine mit bei Auftreten von Fehlern Fehlersignale abgebenden Signalgebern
DE69120054T2 (de) Ausgabeverwaltungskreis für speicherprogrammierbare steuerung
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung
DE1537532B2 (de)
DE3243699C2 (de) Signaltechnisch sicherer paralleler Ausgabevergleicher
DE1538662C (de) Verfahren zur elektronischen Steuerung elektrischer Schalter mit Impulsbildtelegrammen
DE3625271C2 (de)

Legal Events

Date Code Title Description
8141 Disposal/no request for examination