DE4134396A1 - Automatisierungssystem - Google Patents

Automatisierungssystem

Info

Publication number
DE4134396A1
DE4134396A1 DE4134396A DE4134396A DE4134396A1 DE 4134396 A1 DE4134396 A1 DE 4134396A1 DE 4134396 A DE4134396 A DE 4134396A DE 4134396 A DE4134396 A DE 4134396A DE 4134396 A1 DE4134396 A1 DE 4134396A1
Authority
DE
Germany
Prior art keywords
subsystems
safety
automation system
signals
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE4134396A
Other languages
English (en)
Other versions
DE4134396C2 (de
Inventor
Richard Dipl Ing Kramer
Gerhardt Dipl Ing Gloess
Wilhelm-Hermann Prumbach
Bernhard Tueshaus
Wolfgang Kabzinski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of DE4134396A1 publication Critical patent/DE4134396A1/de
Application granted granted Critical
Publication of DE4134396C2 publication Critical patent/DE4134396C2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/002Monitoring or fail-safe circuits
    • H01H47/004Monitoring or fail-safe circuits using plural redundant serial connected relay operated contacts in controlled circuit
    • H01H47/005Safety control circuits therefor, e.g. chain of relays mutually monitoring each other
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2035Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant without idle spare hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01HELECTRIC SWITCHES; RELAYS; SELECTORS; EMERGENCY PROTECTIVE DEVICES
    • H01H47/00Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current
    • H01H47/02Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current for modifying the operation of the relay
    • H01H47/04Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current for modifying the operation of the relay for holding armature in attracted position, e.g. when initial energising circuit is interrupted; for maintaining armature in attracted position, e.g. with reduced energising current
    • H01H47/043Circuit arrangements not adapted to a particular application of the relay and designed to obtain desired operating characteristics or to provide energising current for modifying the operation of the relay for holding armature in attracted position, e.g. when initial energising circuit is interrupted; for maintaining armature in attracted position, e.g. with reduced energising current making use of an energy accumulator

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Safety Devices In Control Systems (AREA)

Description

Die Erfindung betrifft ein Automatisierungssystem zur Steuerung und Uberwachung einer technischen Anlage mit erhöhten Sicher­ heitsanforderungen, insbesondere im Bergbau.
Derartige Automatisierungssysteme bestehen üblicherweise aus mindestens zwei redundanten Teilsystemen, die unter gegensei­ tiger Überwachung gemeinsam die Anlage sicher zu führen haben.
Aus der DE-OS 39 06 304 ist es bekannt, die Zuführungsleitungen und/oder binären Geber oder dergleichen zum Automatisierungs­ system dynamisch zu überwachen. Mit dem dort beschriebenen Ver­ fahren wird zwar die häufigste Fehlerquelle, nämlich Leitungs­ störungen, erkannt, etwaige andere Fehlerquellen jedoch nicht. Es wird z. B. weder das Automatisierungssystem selbst noch die Ausgangssignale der Automatisierungssysteme überwacht.
Aufgabe der vorliegenden Erfindung ist es, ein Automatisie­ rungssystem zu schaffen, das sowohl Hardware- als auch Soft­ ware-Fehler vor Eintreten einer kritischen Situation bemerkt, und so ein Automatisierungssystem von bisher unbekannter Sicher­ heit zur Verfügung zu stellen.
Die Aufgabe wird dadurch gelöst, daß die Teilsysteme zum Über­ prüfen der Funktionsfähigkeit zumindest der sicherheitsrelevan­ ten Elemente der Teilsysteme zyklisch, d. h. zumindest in Inter­ vallen, Selbsttests durchführen und bei Bemerken einer Fehlfunk­ tion eines der sicherheitsrelevanten Elemente die Anlage in einen vorbestimmten Zustand überführen und stillsetzen.
Mit Vorteil werden die Selbsttests in den Teilsystemen für den Benutzer verdeckt als Hintergrundprozesse durchgeführt, ins­ besondere während des Routinebetriebs der Anlage.
Die Anlagenteile sollen bei einer Notstillsetzung derart ge­ steuert werden, daß sich störende Funktionen, z. B. mechanisches Bremsen und elektrisches Anfahren einer Maschine, gegeneinander verriegelt sind.
Zur Aufrechterhaltung eines Notbetriebs der Anlage ist es gün­ stig, wenn bei Bemerken einer Fehlfunktion eines der Teilsysteme zumindest ein eingeschränkter Betrieb der Anlage durch einen, insbesondere handbetätigten, Sonderbefehl zugelassen wird.
Das Automatisierungssystem ist relativ kostengünstig, wenn nur eines der Teilsysteme weitere, nicht sicherheitsrelevante Sig­ nale verarbeitet. Darüber hinaus ist dadurch eine schnelle Re­ aktion der anderen Teilsysteme auf sicherheitsrelevante Signale gewährleistet. Die Reaktionszeiten liegen typisch bei 200 msec.
Wenn in einem Teilsystem ein Fehler bemerkt wird, ist es von Vorteil, wenn dieser Fehler, unabhängig davon, wodurch er ver­ ursacht wurde, auf eine Überwachungseinheit wirkt, die die Notstillsetzung der Anlage auslöst.
Um die Sicherheit der Anlage noch weiter zu erhöhen, ist es von Vorteil, wenn die Überwachungseinheiten der Teilsysteme zusätz­ lich auf einen den Teilsystemen gemeinsamen Sicherheitsschalter wirken, der die Notstillsetzung der Anlage auslöst, wenn die Überwachungseinheiten unterschiedliche Signale liefern. Dadurch wird gewährleistet, daß die Anlage stillgesetzt wird, auch wenn das Stillsetzen durch die ausgelöste Überwachungseinheit selbst wider Erwarten nicht bewirkt werden sollte.
Das Auslösen der Überwachungseinheiten ist besonders sicher gewährleistet, wenn die Überwachungseinheiten bei fehlerfreiem Betrieb ein dynamisches und nach Bemerken eines Fehlers ein statisches Signal erhalten.
Um ein durch kurzzeitige Störungen verursachtes versehentliches Auslösen der Überwachungseinheiten zu vermeiden, sollten die Überwachungseinheiten die Notstillsetzung der Anlage erst dann auslösen, wenn das statische Signal länger als eine vorwählbare Zeit anliegt.
Um auch Fehler in den Programmen der Teilsysteme erkennen zu können, sollten die in den Teilsystemen gespeicherten Programme zyklisch überprüft werden, z. B. durch Vergleich mit einem in einem externen Datenspeicher abgespeicherten Programm.
Ein besonders sicherer und einfacher Aufbau der Überwachungs­ einheiten ergibt sich, wenn die Überwachungseinheiten der Teilsysteme ausschließlich passive Komponenten, z. B. Wider­ stände, Kondensatoren, Dioden oder Relais, aufweisen.
Mit Vorteil weisen die Überwachungseinheiten zwei Verzögerungs­ schalter auf, die mit einem Taktgeber und zwei in Reihe geschalteten Kontakten verbunden sind, die mit einem weiteren Schalter in Reihe geschaltet sind, der das Überführen und Stillsetzen der Anlage auslöst.
Weitere Vorteile und Einzelheiten ergeben sich aus der nach­ folgenden Beschreibung eines Ausführungsbeispiels, anhand der Zeichnungen und in Verbindung mit den weiteren Unteransprüchen.
Es zeigen:
Fig. 1 ein Blockschaltbild einer Förderanlagensteuerung,
Fig. 2 die Verschaltung von Fahrbremskreis und Abfahrsperrkreis einer Schachtförderanlage,
Fig. 3 den Prinzipaufbau der Überwachungseinheiten,
Fig. 4 das Prinzip der Leitungsüberwachung,
Fig. 5 das Überwachungsschema der Eingabebausteine,
Fig. 6 die Logikschaltung zur Auswertung des Tests der Eingabebausteine,
Fig. 7 den Aufbau der Ausgabeeinheiten,
Fig. 8 die Logikschaltung zur Auswertung des Tests der Ausgabeeinheiten,
Fig. 9 ein Blockschaltbild des Tests der Abschaltwege,
Fig. 10 ein Detail von Fig. 9 und
Fig. 11 das Prinzip der Ablauffolgeüberwachung der dynamischen Einzeltests.
Gemäß Fig. 1 besteht das Automatisierungssystem für eine Schacht­ anlage aus zwei Teilsystemen 1, 1′, die zumindest teilweise re­ dundant sind. Das Teilsystem 1 ist dabei mit Vorteil als Haupt­ system zur Verarbeitung aller Signale und das Teilsystem 1′ als Nebensystem zur Verarbeitung nur der sicherheitsrelevanten Sig­ nale ausgebildet. In Fig. 1 ist der Übersichtlichkeit halber nur die Eingabe sicherheitsrelevanter Signale von den Gebern 2 sowie die Ausgabe sicherheitsrelevanter Signale dargestellt. Den Ge­ bern 2 ist ein Taktsignal ÜT überlagert. Nicht dargestellt in Fig. 1 ist die Notstromversorgung des Automatisierungssystems, die über Batterien und/oder Akkus erfolgen kann.
Die Teilsysteme 1, 1′ sind über eine Kommunikationsleitung 3 miteinander verbunden, so daß sie sich gegenseitig überwachen und so die Anlage sicher führen können. Darüber hinaus über­ wacht jedes Teilsystem 1, 1′ die Funktionsfähigkeit zumindest seiner sicherheitsrelevanten Elemente in noch näher zu erläu­ ternder Weise und gibt bei Bemerken einer Fehlfunktion eines seiner sicherheitsrelevanten Elemente eine Fehlermeldung an einen sogenannten Watchdog 4, 4′ der daraufhin das Stillsetzen der Anlage, insbesondere des Förderkorbes durch Betätigen der Sicherheitsbremse, auslöst. Der Watchdog 4 öffnet hierzu zwei in Reihe geschaltete Kontakte 5a, 5b, so daß das Relais 6 ab­ fällt. Das Abfallen des Relais 6 wiederum öffnet den Schalter 7, so daß die Magnetventile 8a, 8b abfallen und so die nicht dargestellte Sicherheitsbremse der Förderanlage auslösen. Das Öffnen des Schalters 7 wird weiterhin in der Regelung 9 der ebenfalls nicht dargestellten Fördermaschine detektiert, so daß die Regelung 9 derart gesteuert werden kann, daß sie dem Bremsvorgang zumindest nicht entgegenwirkt. Die Regelung 9 kann aber auch die Fördermaschine aktiv bremsen.
Weiterhin wird das Auslösen der Sicherheitsbremse durch das Teilsystem 1 über die Leitung 10 an das Teilsystem 1′ gemel­ det, so daß das Teilsystem 1′ die Anlage in gleicher Weise führen kann wie das Teilsystem 1.
Die Überwachung des Teilsystems 1′ erfolgt in der gleichen Weise, wie obenstehend für das Teilsystem 1 beschrieben. Dar­ über hinaus betätigen die Relais 6, 6′ zwei in Reihe geschal­ tete Wechsler 11, 11′, die mit einem weiteren verzögerten Relais 12 in Reihe geschaltet sind, das zwei mit den Schaltern 7, 7′ in Reihe geschaltete Schalter 13, 13′ öffnet, wenn die Relais 6, 6′ unterschiedliche Ausgangssignale aufweisen. Das Bemerken einer Fehlfunktion sollte also im Regelfall zum Öffnen von drei der Schalter 7, 7′, 13 und 13′ führen, so daß auch hier eine zu­ sätzliche Sicherheitsstufe gegeben ist.
Auch die in Fig. 1 dargestellte elektrische Steuerung 14 für die Sicherheitsbremse weist ein Relais 15 auf, das bei Spannungsab­ fall, d. h. bei einem Fehler in der Regelung 14, zwei Schalter 16, 16′ öffnet und so die mechanische Sicherheitsbremse auslöst. Darüber hinaus betätigt das Relais 15 den Geber 17, so daß beide Teilsysteme 1, 1′ eine Beeinträchtigung der Funktionsfähigkeit der Steuerung 14 gemeldet bekommen und daher ebenfalls die Sicherheitsbremse auslösen können.
Fig. 2 zeigt weitere Maßnahmen zur Erhöhung der Sicherheit. Gemäß Fig. 2 werden die Ausgangssignale der Fahrbremskreise 18, 18, und der Abfahrsperrkreise 19, 19′ von den Wechslern 20, 20′ und 21, 21′ auf Gleichheit überwacht. Das verzögerte Relais 22 gibt die Abfahrsperrkreise nicht frei, wenn die Ausgänge der Relais 23, 23′ bzw. 24, 24′ nicht gleich sind.
Wie obenstehend ausgeführt, wird bei Bemerken einer Fehlfunktion die Anlage stillgesetzt. Um unbedingt nötige Maßnahmen durchfüh­ ren zu können, z. B. damit die Bergleute wieder ausfahren können, ist es sinnvoll, in einem solchen Fall durch manuelle Eingabe eines Sonderbefehls einen eingeschränkten (Not-)Betrieb aufrecht­ erhalten zu können.
Die Fig. 3 bis 11 beschreiben Elemente und Funktionen des Teil­ systems 1. Sie laufen vorzugsweise kontinuierlich und vom Be­ nutzer unbemerkt als Hintergrundprozesse ab. Das Teilsystem 1′ weist identisch aufgebaute Elemente und Funktionen auf. Fig. 3 zeigt nun den Aufbau des Watchdog 4.
Gemäß Fig. 3 sind zwischen einer positiven Spannungswelle L+ von z. B. 24 V und einer Masseverbindung M folgende Elemente (in dieser Reihenfolge) miteinander in Reihe geschaltet: Das Relais 41a, die Dioden 42a, 42b, das Relais 41b und der Widerstand 43a. Zwischen den in Durchlaßrichtung geschalteten Dioden 42a, 42b zweigt eine Leitung ab, die über den Widerstand 43b auf Masse M gelegt ist. Parallel zu den Relais 41a, 41b sind Kondensatoren 44a, 44b geschaltet. Die Relais 41a, 41b betätigen die in Fig. 1 dargestellten Kontakte 5a, 5b. Die Widerstände 43a, 43b sind je­ weils Parallelschaltungen von mindestens zwei Widerständen. Eben­ so sind die Kondensatoren 44a, 44b Parallelschaltungen. Die ge­ samte Schaltung des Watchdog 4, insbesondere die Widerstände 43a, 43b ist derart dimensioniert, daß ohne weitere Maßnahmen die Relais 41a, 41b abfallen würden und so die Kontakte 5a, 5b öffnen würden, so daß die Sicherheitsbremse ausgelöst würde.
Zwischen die Dioden 42a, 42b wird nun ein Taktsignal geeigneter Frequenz angelegt, das binär zwischen den Spannungswerten der Leitung L+ und Massepotential wechselt. Dadurch werden abwech­ selnd die Dioden 42a, 42b leitend. Während der leitenden Phase der Dioden 42a, 42b wird das jeweilige Relais 41a, 41b betätigt und darüber hinaus der jeweilige Kondensator 44a, 44b aufgela­ den. Während der sperrenden Phase der Dioden 42a, 42b entladen sich die Kondensatoren 44a, 44b über die Relais 41a, 41b. Dabei ist insbesondere zu bemerken, daß die Spulen der Relais 41a, 41b als Induktivitäten wirken, so daß bei geeigneter Wahl der Takt­ frequenz die Elemente 41a, 44a bzw. 41b, 44b jeweils als Schwing­ kreis wirken. Bei geeigneter Dimensionierung der Kondensatoren 44a, 44b und der Relais 41a, 41b sind die Kondensatoren 44a, 44b in der Lage, während der sperrenden Phase der Dioden 42a, 42b für ca. 500 msec einen hinreichend hohen Strom in den Relais 41a, 41b aufrecht zu erhalten, so daß die Relais 41a, 41b nicht abfallen.
Wenn dagegen an der Kontaktstelle 45 ein konstantes Spannungs­ signal angelegt wird oder wenn der Kontakt 45 hochohmig gelegt wird, fällt mindestens eines der Relais 41a, 41b ab.
Durch die oben beschriebenen Maßnahmen ist gewährleistet, daß der Watchdog 4 nur dann nicht auslöst, wenn er ein ordnungsge­ mäßes Taktsignal erhält. Wenn nun im Teilsystem 1 ein sicher­ heitsrelevanter Fehler entdeckt wird, wird der Eingangstakt des Watchdog 4 gesperrt. Dadurch wird der Watchdog 4 ausgelöst und so die Notstillsetzung der Anlage ausgelöst.
Fig. 4 zeigt das Prinzip der Leitungsüberwachung. An die Lei­ tungen 25a, 25b wird von einem Taktgeber 26 ein komplementäres Taktsignal angelegt. Die Leitung 25b wird über Geber 2 und Widerstände 27 auf Optokoppler 28 geführt, deren Lichtsignal von einem Eingabebaustein 29 detektiert und an das Teilsystem 1 gemeldet wird. Zwischen Gebern 2 und Widerständen 27 ist über die Widerstände 30 die Leitung 25a auf die Ausgänge der Geber 2 gelegt.
Das von dem Optokoppler 28 abgegebene Signal ist konstant Null (d. h. kein Licht wird emittiert) oder konstant 1 (das heißt Licht wird emittiert), wenn keine Leitungsfehler vorliegen. Bei einem Kurzschluß K oder einem Leitungsbruch B oszilliert das von den Leuchtdioden 28 abgegebene Signal mit einem der Takte auf den Leitungen 25a oder 25b.
Noch sicherer ist das in der eingangs erwähnten DE-OS 39 06 304 beschriebene Verfahren, bei dem die an den Eingängen der Einga­ beeinheiten 29 anliegenden Eingangssignale im fehlerfreien Zu­ stand ein dynamisches und im fehlerhaften Zustand ein statisches Bild zeigen.
Fig. 5 zeigt das Prinzip des Tests der Eingabeeinheiten 29. Zu­ nächst wird in einem Baustein 31 angefragt, ob der Förderkorb der Schachtförderanlage eine seiner Endpositionen angefahren hat. Falls dieser Test negativ verläuft, wird im Baustein 32 abgefragt, ob eine manuell ausgelöste Testanforderung vorliegt. Wenn auch dies nicht der Fall ist, wird im Baustein 33 die seit dem letzten Test aufgelaufene Zeit mit einer vorgegebenen Kon­ stante, z. B. 24 Stunden, verglichen, und falls die aufgelaufene Zeit größer als diese Konstante ist, wird vom Baustein 33′, eine Meldung ausgegeben, daß ein Test der Eingangsbausteine 29 durch­ geführt werden sollte. Falls der Test in einem der Bausteine 31 oder 32 positiv verlaufen ist, wird vom Baustein 34 der Zustand der Sicherheitsbremse abgefragt. Wenn die Sicherheitsbremse be­ tätigt ist, wird wieder der Baustein 33 durchlaufen. Anderen­ falls werden die bei der Fig. 4 beschriebenen Leitungen 25a und 25b auf Nullpotential gelegt sowie die Sicherheitsbremse be­ tätigt. Wenn nach einer vorwählbaren Zeit von z. B. 1 sek. alle Ausgangssignale der Eingabebausteine 29 auf logisch Null abge­ sunken sind, wird die Testroutine ordungsgemäß beeendet. Anderen­ falls ergeht eine Fehlermeldung "Fehler Eingangshardware", und der Takt für den Watchdog 4 wird gesperrt.
Fig. 6 zeigt eine bevorzugte Auswerteschaltung für die Eingabe­ bausteine 29. Die Ausgangssignale der Eingabebausteine 29 werden über die Leitungen 50 einer Logikschaltung 51 zugeführt, die permanent die Eingangssignale auf Fehler überwacht. Bei Bemerken eines unzulässigen Signals bzw. mehrerer unzulässiger Signale gibt die Logikschaltung 51 ein Fehlersignal an die Logikschal­ tung 52, die dann ein Fehlersignal ausgibt, wenn sie von der Leitung 53 ein Signal "Prüfung" erhält. Das von der Logikschal­ tung 52 ausgegebene Signal wird einer Verzögerungsschaltung 54 zugeleitet, die eine vorwählbare Verzögerungszeit von z. B. 1 sek hat. Das Ausgabesignal der Verzögerungsschaltung 54 bewirkt bei einem Fehler bei der Prüfung der Eingabebausteine 29 das Aus­ lösen des Watchdogs 4.
Das oben beschriebene Verfahren zum Testen der Eingabebausteine 29 ist auch auf den Test von Ausgabebausteinen anwendbar.
Fig. 7 zeigt das Prinzip der Überwachung der Ausgabebausteine für sicherheitsrelevante Signale. Zwei Ausgabebausteine 55a, 55b steuern ein Relais 56 an, das mindestens zwei Kontakte 57a, 57b betätigt. Das Relais 56 fällt ab, sowie einer der Ausgabe­ bausteine 55a, 55b sperrt. Der Kontakt 57b sowie etwaige wei­ tere, nicht dargestellte Kontakte dienen zur Verarbeitung als Nutzsignale, während der Kontakt 57a mit einem Optokoppler 58 des Teilssystems 1 verbunden ist. Im Teilsystem 1 kann so der Schaltzustand des Relais 56 abgefragt werden.
Gemäß Fig. 8 werden die Ausgangssignale der Ausgabebausteine 55a, 55b sowie des Optokopplers 58 einer Logikschaltung 59 zugeführt, die diese drei Signale auf Identität überprüft. Die Schaltung 59 zeigt ein Fehlersignal an, wenn die drei Signale nicht identisch sind. Das Ausgangssignal der Schaltung 59 wird einer Verzöge­ rungsschaltung 60 zugeführt, das den Watchdog 4 auslöst, wenn die Logikschaltung 59 für eine vorbestimmte Zeit von z. B. 0,5 sek oder länger einen Fehler anzeigt. In diesem Fall wird eine Meldung "Fehler Ausgangshardware" ausgegeben.
Die Fig. 9 und 10 zeigen das zyklische Überwachen der sicher­ heitsrelevanten Abschaltwege des Teilsystems 1. Wie in Verbin­ dung mit Fig. 10 noch näher erklärt werden wird, wird durch Ab­ arbeiten eines Bausteins 61 genau eines der Ausgangssignale der sicherheitsrelevanten Eingabebausteine 29 auf einen nicht ord­ nungsgemäßen Signalpegel gesetzt. Anschließend wird im Baustein 62 das Sicherheitsprogramm abgearbeitet. Das Ergebnis des Sicher­ heitsprogramms wird in einem Baustein 63 überprüft. Da eines der verarbeiteten Signale fehlerbehaftet war, muß das Sicherheitspro­ gramm bei ordnungsgemäßem Ablauf ansprechen. Falls das Sicher­ heitsprogramm anspricht, werden daher die aktuellen Ausgangs­ signale der Eingabeeinheiten 29 eingelesen und der normale Pro­ grammablauf vom Baustein 64 fortgeführt. Anderenfalls löst der Baustein 65 den Watchdog 4 aus und gibt die Fehlermeldung "Fehler dynamischer Einzeltest" aus.
Fig. 10 zeigt den Detailaufbau des Funktionsbausteins 61. In dem in Fig. 10 dargestellten Beispiel weist das Teilsystem 1 96 sicherheitsrelevante Eingänge auf, die in 12 Blöcke zu je 8 Eingabebausteinen aufgeteilt sind. Zunächst werden von einem Funktionsbaustein 66 alle Ausgangssignale der Eingabeeinheiten 29 auf "fehlerfrei" geschaltet. Dann wird im Funktionsbaustein 67 abgefragt, ob eines der Ausgabesignale dennoch fehlerhaft ist. Wenn dies der Fall ist, wird im Funktionsbaustein 62 fort­ gefahren, da in diesem Fall das Ergebnis des Sicherheitspro­ gramms, das im Funktionsbaustein 62 abgearbeitet wird, auf jeden Fall einen Fehler anzeigen müßte. Falls alle Ausgangssignale fehlerfrei sind, wird ein achtstelliger Bitzähler, in dem genau ein Bit gesetzt ist, vom Funktionsbaustein 68 um eine Stelle nach links verschoben. Danach wird im Funktionsbaustein 69 abgefragt, ob der Wert des Bitzählers ungleich Null ist. Wenn ja, wird der Funktionsbaustein 61 verlassen. Wenn nein, wird das niedrigstwertige Bit des Bitzählers vom Funktionsbaustein 70 ge­ setzt. Im Anschluß daran wird der Wert eines Bytezählers um eins erhöht.
Im Funktionsbaustein 71 wird der Wert des Bytes abgefragt. Wenn der Wert kleiner als 12 ist, wird der Funktionsbaustein 61 so­ fort verlassen. Anderenfalls wird der Funktionsbaustein 61 nach dem Rücksetzen des Bytezählers auf den Wert Null im Funktions­ baustein 72 verlassen.
Durch das oben beschriebene Verfahren ist gewährleistet, daß nacheinander alle sicherheitsrelevanten Abschaltwege zyklisch überprüft werden. Die konkrete Reihenfolge der Abfrage ist da­ bei zweitrangig. Wichtig ist, daß nacheinander alle Abschalt­ wege einzeln überprüft werden.
Fig. 11 zeigt das Schema zur Überwachung der Ablauffolge der ein­ zelnen Tests. Zunächst wird in einem Funktionsbaustein 73 die Konstante des nächsten auszuführenden Tests in eine Variable übernommen. Dann wird im Baustein 74 der nächste Test durchge­ führt. Nach dem Test wird vom Baustein 75 abgefragt, ob eine für den ausgeführten Test spezifische Konstante gleich der eben erwähnten Variable ist. Bei Ungleichheit erfolgt eine Fehler­ meldung "Fehler Programmablauf", und die Eingangstakte für den Watchdog 4 werden gesperrt, so daß der Watchdog 4 auslöst. Durch diese Ablaufüberwachung wird gewährleistet, daß sowohl ein Hän­ genbleiben des Testablaufs als auch ein Überspringen einzelner Test erkannt wird.
Weiterhin werden die in den Teilsystemem 1, 1′ abgearbeiteten Programme in festgesetzten Abständen mit auf einem externen Datenträger abgespeicherten Programmm verglichen. Der Daten­ träger ist in den Fig. 1 bis 11 der Übersichtlichkeit halber nicht dargestellt. Er kann z. B. eine magnetische oder eine op­ tische Festplatte sein.
Durch das Zusammenwirken der oben beschriebenen Maßnahmen er­ gibt sich ein Automatisierungssystem mit bisher noch nicht be­ kannter Sicherheit. Es ist so sicher, daß es nicht nur zur Steuerung und Überwachung einer Bergbauanlage, sondern auch bei Chemieanlagen oder zur Brennersteuerung, z. B. in Kraft­ werken, eingesetzt werden kann. Sogar zur Steuerung und Über­ wachung von Kraftwerken oder ihren Komponenten, z. B. ihren Not­ stromanlagen, könnte es verwendet werden.

Claims (27)

1. Automatisierungssystem zur Steuerung und Überwachung einer technischen Anlage mit erhöhten Sicherheitsanforderungen, ins­ besondere im Bergbau, wobei das Automatisierungssystem aus mindestens zwei, zumindest teilweise redundanten Teilsystemen (1, 1′) besteht, die unter gegenseitiger Überwachung gemeinsam die Anlage sicher zu führen haben, und wobei die Teilsysteme (1, 1′) zum Überprüfen der Funktionsfähigkeit zumindest der sicherheitsrelevanten Elemente der Teilsysteme (1, 1′) zyklisch, d. h. zumindest in Intervallen, Selbsttests durchführen und bei Bemerken einer Fehlfunktion eines der sicherheitsrelevanten Elemente die Anlage in einen vorbestimmten Zustand überführen und stillsetzen.
2. Verfahren nach Anspruch 1, dadurch gekenn­ zeichnet, daß die Selbsttests in den Teilsystemen (1, 1′) für den Benutzer verdeckt als Hintergrundprozesse durch­ geführt werden, insbesondere während des Routinebetriebs der Anlage.
3. Verfahren nach Anspruch 1 oder 2, dadurch ge­ kennzeichnet, daß die Anlagenteile bei einer Not­ stillsetzung (Sonderroutine) derart gesteuert werden, daß sich störende Funktionen gegeneinander verriegelt sind.
4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, daß bei Bemerken einer Fehl­ funktion eines der Teilsysteme (1, 1′) zumindest ein einge­ schränkter Betrieb der Anlage durch einen, insbesondere hand­ betätigten, Sonderbefehl zugelassen wird.
5. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß eines (1) der Teilsysteme (1, 1′) weitere, nicht sicherheitsrelevante Signale verarbeitet.
6. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß zur Überprüfung des Testzyklus der sicherheitsrelevanten Funktionen während des Tests eine Testvariable gleich einer für die zu testende Funktion charakteristischen Konstante gesetzt wird, die Testvariable mit einer für die getestete Funktion charakteri­ stischen Konstante verglichen wird und bei Ungleichheit ein Fehlersignal ausgelöst wird.
7. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß nach vorwählbaren Vorgaben, z. B. Prüfanforderungen, Zeitablauf oder Eintreten bestimmter Anlagenzustände, die Teilsysteme (1, 1′) ihre Ein- (29) und/oder Ausgabeeinheiten (55a, 55b) auf korrek­ tes Ansprechverhalten überprüfen.
8. Verfahren nach Anspruch 7, dadurch gekenn­ zeichnet, daß an die Eingänge der Eingabeeinheiten (29) fehlerbehaftete Signale angelegt werden und ein Fehler­ signal ausgelöst wird, wenn nach einer vorwählbaren Zeitspanne von z. B. 1 sek. mindestens eine der Eingabeeinheiten (29) kein Fehlersignal liefert.
9. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß die Aus­ gangssignale der Ausgabeeinheiten (55a, 55b) in die Teilsysteme (1, 1′) zurückgeführt werden und ein Fehlersignal ausgelöst wird, wenn die rückgeführten Signale und die Ausgangssignale nach einer vorwählbaren Zeitspanne von z. B. 500 ms nach einer Sig­ nalausgabe mit unterschiedlichen Signalpegeln beaufschlagt sind.
10. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß die teilsysteminternen Wege von sicherheitsrelevanten Signalen zyklisch durch eine fehlerbehaftete Ansteuerung überprüft werden.
11. Verfahren nach Anspruch 10, dadurch gekenn­ zeichnet, daß die vorverarbeiteten Ausgangssignale der sicherheitsrelevanten Eingabeeinheiten (29) zyklisch mit einem nicht ordnungsgemäßen Signalpegel beaufschlagt werden und ein Fehlersignal ausgelöst wird, wenn nach dem Auswerten der fehlerbehafteten Signalpegel keines der sicherheitsrelevanten Ausgangssignale einen Fehler anzeigt.
12. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß alle Fehlersignale eines Teilsystems (1, 1′) auf eine Überwachungs­ einheit (4, 4′), z. B. einen Watchdog (4; 4′), wirken, die die Notstillsetzung der Anlage auslöst.
13. Verfahren nach Anspruch 12, dadurch gekenn­ zeichnet, daß die Überwachungseinheiten (4, 4′) der Teilsysteme (1, 1′) zusätzlich auf einen den Teilsystemen (1, 1′) gemeinsamen Sicherheitsschalter (12) wirken, der die Notstill­ setzung der Anlage auslöst, wenn die Überwachungseinheiten (4, 4′) unterschiedliche Signale liefern.
14. Verfahren nach Anspruch 12 oder 13, dadurch ge­ kennzeichnet, daß die Überwachungseinheiten (4, 4′) bei fehlerfreiem Betrieb ein dynamisches und nach Bemerken eines Fehlers ein statisches Signal erhalten.
15. Verfahren nach Anspruch 14, dadurch gekenn­ zeichnet, daß die Überwachungseinheiten (4, 4′) die Notstillsetzung der Anlage auslösen, wenn das statische Signal länger als eine vorwählbare Zeit von z. B. 500 ms anliegt.
16. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß die in den Teilsystemen (1, 1′) gespeicherten Programme zyklisch über­ prüft werden, z. B. durch Vergleich mit einem in einem externen Datenspeicher abgespeicherten Programm.
17. Verfahren nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß die an den Eingängen der Eingabeeinheiten (29) anliegenden Eingangs­ signale im fehlerfreien Zustand ein dynamisches und im fehler­ haften Zustand ein statisches Bild zeigen.
18. Automatisierungssystem zur Durchführung des Verfahrens nach einem oder mehreren der obigen Ansprüche, dadurch gekennzeichnet, daß jedes Teilsystem (1, 1′) Einrichtungen (51-54, 57a, 58-60) zur dynamischen Überwachung seiner Einzelkomponenten (29, 55a, 55b, 56) aufweist, die zur Fehlermeldung mit einer Überwachungseinheit (4, 4′), z. B. einem Watchdog (4, 4′), verbunden sind.
19. Automatisierungssystem nach Anspruch 18, dadurch gekennzeichnet, daß die Überwachungseinheiten (4′ 4′) der Teilsysteme (1, 1′) ausschließlich passive Kompo­ nenten (41a-44a, 41b-44b), z. B. Widerstände (43a, 43b), Konden­ satoren (44a, 44b), Dioden (42a, 42b) oder Relais (41a, 41b), aufweisen.
20. Automatisierungssystem nach Anspruch 19 oder 20, da­ durch gekennzeichnet, daß die Überwach­ ungseinheiten (4, 4′) zwei Verzögerungsschalter (41a und 44a, 41b und 44b) aufweisen, die mit einem Taktgeber und zwei in Reihe geschalteten Kontakten (5a, 5b) verbunden sind, die mit einem weiteren Schalter (6) in Reihe geschaltet sind, der das Überführen und Stillsetzen der Anlage auslöst.
21. Automatisierungssystem nach Anspruch 20, dadurch gekennzeichnet, daß die Verzögerungsschalter (41a und 44a, 41b und 44b) mit Spannungsquellen unterschied­ lichen Potentials (L+, M) verbunden sind.
22. Automatisierungssystem nach Anspruch 18, 19, 20 oder 21, dadurch gekennzeichnet, daß die Über­ wachungseinheiten (4, 4′) der Teilsysteme (1, 1′) zusätzlich mit einem den Teilsystemen (1, 1′) gemeinsamen, vorzugsweise passi­ ven, Sicherheitsschalter (12) verbunden sind.
23. Automatisierungssystem nach einem oder mehreren der Ansprü­ che 18 bis 22, dadurch gekennzeichnet, daß die sicherheitsrelevanten Ausgabeeinheiten (55a, 55b) der Teilsysteme (1, 1′) je zwei in Reihe geschaltete Kontakte auf­ weisen, die mit einem Schalter (56) mit mehreren Kontakten (57a, 57b) verbunden sind, von denen einer (57a) mit einer Eingabeein­ heit (58) der Teilsysteme (1, 1′) verbunden ist.
24. Automatisierungssystem nach einem oder mehreren der An­ sprüche 18 bis 23, dadurch gekennzeich­ net, daß die sicherheitsrelevanten Ein- (29) und Ausgabe­ einheiten (55a, 55b) der Teilsysteme (1, 1′) mit den Teilsystemen (1, 1′) zugeordneten logischen Auswerteschaltungen (51, 52, 54, 59, 60) verbunden sind.
25. Automatisierungssystem nach einem oder mehreren der An­ sprüche 18 bis 24, dadurch gekennzeich­ net, daß die Teilsysteme (1, 1′) zur Programmüberprüfung mit einem Langzeitspeicher, z. B. einer magnetischen oder optischen Festplatte, verbunden sind.
26. Automatisierungssystem nach einem oder mehreren der An­ sprüche 18 bis 25, dadurch gekennzeich­ net, daß ein Teilsystem (1) als Hauptsystem zur Verarbei­ tung aller Signale und die anderen Teilsysteme (1′) als Neben­ systeme zur Verarbeitung nur der sicherheitsrelevanten Signale ausgebildet sind.
27. Verfahren und Automatisierungssystem nach einem oder mehreren der obigen Ansprüche, dadurch ge­ kennzeichnet, daß es zur Steuerung und Über­ wachung einer Schachtanlage verwendet wird.
DE4134396A 1990-10-30 1991-10-17 Sicheres Automatisierungssystem Expired - Fee Related DE4134396C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP90120803 1990-10-30

Publications (2)

Publication Number Publication Date
DE4134396A1 true DE4134396A1 (de) 1992-05-07
DE4134396C2 DE4134396C2 (de) 1996-08-14

Family

ID=8204667

Family Applications (1)

Application Number Title Priority Date Filing Date
DE4134396A Expired - Fee Related DE4134396C2 (de) 1990-10-30 1991-10-17 Sicheres Automatisierungssystem

Country Status (2)

Country Link
DE (1) DE4134396C2 (de)
ZA (1) ZA918593B (de)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4233108A1 (de) * 1992-10-02 1994-04-07 Fernsprech Und Signalbau Gmbh Sicherheitskoppelglied
DE4401467A1 (de) * 1993-03-25 1994-09-29 Siemens Ag Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
EP0618518A1 (de) * 1993-03-30 1994-10-05 Schneider Electric Sa Eigensichere Analoge Schnittstelle
DE4432237A1 (de) * 1994-06-08 1995-12-14 Orenstein & Koppel Ag Steuerung für mobile Arbeitsmaschinen
US5625266A (en) * 1993-11-30 1997-04-29 Dorma Gmbh & Co. Kg Sliding door with a drive motor system and control and regulation for a door driven by an electromechanical motor
EP0874383A2 (de) * 1997-04-11 1998-10-28 Schneider Electric Sa Überwachungsschaltung
US6502019B1 (en) 1998-01-07 2002-12-31 Continental Teves Ag & Co., Ohg Electronic digital device employing fault detection
US6604006B2 (en) 1998-06-10 2003-08-05 Siemens Aktiengesellschaft Control device in a system and method for monitoring a controller
EP1375968A2 (de) 2002-06-20 2004-01-02 ZF FRIEDRICHSHAFEN Aktiengesellschaft Getriebe mit einem hydrodynamischen Wandler
CN107399303A (zh) * 2017-07-11 2017-11-28 上海蔚来汽车有限公司 换电站及其保护***
EP3575900A4 (de) * 2017-12-27 2020-04-22 Shanghai Chenzhu Instrument Co., Ltd. Intelligentes sicherheitsrelais und davon angelegte schaltungen

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19805819B4 (de) * 1997-05-06 2006-11-23 Ee-Signals Gmbh & Co. Kg Verfahren zur Überwachung von integrierten Schaltkreisen
DE19930994B4 (de) * 1999-07-05 2006-03-02 Leuze Lumiflex Gmbh + Co. Kg Schaltungsanordnung zur Überwachung von Relais in Sicherheitsschaltungen mit mindestens 3 Relais
DE10031956B4 (de) * 2000-06-30 2007-10-11 Igema Gmbh Schaltung

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2258917B2 (de) * 1971-12-02 1976-08-19 Hitachi, Ltd., Tokio Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE3225455A1 (de) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren betrieb eines redundanten steuersystems und anordnung zur durchfuehrung des verfahrens
DE3820534A1 (de) * 1987-06-19 1989-01-05 Diesel Kiki Co Einrichtung zur fehlererkennung bei einem regler
DE3139067C2 (de) * 1981-10-01 1990-10-25 Bayerische Motoren Werke AG, 8000 München Elektrische Einrichtung zum Auslösen von Schaltfunktionen in Kraftfahrzeugen
DE3303791C2 (de) * 1982-02-11 1992-04-16 ZF-Herion-Systemtechnik GmbH, 7990 Friedrichshafen Elektronische Steuerung mit Sicherheitseinrichtungen

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE2258917B2 (de) * 1971-12-02 1976-08-19 Hitachi, Ltd., Tokio Regelvorrichtung mit mindestens zwei parallelen signalkanaelen
DE3139067C2 (de) * 1981-10-01 1990-10-25 Bayerische Motoren Werke AG, 8000 München Elektrische Einrichtung zum Auslösen von Schaltfunktionen in Kraftfahrzeugen
DE3303791C2 (de) * 1982-02-11 1992-04-16 ZF-Herion-Systemtechnik GmbH, 7990 Friedrichshafen Elektronische Steuerung mit Sicherheitseinrichtungen
DE3225455A1 (de) * 1982-07-07 1984-01-19 Siemens AG, 1000 Berlin und 8000 München Verfahren zum sicheren betrieb eines redundanten steuersystems und anordnung zur durchfuehrung des verfahrens
DE3820534A1 (de) * 1987-06-19 1989-01-05 Diesel Kiki Co Einrichtung zur fehlererkennung bei einem regler

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
F. BERNOSCHEK: Grundlagen zuverlässiger und sicherer Rechnersysteme. In: Regelungstechnische Praxis, 25. Jg., 1983, H. 9, S. 371-375 *
H. Brauer: Sicheres Mikrorechnersystem LOGISIRE. In: Signal + Draht 76(1984)3, S. 35-41 *
H.G. NIX: Sichere Steuerungen in Mikropro- zessortechnik. In: messen + prüfen/automatik, Juli/August 1984, S. 368-270 *
Redundantes hochverfügbares Automatisierungs- system. In: Regelungstechnische Praxis, 26. Jg., 1984, H. 6, S. 283-284 *
U. KLING, E. SCHRODI: Redundantes hochverfügbares Automatisierungssystem AS 220 H in dezentralen Prozeßleitsystem Teleperm M. In: Siemens- Energietechnik 5 (1983), H. 2, S. 73-76 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4233108A1 (de) * 1992-10-02 1994-04-07 Fernsprech Und Signalbau Gmbh Sicherheitskoppelglied
DE4401467A1 (de) * 1993-03-25 1994-09-29 Siemens Ag Betriebsverfahren für ein redundant aus mindestens zwei Teilsystemen aufgebautes Automatisierungssystem
EP0618518A1 (de) * 1993-03-30 1994-10-05 Schneider Electric Sa Eigensichere Analoge Schnittstelle
FR2703480A1 (fr) * 1993-03-30 1994-10-07 Merlin Gerin Interface analogique de sécurité.
US5625266A (en) * 1993-11-30 1997-04-29 Dorma Gmbh & Co. Kg Sliding door with a drive motor system and control and regulation for a door driven by an electromechanical motor
DE4432237A1 (de) * 1994-06-08 1995-12-14 Orenstein & Koppel Ag Steuerung für mobile Arbeitsmaschinen
EP0874383A2 (de) * 1997-04-11 1998-10-28 Schneider Electric Sa Überwachungsschaltung
EP0874383A3 (de) * 1997-04-11 2004-06-23 Schneider Electric Industries SAS Überwachungsschaltung
US6502019B1 (en) 1998-01-07 2002-12-31 Continental Teves Ag & Co., Ohg Electronic digital device employing fault detection
US6604006B2 (en) 1998-06-10 2003-08-05 Siemens Aktiengesellschaft Control device in a system and method for monitoring a controller
EP1375968A2 (de) 2002-06-20 2004-01-02 ZF FRIEDRICHSHAFEN Aktiengesellschaft Getriebe mit einem hydrodynamischen Wandler
CN107399303A (zh) * 2017-07-11 2017-11-28 上海蔚来汽车有限公司 换电站及其保护***
CN107399303B (zh) * 2017-07-11 2020-04-24 上海蔚来汽车有限公司 换电站及其保护***
EP3575900A4 (de) * 2017-12-27 2020-04-22 Shanghai Chenzhu Instrument Co., Ltd. Intelligentes sicherheitsrelais und davon angelegte schaltungen

Also Published As

Publication number Publication date
DE4134396C2 (de) 1996-08-14
ZA918593B (en) 1992-07-29

Similar Documents

Publication Publication Date Title
DE3706325C2 (de)
DE4134396C2 (de) Sicheres Automatisierungssystem
DE4032033C2 (de)
WO2012130795A1 (de) Sicherheitsschaltungsanordnung zum fehlersicheren ein- oder ausschalten einer gefährlichen anlage
EP3657288A1 (de) Sichere spannungsüberwachung
DE3024370A1 (de) Redundantes steuersystem
DE3926377C2 (de) Elektronisches Steuergerät für eine Brennkraftmaschine
EP3465898B1 (de) Sanftstarter, betriebsverfahren und schaltsystem
DE3522220C2 (de) Schaltungsanordnung zur sicheren Ansteuerung von Stellelementen eines Prozesses
EP2239752B2 (de) Sichere Schalteinrichtung und modulares fehlersicheres Steuerungssystem
EP0996060A2 (de) Einzelprozessorsystem
CH618029A5 (de)
EP0660043A1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen nach einem Zeitprogramm
EP0270871B1 (de) System zur Ein- und/oder Ausgabe von Signalen eines digitalen Steuersystems
EP0077450B1 (de) Sicherheits-Ausgabeschaltung für eine Binärsignalpaare abgebende Datenverarbeitungsanlage
AT395358B (de) Datenverarbeitungsanlage mit in mehreren kanaelen dieselben daten verarbeitenden rechnern
EP0404992B1 (de) Verfahren zum hochverfügbaren Betrieb von redundanten Datenverarbeitungsanlagen
DE19508841A1 (de) Sicherheitsschalteranordnung
DE3919558C2 (de)
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
EP1282859B1 (de) Peripheriebaustein mit hoher fehlersicherheit für speicherprogrammierbare steuerungen
DE19543817C2 (de) Verfahren und Anordnung zum Prüfen und Überwachen der Arbeitsweise wenigstens zweier Datenverarbeitungseinrichtungen mit Rechnerstruktur
DE3209718A1 (de) Funktionssichere steuereinrichtung
DD231869A5 (de) Signaltechnisch sichere datenverarbeitungseinrichtung
DE3832800C2 (de)

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee