Система контроля за процессами обеспечения безопасности и способ контроля за выходным модулем

Данная группа изобретений относится к средствам контроля за процессами обеспечения безопасности. Технический результат заключается в повышении надежности контроля. Для этого предложена система контроля выходного модуля, содержащая выходной модуль для формирования управляющего сигнала в ответ на входной сигнал, контрольный модуль для формирования входного сигнала для выходного модуля, выходное устройство для выдачи выходного сигнала в ответ на управляющий сигнал и устройство пропускания для недопущения выдачи выходного сигнала, при этом контрольный модуль выполнен с возможностью выдачи команды устройству пропускания на недопущение выдачи выходного сигнала при наличии расхождения между управляющим сигналом и ожидаемым на основании входного сигнала управляющим сигналом, причем устройство пропускания для недопущения выдачи выходного сигнала выполнено с возможностью прерывания управляющей или информационной шины выходного устройства. 2 н. и 11 з.п. ф-лы, 5 ил.

 

Область техники, к которой относится изобретение

Изобретение относится к системе для контроля за процессами обеспечения безопасности и к способу контроля за выходным модулем.

Уровень техники

Промышленная, применяемая в системах передачи данных система связи, объединяющая множество подключенных полевых приборов, таких как измерительные датчики (чувствительные элементы), исполнительные звенья и/или приводы (воздействующие элементы) с устройством управления, представляет собой, как известно, полевую шину, при этом устройства, обеспечивающие фактическое подсоединение к шине, называются магистральными абонентами.

Во множестве случаев обусловленность и неизменность, при передаче технологических даных, является важнее собственно скорости передачи. Известны, например, полевые шины с подключенными к ним абонентами, в которых для передачи технологических данных между отдельными абонентами и, следовательно, для передачи и приема технологических данных, в частности технологических входных данных, технологических выходных данных и данных управления, проводится циклическая передача технологических данных по общему передающему каналу. Для этого часто во время заданных информационных циклов абонент в качестве главной станции считывает с полевых приборов, подключенных к исполнительным абонентам, специальные протокольные данные и записывает их во время последующих информационных циклов в память полевых приборов, подключенных к исполнительным абонентам.

Кроме того, во многих случаях применения системы передаваемые данные являются, по меньшей мере, частично важными для безопасности данными, вследствие чего допущенные при передаче данных ошибки подлежат по возможности раннему обнаружению и при выявлении ошибки необходимо оперативно реагировать, например перевести в надежный режим полевой прибор, абонента или (под)систему. При передаче важных в отношении безопасности данных по шине следует учитывать по существу шесть классов ошибок. Ими являются повтор, утрата, вставка, неправильная последовательность, уничтожение и задержка важных для безопасности данных. Следовательно, передача таких данных должна быть надежной.

Для обеспечения надежной передачи данных, в частности важных для безопасности технологических данных, по меньшей мере, таким образом, чтобы перечисленные классы ошибок при их наличии были бы распознаны, в принципе широко применяется практика, при которой передаваемые данные дополняются контрольными данными, как, например, регистрация времени, информация об абоненте и/или контрольная информация, например циклический избыточный код (ЦИК). Однако при этом присутствует существенный недостаток, заключающийся в том, что передаваемые служебные данные резко возрастают относительно передаваемых полезных данных и вследствие этого снижается протокольная эффективность. Особенно сильно проявляется этот недостаток в том случае, когда приходится передавать лишь немногие и/или являющиеся изредка важными для безопасности данные в расчете на одного абонента. Другой недостаток известных в настоящее время контрольных систем для контроля за важными для безопасности данными состоит в том, что для проведения специфичных для абонентов процессов с ориентированными на безопасность выходами постоянно требуются, по меньшей мере, два микроконтроллера или две комплексных аппаратных схемы для обработки комплексных протокольных обязанностей.

Задачей настоящего изобретения является создание концепции, с помощью которой могут быть снижены затраты на аппаратное оформление, программное обеспечение и повышение квалификации работников и, следовательно, затраты на изготовление полевых приборов с ориентированными на безопасность выходами.

Эта задача решается посредством признаков независимых пунктов формулы изобретения. Предпочтительные варианты развития описаны в зависимых пунктах формулы.

Изобретение основано на знании того факта, что функции обработки выходного модуля, управляющего исполнительным, обладающим потенциалом опасности элементом, могут осуществляться посредством одного канала и дополнительно контролироваться с помощью автономного контрольного модуля, например ведущего модуля безопасности. Если контрольный модуль отмечает отклонение от ожидаемой характеристики или беспорядочность в процессе обработки, то он может перевести в надежный режим всю систему, которая может состоять также из нескольких выходных модулей, например нескольких выходных модулей безопасности. Перевод выходного или выходных модулей в надежный режим может осуществляться, например, независимо от соответствующего обрабатывающего блока через вспомогательный канал, обеспечивающий пропускание через контрольный модуль и поэтому называемый далее устройством пропускания.

Следовательно, функция безопасности распределяется между контрольным модулем (Safety-Master) и выходным модулем (Safety-Output-Module). При этом контрольный модуль поддерживается простым и дешевым отключающим механизмом устройства пропускания. Также целесообразно для использования концепции согласно изобретению, чтобы выходной разрешающий импульс был интегрирован, например, в протокол шины. В результате применения децентрализованного микропроцессора возможно также интегрировать управляющую информацию для одновибратора, который отключает выход выходного модуля или соответствующего выходного устройства. Например, в определенные моменты времени управляющая информация может быть заведена путем модуляции в информационный сигнал, в результате чего возможно эффективное управление устройством пропускания.

Раскрытие изобретения

Согласно одному из аспектов изобретение относится к контрольной системе, содержащей выходной модуль для формирования управляющего сигнала в ответ на входной сигнал, контрольный модуль для формирования входного сигнала для выходного модуля, выходное устройство для выдачи выходного сигнала в ответ на управляющий сигнал и устройство пропускания для предупреждения или недопущения выдачи выходного сигнала, причем контрольный модуль служит для выдачи команды устройству пропускания на предупреждение или недопущение выдачи выходного сигнала при наличии расхождения между управляющим сигналом и ожидаемым на основе входного сигнала управляющим сигналом.

Согласно варианту выполнения выходной модуль предназначен для передачи управляющего сигнала на контрольный модуль, при этом контрольный модуль предназначен для приема управляющего сигнала и передачи сигнала пропускания на устройство пропускания при наличии расхождения.

Согласно другому варианту выполнения контрольный и выходной модули или устройство пропускания предназначены для обеспечения связи через сеть связи, в частности через шину связи.

Согласно еще одному варианту выполнения контрольный модуль предназначен для формирования разрешающего сигнала и передачи его на выходной модуль в том случае, когда управляющий сигнал соответствует ожидаемому управляющему сигналу, при этом разрешающий сигнал указывает на разблокировку выходного сигнала.

Согласно другому варианту выполнения устройство пропускания расположено в контрольном модуле или выходном модуле.

Согласно следующему варианту выполнения устройство пропускания расположено в выходном модуле, при этом контрольный модуль предназначен для передачи на устройство пропускания сигнала пропускания для предупреждения выдачи выходного сигнала, причем устройство пропускания предназначено для предупреждения или недопущения выдачи выходного сигнала в ответ на сигнал пропускания.

Согласно другому варианту выполнения контрольный модуль предназначен для сравнения управляющего сигнала с ожидаемым управляющим сигналом для проверки управляющего сигнала на наличие расхождения.

Согласно еще одному варианту выполнения выходное устройство содержит, например, реле или аналоговый выходной каскад с информационной шиной для приема управляющего сигнала и с дорожкой для питания электрической энергией выходного устройства, при этом устройство пропускания предназначено для воздействия на информационную шину или дорожку для питания электрической энергией для предупреждения выдачи выходного сигнала. Аналоговый выходной каскад может быть рассчитан, например, на диапазон от 4 до 20 миллиампер, при этом его выходной ток составляет при наличии ошибки менее 3 миллиампер.

Согласно другому варианту выполнения устройство пропускания содержит ждущий мультивибратор, в частности триггер или одновибратор, при этом выходное устройство содержит информационную шину и дорожку для питания электрической энергией, причем выход мультивибратора соединен через, в частности, выходной транзистор с информационной шиной или дорожкой для питания электрической энергией для воздействия на информационную шину или дорожку для питания электрической энергией, в частности, в ответ на сигнал пропускания, поступающий на вход мультивибратора.

Согласно варианту выполнения устройство пропускания предназначено для перевода выходного устройства в режим запирания в ответ на сигнал пропускания, в частности, для отключения выходного устройства или для прерывания его выхода или его информационной шины или пути прохождения управляющего сигнала или его питания электрической энергией.

Согласно следующему варианту выполнения выходной модуль содержит микроконтроллер, предназначенный для приема входного сигнала и формирования управляющего сигнала.

Согласно еще одному варианту выполнения контрольный модуль и выходной модуль являются автономными модулями.

Изобретение относится также к способу контроля за выходным модулем с помощью контрольного модуля, при этом выходной модуль формирует управляющий сигнал в ответ на входной сигнал, причем контрольный модуль формирует входной сигнал для выходного модуля, при этом в ответ на управляющий сигнал выдается выходной сигнал и при наличии расхождения между управляющим сигналом и ожидаемым на основе входного сигнала управляющим сигналом устройство пропускания прекращает выдачу выходного сигнала. Другие операции способа контроля за выходным модулем вытекают непосредственно из функциональности контрольного модуля согласно изобретению.

Краткое описание чертежей

Другие примеры выполнения изобретения подробнее поясняются ниже со ссылкой на приложенные чертежи. При этом изображено:

фиг.1 - принципиальное устройство контрольной системы;

фиг.2 - блок-схема контрольной системы;

фиг.3 - блок-схема выходного модуля;

фиг.4 - формат кадров данных;

фиг.5 - блок-схема выходного модуля.

Осуществление изобретения

Сначала следует рассмотреть фиг.1, на которой показано принципиальное, используемое в рамках настоящего изобретения устройство системы. Изображенное устройство системы представляет собой - при топологическом рассмотрении - линию, причем возможны также звездчатая топология и любые другие смешанные формы.

Изображено пять подключенных к шине 600 шинных абонентов. Первым шинным абонентом является контрольный модуль, например, ориентированный на безопасность задающий модуль 100, называемый ниже также задающим модулем безопасности, который в данном примере одновременно служит и шинным задающим модулем, причем однако он не является обязательным в рамках данного изобретения. При этом речь может идти в целом об определенном, соответственно заданном абоненте безопасности. Вторым и третьим шинным абонентом выступает ориентированный на безопасность исполнительный выходной абонент 200, называемый ниже также выходным модулем или выходным исполнительным модулем безопасности (Safety-Output-Slave), или ориентированный на безопасность исполнительный входной абонент 300, называемый ниже также входным исполнительным модулем безопасности (Safety-Input-Slave). Четвертым и пятым шинным абонентом является не ориентированный на безопасность исполнительный выходной абонент 400, называемый ниже также выходным исполнительным модулем, или не ориентированный на безопасность исполнительный входной абонент 500, называемый ниже также входным исполнительным модулем (Input-Slave).

Ориентированные на безопасность абоненты, т.е. абоненты, обрабатывающие ориентированные на безопасность технологические данные, и не ориентированные на безопасность абоненты могут быть, следовательно, перемешаны и располагаться произвольно.

В отношении ориентированных на безопасность абонентов системы с изображенной примерной конструкцией следует отметить, что к задающему модулю безопасности 100 подключен, например, аварийный выключатель 110, важную для безопасности входную информацию которого абонент 100 получает избыточно через два входа 121, 122 и обрабатывает по специальному протоколу сначала посредством двух избыточных обрабатывающих каналов 131, 132 до того, как сигнал поступит на шину 600. К выходному модулю безопасности 200 подключен, например, двигатель 210, причем после подачи сигнала с шины 600 абонент 200 сначала проводит по специальному протоколу обработку посредством двух избыточных обрабатывающих каналов 231, 232 и передает важную для безопасности выходную информацию на двигатель 210 через выход 220. К входному исполнительному модулю безопасности 300 подключены, например, защитная дверь 311 и датчик 312 частоты вращения, важную для безопасности входную информацию которых абонент 300 получает избыточно через два входа 321, 322 и обрабатывает по специальному протоколу посредством обрабатывающего канала 330 до того, как сигнал поступит на шину 600.

Следовательно, ориентированная на безопасность функция выполняется, как правило, с использованием избыточной обработки, например с помощью двух раздельных, расположенных на аппаратной стороне каналов, при этом соответствующий интерфейс 140, 240, 340, 440 или 540 абонента для шины 600 выполнен, как правило, одноканальным. Наряду с сокращением занимаемой площади и снижением затрат возможно также удвоение числа абонентов на шине, допускаемое, в частности, нагрузкой на шину, потреблением тока и мощностью. Ошибки, вызываемые при соединении к шине, например, магистральным усилителем-формирователем, гальваническим разъединением, могут быть обычно распознаны с помощью применяемого магистрального протокола. Обрабатывающий блок ориентированных на безопасность абонентов не должен быть обязательно выполнен на аппаратной стороне двухканальным, так как во многих случаях достаточным является двухканальное выполнение программного обеспечения.

Шина 600 обеспечивает выполненные согласно изобретению способ и передающую систему общей информационной магистралью для передачи и приема любых данных, в частности технологических данных. Например, такая передающая система работает на основе известной из автомобильной техники шины сети локальной связи (LIN: Local Interconnect Network), при этом в такой системе во время определенных информационных циклов могут считываться исполнительным модулем протокольные данные из памяти полевых, подключенных через абонентов приборов и записываться в их память при последующих информационных циклах при скорости ок. 19,2-38 кбит.

Согласно показательному способу по изобретению передача технологических входных и выходных данных проводится, например, при постоянном интервале, смещенном соответственно на половину продолжительности шинного цикла. Следовательно протокол, например, циклической передачи технологических входных и выходных данных применяет часто две разных услуги обмена данных, называемых ниже также Data-Exchange-Mode. Цикл обращения к шине включает в себя в этом случае основанный на услуге считывания технологических данных информационный цикл и следующий за ним информационный цикл, основанный на услуге записи технологических данных.

При передаче технологических выходных данных задающий модуль передает соединенным с ним абонентам при использовании услуги записи технологических данных в принципе любые данные для подключенных полевых приборов и затем определяет циклический избыточный код (ЦИК), который он также передает. Целесообразно, чтобы передающая система была выполнена таким образом, чтобы все подключенные абоненты считывали вместе передаваемые при этом данные и предпочтительно образовывали также ЦИК, который они бы сравнивали с полученным ЦИК задающего модуля, в результате чего при наличия ошибки формировалось бы сообщение об этой ошибке и, например, выбранные абоненты или отдельные полевые приборы переводились бы в надежный режим. При передаче технологических входных данных задающий модуль передает при использовании услуги считывания технологических данных, например, сначала широковещательный адрес, сопровождаемый функциональным кодом. Другие подключенные абоненты подают затем в информационную магистраль данные из своих подключенных полевых приборов, т.е., в частности свои технологические входные данные, бит за битом в предусмотренные для этого временные интервалы. Согласно предпочтительному варианту выполнения абоненты способны распознавать прослушиванием информационной магистрали любые данные, рассчитывая для этого ЦИК.

На фиг.2 показана блок-схема контрольной системы с выходным модулем 201 и контрольным модулем 203, находящимся в двунаправленной связи с выходным модулем 201. Кроме того, контрольная система содержит выходное устройство 205, подключенное к выходному модулю 201, и устройство пропускания 207, подключенное к контрольному модулю 203 и выход которого соединен с выходным устройством 205. Выходное устройство 205 содержит выход для вывода выходного сигнала в ответ на управляющий сигнал, формируемый выходным модулем 201 на основе входного сигнала контрольного модуля 203. Перед этим выходной модуль 201 передает управляющий сигнал на контрольный модуль 203 для проверки на расхождение с ожидаемым управляющим сигналом. Если расхождение присутствует и превышает, например, заданное пороговое значение, то контрольный модуль 203 подает команду устройству пропускания 207, например, с помощью сигнала пропускания на прекращение выдачи выходного сигнала. При этом устройство пропускания 207 воздействует, например, непосредственно на выходное устройство 205 и прерывает, например, его питание током или же его управляющую или информационную магистраль с тем, чтобы прекратился вывод выходного сигнала.

Модули 201, 203, 205 и 207 не должны быть выполнены обязательно пространственно разделенными. Возможно также их расположение на общей печатной плате. Вместо системы шин может применяться для связи также раздельное соединение, например, поверх разделительных участков.

На фиг.3 показан выходной модуль, содержащий устройство 301 подключения шины, схему 303 микроконтроллера, устройство пропускания 305 и выходное устройство 307. Устройство 301 подключения шины содержит выход, к которому может подключаться, например, шина сети локальной связи. Вход соединен с шинным формирователем 309 сети локальной связи, содержащим два вывода 313, 315. Вывод 313 соединен через входной резистор R1 устройства 305 пропускания с выводом затвора транзистора T1 устройства пропускания 305. Транзистор T1 содержит первый вывод, например вывод эмиттера, соединенный на массу. Второй вывод транзистора T1, например вывод коллектора, соединен с тактовым входом А триггера 317, например одновибратора. Второй выход транзистора T1 соединен через конденсатор С1 на массу, а через резистор R2 - с питающим потенциалом.

Триггер 317 содержит также информационный вход MR, который соединен со вторым выводом, например выводом коллектора, второго транзистора T2. Первый вывод транзистора T2, например вывод эмиттера, соединен на массу. Информационный вход MR может быть соединен через резистор R2 с питающим потенциалом. Вывод затвора транзистора T2 соединен через резистор R4 с выводом микроконтроллера 319 схемы 303. Выход Q триггера 317 соединен через резистор R5 с выводом затвора третьего транзистора T3, первый вывод которого, например, вывод эмиттера, может быть соединен с питающим потенциалом, и второй вывод которого соединен через резистор R6 с другим выводом микроконтроллера 319. Резистор R6 соединен через резистор R7 на массу. Второй вывод третьего транзистора T3 служит одновременно выходом 323 устройства пропускания 305, который соединен, например, с питающим входом реле 325 выходного устройства 307. Реле 325 содержит дополнительную дорожку 327, которая может служить, например, информационной или управляющей магистралью. Реле 325 соединено также с выключателем 329. Выключатель 329 перемыкает - в зависимости от состояния реле - два контакта, причем выходной сигнал может выводиться только при замкнутом состоянии выключателя.

Информационная магистраль 327 реле 325 соединена со вторым выводом транзистора 14, например выводом коллектора. Также транзистор Т4 содержит второй вывод, например вывод эмиттера, соединенный на массу. При этом выход 329 микроконтроллера 319 соединен с затвором транзистора Т4". Дополнительный вывод микроконтроллера 319 соединен через резистор R8 со вторым выводом транзистора Т4.

Вывод 313 шинного формирователя 309 соединен с входным выводом 331 микроконтроллера 319. Выходной вывод 333 микроконтроллера соединен с выводом 315. Микроконтроллер 319 принимает данные, например входной сигнал, через входной вывод 331 от непоказанного на фиг.3 контрольного модуля и формирует на этой основе управляющий сигнал, который, например, через информационную шину 327 поступает на реле 325. Однако сначала микроконтроллер 319 передает через выходной вывод 333 управляющий сигнал на непоказанный контрольный модуль. Контрольный модуль проверяет соответствие управляющего сигнала, например, ожидаемому на основе входного сигнала, т.е. входных данных, управляющему сигналу. В случае расхождения, которое превышает, например, пороговое значение, контрольный модуль передает на устройство 305 пропускания через вывод 313 формирователя 309, например сигнал пропускания, на основе которого прерывается, например, электропитание реле 325, вследствие чего предупреждается или не допускается замыкание выключателя 329. В результате не происходит выдачи выходного сигнала.

Концепция, лежащая в основе структуры изображенного на фиг.3 выходного модуля, предусматривает наличие двух каналов. При этом первый канал образован схемой 303 микроконтроллера, в то время как устройство 305 пропускания может пониматься, как второй канал, например вспомогательный канал. При этом канал 2, т.е. устройство 305 пропускания, выходного модуля необязательно должен быть выполнен полноценным каналом. Собственно функция безопасности обеспечивается, например, микроконтроллером 319 схемы 303. Микроконтроллер 319 может служить также для функционального выполнения протокола шины, при этом физическое соединение с шиной может обеспечиваться, например, с помощью показанного на фиг.3 шинного формирователя 309 сети локальной связи.

После того как, например, был правильно принят протокольный кадр, и все каналы передачи технологических данных (PDC: Process Data Channel) завершили проверку на непротиворечивость, может начинаться отработка функции безопасности с помощью принятых данных. При этом микроконтроллер 329 управляет с помощью транзистора Т4 выходным устройством 307 (выходным каскадом), которое, например, может содержать реле. При этом резистор K8 служит для контроля за выходным каскадом 307, причем результат контроля сообщается посредством микроконтроллера 319 в следующем информационном цикле в качестве обеспечивающего безопасность канала передачи технологических данных. Непоказанный на фиг.3 контрольный модуль может проверять микроконтроллер 319 и его выход на основе известных функций безопасности и входных данных или входных сигналов. Если фиксируется расхождение, то контрольный модуль переводит систему в надежный режим посредством механизма обеспечения безопасности, реализуемого наложением с помощью устройства пропускания 305. При этом может быть отключено, например, электрическое питание выходного каскада.

В качестве альтернативы в отношении изображенного реле может применяться, например, аналоговый выходной каскад, рассчитанный, например, на диапазон от 4 до мА, при этом его выходной ток составляет при наличии ошибки менее 3 мА.

На фиг.4 показан в качестве примера временная диаграмма шины с передаточным циклом 400, который может быть разделен на три фазы. Во время первой фазе 401 передаются полезные данные. Вторая фаза 403 служит для передачи данных на уровне кадра данных или канала передачи технологических данных. Если, например, ни один из абонентов не обнаруживает ошибки, то информационный сигнал шины сети локальной связи сохраняется в режиме высокого уровня, соответствующего режиму High. Если же ошибка обнаруживается, то соответствующий абонент передает код ошибки, как это показано на примере информационного участка 405. В том случае, когда во всем цикле передачи или обработки, включая и проверку исходных состояний выходов безопасности, ошибка не распознана, то контрольный модуль, т.е. задающий модуль, формирует разрешающий сигнал для выходов, который анализируется показанным на фиг.3 одновибратором 317. Проверка данных происходит, например, на участке 403. При этом выходная разблокировка показана с помощью участка 409.

Одновибратор 317 (ИС 1) является, например, перезапускаемым и содержит один временной показатель 30 мс. Он может быть запущен, например, только в том случае, когда сигнал шины находится в течение, по меньшей мере, 700 мкс в состоянии низкого уровня, так называемого Low, изображенного в виде разрешающего выходного сигнала 409. Однако при передаче данных при скорости не менее 14400 бод это не гарантируется, так как вследствие передачи стопового бита в конце каждого знака будет обязательно присутствовать, по меньшей мере, логическая «1». Уровень шины сети локальной связи в состоянии покоя составляет также «1», вследствие чего продолжительная инертность шины не вызовет запуска.

Уровень «1» на шине сети локальной связи ведет к тому, что происходит прямое включение показанного на фиг.3 транзистора T1, что предупреждает или препятствует зарядке конденсатора C1, в результате чего на входе одновибратора 317 не образуется отрицательный фронт. И лишь логический низкий уровень сигнала (Low) запирает транзистор и приводит к зарядке конденсатора C1 посредством резистора R2. Через ок. 700 мкс конденсатор C1 заряжается, например, до величины, превышающей высокий (high) уровень переключения одновибратора 317, в результате чего при смене сигнала на шине сети локальной связи с низкого (low) на высокий (high) создается запускающий фронт на одновибраторе 317. После этого выход Q переключается на "Low", что приводит к разблокировке выходного каскада 307. Микроконтроллер может проверить переключательный транзистор Т4 через резистор R8. Делитель напряжения, содержащий резисторы R6, R7, служит для проверки устройства пропускания 305, выполненного, например, в виде вспомогательного канала. Для проверки может оказаться целесообразным приведение одновибратора 317 через транзистор T3 в прежнее состояние, что приведет к запиранию транзистора T3 и, следовательно, к отключению выходного каскада 307. В результате возможно, например, прервать электропитание реле 325.

На фиг.5 показана блок-схема выходного модуля со схемой 501 микроконтроллера и устройством пропускания 503. Схема 501 микроконтроллера содержит микроконтроллер 505 с дополнительным устройством пропускания 507. Выход 509 выходного модуля соединен с триггером 511, например с одновибратором устройства пропускания 503. Триггер 511 имеет также выход, который подключен, например, к не показанному на фиг.5 выходному устройству.

Вход 509 соединен с приемным входом 513 микроконтроллера 505 и с входом 515 дополнительного устройства пропускания 507. Последнее содержит выходной элемент 517, подключенный к входу триггера 519, например одновибратора. Выход триггера 519 соединен с выводом выходного формирователя 521, например, операционного усилителя дополнительного устройства пропускания 507. Выход выходного формирователя 521 соединен с ключом транзистора Т4, первый вывод которого, например вывод коллектора, служит выходом 523 схемы 501 микроконтроллера. Второй вывод транзистора Т4, например вывод коллектора, соединен на массу. Второй вывод транзистора Т4 соединен через резистор R8 с помощью обратной связи с входным элементом 525, например входным формирователем микроконтроллера 505. Выход входного элемента 525 соединен с диагностическим элементом 527, который, как показано на фиг.5, подключен к триггеру 511. Выход диагностического элемента 527 соединен с генератором 529 канала технологических данных (PDC-Producer), выход которого соединен с шинным элементом 531. Шинный элемент 531 подключен к универсальному асинхронному приемопередатчику (UART - Universal Asynchronous Receiver/Transmitter). Как показано на фиг.5, приемный выход 513 соединен с выходом универсального асинхронного приемопередатчика 533. Дополнительно этот приемопередатчик 533 имеет выход 535, который служит выходом для схемы 501 микроконтроллера. Шинный протокольный элемент 531 соединен с потребительской схемой 537 канала технологических данных, выход которой подключен к функциональному блоку 538 безопасности. Функциональный блок 538 безопасности имеет выход, подключенный к входу выходного элемента 521.

Дополнительное устройство пропускания 507 может быть выполнено, например, посредством программного обеспечения, а устройство пропускания 503 - посредством аппаратного оборудования. Другими компонентами, обеспечиваемыми аппаратным оборудованием, могут быть элемент 533 универсального асинхронного приемопередатчика 533, входные элементы 517, 525 и выходной элемент 521. Элементы же 527, 529, 531, 537, 519 и 538 могут быть созданы программным обеспечением.

Путь основного сигнала функции безопасности проходит от блока 533 универсального асинхронного приемопередатчика через стек протоколов, выполненный в элементе 531 шинного протокола. Обмен данными между шинным протоколом и обрабатывающим блоком проводится, например, посредством двух буферов 529 и 537, при этом входные данные для функции безопасности записываются в память буфера 537 потребительской схемы канала технологических данных. В соответствии с этим выходные данные и данные состояния передаются через потребительский буфер 529 на контрольный модуль, который на фиг.5 не показан.

Выходной формирователь 521 микроконтроллера 505 имеет, как показано на фиг.5, два входа, при этом для функции безопасности используется, например, только информационный или управляющий вход. Если выходной формирователь 521 разблокируется через второй вход, то это состояние становится видимым для транзистора Т4. Одновибратор 519 выполняет, например, ту же функцию, что и устройство пропускания 503, которое можно обозначить как второй канал или вспомогательный канал, с той лишь разницей, что он может быть почти полностью выполнен с помощью программного обеспечения и, следовательно, гарантирует разнесенный прием.

В качестве альтернативы по отношению к показанному на фиг.5 примеру выполнения устройство пропускания 503 и его функция одновибратора могут быть также обеспечены в виде функции аппаратного обеспечения. Это оптимально особенно в том случае, когда при наличии более сложных выходных модулей используется второй микроконтроллер.

1. Система контроля выходного модуля, содержащая выходной модуль (201) для формирования управляющего сигнала в ответ на входной сигнал, контрольный модуль (203) для формирования входного сигнала для выходного модуля (201), выходное устройство (205) для выдачи выходного сигнала в ответ на управляющий сигнал и устройство пропускания (207) для недопущения выдачи выходного сигнала, при этом контрольный модуль (203) выполнен с возможностью выдачи команды устройству пропускания (207) на недопущение выдачи выходного сигнала при наличии расхождения между управляющим сигналом и ожидаемым на основании входного сигнала управляющим сигналом, причем устройство пропускания (207) для недопущения выдачи выходного сигнала выполнено с возможностью прерывания управляющей или информационной шины выходного устройства (205).

2. Система по п.1, в которой выходной модуль (201) выполнен с возможностью передачи управляющего сигнала на контрольный модуль (203), а контрольный модуль (203) выполнен с возможностью приема управляющего сигнала и передачи сигнала пропускания на устройство пропускания (207) при наличии расхождения.

3. Система по п.1, в которой контрольный модуль (203) и выходной модуль (201) или устройство пропускания (207) выполнены с возможностью обеспечения связи через сеть связи, в частности через шину связи.

4. Система по п.1, в которой контрольный модуль (203) выполнен с возможностью формирования разрешающего сигнала и передачи его на выходной модуль (201) в случае соответствия управляющего сигнала ожидаемому управляющему сигналу, при этом разрешающий сигнал указывает на разблокировку выходного сигнала.

5. Система по п.1, в которой устройство пропускания (207) расположено в контрольном модуле (203) или выходном модуле (201).

6. Система по п.1, в которой устройство пропускания (207) расположено в выходном модуле (201), при этом контрольный модуль (203) выполнен с возможностью передачи сигнала пропускания на устройство пропускания (207) для недопущения выдачи выходного сигнала, причем устройство пропускания (207) выполнено с возможностью недопущения выдачи выходного сигнала в ответ на сигнал пропускания.

7. Система по п.1, в которой контрольный модуль (203) выполнен с возможностью сравнения управляющего сигнала с ожидаемым управляющим сигналом для проверки управляющего сигнала на наличие расхождения.

8. Система по п.1, в которой выходное устройство (205) содержит реле или аналоговый выходной каскад с управляющей или информационной шиной для приема управляющего сигнала и с дорожкой для питания электрической энергией выходного устройства.

9. Система по п.1, в которой устройство пропускания (207) содержит ждущий мультивибратор, в частности триггер или одновибратор, при этом выходное устройство (205) содержит управляющую или информационную шину и дорожку для питания электрической энергией, а выход мультивибратора соединен, в частности, через выходной транзистор с управляющей или информационной шиной для воздействия на управляющую или информационную шину, в частности, в ответ на сигнал пропускания, поступающий на вход мультивибратора.

10. Система по п.1, в которой устройство пропускания (207) выполнено с возможностью приведения выходного устройства (205) в состояние запирания в ответ на сигнал пропускания, в частности, для прерывания его выхода или его управляющей или информационной шины.

11. Система по п.1, в которой выходной модуль (201) содержит микроконтроллер для приема входного сигнала и формирования управляющего сигнала.

12. Система по п.1, в которой контрольный модуль (203) и выходной модуль (201) выполнены автономными модулями.

13. Способ контроля за выходным модулем посредством контрольного модуля для контроля за важными сточки зрения безопасности процессами, при котором с помощью выходного модуля формируют управляющий сигнал в ответ на входной сигнал, при этом с помощью контрольного модуля формируют входной сигнал для выходного модуля, при этом в ответ на управляющий сигнал выдают выходной сигнал и при наличии расхождения между управляющим сигналом и ожидаемым на основе входного сигнала управляющим сигналом не допускают устройством пропускания выдачи выходного сигнала, причем выходной сигнал выдают с помощью выходного устройства (205) в ответ на управляющий сигнал, при этом управляющую или информационную шину выходного устройства (205) прерывают посредством устройства пропускания (207) для недопущения выдачи выходного сигнала.



 

Похожие патенты:

Настоящее изобретение относится к способу функционирования промышленной системы, а также к промышленной системе для осуществления способа. Технический результат заключается в обеспечении эффективной эксплуатации системы путем предупреждения ошибочных действий пользователя.

Настоящее изобретение обеспечивает устройство и способ анализа остатка для обнаружения системных ошибок в поведении системы воздушного судна. Технический результат - повышение точности оценки состояния системы воздушного судна.

Изобретение относится к системе управления, но меньшей мере, одним приводом капотов реверсора тяги для турбореактивного двигателя, содержащая группу приводных и/или контрольных компонентов, которая содержит, по меньшей мере, один привод капота, приводимый в действие, по меньшей мере, одним электродвигателем, и средства управления электродвигателем.

Изобретение относится к пилотажно-навигационным комплексам летательных аппаратов и их бортовой радиоэлектронной аппаратуре и предназначается для формирования сигналов оповещения об отказе элементов в резервированных системах радиоавтоматики и системах автоматического управления летательными аппаратами.

Изобретение относится к области контроля и диагностирования систем автоматического управления и их элементов. .

Изобретение относится к области контроля и диагностирования систем автоматического управления и их элементов. .

Изобретение относится к области автоматики и телемеханики. .

Изобретение относится к сетям управления технологическим процессом. .

Изобретение относится к системе управления, по меньшей мере, одним приводом капотов реверсора тяги для турбореактивного двигателя. .

Изобретение относится к вычислительной технике и может быть использовано для обеспечения конфиденциальности сведений, содержащихся в управляющей программе для станков с числовым программным управлением, во время ее передачи по каналам связи.

Изобретение относится к системе управления серводвигателем. .

Изобретение относится к автоматике и вычислительной технике. .

Изобретение относится к анализаторам , применяемым в радиоизмерительной технике. .

Изобретение относится к области измерений теплофизических характеристик материалов, в частности к устройствам для измерения и непрерывного контроля коэффициентов теплопроводности и температуропроводяости жидких и твердых материалов, и может быть использовано в машиностроительной , химической и других отраслях народного хозяйства.

Изобретение относится к области автоматизации технологического оборудования , в частности, металлорежущих станков, работающих с участием оператора. .

Устройство очистки решетки относится к механическим решеткам и может быть использовано при очистке сточных вод от механических примесей. Устройство очистки решетки содержит электропривод устройства очистки решетки, снабжено датчиком остановки движения устройства очистки решетки, блоком автоматического управления, содержащим программируемый контроллер, преобразователь частоты электропитания электропривода устройства очистки решетки, один из входов программируемого контроллера соединен с выходом датчика остановки движения устройства очистки решетки, а один из выходов программируемого контроллера соединен со входом преобразователя частоты, один из выходов которого соединен со входом электропривода устройства очистки решетки. Усовершенствование позволяет автоматизировать работу устройства очистки решетки, повысить качество очистки решетки от механических примесей, снизить долю ручного труда по очистке решетки, своевременно устранять и предупреждать наступление аварийной ситуации, управлять работой электропривода устройства очистки решетки как в ручном, так и автоматическом режимах его работы в составе АСУТП. 2 з.п. ф-лы, 3 ил.
Наверх