CN110398915B - 用于安全关键性的系统中的部件的关断装置 - Google Patents
用于安全关键性的系统中的部件的关断装置 Download PDFInfo
- Publication number
- CN110398915B CN110398915B CN201910339008.3A CN201910339008A CN110398915B CN 110398915 B CN110398915 B CN 110398915B CN 201910339008 A CN201910339008 A CN 201910339008A CN 110398915 B CN110398915 B CN 110398915B
- Authority
- CN
- China
- Prior art keywords
- shut
- physical interface
- latch
- control device
- actuator
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006854 communication Effects 0.000 claims abstract description 33
- 238000004891 communication Methods 0.000 claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims abstract description 4
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000012360 testing method Methods 0.000 claims description 15
- 230000005405 multipole Effects 0.000 claims description 3
- 230000003287 optical effect Effects 0.000 claims description 2
- 238000011990 functional testing Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000000704 physical effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 230000007797 corrosion Effects 0.000 description 1
- 238000005260 corrosion Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/048—Monitoring; Safety
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23051—Remote control, enter program remote, detachable programmer
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24008—Safety integrity level, safety integrated systems SIL SIS
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/25—Pc structure of the system
- G05B2219/25252—Microprocessor
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Safety Devices In Control Systems (AREA)
Abstract
本发明涉及一种用于传感器、执行器或控制设备(40)的关断装置(1),所述传感器、所述执行器或所述控制设备用于车辆或工业设备,其中,所述传感器、所述执行器或所述控制设备(40)能够通过物理接口(41)与通信网络(50)连接,通过所述通信网络所述传感器、所述执行器或所述控制设备(40)能够与所述车辆或所述工业设备的其他组件(51,52)交换消息,其中,所述关断装置(1)包括闭锁器(2),所述闭锁器物理地阻止所述物理接口(41)向所述通信网络(50)发送消息(49)。本发明涉及具有关断装置(1)的传感器、执行器或控制设备(40)。本发明涉及用于功能检查的方法(100,200)和所属的计算机程序。
Description
技术领域
本发明涉及一种关断装置,借助该关断装置在故障情况中可以完全或部分地停用在安全关键性(sicherheitkritisch)的系统中的部件,以便使故障的影响最小化。
背景技术
安全相关的系统在车辆技术的很多地方起到重要作用。在此,通常使用“故障-安全”控制设备,所述“故障-安全”控制设备可以在发生关键性故障的情况中通过合适的安全机理转变到安全状态中。这些安全机理一方面包括探测关键性故障的故障识别机理而另一方面包括关断路径,该关断路径确保在故障情况中实际呈现安全状态。
由DE 10 2012 209 144A1已知用于关断电驱动系统的能量供给的一种方法和一种装置。如果控制设备具有功能性故障,那么关断该控制设备的功率电子装置。
发明内容
在本发明的范畴内,已经研发出一种用于传感器、执行器或控制设备的关断装置,所述传感器、执行器或控制设备用于车辆或工业设备。传感器、执行器或控制设备可以通过物理接口与通信网络连接。通过该通信网络,传感器、执行器或控制设备能够与车辆或工业设备的其他组件交换消息。
“物理接口”——相应于在OSI(开放式系统互联参考模型)层模型中称为“物理层”的比特传输层(第1层)——理解为一种如下接口:该接口提供功能上的辅助装置,以便建立、取消、维持与通信网络的物理连接并且通过所述物理连接传输数据。
通信网络例如可以是车辆的总线系统,例如CAN(控制器局域网络)总线。通信网络例如也可以是工业设备的现场总线系统。
关断装置包括闭锁器(Blockierer),该闭锁器物理地阻止物理接口向通信网络发送消息。
已知如下:为了阻止故障后果,不一定需要停用在故障情况中未正确受操控的物理的执行装置。替代地,也可以通过如下方式阻止故障后果:确保关于不正确的操控的消息不会到达执行装置。
该方案出于多个原因恰好在车辆中使借助认知的控制设备(即尤其基于人工智能和/或机器学习的控制设备)将功能的自动化扩展到其他领域变得容易。
不需要对执行器进行改变,以便确保安全的关断路径。如果一方面认知的控制设备和另一方面执行装置来自不同的制造商,或如果要继续使用现有的执行装置,那么通常仅能够困难地实现或根本不能够实现给执行装置扩展关断路径。
如果执行装置本身需要保持一定有运行能力,那么也可以确保安全的关断路径。如果例如驾驶辅助系统和/或用于至少部分自动化地驾驶的系统动用制动系统作为执行装置,那么在车辆中总共可能存在使用同一个物理制动系统作为执行装置的多个系统。用于至少部分自动化地行驶的系统例如可以在正常运行中操控物理制动系统,并且当在行驶物理学的边界区域中激活ESP(电子稳定程序)时,通过分离的电子稳定程序(ESP)的其他的操控可以与这种操控重叠。在ESP系统中出现故障时,因为车辆立即不再能行驶,所以完全停用物理制动系统是没有意义的。此外,例如在电动液压制动的情况下,通过驾驶员操纵制动踏板也接收为电信号并且输送给作为执行装置的物理制动系统。如果由于在任何一个其他的控制设备中的故障的原因而关断该执行装置,那么将会不再能够控制车辆。
闭锁器尤其可以集成到物理接口本身中。这具有以下优点:物理接口已经是确保运行安全性的完整单元。但是闭锁器也例如可以在物理接口本身外布置在该物理接口的外部线路布置中。这具有以下优点:可以继续使用现有的物理接口。
闭锁器例如可以包括电开关或光学开关,通过所述电开关或光学开关在物理接口与通信网络之间引导发送路径。仅封锁发送路径例如可以是有利的,以此还可以通过接收路径对传感器、执行器或控制设备受控地起作用,以便重新建立功能有效性。例如可以通过接收路径发送复位指令。此外,为了节约能量的目的,恰好在车辆中将许多系统置于睡眠模式中,在需要时又可以通过通信网络将这些系统从所述睡眠模式再次唤醒。如果在故障情况中物理接口还能够在接收方向上运行,那么还能够实现这种唤醒并且至少仍然可以受限地使用该系统。
但是闭锁器例如也可以包括多极电开关,通过该多极电开关在物理接口与通信网络之间不仅引导发送路径而且引导接收路径。如果操纵这个多极开关,那么因此物理接口可以与通信网络完全电隔离。以这种方式,例如可以保护总线形式的通信网络免受如下情况:在物理接口本身中有缺陷的部件如此电地影响总线,使得数据传输也受到通信网络的其他参与者的负面影响。
在另一有利的构型中,闭锁器包括电开关,通过该电开关引导物理接口的电供给。以这种方式,闭锁器可以与现有的物理接口特别简单地耦合,因为所使用的开关例如不需要设计用于在数据传输时所使用的高频。
所有开关不仅可以可复位地实施而且可以不可复位地实施。不可复位的开关例如是熔断的保险装置或者是将线路去耦合或断开的机械设备。例如在工业设备的背景下,不可复位的开关可以是有利的,以便迫使通过专业人员检查并且修复故障。反之,在应用在车辆中的情况下,许多故障是自身再次消失的瞬时故障。然后以下情况是有利的:开关是可复位的,从而在故障消失后可以再次重新建立完整的功能性。
在另一特别有利的构型中,设有用于闭锁器的开关状态的读取设备。以这种方式可以通过定期的测试来检查闭锁器的正确功能。在正常运行中很少直至甚至不操纵的物理安全装置恰好在需要它的故障情况中往往容易失效。因此,很少直至从不操纵的继电器例如可能由于腐蚀固定住或机械地卡住。读取设备例如可以包括量取控制线路的信号,通过该控制线路操控闭锁器。
特别有利地,读取设备包括用于至少一个元件的物理状态参量的测量设备,在所述至少一个元件处在闭锁器的闭锁状态中通过物理接口发送消息失败。在机械的开关或继电器的情况下,所述物理状态参量例如可以是相应的开关元件的位置。在半导体开关(例如晶体管)的情况下,可以借助电状态参量确定开关状态。如果闭锁器控制物理接口的电流供给,那么例如也可以量取在物理接口内的电压作为物理状态参量。以这种方式可以更直接地控制:实际上是否已经成功实现借助关断信号操控闭锁器。
关断装置不一定必须是传感器的部分、执行器的部分或控制设备的部分,而是也可以在外部补装在合适的位置处。然而特别有利地,关断装置是传感器的部分、执行器的部分或控制设备的部分。然后,传感器、执行器或控制设备整体上可靠地证实为防止故障产生影响。因此,本发明也涉及具有所描述的关断装置的传感器、执行器或控制设备。
在一种特别有利的构型中,传感器、执行器或控制设备包括微处理器,该微处理器用于产生可以通过物理接口发送的消息。在此,设有具有闭锁器的其他的关断装置,该闭锁器物理地阻止微处理器向物理接口传送消息。其他的关断装置尤其可以构造用于例如通过中断电流供给来停用微处理器。
以这种方式,总体上实现具有双通道结构的关断路径,从而再次提高在故障情况中关断实际上起作用并且可以阻止故障影响的概率。此外,根据故障类型,其他的关断装置也能够实现差异化的响应,从而仅关断如所需要那样多的功能性,以便阻止故障的影响。例如在同一个设备中存在多个用于施加不同功能的微处理器并且共享同一个物理接口以与通信网络连接。如果微处理器中的仅一个有故障地工作,那么该微处理器可以选择性地阻止该微处理器发送消息或甚至完全停用该微处理器发送消息,而同时继续提供由剩余的微处理器所施加的功能。
可以以与先前对于用于物理接口的关断装置类似的方式实施其他的关断装置。即该关断装置例如仅禁止向物理接口发送消息,但允许接收,因此为了消除故障的目的还可以以控制的方式作用于微处理器。此外,例如也可以设有一种用于其他的关断装置的闭锁器的开关状态的读取设备。
与闭锁器类似,其他的关断装置尤其可以集成到物理接口本身中,但是其他的关断装置例如也可以在物理接口本身外布置在该物理接口的外部线路布置中。
在另一特别有利的构型中,设有独立于微处理器的控制逻辑电路,该控制逻辑电路构造用于监测微处理器的正确功能,并且在故障情况中借助关断信号操控其他的关断装置和/或用于物理接口的关断装置。以这种方式确保:恰好识别使微处理器的相应的自控制功能立刻失效的关键性故障并且限制该关键性故障的影响。
控制逻辑电路例如可以包括具有一个或多个其他微处理器的单独的微控制器。特别有利地,控制逻辑电路可以具有至少一个专用集成电路(ASIC)。该专用集成电路的功能此后不再能改变,并且因此例如可以不受程序存储器的功能性故障或恶意软件的影响。
可以以任意方式进行正确功能的监测。看门狗功能(Watchdog-Funktion)例如可以定期地询问微处理器并且检查:微处理器是否在预给定的时间内反馈有意义的答复。也可以监测微处理器的其他重要特征,例如时钟信号或电压。监测例如也可以集中在如下:所有设置成通过微处理器实施的任务是否仍在运行,或者这些任务中的一个例如是否停留在无限循环中,或这些任务中的一个例如是否由于存储器保护故障(区段故障)完全异常终止(abstürzen)。这基于如下认识:许多故障通过如下引起,多个任务中的一个不再正常地运行并且例如其他任务继续计算和产生消息所基于的值不再进行更新。
如先前所说明的那样,关断装置涉及专门用于故障情况的安全装置,在正常运行中相对少地操纵该安全装置。为了确保关断装置在故障情况中是正常工作的,因此定期检查关断装置的功能是有利的。为此,可以使用在所描述的构型中设置的读取设备。因此,本发明也涉及一种用于对配备有读取设备的关断装置进行功能检查的方法。在该方法的情况下,一方面给闭锁器施加关断信号,并且另一方面给闭锁器施加接通信号。借助读取设备检查:关断信号和接通信号是否将闭锁器分别转变到正确的开关状态中。
但是对于功能检查又不一定要求关断装置配备有读取设备。也可以直接检查关断装置的正确功能,即在故障情况中是否实际禁止向通信网络继续传递消息。因此,本发明也涉及另一种用于对关断装置进行功能检查的方法。在这种方法的情况下,给闭锁器施加关断信号。接下来,向物理接口传送测试消息。在此检查:物理接口是否继续传递测试消息。
如果关断装置正确地运行,那么在闭锁器起作用的情况下将不会继续传递测试消息。
以哪种形式能够最好地观察物理接口是否继续传递测试消息取决于具体的通信网络和所使用的物理接口。例如可以通过通信网络的其他参与者进行观察。但是例如也可以在具有物理接口的传感器、执行器或控制设备内进行观察。如果通信网络例如是CAN总线,那么可以使用环回接口(英语Loop-Back-Interface)或错误计数器接口(英语Error-Counter-Interface)以进行观察。
用于功能检查的方法可以完全或部分地以软件实现,该软件例如可以作为对于现有的关断装置或现有的具有关断装置的传感器、执行器或控制设备的插件、更新或升级来销售。因此,本发明也涉及一种具有机器可读的指令的计算机程序,当所述指令在计算机、控制设备和/或控制逻辑电路上实施时,所述指令促使计算机、控制设备或者控制逻辑电路实施根据本发明的用于功能检查的方法。同样地,本发明也涉及一种机器可读的数据载体或一种具有计算机程序的下载产品。
附图说明
下面根据附图与本发明的优选的实施例的描述共同地进一步示出改善本发明的其他措施。附图示出:
图1示出用于关断装置1的实施例;
图2示出用于控制设备40的实施例;
图3示出用于功能检查的方法100的实施例;
图4示出用于功能检查的方法200的实施例。
具体实施方式
根据图1,示例性地示出的具有微处理器42的控制设备40通过物理接口41与通信网络50连接。微处理器42产生消息49,该消息通过物理接口41和通信网络50向执行器51和52传送并且在所述执行器处触发物理动作。关断装置1背后的基本构思是:在不直接访问执行器51和52的情况下,也可以防止由于错误的消息49而错误地物理动作,其方式是:阻止这些消息49。图1示出可以发生这种情况的不同可能性。
关断装置1例如可以包括作为闭锁器2的单极开关21,该单极开关仅阻断从物理接口41至通信网络50的发送路径。
但是关断装置1例如也可以包括作为闭锁器2的双极开关22,该双极开关将物理接口41与通信网络50完全地电去耦合。以这种方式例如可以防止:由于有缺陷的半导体,物理接口41将干扰信号传送到通信网络50或如此影响该通信网络的特性阻抗(Wellenwiderstand),使得在那里也对其他参与者51、52的数据传输产生负面影响。
然而,关断装置1例如也可以包括作为闭锁器2的开关23,该开关阻断物理接口41的电流供给41a。通过物理接口41发送消息49不仅可能由于发送路径的物理中断而失败,而且可能由于不存在用于发送的电流而失败。
开关23在图1中例如设有用于该开关的开关状态2a的读取设备3。读取设备3包括用于开关元件23a的位置23b的测量设备31。位置23b在此充当开关元件23a的物理状态参量。在这个例子中,测量设备31包括另一接通部,该接通部在开关23关闭时与物理接口41的电流供给装置41a连接。该连接的存在可以通过借助示例性地示出的伏特表测量相对于地的电压U来确定。
图2示意性地示出一种用于控制设备40的实施例,该控制设备配备有双通道的关断路径。与图1不同,从物理接口41至通信网络50的发送路径中的关断装置1集成到控制设备40中。
附加地设有具有闭锁器43a的其他的关断装置43,该关断装置禁止由微处理器42发送消息49至物理接口41。当操纵该闭锁器43a时,能够阻止微处理器42中的故障的影响,而不必使控制设备40作为整体被剥夺将消息49发送到通信网络50中的可能性。
但是其他的关断装置43不限于仅仅切断(kappen)从微处理器42至物理接口41的发送路径,而是例如也可以完全停用微处理器42。
借助与微处理器42处于双向接通的控制逻辑电路44监测微处理器42的正确功能。在故障情况中,控制逻辑电路44给关断装置1和/或其他的关断装置43施加关断信号。不仅微处理器42而且控制逻辑电路44可以通过相应的读取装置3检查关断是否成功。
控制逻辑电路44可以尤其以测试方式操纵关断装置1和/或其他的关断装置43,并且通过读取装置3对功能有效性进行检查。这例如可以在起动过程时对于安装有控制设备40的车辆的每个行驶循环执行一次。因此,例如在控制设备40的起动过程期间禁止通过关断装置1和/或通过其他的关断装置43发送消息49,以便例如在微处理器42初始化的范畴内产生的消息在执行器51、52方面不触发不期望的物理动作。
替代地或也组合地,例如可以由微处理器42触发关断装置1的测试和/或其他的关断装置43的测试。为此,微处理器42可以向控制逻辑电路44发送询问,该控制逻辑电路然后又操控关断装置1或43。
在图2中示出的实施例中,闭锁器1和其他的关断装置43布置在物理接口41外。然而,闭锁器1和/或其他的关断装置43也可以有利地集成到物理接口41中,从而该物理接口形成提供关断路径的封闭单元。
图3示意性地示出一种用于对关断装置1、43进行功能检查的方法100的第一示例。在步骤110中,给闭锁器2、43a施加关断信号。在步骤120a中,借助读取设备3检查:闭锁器2、43a是否实际上已经转变到闭锁状态中。如果不是这种情况(真值0),那么闭锁器2、43a有故障地工作(符号×)。反之,如果闭锁器是2、43a已经正常地转变到闭锁状态中(真值1),那么在步骤130中给闭锁器2、43a施加接通信号。在步骤120b中,借助读取设备3检查:闭锁器2、43a是否已经转变回到非闭锁状态中。如果不是这种情况(真值0),那么闭锁器2、43a有故障地工作(符号×)。反之,如果闭锁器2、43a已经成功地转变到非闭锁状态中(真值1),那么证明该闭锁器正常地工作(符号√)。
图4示意性地示出一种用于对关断装置1、43进行功能检查的方法200的第二示例。在步骤210中,给闭锁器2、43a施加关断信号。在步骤220中,向物理接口传递测试消息49a。在步骤230中检查:测试消息49a是否到达通信网络50中。如果是这种情况(真值1),那么闭锁器2、43a有故障地工作(符号×)。反之,如果已经成功地阻止测试消息49a(真值0),那么闭锁器2、43a正常地工作(符号√)。
类似于图3,方法200还可以扩展如下:紧接着检查230,使闭锁器2、43a转变回到非闭锁状态中,并且发送新的测试消息49a。然后,将所述新的测试消息49a继续传递到通信网络50中。
Claims (11)
1.一种关断装置(1),所述关断装置用于传感器、执行器或控制设备(40),所述传感器、所述执行器或所述控制设备用于车辆或工业设备,其中,所述传感器、所述执行器或所述控制设备(40)能够通过物理接口(41)与通信网络(50)连接,通过所述通信网络所述传感器、所述执行器或所述控制设备(40)能够与所述车辆或所述工业设备的其他组件(51,52)交换消息,其中,所述关断装置(1)包括闭锁器(2),所述闭锁器物理地阻止所述物理接口(41)向所述通信网络(50)发送消息(49),其中,所述关断装置(1)包括用于所述闭锁器(2)的开关状态(2a)的读取设备(3),其中,所述读取设备(3)包括测量设备(31),所述测量设备(31)包括接通部,所述接通部在开关(23)关闭时与所述物理接口(41)的电流供给装置(41a)连接,其中,所述读取设备(3)产生用于表示所述闭锁器(2)的开关状态(2a)的开关状态信号,其中,所述开关状态信号的值取决于所述测量设备(31)是否确定所述接通部与所述电流供给装置(41a)连接。
2.根据权利要求1所述的关断装置(1),其中,所述闭锁器(2)包括电开关或光学开关(21),通过所述电开关或光学开关在所述物理接口(41)与所述通信网络(50)之间引导发送路径。
3.根据权利要求2所述的关断装置(1),其中,所述闭锁器(2)包括多极电开关(22),通过所述多极电开关在所述物理接口(41)与所述通信网络(50)之间不仅引导所述发送路径而且引导接收路径。
4.根据权利要求1至3中任一项所述的关断装置(1),其中,所述闭锁器(2)包括电开关(23),通过所述电开关引导所述物理接口(41)的电流供给装置(41a)。
5.根据权利要求1所述的关断装置(1),其中,所述读取设备包括用于至少一个元件(23a)的物理状态参量(23b)的测量设备(31),在所述至少一个元件处在所述闭锁器(2)的闭锁状态中通过所述物理接口(41)发送消息(49)失败。
6.一种传感器、一种执行器或一种控制设备(40),所述传感器、所述执行器或所述控制设备具有根据权利要求1至5中任一项所述的关断装置(1)。
7.根据权利要求6所述的传感器、执行器或控制设备(40),所述传感器、所述执行器或所述控制设备包括微处理器(42),所述微处理器用于产生能够通过所述物理接口(41)发送的消息(49),其中,设有具有闭锁器(43a)的其他的关断装置(43),所述闭锁器物理地阻止所述微处理器(42)向所述物理接口(41)传送消息(49)。
8.根据权利要求7所述的传感器、执行器或控制设备(40),其中,设有独立于所述微处理器的控制逻辑电路(44),所述控制逻辑电路构造用于监测所述微处理器(42)的正确功能,并且在故障情况中借助关断信号操控所述其他的关断装置(43)和/或用于所述物理接口(41)的所述关断装置(1)。
9.一种用于对根据权利要求1至5中任一项所述的关断装置(1,43)进行功能检查的方法(100),其中,一方面(110)给所述闭锁器(2,43a)施加关断信号,并且另一方面(130)给所述闭锁器(2,43a)施加接通信号,其中,借助所述读取设备(3)检查(120a,120b):所述关断信号和所述接通信号是否将所述闭锁器(2,43a)分别转变到正确的开关状态中。
10.一种用于对根据权利要求1至5中任一项所述的关断装置(1,43)进行功能检查的方法(200),其中,给所述闭锁器(2,43a)施加(210)关断信号,其中,接下来向所述物理接口(41)传送(220)测试消息(49a),其中,检查(230):所述物理接口(41)是否继续传递所述测试消息(49a)。
11.一种计算机程序产品,其包含机器可读的指令,当所述指令在计算机、控制设备(40)和/或控制逻辑电路(44)上实施时,所述指令促使所述计算机、所述控制设备(40)或所述控制逻辑电路(44)实施根据权利要求9或10所述的方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018206382.6A DE102018206382A1 (de) | 2018-04-25 | 2018-04-25 | Abschalteinrichtung für Komponenten in sicherheitskritischen Systemen |
| DE102018206382.6 | 2018-04-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110398915A CN110398915A (zh) | 2019-11-01 |
| CN110398915B true CN110398915B (zh) | 2024-11-22 |
Family
ID=68205510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910339008.3A Active CN110398915B (zh) | 2018-04-25 | 2019-04-25 | 用于安全关键性的系统中的部件的关断装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11493896B2 (zh) |
| CN (1) | CN110398915B (zh) |
| DE (1) | DE102018206382A1 (zh) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19611944C2 (de) * | 1996-03-26 | 2003-03-27 | Daimler Chrysler Ag | Integrierter Schaltkreis zur Kopplung eines mikrokontrollierten Steuergerätes an einen Zweidraht-Bus |
| JP3526293B2 (ja) * | 2001-11-30 | 2004-05-10 | 三菱電機株式会社 | プログラマブルコントローラ |
| DE102007048476A1 (de) * | 2007-10-09 | 2009-04-16 | Endress + Hauser Process Solutions Ag | Energiesparender Betrieb einer drahtgebundenen Kommunikationsschnittstelle eines Feldgerätes |
| CN202333998U (zh) * | 2011-11-28 | 2012-07-11 | 福州大观电子科技有限公司 | 一种智能重合器 |
| DE102012209144A1 (de) | 2012-05-31 | 2013-12-05 | Robert Bosch Gmbh | Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens |
| DE102012109227A1 (de) * | 2012-09-28 | 2014-04-03 | Endress + Hauser Gmbh + Co. Kg | Anordnung, umfassend zumindest ein Feldgerät, zumindest eine diesem zugeordnete Sensor- oder Signalerfassungseinheit und zumindest einen Funktionsblock |
| CN203338041U (zh) * | 2013-05-23 | 2013-12-11 | 齐齐哈尔大学 | 一种基于arm和cpld手套机控制系统 |
| CN105137474B (zh) * | 2015-07-07 | 2017-11-24 | 中国核动力研究设计院 | 一种针对源量程中子探测器供电控制功能的定期试验方法 |
-
2018
- 2018-04-25 DE DE102018206382.6A patent/DE102018206382A1/de active Pending
-
2019
- 2019-03-19 US US16/358,104 patent/US11493896B2/en active Active
- 2019-04-25 CN CN201910339008.3A patent/CN110398915B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US20190332076A1 (en) | 2019-10-31 |
| US11493896B2 (en) | 2022-11-08 |
| CN110398915A (zh) | 2019-11-01 |
| DE102018206382A1 (de) | 2019-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101203930B (zh) | 安全断开电力负载的安全开关装置 | |
| CN104247249B (zh) | 电磁制动器控制装置 | |
| JP5089378B2 (ja) | 安全回路用信号伝送装置 | |
| WO2017056688A1 (ja) | 監視システム及び車両用制御装置 | |
| CN106414179B (zh) | 车载控制装置或车载控制系统 | |
| JP5752266B2 (ja) | 電源電圧監視機能を有する電子制御装置及びそれを備えた車両ステアリング制御装置 | |
| EP2325751B1 (en) | Architecture using integrated backup control and protection hardware | |
| CN101689042A (zh) | 用于多通道控制相关安全装置的安全设备 | |
| CN112889212B (zh) | 电磁制动器控制装置和控制装置 | |
| US11537110B2 (en) | Programmable electronic power regulator | |
| US7245044B2 (en) | Electrical system, and control module and smart power supply for electrical system | |
| CN105229885A (zh) | 电力供给控制装置及可编程逻辑控制器 | |
| CN110398915B (zh) | 用于安全关键性的系统中的部件的关断装置 | |
| JP6334436B2 (ja) | 車両用相互監視モジュール | |
| CN113119994B (zh) | 用于运行自动驾驶车辆的方法和设备 | |
| US8783648B2 (en) | System and method for testing a valve actuator | |
| US11242065B2 (en) | Device and method for controlling a signal connection of a vehicle | |
| JP5517759B2 (ja) | 保護継電器 | |
| KR20170124817A (ko) | 디지털 보호 계전기 삼중화 시스템 | |
| US20140214181A1 (en) | Control system for software termination protection | |
| KR101248158B1 (ko) | 네트워크 장비의 감시와 회복 시스템 및 방법 | |
| KR20220086992A (ko) | 고장 검출 장치 | |
| CN113113966B (zh) | 开关装置 | |
| JP2906789B2 (ja) | 複数のマイクロコンピュータの暴走監視回路 | |
| WO2025049081A1 (en) | Method for updating electronic circuit breaker firmware to avoid load de-energization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |