[go: up one dir, main page]

DE2630234A1 - Schutzsystem mit pruefmoeglichkeit - Google Patents

Schutzsystem mit pruefmoeglichkeit

Info

Publication number
DE2630234A1
DE2630234A1 DE19762630234 DE2630234A DE2630234A1 DE 2630234 A1 DE2630234 A1 DE 2630234A1 DE 19762630234 DE19762630234 DE 19762630234 DE 2630234 A DE2630234 A DE 2630234A DE 2630234 A1 DE2630234 A1 DE 2630234A1
Authority
DE
Germany
Prior art keywords
component
signal
output signal
logical
locking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19762630234
Other languages
English (en)
Other versions
DE2630234C2 (de
Inventor
Mark Albert Davis
Markus Adrian Eggenberger
Jens Kure-Jensen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
General Electric Co
Original Assignee
General Electric Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by General Electric Co filed Critical General Electric Co
Publication of DE2630234A1 publication Critical patent/DE2630234A1/de
Application granted granted Critical
Publication of DE2630234C2 publication Critical patent/DE2630234C2/de
Expired legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/02Details
    • H02H3/04Details with warning or supervision in addition to disconnection, e.g. for indicating that protective apparatus has functioned
    • H02H3/044Checking correct functioning of protective arrangements, e.g. by simulating a fault
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F01MACHINES OR ENGINES IN GENERAL; ENGINE PLANTS IN GENERAL; STEAM ENGINES
    • F01DNON-POSITIVE DISPLACEMENT MACHINES OR ENGINES, e.g. STEAM TURBINES
    • F01D21/00Shutting-down of machines or engines, e.g. in emergency; Regulating, controlling, or safety means not otherwise provided for
    • F01D21/20Checking operation of shut-down devices
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F16ENGINEERING ELEMENTS AND UNITS; GENERAL MEASURES FOR PRODUCING AND MAINTAINING EFFECTIVE FUNCTIONING OF MACHINES OR INSTALLATIONS; THERMAL INSULATION IN GENERAL
    • F16PSAFETY DEVICES IN GENERAL; SAFETY DEVICES FOR PRESSES
    • F16P3/00Safety devices acting in conjunction with the control or operation of a machine; Control arrangements requiring the simultaneous use of two or more parts of the body
    • F16P3/18Control arrangements requiring the use of both hands
    • F16P3/20Control arrangements requiring the use of both hands for electric control systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C3/00Registering or indicating the condition or the working of machines or other apparatus, other than vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Control Of Turbines (AREA)
  • Alarm Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Monitoring And Testing Of Nuclear Reactors (AREA)

Description

Die Erfindung betrifft allgemein Schutzsysteme für Betriebssysteme und insbesondere zur Überwachung und Prüfung des Schutzsystems unter Beibehaltung des Schutzes des Betriebssystems.
In Betriebssystemen (in Betrieb befindlichen Systemen), beispielsweise Dampfturbinen-Generatorsystemen, war es üblich, verschiedene Fehler-Sensoren vorzusehen, um bestimmte kritische Zustände des Systems zu überwachen, beispielsweise die Turbinendrehzahl, die elektrische Belastung, den Dampfdruck usw. Diese Fehler-Sensoren führen diese Information den mit ihnen zusammenwirkenden Schutzsystemen zu, die für den Fall eines Ausfalls oder eines
709807/0668
fehlerhaften Betriebs des Betriebssystems Einrichtungen betätigen, die entweder den Zustand korrigieren oder das Betriebssystem so lange stillegen können, bis die Ursache des Problems festgestellt werden kann und die nötigen Reparaturen an dem Betriebssystem vorgenommen werden können.
Es war üblich, in solchen Schutzsystemen eine Redundanz vorzusehen, so daß ein Bauteil des Systems überprüft werden kann, während ein zweites Bauteil das Betriebssystem schützt. Zur Prüfung eines Bauteils des Schutzsystems war es üblich, diesem Bauteil ein Signal ähnlich dem Signal zuzuführen, welches das Bauteil im Betrieb betätigen soll oder, mit anderen Worten, ihm ein simuliertes Fehlersignal zuzuführen. Im Stand der Technik waren diese Bauteile in Reihe geschaltet, so daß die Überprüfung eines Bauteils keine Feststellung eines Fehlers und Betätigung der entsprechenden Einrichtungen durch das Schutzsystem bewirkte. Diese Anordnung war auch als eine logische UND-Verknüpfung oder als UND-Glied bekannt, da zur Vervollständigung des Schaltkreises beide Bauteile betätigt werden mußten. Solche vorbekannte Schutzsysteme besaßen einen bedeutenden Nachteil. In einer Situation mit einem wirklichen Fehler war es zur Auslösung der vorbekannten Schutzsysteme erforderlich, beide in Reihe geschaltete Bauteile auszulösen. Venn daher einer der Bauteile dadurch nicht richtig funktionierte, daß er nicht auslöste, dann löste auch das Schutzsystem nicht aus und die Fehlerinformation wurde nicht den Einrichtungen zugeleitet, welche entweder den Fehler korrigieren oder das Betriebssystem stillsetzen.
Dieser mit solchen vorbekannten Schutzsystemen verbundene Nachteil wurde durch ein Schutzsystem gemäß der Offenbarung der U.S.-Patentschrift 3 7^8 5^0 dadurch überwunden, daß ein Bauteil des Schutzsystems getestet werden konnte,
709807/0868
ohne das Betriebssystem auszulösen, wobei noch der Ausfall eines solchen Bauteils so lange keinen Ausfall der Auslösung durch das Schutzsystem bewirkte, solange nur die anderen Bauteile des Schutzsystems normal funktionierten.
Solche vorbekannten Schutzsysteme konnten jedoch völlig unwirksam gemacht werden, wenn alle Bauteile des Systems effektiv zur Überprüfung aus dem Schutzsystem herausgenommen (gesperrt) wurden.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein verbessertes Schutzsystem zu schaffen, in dem bei einem versehentlichen Versuch, gleichzeitig beide redundante Bauteile herauszunehmen, das Schutzsystem nicht außer Betrieb gesetzt oder unwirksam gemacht wird.
Es ist eine weitere Aufgabe der Erfindung, ein verbessertes Schutzsystem zu schaffen, bei dem trotz der Prüfung eines der redundanten Bauteile das System über das verbleibende Bauteil auf irgendexnen wirklichen Fehler weiter ansprechen kann, welcher während dieser Überprüfung auftritt.
Die vorliegende Erfindung sieht in einem Schutzsystem für ein Betriebssystem redundante Auslösebauteile (trip components) vor, die in Reihe mit redundanten Sperrbauteilen (lock-out components) geschaltet sind. Die Auslösebauteile erhalten Signale von Fehler-Sensoren, die kritische Zustände oder Verhältnisse des Betriebssystems überwachen. Diese Auslösebauteile erzeugen ein Ausgangesignal, das die Zustände anzeigt und bestimmten betätigten Einrichtungen zugeführt wird, die entweder den Zustand korrigieren oder das Betriebssystem so lange stillsetzen, bis die Ursache des Problems festgestellt werden kann und die notwendigen Reparaturen vorgenommen werden können. Wenn eine Prüfung eines dieser Auslösebauteile erwünscht ist, dann
709807/0668
aktiviert oder betätigt der Bedienungsmann das entsprechende Sperrbauteil und führt die notwendige Prüfung durch. Die Betätigung dieses Sperrbauteils bewirkt, daß das Ausgangssignal des Schutzsystems (das Ausgangesignal für die betätigten Einrichtungen zur Korrektur des Fehlers oder zur Stillegung des Systems) unabhängig von der Ausgangsgröße des Auslösebauteils wird, wenn dieses überprüft wird. Venn ein Bedienungsmann versehentlich gleichzeitig beide Sperrbauteile aktiviert, dann ist das Ausgangssignal des Schutzsystems nur eine Funktion des Fehler-Sensor-Eingangssignals zu einem ersten Auslösebauteil und eines Steuersignals (driving signal) für das Schutzsystem. Daher wird ein Fehlersignal zu dem ersten Auslösebauteil ein Fehlerausgangssignal vom Schutzsystem für die betätigten Einrichtungen sogar dann erzeugen, wenn beide Sperrbauteile gleichzeitig aktiviert werden.
Ein besseres Verständnis der Erfindung ergibt sich aus der nachstehenden Beschreibung einer bevorzugten Ausführungsform, wie sie als Beispiel in den Abbildungen gezeigt wird.
Figur 1 ist ein Blockschaltbild eines Schutzsystems, das eine bevorzugte Ausführungsform der Erfindung veranschaulicht.
Die Figur 2 zeigt ein logisches Diagramm eines ersten Sperrbauteils der Figur 1.
Die Figur 3 ist eine vereinfachte schematische Darstellung des Schutzsystems der Figur 1.
Die Figur 1 zeigt ein Schutzsystem zur Feststellung oder Erfassung von Veränderungen in einem abgetasteten oder
- 5 709807/0668
überwachten Zustand eines Betriebssystems und zur Durchführung von Maßnahmen zum Schutz des Betriebssystems. Das Schutzsystem umfaßt erste und zweite Auslösebauteile 10 und Ii, die in einer Schaltung mit ersten und zweiten Sperrbauteilen 12 und 13 verbunden sind. Der erste Auslösebauteil 10 erhält als Eingangssignale ein erstes Signal Ik für einen erfaßten Zustand (Zustandesignal) und ein konstantes Steuersignal 15. Das erste erfaßte Zustandssignal Ik ist ein Signal von einem geeigneten Sensor (nicht gezeigt), der einen Fehlerzustand in einem zugeordneten Betriebssystem erfaßt.
Da das Prinzip der Arbeitsweise des Schutzsystems gemäß der Erfindung auf jeden Typ eines Schutzsystems mit Prüfmöglichkeit anwendbar ist, werden die Eingangssignale und Ausgangssignale zu den Bauteilen des Schutzsystems durch logische odur Boole'sehe Größen 0 und 1 dargestellt. Das erste Zustandssignal Ik wird als eine 1 dargestellt, wenn kein Fehler erfaßt wird, und als eine 0, wenn ein Fehler erfaßt wird. Wenn kein Fehler festgestellt wird, dann befindet sich das Auslösebauteil oder Auslöseglied in einem rückgesetzten Zustand (reset mode). Venn ein Fehler erfaßt wird, dann befindet sich das Auslösebauteil in einem ausgelösten oder durchgeschalteten Zustand (tripped mode). Ein zweites Eingangssignal zu dem ersten Auslösebauteil ist ein konstantes Steuersignal 15» das eine Antriebsoder Steuerleistung liefert, die für den Betrieb des Schutzsystems notwendig ist. Dieses konstante Steuersignal besitzt einen konstanten logischen Wert 1, wenn das Schutzsystem normal arbeitet. Das Aus^angssignal 16 des ersten Auslösebauteils 10 ist eine 1 und dies zeigt an, daß es sich in dem rückgesetzten Zustand befindet, wenn das konstante Steuersignal 15 und das erste Zustandssignal Ik beide 1 sind. Daher bildet das erste Auslösebauteil ein logisches UND-Glied, da beide Eingangsgrößen einen Wert 1
- 6 7098Ü7/0668
besitzen müssen, wenn die Ausgangsgröße den Vert I haben soll.
Das Ausgangssignal des ersten Auslösebauteils 10 wird einem ersten Sperrbauteil 12 als Eingangssignal zugeführt. Das konstante Steuersignal 15 wird ebenfalls dem ersten Sperrbauteil als ein zweites Eingangssignal zugeführt. Ein drittes Eingangssignal für das Sperrbauteil ist ein erstes Sperrsignal 17. Wenn eine Prüfung des ersten Auslösebauteils erwünscht wird, dann wird das erste Sperrbauteil durch den Bedienungsmann durch das Sperrsignal 17 aktiviert oder betätigt. D.h. der Wert des ersten Sperrsignals wird von O (dem Wert, den es bei dem normalen Betrieb des Schutzsystems besitzt) auf den Wert 1 verändert, welcher anzeigt, daß das erste Auslösebauteil gerade getestet wird. Das Ausgangssignal 18 des ersten Sperrbauteils wird den gleichen Wert besitzen wie das am Eingang zu diesem Bauteil zugeführte konstante Steuersignal 15» wenn der Wert des ersten Sperrsignals 17 eine 1 ist (wenn das erste Auslösebauteil gerade getestet wird), oder es wird den Wert des Aüsgangssignals 16 des ersten Auslösebauteils besitzen, wenn der Wert des ersten Sperrsignals 17 eine O ist (normaler Betrieb). Es ist daher leicht ersichtlich, daß bei alleiniger Betätigung dieses ersten Sperrbauteils das erste Auslösebauteil effektiv aus dem Schutzsystem herausgenommen wird, so daß das Ausgangssignal des Schutzsystems unabhängig vom Ausgangssignal des ersten Auslösebauteils ist, wenn dieser Bauteil beispielsweise dadurch getestet wird, daß ein Fehler im Betriebssystem dadurch nachgeahmt wird, daß man dem ersten Zustandesignal 14 die Größe 0 gibt.
Die Figur 1 zeigt ein zweites Auslösebauteil 11, das als Eingangssignale das Ausgangssignal 18 vom ersten Sperrbauteil 12 und ein zweites Zustandssignal 19 für einen
- 7 709807/0668
•rfaßten oder abgetasteten Zustand erhält. Das zweite Auslösebauteil bildet, ähnlich wie das erste Auslösebauteil, ein logisches UND-Glied. Vie das erste Zustandssignal 14 ist auch das zweite Zustandssignal 19 ein Signal von einem geeigneten Sensor (nicht gezeigt), der einen Fehler in dem zugeordneten Betriebssystem feststellt. Dieses zweite Zustandssignal besitzt wie das erste Zustandssignal den wert O, wenn der Sensor einen Fehler in dem Betriebssystem feststellt, und einen Vert 1, wenn kein Fehler festgestellt wird. Vie das erste Auslösebauteil wird auch das zweite Auslösebauteil nur dann die Größe 1 als Ausgangssignal 20 besitzen, wenn beide Eingangssignale zu diesem Bauteil den Vert I besitzen.
Dem zweiten Auslösebauteil ist ein zweites Sperrbauteil zugeordnet. Dieses zweite Sperrbauteil besitzt als Eingangsgrößen das Ausgangssignal 16 vom ersten Auslösebaufceil 10, das Ausgangssignal 20 vom zweiten Auslösebauteil und ein zweites Sperrsignal 21, das genau wie das erste Sperrsignal 17 den Vert 1 besitzt, wenn das Bauteil aktiviert ist, und den Vert 0 besitzt, wenn es nicht aktiviert ist. Das zweite Sperrbauteil ist nur dann aktiviert (d.h. das zweite Sperrsignal 21 besitzt einen Vert 1), wenn das zweite Auslösebauteil überprüft werden soll.
Vie aus der Figur 1 ersichtlich, stellt das Ausgangssignal des zweiten Sperrbauteils 13 das Ausgangssignal des gesamten Schutzsystems dar. Es bildet ein Signal, das bestimmten betätigten Einrichtungen zugeführt wird, die entweder den Fehler korrigieren oder das Betriebssystem so lange stillegen können, bis die Ursache des Problems festgestellt werden kann und die notwendigen Reparaturen vorgenommen werden können. Dieses Ausgangssignal des Schutzsystems besitzt einen Vert 0, wenn das Schutzsystem ausgelöst
— 8 —
709807/0668
worden ist oder den Wert 1, wenn es sich in einem rückgestellten oder rückgesetzten Zustand befindet.
Es wird nunmehr auf die Figur 2 Bezug genommen, die ein logisches Diagramm des ersten Sperrbauteils 12 zeigt. Wie aus der Figur 2 ersichtlich, umfaßt dieses Sperrbauteil zwei logische UND-Glieder 23 und 24, ein logisches ODER-Glied 25 und einen Inverter 26. Das erste logische UND-Glied 23 erhält die Eingangssignale A (in diesem Falle ist dies das Ausgangssignal 16 des ersten Auslösebauteils) und (Τ. Die Größe C wird erhalten durch Umkehrung eines Signals C (in diesem Falle ist dies das erste Sperrsignal 17). Die Ausgangsgröße des ersten logischen UND-Gliedes ist daher AU. Dieses Aus^ ,.tngssignal wird dem logischen ODER-Glied 25 zugeführt. Das zweite logische UND-Glied 24 erhält Eingangssignale B und C, wobei B in diesem Falle das konstante Steuersignal 15 und C das erste Sperrsignal 17 ist. Die Ausgangsgröße des zweiten logischen UND-Gliedes 24 ist daher BC. Die Zuführung der Ausgangsgröße AC von dem ersten logischen UND-Glied 24 und des Ausgangssignals BC von dem zweiten logischen UND-Glied 24 zu dem logischen ODER-Glied ergibt eine Ausgangsgröße D für das gesamte Sperrbauteil in der Form AC + BC. Daher ist für dieses Sperrbauteil bei einem Sperrsignal C mit der Größe O, d.h. das Sperrbauteil ist nicht aktiviert, die Ausgangsgröße von dem Sperrbauteil das Ausgangssignal A von dem ersten Auslösebauteil. Wenn es jedoch erwünscht ist, das erste Auslösebauteil zu testen, dann wird die Sperreinrichtung betätigt und das Sperrsignal C wird 1 und die Ausgangsgröße D von dem Gesamtbauteil ist das konstante Steuersignal B.
Das zweite Sperrbauteil 13 kann wie das erste Sperrbauteil durch das logische Diagramm der Figur 2 beschrieben werden. Für dieses zweite Sperrbauteil 13 ist jedoch in Figur 2
— 9 — 709807/0668
die Größe A das Ausgangssignal 20 vom zweiten Auslösebauteil und die Größe B ist das Ausgangssignal 16 vom ersten Auslösebauteil. C ist das zweite Sperrsignal. Die Ausgangsgröße D von diesem zweiten Sperrbauteil besitzt ebenfalls die Form AC! + BC.
Unter Bezugnahme auf Figur 1 wird zunächst die Arbeitsweise der Anordnung beschrieben. Wenn das erste Auslösebauteil getestet wird, dann wird das erste Sperrbauteil 12 dadurch aktiviert, daß das erste Sperrsignal zu 1 gemacht wird und das Ausgangesignal 18 von dem Sperrbauteil (die Eingangsgröße zum zweiten Auslösebauteil) das konstante Steuersignal 15 ist, das gewöhnlich einen Wert 1 besitzt. Wenn daher die mit dem zweiten Auslösebauteil 11 zusammenwirkenden Sensoren einen Fehler im Betriebssystem feststellen, dann wird die Ausgangsgröße 20 des zweiten Auslösebauteils 0 sein. Gewöhnlich wird bei der Aktivierung des ersten Sperrbauteils zur Überprüfung des ersten Auslösebauteils das zweite Sperrbauteil nicht aktiviert. Die Eingangsgröße 20 mit dem wert 0 für das zweite Sperrbauteil 13 von dem zweiten Auslösebauteil wird daher die Ausgangsgröße 22 des gesamten Schutzsystems, da das zweite Sperrsignal einen Wert 0 besitzt.
In ähnlicher Weise wird bei der Überprüfung des zweiten Auslösebauteils 11 das zweite üperrbauteil 13 aktiviert und damit erhält das zweite Sperrsignal die Größe 1 und die Ausgangsgröße 22 von demselben (die Ausgangsgröße des Systems) ist die Ausgangsgröße 16 von dem ersten Auslösebauteil. Wenn daher die mit dem ersten Auslösebauteil 10 zusammenwirkenden Sensoren einen Fehler in dem Betriebssystem erfassen, dann wird die Ausgangsgröße 16 vom ersten Auslösebauteil 0 sein. Daher wird die Ausgangsgröße 22 des Systems unter diesen Bedingungen den Wert 0 besitzen.
- 10 -
709807/0668
Es ist daher ersichtlich, daß die Aktivierung irgendeines einzigen Sperrbauteils bewirkt, daß die Ausgangsgröße vom Schutzsystem unabhängig von der Ausgangsgröße des entsprechenden Auslösebauteils wird und nur noch von der Ausgangsgröße des redundanten (verbleibenden) Auslösebauteils abhängig ist.
Venn jedoch ein Bedienungsmann veisehentlich beide Sperrbauteile aktiviert, dann wird das Schutzsystem immer noch auf irgendwelche Fehlersignale ansprechen, die ihm von einem im Betriebssystem verwendeten Fehler-Sensor zugeführt werden. Aus Figur 1 ist ersichtlich, daß bei Aktivierung des ersten Sperrbauteils 12 das Ausgangssignal von demselben die Größe des konstanten Steuersignals 15 besitzt. Venn jedoch versehentlich das zweite Sperrbauteil ebenfalls aktiviert wird, dann wird die Ausgangsgröße 22 von diesem Bauteil (die Ausgangsgröße des Systems) den gleichen Vert besitzen wie die Ausgangsgröße 16 von dem ersten Auslösebauteil und dadurch wird es füx das Schutzsystem Möglich, einen Fehler gemäß dem ersten Zus*andssignal 14 dem ersten Auslösebauteil anzuzeigen, obwohl versehentlich beide Sperrbauteile aktiviert wurden.
Es wird nunmehr auf die Figur 3 Bezug genommen, die eine Ausführungsform den Schutzsystems gemäß der Erfindung in der Form eines hydraulischen Schutzsystems zeigt. Das System nach Figur 3 enthält die standardmäßige symbolische Bezeichnungsweise und umfaßt vier hydraulische Ventile 27,28,29 und 30, dxe jeweils einzelne zugeordnete Betätigungseinrichtungen oder Stellglieder 31,32,33,34 besitzen. Im allgemeinen können die Stellglieder mechanisch oder elektrisch betätigt werden. Mit einem ersten Auslöseventil (Schaltventil) 27 wird eine Quelle P^ für konstanten hydraulischen Druck verbunden und mit einem ersten Sperrventil 28 wird
- 11 -
709807/0668
eine Quelle P2 für einen konstanten hydraulischen Druck gleicher Größe verbunden. Wenn eine Prüfung des ersten Auslöseventils 27 gewünscht wird, dann wird das erste Sperrventil 28 dadurch betätigt, daß sein Stellglied 32 einen Leitungsweg zwischen der Quelle P2 für konstanten hydraulischen Druck und dem Ausgang des ersten Sperrventils öffnet. In ähnlicher Weise werden ein zweites Auslöseventil 29 und ein zugeordnetes Sperrventil 30 verwendet. Wenn eine Prüfung des zweiten Auslöseventils 29 gewünscht wird, dann wird das zweite Sperrventil 30 dadurch aktiviert, daß sein Stellglied 3h einen Leitungsweg von dem Ausgang des ersten Auslöseventils zu dem Ausgang des zweiten Sperrventils öffnet. Die Ausgangsgröße von dem zweiten Sperrventil ist die Ausgangsgröße 35 des Systems. Die Sperrventile 2fa und werden durch erste und zweite Sperrsignale 36 bzw. 37 aktiviert, welche den Stellgliedern 32 bzw. 33 für die Ventile zugeführt werden. Die Auslöseventil 27 und 29 werden durch erste und zweite Zustandesignale 38 bzw. 39 für erfaßte Zustände aktiviert, welche den Stellgliedern 31 bzw. 33 durch nicht gezeigte Senoren des Betriebssystems zugeführt werden. In Figur 3 sind die Ventile 27 und 29 in ihrem ausgelösten oder durchgeschalteten Zustand dargestellt. Es ist ersichtlich, daß bei Rücksetzen oder Rückstellen des Systems ein Flüssigkeitsleitungsweg von der Quelle Pl für konstanten Druck durch das ers^e Auslöseventil, das erste Sperrventil, das zweite Auslöseventil und das zweite Sperrventil geöffnet wird. Wenn daher das System zurückgesetzt wird, dann ii.t die Systemausgangsgröße 35 eine hydraulische Flüssigkeit mit dem gleichen Druck wie P, oder P2*
In Figur 3 sind die Auslöseventile 27 und 29 im ausgelösten Zustand gezeigt. Es ist, jedoch zu beachten, daß in dieser Form der Leitungsweg zwischen der Quelle P. für konstanten Flüssigkeitsdruck und dem Ausgang des Auslöseventils 27
- 12 -
709807/0668
gesperrt ist ebenso wie der Leitui^sweg zwischen dem Ausgang des ersten Sperrventils 28 und dem Ausgang des Auslöseventils 29.
Wenn eines der beiden Auslöseventile überprüft werden soll, dann wird das entsprechende Sperrventil betätigt. Wenn das erste Auslöseventil 27 geprüft werden soll, dann wird das erste Sperrventil 28 betätigt und ein Flüssigkeitsleitungsweg von der Quelle P2 mit konstantem Flüssigkeitsdruck durch dieses Sperrventil zum zweiten Auslöseventil 29 geöffnet. Wenn das zweite Auslöseventil 29 zurückgesetzt ist (es wird ihm kein Fehlerzustandssignal zugeführt), dann is» ein Flüssigkeitsleitungsweg durch dieses Auslöseventil geöffnet ebenso wie ein Leitungsweg durch das zweite Sperrventil, und der konstante Flüssigkeitsdruck der Quelle P2 wird dem Systemausgang 35 zugeführt. Wenn das zweite Auslöseventil 29 geprüft werden soll, dann wird das zweite Sperrventil 30 betätigt und ein Flüssigkeitsleitungsweg von dem Ausgang des ersten Auslöseventils 27 zum Systemausgang 35 geöffnet. Wenn das erste Auslöseventil 27 zurückgesetzt wird, dann wird ein Flüssigkeitsleitungsweg zwiscjuen der Quelle P. mit konstantem Flüssigkeitsdruck und dem Ausgang dieses Ventils geöffnet, so daß der konstante Flüssigkeitsdruck der Quelle P1 dem Systemausgang 35 zugeführt wird. Es ist ersichtlich, daß bei Auslösung eines der beiuen Auslöseventile während der Prüfung des anderen Ventils die Leitungswege zwischen den Quellen P1 oder P2 für konstanten Flüssigkeitsdruck und dem Systemausgang 35 geschlossen sein werden, so daß dem Systemausgang ein Druck 0 zugeführt wird.
Wenn jedoch beide Sperrventile versehentlich betätigt werden, dann wird ein Flüssigkeitsleituagsweg zwischen dem Ausgang des ersten Ausloseventils 2? and dem Systesaiasgang 35
- 13 709807/0668
geöffnet. Daher wird ein dem Stellglied 31 zugeführtes erstes Fehlerzustandssignal 38 den normalerweise geöffneten Leitungsweg (Rucksetzzustand) *.wischen der Quelle P> für konstanten Flüssigkeitsdruck und dem Systemausgang 35 verschließen, am Systemausgang 35 einen Druck O zuführen und die geeigneten betätigten Einrichtungen betätigen, um entweder den Fehler zu korrigieren oder das Betriebssystem stillzulegen.
Es ist daher ersichtlich, daß die vorliegende Erfindung ein verbessertes Schutzsystem schafft, bei dem ein fehlerhafter oder versehentlicher Versuch zur gleichzeitigen Prüfung von redundanten Auslösebauteilen in diesem System das System nicht unempfindlich gegen Fehler macht, die in dem Betriebssystem auftreten, in welchem dieses Schutzsystem verwendet wird. Eine solche versehentliche Betätigung der Sperrbauteile wird vielmehr das Schutzsystem unempfindlich für irgendwelche Fehlersignale machen, welche nur einem der Auslösebauteile zugeführt werden, und dadurch den weiteren wirksamen Betrieb des Schutzsystems durch den weiteren wirksamen Betrieb des redundanten Auslösebauteils gewährleisten.
709807/0668

Claims (3)

  1. Patentansprüche;
    (1.) Schutzsystem mi* Prüfmöglichkeit zur Feststellung von Veränderungen in einem erfaßten Zustand eines Betriebssystems und zur Durchführung von Maßnahmen zum Schutz dieses Betriebssystems, dadurch gekennzeichnet, daß es umfaßt:
    ein erstes auf den erfaßten Zustand ansprechendes Auslösebauteil (10) zur Erzeugung eines Ausgangssignals zur Anzeige der Änderungen des erfaßten Zustandes, ein erstes Sperrbauteil (12), das mit dem ersten Auslösebauteil (lO) in Reihe geschaltet ist, wobei dieses erste Sperrbauteil (12) Einrichtungen enthält, um das Ausgangssignal des Schutzsystems unabhängig vom Ausgangssignal des ersten Auslösebauteils ^iO) zu machen, wenn dieses Bauteil getestet wird,
    ein zweites Auslösebauteil (H), das in Reihe mit dem ersten Sperrbauteil (12) geschaltet ist und auf den erfaßten Zustand anspricht zur Erzeugung eines Ausgangssignals als Anzeige des erfaßten Zustandes, und ein zweites Sperrbauteil (l3)> das in Reihe mit dem zweiten Auslösebauteil (11) geschaltet ist, wobei das zweite Sperrbauteil Einrichtungen enthält, um das Ausgangssignal des Schutzsystems unabhängig vom Ausgangssignal des gerade geprüften zweiten Auslösebauteils zu machen, wobei das erste und zweite Auslösebauteil (10,11) jeweils logische UND-Glieder enthalten, und das erste und zweite Sperrbauteil (12,13) jeweils logische Einrichtungen (23,24,25,26) zur Ausführung der logischen Funktion gemäß dem Boole'sehen Ausdruck
    AC + BC = D
    enthalten, wobei D die Ausgangsgröße der logischen Einrichtung und A, B und C Eingangsgrößen derselben sind.
    — 15 —
    709807/0668
  2. 2.) Schutzsystem mit Prüfmöglichkeit nach Anspruch 1, dadurch gekennzeichnet, daß das erste Auslösebauteil (lO) als Eingangssignale ein konstantes Steuersignal (15) und ein erstes Zustandesignal (14) für einen erfaßten Zustand besitzt,
    das zweite Auslösebauteil (11) als Eingangssignale die Ausgangsgröße (18) des ersten Sperrbauteils (12) und ein zweites Zustandssignal (19) besitzt,
    wobei für das erste Sperrbauteil (12) gilt:
    A ist das Ausgang signal (l6) des ersten Auslösebauteils (10),
    B ist das konstante Steuersignal (15)»
    C ist ein erstes Sperrsignal (17)» und
    für das zweite Sfjerrbauteil (13) gilt:
    A ist das Ausgangssignal (20) des zweiten Auslösebauteils (11),
    B ist das Ausgangssignal (l6) vom ersten Auslösebauteil (10),
    C ist ein zweites Sperrsignal (21).
  3. 3.) Schutzsystem nach Anspruch 2, dadurch gekennzeichnet, daß das erste und zweite Sperrbauteil (12,13) jeweils umfassen:
    ein erstes logisches UND-Glied (23) zum Empfang der Eingangssignale AC und zur Erzeugung eines ersten logischen Ausgangssignals,
    ein zweites logisches UND-Glied (24) zum Empfang der Eingangssignale BC und zur Erzeugung eines zweiten
    logischen Ausgangssignals, und
    ein erstes logisches ODER-Glied (25) zum Empfang der ersten und zweiten logischen Ausgangssignale und zur Erzeugung eines logischen Ausgangssignals D.
    709807/0668
DE2630234A 1975-07-31 1976-07-06 Schutzeinrichtung für Maschinenanlagen gegenüber Betriebsstörungen Expired DE2630234C2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US05/600,835 US4001654A (en) 1975-07-31 1975-07-31 Testable protective system

Publications (2)

Publication Number Publication Date
DE2630234A1 true DE2630234A1 (de) 1977-02-17
DE2630234C2 DE2630234C2 (de) 1981-11-12

Family

ID=24405228

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2630234A Expired DE2630234C2 (de) 1975-07-31 1976-07-06 Schutzeinrichtung für Maschinenanlagen gegenüber Betriebsstörungen

Country Status (7)

Country Link
US (1) US4001654A (de)
JP (1) JPS5221505A (de)
CA (1) CA1095147A (de)
CH (1) CH612774A5 (de)
DE (1) DE2630234C2 (de)
FR (1) FR2319945A1 (de)
GB (1) GB1547277A (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3710204A1 (de) * 1987-03-27 1988-10-06 Siemens Ag Elektrisches schutzgeraet
CH675642A5 (de) * 1988-01-08 1990-10-15 Landis & Gyr Betriebs Ag
ATE104014T1 (de) * 1989-12-21 1994-04-15 Asea Brown Boveri Antrieb fuer ein speiseventil.
DE4330038A1 (de) * 1993-09-06 1995-03-09 Abb Management Ag Hydraulische Sicherheitsschaltung
US5742513A (en) * 1996-05-15 1998-04-21 Abb Power T&D Company Inc. Methods and systems for automatic testing of a relay
GB2326779B (en) * 1997-06-27 2001-06-06 Solartron Group Ltd Fail-safe system
DE102004058540A1 (de) * 2004-12-04 2006-06-08 Bosch Rexroth Ag Verfahren und Vorrichtung zur Überwachung einer Spannung
US7409965B2 (en) * 2006-10-16 2008-08-12 Elliott Company Direct acting hydraulic trip block
FR2992485B1 (fr) * 2012-06-21 2014-09-12 Sagem Defense Securite Circuit electrique de coupure d'une alimentation electrique a relais et fusibles
FR2992486B1 (fr) * 2012-06-21 2015-07-17 Sagem Defense Securite Circuit electrique de coupure d'une alimentation electrique a transistors et fusibles a logique redondee
CN106501713A (zh) * 2016-11-24 2017-03-15 国网福建省电力有限公司 一种便携式多接点继电器校验仪及其校验方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3748540A (en) * 1971-09-02 1973-07-24 Gen Electric Testing and monitoring system for redundant trip devices

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE1176288B (de) * 1962-06-01 1964-08-20 Siemens Ag Reaktorsicherheitsschaltung nach dem 2-von-3-System
GB1128573A (en) * 1966-07-14 1968-09-25 Stal Laval Turbin Ab Hydraulic system for testing the operation of overspeed monitors
US3928976A (en) * 1974-06-06 1975-12-30 Westinghouse Electric Corp Electrohydraulic emergency trip system for a turbine power plant

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3748540A (en) * 1971-09-02 1973-07-24 Gen Electric Testing and monitoring system for redundant trip devices

Also Published As

Publication number Publication date
FR2319945A1 (fr) 1977-02-25
FR2319945B1 (de) 1981-09-25
US4001654A (en) 1977-01-04
DE2630234C2 (de) 1981-11-12
JPS5221505A (en) 1977-02-18
JPS5638762B2 (de) 1981-09-09
CA1095147A (en) 1981-02-03
CH612774A5 (de) 1979-08-15
GB1547277A (en) 1979-06-06

Similar Documents

Publication Publication Date Title
DE69008283T2 (de) Gerät zum Nachweis und zur Unterscheidung von funktionellen Fehlern in einer elektrischen Versorgungsschaltung.
DE2241453C2 (de) Redundantes Schutzsystem
EP0007579B1 (de) Schaltungsanordnung zur Überwachung des Zustands von Signalanlagen, insbesondere von Strassenverkehrs-Lichtsignalanlagen
DE2711771C2 (de) Füllstands-Überwachungseinrichtung
DE2630234A1 (de) Schutzsystem mit pruefmoeglichkeit
DE3508608C2 (de)
DE4242792A1 (de) Sicherheitsschalteranordnung zum Ein- und Ausschalten der Stromversorgung von Aktoren in Abhängigkeit von einem Sensorschaltsignal
DE3687309T2 (de) Automatisches system zur wiederherstellung des vortriebes.
DE69623804T2 (de) Überprüfung eines digitalen kontrollsystems
EP3465898B1 (de) Sanftstarter, betriebsverfahren und schaltsystem
EP1860565B1 (de) Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
DE60223827T2 (de) Schnittstellenmodul für eine gesteuerte komponente
DE1474032A1 (de) Geraet zur Programmunterbrechung und zur Ausloesung eines Unterprogramms in einem digitalen Prozessrechner
DE4232720C1 (de) Anordnung zur Funktionsüberwachung und Meßwertauswertung von Füllstands-Sensoren, insbesondere Vibrations-Füllstands-Grenzschaltern
DE69614995T2 (de) Rücksetzverriegelungsschaltung
DE3731097C2 (de) Schaltungsanordnung zur Überwachung einer von zwei Mikroprozessoren gesteuerten Einrichtung, insbesondere einer Kraftfahrzeug-Elektronik
EP0508081B1 (de) Schaltungsanordnung und Verfahren zum Überwachen eines brennstoffbeheizten Gerätes
DE2456073C3 (de) Schutzanordnung fur Drehstromubertragungssysteme
EP0660044B1 (de) Steuereinrichtung zur Betätigung von Schalteinrichtungen
EP2988419B1 (de) Verfahren zur ermittlung des zustands eines kurzschlussbildenden meldeelements
DE3138561A1 (de) Auf ihre funktionssicherheit hin pruefbare schutzeinrichtung fuer dampfturbinenanlagen
DE3751374T2 (de) Verfahren und Mechanismus zum unabhängigen Sicherstellungsmodustransfer für digitale Steuerprozessoren.
DE4027804A1 (de) Messverfahren zum messen unterschiedlicher messgroessen und multimeter zur durchfuehrung des verfahrens
DE3209718A1 (de) Funktionssichere steuereinrichtung
DE4319750C2 (de) Verfahren und Vorrichtung zur Funktionsüberwachung von Schalteinrichtungen einer Brückenschaltung sowie deren Verwendung

Legal Events

Date Code Title Description
OD Request for examination
D2 Grant after examination
8328 Change in the person/name/address of the agent

Free format text: VOIGT, R., DIPL.-ING., PAT.-ANW., 6232 BAD SODEN