[go: up one dir, main page]

DE3318662A1 - Elektrischer steuersystemmonitor - Google Patents

Elektrischer steuersystemmonitor

Info

Publication number
DE3318662A1
DE3318662A1 DE19833318662 DE3318662A DE3318662A1 DE 3318662 A1 DE3318662 A1 DE 3318662A1 DE 19833318662 DE19833318662 DE 19833318662 DE 3318662 A DE3318662 A DE 3318662A DE 3318662 A1 DE3318662 A1 DE 3318662A1
Authority
DE
Germany
Prior art keywords
output
circuit
comparator
sequence
capacitors
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE19833318662
Other languages
English (en)
Inventor
Mark Gerard Pittsburgh Pa. Kraus
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Westinghouse Electric Corp
Original Assignee
Westinghouse Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Westinghouse Electric Corp filed Critical Westinghouse Electric Corp
Publication of DE3318662A1 publication Critical patent/DE3318662A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B29/00Checking or monitoring of signalling or alarm systems; Prevention or correction of operating errors, e.g. preventing unauthorised operation
    • G08B29/16Security signalling or alarm systems, e.g. redundant systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Power Sources (AREA)
  • Debugging And Monitoring (AREA)
  • Microcomputers (AREA)
  • Testing Electric Properties And Detecting Electric Faults (AREA)

Description

drying. Ernst Strätmäntn
PATENTANWALT D-4000 DÜSSELDORF 1 · SCHADOWPLATZ 9
VNR; 1o9126
Düsseldorf, 2o. Mai 1983 50,162
Ö322
Westinghouse Electric Corporation Pittsburgh/ Pay, 15222, U SA '
Elektrischer S teuer sys temmonitor
Qie Erfindung betrifft elektrische Steuersystemmonitor- oder überwachungseinrichtungen, insbesondere solche Überwachungseinrichtungen, die bei Anwendungsfällen eingesetzt werden, wo ein Versagen in dem System überwacht wird oder die überwachungseinrichtung oder der Monitor selbst den überwachungs- oder Monitorausgang in einen vorgeschriebenen Zustand bringt.
Mit dem Aufkommen von Mikroprozessoren wurden viele Kontroll- und Steuersysteme, die bisher mit diskreten logischen Bauelementen aufgebaut wurden, nunmehr mit der Mikroprozessortechnologie konstruiert. Bestimmte Steuersystemanwendungen sind ziemlich kritisch und ein Versagen des Steuersystems kann zum Verlust von Menschenleben und/oder umfangreicher Ausrüstungsbeschädigung führen. Derartige Systeme umfassen Eisenbahnsteuer- und Warneinrichtungen, elektrische LeistungsSteuersysteme für Flugzeuge, wie auch Steuersysteme für Autobahnverkehr. Klassische technische Verfahren, die aufgebaut wurden, um Fehler innerhalb der Steuereinheit zu erkennen und eine Sicherungsauslösung zu verursachen, beispielsweise
Postscheck, berlin west (BLZ 100 100 10) 132736-109· deutsche bank (BLZ 300 7OO 10) 6 16O253
t a
bei einer Verkehrskreuzung alle Ampeln auf rot zu stellen, wenn eine Einheit versagt/ sind bei Mikroprozessorsystemen nicht anwendbar. Dies liegt an der Komplexität der hohen Integration von Mikroprozessoreinrichtungen und auch in Technologieunterschieden im Vergleich zu diskreten Schaltkreisen.
Wenn das Versagen eines elektrischen Systems die Gefahr mit sich bringt, daß Menschenleben oder hohe Sachwerte extremer Gefahr ausgesetzt werden, ist es wichtig, daß das System genau gesteuert und kontrolliert wird. Irgendein Versagen in dem System oder in der Steuer- oder Kontrolleinheit sollte zu unmittelbarer korrigierender Handlung führen. Verschiedene Konstruktionsmöglichkeiten stehen zur Verfügung, wenn ein elektrisches System aufgebaut wird, das hochzuverlässige Steuerfunktionen enthält. Diese Techniken umfassen zusätzliche logische Steuerschaltkreise, Abstimmschemata, sowie auch spezielle Datenverarbeitungsverfahren.
Bei Flugzeugleistungsverteilungssystemen muß das Versagen eines Generators durch die Kontroll- oder Steuereinheit ermittelt und ein Hilfsgenerator in das System eingeschaltet werden. Außerdem ist es wünschenswert, eine Kontrolloder Steuereinheit zu konstruieren, die minimales Gewicht und möglichst kleine Größe aufweist, trotzdem aber ausreichende Rechenleistung besitzt, um die Eigentestfehlererkennungsfunktionen durchzuführen. Sobald ein Fehler in der Steuereinheit oder in dem zu steuernden System auftritt, müssen eine klare Anzeige des Versagens erfolgen sowie sichere Mittel eingesetzt werden, um die fehlerhafte" Einrichtung aus dem System herauszublockieren.
Die vorliegende Erfindung hat sich zur Aufgabe gemacht, einen hochzuverlässigen elektrischen Steuersystemmonitor sowie Einrichtungen zu schaffen, um eine gewünschte Systemantwort zu erzwingen, wenn ein Versagen in dem Monitor
oder in dem Rest des Systems auftritt. Es wurde ein Schloß- und Schlüssellösungsversuch (lock and key design approach) benutzt, gemäß dem eine Folge von Datenwörtern aufgrund des Betriebsstatus des zu überwachenden Systems erzeugt wird und diese Wörter mit einer vorher festgelegten Folge von Datenwörtern verglichen werden. Wenn die erzeugten Datenwörter keinen vorbestimmten Wert besitzen, oder nicht in einer vorbestimmten Aufeinanderfolge erzeugt werden, wird der Ausgang des Monitors in einen vorbestimmten Zustand gezwungen. Beispiele für Steuersysteme, die einen Schloß- und Schlüssellösungsweg verwenden, können in der US-Patentanmeldung 275 425 vom 18. Juni 1981 sowie in dem US-Patent 4 107 253 vom 15. August 1978 gefunden werden.
Es ist die Hauptaufgabe der vorliegenden Erfindung, eine Steuereinheit zu entwickeln, die den Systemzustand überwacht.
Gelöst wird die Aufgabe gemäß den Merkmalen des Hauptanspruchs durch einen Steuersystemmonitor, der einen ersten Schaltkreis zur Erzeugung einer ersten Folge von den Betriebszustand anzeigenden Daten erzeugt, einen zweiten Schaltkreis zur Erzeugung einer zweiten Folge von Daten, einen Vergleicher für das aufeinanderfolgende Vergleichen der Ausgänge der ersten und der zweiten Schaltung, wobei die erste und die zweite Schaltung Schaltkreise umfassen, derart, daß sich aufeinanderfolgende Zeitintervalle für eine gegebene Zeit überlappen, Ausgangsschaltkreise für die Erzeugung eines Ausgangs, wenn der Ausgang des Vergleichers nicht mehr in einer vorgeschriebenen Weise oszilliert.
Ein erfindungsgemäß gestalteter Steuersystemmonitor umfaßt eine Einrichtung zur Erzeugung einer ersten Folge von Datenwörtern, bei denen die Datenworte repräsentativ sind für den Betriebszustand des zu überwachenden Systems, Einrichtungen zur Erzeugung einer zweiten Folge von vorbestimmten Datenwörtern, und einen Vergleicher zum Ver-
1 8662
PO PO
gleich der Datenwörter der ersten Folge mit Datenwörtern der zweiten Folge, wobei entsprechende Datenworte in der ersten und in der zweiten Folge von Datenworten dem Vergleicher während aufeinanderfolgender, teilweise sich überlappender Zeitintervalle repräsentiert werden. Der Vergleicher erzeugt einen ersten logischen Ausgangspegel, wenn die miteinander verglichenen Datenworte übereinstimmen, und einen zweiten logischen Ausgangspegel, wenn die miteinander verglichenen Datenworte voneinander abweichen, wobei der Monitor des weiteren Einrichtungen aufweist, um einen vorbestimmten Ausgangszustand zu erzeugen, wenn der Ausgang des Vergleichers nicht mehr zwischen dem ersten und dem zweiten logischen Pegel in einer vorbestimmten Weise oszilliert. Gemäß einer Ausführungsform der vorliegenden Erfindung werden zwei Kapazitäten alternierend geladen und entladen aufgrund der logischen Ausgangspegel des Vergleichers. Die Lade- und Entladeraten für jeden dieser Kapazitäten sind so gewählt, daß die Spannung an jeder Kapazität oberhalb eines vorbestimmten Pegels verbleibt, wenn der Vergleicherausgang zwischen dem ersten und dem zweiten logischen Pegel in einer vorgeschriebenen Weise oszilliert. Wenn die Spannung an einer der Kapazitäten unter einen vorbestimmten Wert fallen sollte, wird der Ausgang des Monitors gezwungen, in einen vorbestimmten Zustand zu gehen.
Auf einer anderen Ebene umschließt die vorliegende Erfindung auch ein Verfahren zur Überwachung eines Steuer- oder Kontrollsystems, einschließlich der folgenden Verfahrensschritte: Durchführen einer Serie von Eigentestunterprogrammen an dem zu überwachenden System sowie an dem Kontrollsystemmonitor; Erzeugen einer ersten Folge von Datenwörtern, die die Ergebnisse der Testunterprogramme repräsentieren, Präsentieren eines jeden Datenwortes der ersten Folge einem Vergleicher für ein erstes vorgewähltes Zeitintervall; Präsentieren einer zweiten Folge von vorbestimmten Datenworten dem Vergleicher, wobei jedes Datenwort der zweiten
Folge dem Vergleicher für ein zweites vorbestimmtes Zeitintervall präsentiert wird, wobei sich erstes und zweites Zeitintervall teilweise überlappen; Laden eines ersten Kondensators und Entladen eines zweiten Kondensators, wenn die dem Vergleicher präsentierten Datenworte übereinstimmen; Entladen eines ersten Kondensators und Laden eines zweiten Kondensators, wenn die dem Vergleicher präsentierten Datenworte nicht übereinstimmen; Erzeugen eines vorbestimmten Ausgangssignals, wenn die Ladespannung an dem ersten oder zweiten Kondensator unter einen vorbestimmten Wert abfällt.
ι Die Erfindung wird nachfolgend anhand von Ausführungsbei- : spielen näher erläutert, die in den Zeichnungen dargestellt sind.
Es zeigt:
Fig. 1
ein schematisches Diagramm eines gemäß einer Ausführungsform der vorliegenden Erfindung aufgebauten Steuersystemmonitors;
Fig. 2 ein Flußdiagramm zur Erläuterung der Betriebsweise des Schaltkreises der Fig. 1; und
Fig. 3 ein Wellenformdiagramm zur Erläuterung des Betriebs des Schaltkreises der Fig. 1.
Bezüglich der Figuren zeigt Fig. 1 ein schematisches Diagramm eines Steuersystemmonitors gemäß einer Ausführungsform der vorliegenden Erfindung. Im Betrieb erzeugt der Taktgeber 10 ein zeitlich sich veränderndes Signal von einer vorgewählten Frequenz und liefert das Signal über die Datenleitungen 12 und 14 an einen programmierbaren, integrierten Feldlogikbaustein (array logic integrated circuit PAL)7 sowie an einen Mikroprozessor 16. Der programmierbare Feldlogikschaltkreis PAL umfaßt einen Teiler
18, einen Zustandssequenzer 20, und einen Vergleicher 22. Der Teiler 18 wird benutzt, um die Taktsigna!frequenz zu reduzieren und um den Ausgang einer Folge von vorbestimmten Datenwörtern zu kontrollieren, die durch den Zustandssequenzer 20 erzeugt wird. Der Mikroprozessor 16 wirkt mit dem zu überwachenden System über die Datenleitungen 24 und 26 zusammen. Auf diese Weise kann er so programmiert werden, daß er verschiedene Kontrolloperationen an dem zu überwachenden System ausführt und auch selbst Testroutinen durchführt, die den Betriebszustand des zu überwachenden Systems wie auch des Restes des Monitorschaltkreises feststellt. Aufgrund der Selbsttestroutine wird eine zweite Folge von Datenwörtern erzeugt, die den Betriebszustand des überwachten Systems repräsentiert. Diese Datenworte werden in einer vorbestimmten Abfolge dem Vergleicher 22 über die Datenleitung 28 zugeführt. Die Abfolge von vorbestimmten Datenwörtern von dem Zustandssequenzer 20 und die zweite Abfolge von Datenwörtern von dem Mikroprozessor 16 werden dem Vergleicher 22 während aufeinanderfolgender Zeitintervalle repräsentiert, wobei sich die aufeinanderfolgenden Zeitintervalle für ; eine bestimmte Zeitdauer überlappen. Wenn die dem Vergleicher 22 zu irgendeinem bestimmten Zeitpunkt repräsentierten ' Datenwörter übereinstimmen, geht der Vergleicherausgang auf einen ersten logischen Pegel. Wenn die Datenwörter, die dem Vergleicher zugeführt werden, voneinander abweichen, geht der Vergleicherausgang auf einen zweiten logischen Pegel. Da die Datenwörter von dem Zustandssequenzer ;
20 und von dem Mikroprozessor 16 dem Vergleicher in teil- \ weise sich überlappenden Zeitintervallen aufeinanderfolgend repräsentiert werden, wird, wenn der Mikroprozessor 16 : wiederholt eine Folge von Datenwörtern erzeugt, die der < vorbestimmten, von dem Zustandssequenzer 20 erzeugten ι
Folge von Datenwörtern entspricht, der Ausgang des Ver- j gleichers zwischen einem hohen und einem niedrigen Ausgangspegel in einer vorgeschriebenen Weise oszillieren. ] Bei dieser Ausführungsform werden die Vergleicherausgangsdaten-
- ίο -
leitungen 32 und 34 das Ausgangslogikpegelsignal erhalten, welches über Widerstand R1 und den UND-Schalter Z1A dem logischen Schaltkreis 3 6 zugeführt wird.
Wenn die logische Wortfolge, die von dem Mikroprozessor 16 erzeugt wird, der logischen Wortfolge entspricht, die von dem Zustandssequenzer 20 erzeugt wird, wird der Verriegelungsschaltkreis 36 ein Signal von dem Kollektor des Transistors im UND-Schalter Z1A erhalten, der zwischen einem hohen und einem niedrigen logischen Pegel in einer vorbeschriebenen Weise schwankt. Während der Z1A-Transistor alternierend durch dieses Signal ein- und ausgeschaltet wird, werden sich die Kondensatoren C1 und C2 alternierend aufladen und entladen. Wenn beispielsweise der Ausgang des UND-Gatters in Z1A niedrig ist, ist der Z1A-Transistor abgeschaltet und der Kondensator C1 lad sich durch Widerstände R2 und R3 in Richtung auf den Spannungspegel V1 auf. Zur gleichen Zeit ist der Transistor QI abgeschaltet und der Kondensator C2 entlad sich über Widerstände R4 und R5 und über die Diode CR2. Wenn der Ausgang des UND-Gatters in Z1A hoch ist, ist der Z1A-Transistor eingeschaltet und der Kondensator C1 entlad sich über Widerstand R3, Diode CR1 und Transistor Z1A. Gleichzeitig werden die Widerstände R6 und R7 derart gewählt, daß der Transistor Q1 eingeschaltet ist und der Kondensator C2 sich durch den Transistor QI und den Widerstand R5 in Richtung auf den Spannungspegel V1 auflad. Ausgangsschaltkreis 38 wirkt aufgrund des Spannungspegels an den Kondensatoren C1 und C2, indem er einen Ausgangsspannungswert am Ausgangsanschluß OUT steuert. Wenn sich die Spannung an den Kondensatoren CI und C2 oberhalb eines vorbestimmten Pegels befindet, der ungefähr gleich der Zehnerdiodenspannung der Diode CR5 ist, wird der Transistor Q2 einschalten und die Ausgangsspannung am Ausgangsanschluß OUT sehr niedrig sein. Wenn aus irgendeinem Grunde die Spannung am Kondensator C1 oder C2 unter einen vorbestimmten Pegel abfällt, wird die Diode CR5 aufhören zu leiten und der
Transistor Q2 wird abschalten und die Ausgangsanschlußspannungshöhe auf ungefähr den Spannungspegel V1 anheben.
Ein Verrxegelungsschaltkreis 40, der Zehnerdiode CR6, Widerstand R11 und UND-Schalter Z1B umfaßt, fühlt die Spannung am Kondensator C1 ab und schaltet den Transistor von Z1B ein, wenn die Spannung an C1 über einen vorbestimmten Pegel ansteigt. Dies zieht eine der Eingangsleitungen an dem UND-Gatter in Z1A auf einen niedrigen Pegel und verhindert die Oszillation des Ausganges des UND-Gatters in ZlA, wodurch der Schaltkreisausgangsanschluß OUT in einem vorbestimmten Zustand gehalten wird. Ein übermäßiger Spannungsanstieg am Kondensator C1 wird in den meisten üblichen Versagensfällen auftreten.
Der Transistor Q2 kann auch durch den Mikroprozessor 16 unter normalen Betriebszuständen abgeschaltet werden, und zwar mit Hilfe des Interface-Schaltkreises 42. Der logisch hohe Ausgang an der Signalleitung 44 wird Transistor Q3 einschalten, wodurch Strom durch CR7 und Q3 nach Masse fließt. Dies wird die Spannung über der Zehnerdiode CR5 auf einen Wert absenken, der niedriger ist als die Schwellwertspannung. Außerdem kann der Verriegelungsschaltkreis 36 den Transistor Q2 zum Abschalten zwingen, unabhängig von dem Mikroprozessorausgang.
Fig. 2 ist ein Flußdiagramm, das den Betrieb des Schaltkreises der Fig. 1 erläutert. Block 50 zeigt, daß dann, wenn der Schaltkreis auf Leistung gebracht wird, die Aufeinanderfolge von Datenwörtern, die von dem Zustandssequenzer 20 erzeugt wird, und das Ausgangsdatenwort des Mikroprozessors 16 derart ausgelöst werden, daß der Zustandssequenzer adressiert wird, um ein Datenwort auszugeben, das als Folgezustandsdatenwort N0 charakterisiert wird, und Mikroprozessorausgang 28 wird ausgelöst, um ein Schlüsseldatenwort N-1 abzugeben. Block 52 zeigt, daß dann, wenn diese Datenwörter zum Vergleicher 22 geführt
werden, der Vergleicherausgang eine logische Null ist. Aufgrund eines Taktsignals auf der Datenleitung 14 führt der Mikroprozessor 16 eine Selbsttestroutine durch und gibt ein Schlüsseldatenwort N_ ab, das repräsentativ ist für das Ergebnis der Testroutine. Zur gleichen Zeit hat der Teiler 18 verhindert, daß der Zustandssequenzer 20 erhöht wird, so daß der Zustandssequenzer 20 weiterhin das Sequenzzustandsdatenwort NQ abgibt. Daher wird der Vergleicher 22 das gleiche Datenwort NQ an jedem Eingang erhalten, und sein Ausgang geht zu einer logischen Eins. Nachdem eine vorbestimmte Anzahl von Taktimpulsen vom Teiler 18 erhalten wurden, wird der Zustandssequenzer 20 erhöht und das Sequenz zus tandsdatenwort N.. ausgegeben, wie im Block 56 gezeigt ist. Zu dieser Zeit gibt der Mikroprozessor 16 immer noch das Schlüsselwort N0 aus, und der Ausgang des Vergleichers 22 geht auf eine logische Null. Wiederum führt der Mikroprozessor 16 eine Selbsttestroutine durch und erzeugt das Schlüsselwort N^, das ausgegeben wird, wie in Block 58 dargestellt. Wenn das Schlüsselwort und die Folgezustandsdatenwörter übereinstimmen, geht der Vergleicherausgang zurück auf eine logische 1. Diese Art des Betriebs setzt sich über die Blöcke 60 und 62 fort, bis eine vorbestiinmte Anzahl von Folgezuständen miteinander verglichen wurde, zu welchem Zeitpunkt der Zyklus wiederholt wird. Bei diesem Beispiel sind 16 Folgezustände dargestellt.
Die Wellenform der Fig. 3 erläutert weiter den Betrieb des Schaltkreises der Fig. 1. Der Ausgang des Taktgebers 10 ist mit Hilfe der Wellenform A dargestellt, wobei die Anstiegskanten des Taktimpulses in der Wellenform B dargestellt sind. Der Teiler 18 umfaßt einen Zähler, der die binären Zustände annimmt, die auf Linie C der Fig. 3 dargestellt sind. Die Wellenform D erläutert den Ausgang des Teilers 18. Mit jeder ansteigenden Flanke des Teilerausganges wechselt der Zustandssequenzer 20 seinen Zustand, wie in Linie E der Fig. 3 dargestellt
: ist. Jedoch wird das Schlüsseldatenwort, das durch den Mikroprozessor 16 erzeugt wird, nicht auf Datenleitung 28 gegeben, bis die fallende Flanke des Teilerausganges auftritt, wie in Linie F der Fig. 3 dargestellt ist. Auf diese Weise weichen die Eingänge des Vergleichers 22 voneinander ab und stimmen überein, wie es auf Linie G der Fig. 3 wiedergegeben ist. Aufgrund des in Wellenform G dargestellten Vergleicherausganges ergeben sich die Wellenformen H und I, die die Spannung an den Kondensatoren C1 bzw. C2 erläutern. Durch Steuerung der genauen zeitlichen Abfolge des Präsentierens der Folgezustände von dem Zustandsse.guenzer 20 und der Schlüsselworte von dem Mikroprozessor 16 an den Vergleicher 22 kann die Spannung am Kondensator C1 und am Kondensator C2 über einer bestimmten vorher gewählten Spannung gehalten werden.
Als weiteres Beispiel sei die folgende Tabelle wiedergegeben, die bestimmte Bauteile identifiziert, die bei einem Schaltkreis gemäß Fig. 1 entsprechend einer Ausführungsform der vorliegenden Erfindung verwendet werden ; können.
Tabelle 1
PAL Monolithischer Speicher PAL16R6MJ
Mikroprozessor Intel 8051
Z1 75452
Q1 2N29O7A
Q2 2N3O19
Q3 2N2222
C1 3.3 yuF
C2 3.3 /jF
Rl 200 JV
R2 2.0 K1A.
R3 2.2 ΚΛ
R4 2.0 KJl
R5 2.2 KJl
R6 75ΟΛ
R7 22 KdI
R8 15 KJl
R9 10 KJl
R10 1 .5 KJl
:331δ662
! - 14 -
R11 1 .0 KJl
CR1 1N4OO4
CR2 1N4OO4
CR3 1N4OO4
CR4 1N4OO4
CR5 6.8 V Zener
CR6 20 V Zener
V1 25 Volt
Benutzt man die Tabelle 1 aufgelisteten Bauteilewerte, kann ein Taktgeber mit einer Ausgangsrechteckwelle von 400 Hz sein Ausgangssignal an einen Schaltkreis mit einem Teilungsfaktor von vier in dem programmierbaren Feldlogikschaltkreis liefern, der zwei Flip-Flop umfaßt. Vier andere Flip-Flops in dem PAL sind als Zustandssequenzer angeordnet, der durch den Ausgang des Schaltkreises, der durch vier teilt, getaktet wird. Dieser Sequenzerschaltkreis wird durch 16 mögliche Zustände hindurchlaufen, wobei er stets mit dem Zustand 0000 aufgrund eines anfänglichen Anlegens von Leistung an den Schaltkreis beginnt. Diese 16 Zustände sind nicht in binärer Ordnung, sondern spezifisch organisiert, derart, daß sich zumindest zwei der vier binären Bits zwischen aufeinanderfolgenden Zuständen ändern müssen. Außerdem sind keine zwei aufeinanderfolgenden Zustände in binärer Ordnung. Eine Erläuterung von einer derartigen Aufeinanderfolge in hexadezimaler Notierung ist: 0, D, 4, 1, 8, 2, B, 5, 3, F, 9, C, 6, A, 7 und E. Der Zustandssequenzer ändert sich in seinen nächsten Zustand bei der ansteigenden Flanke der Wellenform D der Fig. 3. Dies entspricht dem Zählerzustand 00 im Teiler 18. Bis der Zähler im Teiler 18 den Zustand 10 erreicht, wird das vorhergehende Schlüsselwort N-1 weiterhin am Ausgang des Mikroprozessors 16 erscheinen, und somit der Vergleicher 22 in PAL auf einen niedrigen Zustand gehen, da das Schlüsselwort und der Zustand nicht übereinstimmen. Der Mikroprozessor 16 wird ein nächstes Schlüsselwort N bei Zählerzustand 10 abgeben, wodurch der Vergleicher veranlaßt wird, einen hohen Pegel anzunehmen. Wenn der Zähler in den Zustand 00 zurückkehrt,
wird der Zustandssequenzer zum Zustand N+1 voranschreiten, und der Betrieb wird sich fortsetzen, wie beim vorhergehenden Schritt.
Während der Vergleicherausgang falsch (d. h. niedrig) wird, wird der Ausgang des UND-Gatters in Z1A niedrig gehen, wodurch C1 veranlaßt wird, sich zu laden, während C2 veranlaßt wird, sich zu entladen. Während der Ausgang des Vergleichers 22 wahr (hoch) ist, wird der Ausgang des UND-Gatters in Z1A hoch sein, wodurch der Transistor , in Z1A eingeschaltet wird und der Kondensator C1 veranlaßt wird, sich zu entladen, während der Kondensator C2 zum Laden gebracht wird. Die Widerstands-Kapazitäts-Zeitkonstanten des Verriegelungsschaltkreises 36 sind bei diesem Beispiel derart gewählt, daß die Spannung an den Kondensatoren C1 und C2 oberhalb eines Wertes von angenähert 9,2 Volt verbleibt, wenn die Mikroprozessorausgänge zur richtigen Zeit die richtigen Schlüssel ausgeben. Wenn der Mikroprozessor 16 versagt, die richtigen Schlüssel zur richtigen Zeit auszugeben, wird die Spannung ; an entweder dem Kondensator C1 oder dem Kondensator C2 i oder auch an beiden Kondensatoren unter ungefähr 9,2 ' Volt abfallen, wodurch der Ausgangsanschluß OUT veranlaßt ' wird, zu einem hohen Pegel zu gehen.
Es gibt vier Versagensbereiche, die nunmehr in größeren Einzelheiten diskutiert werden sollen:
1) Das Mikroprozessorsystem versagt, aber die Verriegelung ; arbeitet korrekt;
2) die Verriegelung versagt, aber der Mikroprozessor
versagt nicht;
3) sowohl die Verriegelung als auch das Mikroprozessorsystem ! versagen; und :
4) die Verriegelung und das Mikroprozessorsystem arbeiten, aber der Ausgangsschaltkreis versagt.
Der große Vorteil der vorliegenden Erfindung liegt in der Fähigkeit, jede dieser Eventualitäten zu handhaben.
Im ersten Falle, in dem das Mikroprozessorsystem versagt, arbeitet der Verriegelungsschaltkreis korrekt. Dies ist der häufigste Versagensgrund aufgrund der relativ hohen Kompliziertheit dieser zwei Untersysteme. Um den Monitorausgang aus diesem vorbestimmten Versagensbetrieb herauszuhalten, muß das Mikroprozessorsystem in richtiger Weise 1 6 Schlüsselwörter zu vorgeschriebenen Zeiten abgeben, um den Verriegelungsschaltkreis zu befriedigen. Sollte das Mikroprozessorsystem versagen, gibt es nur eine Wahrscheinlichkeit
-20
von 5,42 χ 10 , die erforderliche Abfolge in der dargestellten Ausführungsform richtig zu erraten. Diese Wahrscheinlichkeitszahl berücksichtigt nicht die Zeiterfordernisse der Schlüsselworte. Selbst also wenn das Mikroprozessorsystem fehlerhaft arbeitet, ist es unwahrscheinlich, daß es die Verriegelung auch nur ein einziges Mal öffnen kann. Es muß hervorgehoben werden, daß die Fähigkeit des Verriegelungs- und Schlüsselsystems zur Erkennung eines Fehlers in dem Mikroprozessorsystem direkt abhängig ist von der selbst sich testenden Software. Die Selbsttestroutinen müssen jeden Aspekt des Systems überprüfen, und die Routine (das Unterprogramm) muß in einer solchen Weise geschrieben sein, daß jeder Fehler bewirkt, daß ein nicht korrektes Schlüsselwort erzeugt > und ausgegeben wird. Der Mikroprozessor muß nicht wissen, ; ob das durch eine Testroutine erzeugte Schlüsselwort ein korrektes Schlüsselwort ist. Dafür ist ausschließlich der Verriegelungsschaltkreis verantwortlich.
Der zweite Versagensbereich berücksichtigt ein Versagen ; lediglich des Verriegelungsschaltkreises. Die meisten ■ Versagensfälle werden dazu führen, daß die Spannung an
den Kondensatoren C1 und/oder C2 auf ungefähr einen Wert von 0 Volt laufen. Ein Versagen des Teilers 18, des Zustandsseguenzers und des Vergleichers würden zu einer solchen Wirkung führen. Man bemerke, daß unabhängig von den Versagenszuständen oder vom Zustand der Verriegelung das Mikroprozessorsystem die Fähigkeit besitzt, den Monitorausgang auf einen vorbestimmten Zustand zu bringen, indem ein niedriger Ausgang auf der Signalleitung 30 oder ein hoher Ausgang auf der Signalleitung 44 in Fig. 1 erzeugt wird.
Der dritte Fall ist ziemlich ähnlich dem zweiten Fall. Es gibt eine potentiell gefährliche Kombination von Versagen, die dann auftreten könnte, wenn beim Transistor Q1 ein Kurzschluß vom Kollektor zum Emitter und ein offener Schaltkreis in Z1A und Z1B auftritt. Jedoch ist diese Möglichkeit ziemlich abwegig und es können Maßnahmen getroffen werden, um die Wahrscheinlichkeit des Auftretens möglichst klein zu machen.
Der letzte Zustand könnte durch das Mikroprozessorsystem erkannt werden, wenn der Ausgang abgefühlt und während des Software-Selbsttestes untersucht wird. Obwohl der Mikroprozessor nicht direkt das Problem adressieren könnte, könnte er doch eine Anzeige ausgeben, das eine Schaltung des Ausganges von Hand notwendig ist. Es sollte bemerkt werden, daß die mittlere Zeit bis zu einem Versagen des Ausgangs des Transistorschaltkreises ziemlich lang ist, daß demzufolge die zugehörige Versagenswahrscheinlichkeit recht klein ist.
Der Verriegelungs- und Schlüsselsteuersystemmonitor, der hier beschrieben wurde, ist recht einfach, klein und billig, liefert aber recht gute Fehlererkennung und Zuverlässigkeit. Der Verriegelungsschaltkreis sollte ungefähr 2 bis 3 Quadratzoll Fläche auf einer elektrischen Schaltplatte erfordern. Obwohl eine spezielle Schaltkreis-
I - 18 -
! ausführungsform in Einzelheiten beschrieben wurde, ist '■ doch dem Durchschnittsfachmann klar, daß verschiedene
Modifikationen und Substitutionen für Bauteile durchgeführt I werden können, ohne daß vom Erfindungsgeist abgewichen I wird. Beispiesweise könnte der Zustandssequenzer 20 ein I Festwertspeicher sein, der durch den Teiler 18 derart
indexiert wird, daß er die vorbestimmte Abfolge von Zu-. Standsdatenworten abgibt. Außerdem könnten andere Schalt- ! kreise anstelle von CR6, R11, Z1B, Q4 und R1 verwendet
■ werden.
i Die vorliegende Erfindung dient zur Steuerung oder Kontrolle
des Betriebs eines Vielfachgeneratorleistungssystems, ί wie er in Flugzeuganwendungen gefunden wird. Bei einem : derartigen System kann der Ausgang einer Vielzahl von : Generatoren zuverlässig überwacht und ein Generator,
der versagt hat, sicher aus dem System herausverriegelt : werden, während ein Reservegenerator in das System ein- ; geschaltet wird. In der US-Anmeldung 275 425 vom 18.
I Januar 1981 wird ein Leistungssystem beschrieben, bei ! dem der Monitor der Fig. 1 genutzt werden kann.
■■ Der Betrieb des Schaltkreises gemäß Fig. 1 ist eine Erläuterung eines Verfahrens zur überwachung eines Steuersystems, das folgende Verfahrensschritte aufweist: Durch-' führen einer Serie von Selbsttestroutinen in einem Steuerj system; Erzeugen einer ersten Abfolge von Datenworten, • die die Ergebnisse der Testroutinen repräsentieren; Präsentieren eines jeden Datenwortes der ersten Abfolge
einem Vergleicher für ein erstes vorgewähltes Zeitintervall; Präsentieren einer zweiten Abfolge von vorbestimmten Datenworten dem Vergleicher, wobei jedes Datenwort der zweiten Abfolge dem Vergleicher für ein zweites vorgewähltes Zeitintervall präsentiert wird, wobei sich
■ erstes und zweites Zeitintervall teilweise überlappen; Laden eines ersten Kondensators und Entladen eines zweiten Kondensators, wenn die dem Vergleicher präsentierten
Datenwörter übereinstimmen; Entladen eines ersten Kondensators und Laden eines zweiten Kondensators, wenn die dem Vergleicher präsentierten Datenworte voneinander abweichen; und Erzeugen eines vorbestimmten AusgangsSignaIs, wenn die Spannungsiadung an dem ersten oder zweiten Kondensator unter einen vorgewählten Wert abfällt.
Identifikation von Bezugszeichen, die in den Zeichnungen benutzt werden:
Legende ' Be'zügszahl Figur
Taktgeber 10 1
Teiler 18 1
Zustandss equen ζ er 20 1
Vergleicher 22 1
Auslösung 50 2
Sequenζzustand — NQ
Schlüssel = N_^ Vergleicher = 0 52 2
Sequenzzustand = N0
Schlüssel = NQ Vergleicher = 0 54 2
Sequenz zustand =. N-
Schlüssel = N0 Vergleicher =0 56 Sequenzzustand = N-
Schlüssel = N3 Vergleicher =0 58 Sequenzzustand = N* 5
Schlüssel = N^ 4 Vergleicher =0 60 Sequenzzustand N^. c
Schlüssel = N15 Vergleicher =1 62
Leerseite

Claims (4)

9 S » • « ο DR.-IνG. E R N ST STkÄTMAKfM *" PATENTANWALT D-4000 DÜSSELDORF 1 · SCHADOWPLATZ 9 VNR: 109126 Düsseldorf, 20. Mai 1983 ! 5Of162 8322 j Westinghouse Electric Corporation : Pittsburgh/ Pa./ 15222, U S A ' " Γ P a t e h t a η s ρ r ü ehe";
1. Steuersysteinmonitor, mit einer ersten Schaltung (16) zum Erzeugen einer ersten Abfolge von den Betriebszustand anzeigenden Daten, mit einer zweiten Schaltung (20) zum Erzeugen einer zweiten Folge von Daten; mit einem Vergleicher (22) für das aufeinanderfolgende Vergleichen der Ausgänge von erster und zweiter Schaltung (16, 20), dadurch gekennzeichnet, daß die erste und die zweite Schaltung (16, 20) Schaltkreise enthalten, so daß sich aufeinanderfolgende Zeitintervalle für eine gegebene Zeitdauer überlappen, und daß eine Ausgangsschaltung (ZlA, 40, 36, 38, 42) vorgesehen ist, um einen Ausgang zu erzeugen, wenn der Ausgang des Vergleichers (22) nicht in einer vorbestimmten Weise oszilliert.
2. Steuersystemmonitor nach Anspruch 1, dadurch gekennzeichnet, daß die Ausgangsschaltung gekennzeichnet ist durch zwei Kondensatoren (C1, C2), von denen der eine geladen wird, während sich der Vergleicherausgang auf einem ersten Ausgangspegel befindet, und entladen wird, wenn sich dieser auf einem
postschecki BgRLiN west (BLZ 100 100 10) 132736- 109 · deutsche bank (BLZ 300700 10) 6 160253
zweiten, anderem Ausgangspegel befindet, während der andere Kondensator entladen wird, während sich der Vergleicherausgang auf dem ersten Pegel befindet, und geladen, während sich dieser auf dem zweiten Pegel befindet, und daß die Lade- und Entladeraten der Kondensatoren derart gewählt sind, daß die Spannung an jedem Kondensator oberhalb eines vorbestimmten Pegels verbleibt, wenn der Vergleicherausgang zwischen dem ersten und dem zweiten Ausgangspegel in der vorbeschriebenen Weise oszilliert.
3. Steuersystemmonitor nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die erste Schaltung (16) einen Mikroprozessor umfaßt, der mit dem zu überwachenden System verbunden (24, 26) ist und so ausgeführt ist, daß er Überprüfungen an dem System vornimmt, wobei die Resultate dieser Überprüfungen zu der ersten Folge von Daten kodiert wird.
4. Steuersystemmonitor nach Anspruch 2 oder 3, sofern Anspruch 3 von Anspruch 2 abhängig ist, dadurch gekennzeichnet, daß die Lade- und Entladeraten der Kondensatoren (C1, C2) durch eine Schaltung gesteuert werden, die einen ersten Schaltkreiszweig umfaßt, der zwischen einer Spannungsquelle (V1) und Masse liegt, wobei dieser erste Schaltkreiszweig die Serienverbindung von einem ersten (R2) und einem zweiten (R3) Widerstand und einem ersten (Cl) der beiden Kondensatoren (C1, C2) umfaßt, wobei der Kondensator (C1) an Masse liegt, wobei ein erster Transistorschalter zwischen der Verbindung von ersten und zweiten Widerstand (R2, R3) und Masse liegt während die Basis des Transistorschalters (ZlA) an den Ausgang des Vergleichers (22) anliegt, und wobei ein zweiter Schaltkreiszweig zwischen der Spannungsquelle (V1) und Masse angeschlossen ist, wobei der zweite Schaltkreiszweig die Serien-
β 0 « *
Verbindung eines zweiten Transistorschalters (Q1), eines dritten Widerstandes (R5) und eines zweiten (C2) der beiden Kondensatoren (C1, C2) umfaßt, wobei zwei entgegengesetzt angeschlossene, Strom nur in eine Richtung leitende Einrichtungen (fcR3, CR4) zwischen den zwei Kapazitäten (C1, C2) angeschlossen sind, und daß ein vierter Widerstand (R4) vorgesehen ist, der parallel zu dem zweiten Kondensator (C2) liegt, und daß der zweite Transistorschalter (Q1) abgeschaltet ist, wenn der erste Transistorschalter (Z1A) eingeschaltet ist, und wobei der zweite Transistorschalter (Q1) eingeschaltet ist, wenn der erste Transistorschalter (Z1A) ausgeschaltet ist.
I ES/wt 4 !
DE19833318662 1982-05-26 1983-05-21 Elektrischer steuersystemmonitor Withdrawn DE3318662A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US06/382,436 US4477870A (en) 1982-05-26 1982-05-26 Digital control system monitor having a predetermined output under fault conditions

Publications (1)

Publication Number Publication Date
DE3318662A1 true DE3318662A1 (de) 1983-12-01

Family

ID=23508935

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19833318662 Withdrawn DE3318662A1 (de) 1982-05-26 1983-05-21 Elektrischer steuersystemmonitor

Country Status (5)

Country Link
US (1) US4477870A (de)
JP (1) JPS58211201A (de)
DE (1) DE3318662A1 (de)
FR (1) FR2527815A1 (de)
GB (1) GB2122789B (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4598355A (en) * 1983-10-27 1986-07-01 Sundstrand Corporation Fault tolerant controller
US4586179A (en) * 1983-12-09 1986-04-29 Zenith Electronics Corporation Microprocessor reset with power level detection and watchdog timer
JPS61150847A (ja) * 1984-12-25 1986-07-09 Honda Motor Co Ltd 車両用灯具の制御装置
US4956842A (en) * 1988-11-16 1990-09-11 Sundstrand Corporation Diagnostic system for a watchdog timer
US5206861A (en) * 1990-08-28 1993-04-27 International Business Machines Corporation System timing analysis by self-timing logic and clock paths
US5892901A (en) * 1997-06-10 1999-04-06 The United States Of America As Represented By The Secretary Of The Navy Secure identification system
US6484974B1 (en) 2001-09-10 2002-11-26 Union Switch & Signal, Inc. Controller for switch machine

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3521172A (en) * 1965-11-26 1970-07-21 Martin Marietta Corp Binary phase comparator
US4107253A (en) * 1976-12-01 1978-08-15 U.S. Philips Corporation Safety and test device in a railway signalling system
US4122995A (en) * 1977-08-02 1978-10-31 Burroughs Corporation Asynchronous digital circuit testing system
US4255809A (en) * 1979-11-02 1981-03-10 Hillman Dale A Dual redundant error detection system for counters
US4409635A (en) * 1981-06-18 1983-10-11 Westinghouse Electric Corp. Electrical power system with fault tolerant control unit
JPS5816304A (ja) * 1981-07-01 1983-01-31 Amada Co Ltd 工作機械の制御装置

Also Published As

Publication number Publication date
GB8314169D0 (en) 1983-06-29
JPS58211201A (ja) 1983-12-08
JPH0354361B2 (de) 1991-08-20
FR2527815A1 (fr) 1983-12-02
GB2122789B (en) 1986-07-23
GB2122789A (en) 1984-01-18
US4477870A (en) 1984-10-16

Similar Documents

Publication Publication Date Title
DE3234637C2 (de)
EP0477309B1 (de) Vorrichtung zur funktionsüberwachung eines elektrischen verbrauchers, seiner ansteuerung und der dazugehörigen verbindungen
EP1662353B1 (de) Verfahren und Vorrichtung zur Fahrtrichtungserkennung
DE69223381T2 (de) Kontaktlose ic-karte
DE3222692A1 (de) Elektrisches stromversorgungssystem
DE69016169T2 (de) Leitungschnittstelle für ein Nachrichtenübertragungsnetz.
DE2258917A1 (de) Kontrollvorrichtung
DE2930227A1 (de) Zeitgeberschaltung fuer einen verkaufsautomaten
EP1315264B1 (de) Verfahren zur Erdschlussüberwachung eines Stromrichterantriebs
EP1182762B1 (de) Elektrisches Arbeitsgerät sowie Verfahren zu dessen Betreiben
DE4446314A1 (de) Verfahren und Schaltungsanordnung zur Überwachung der Funktion einer programmgesteuerten Schaltung
DE3318662A1 (de) Elektrischer steuersystemmonitor
DE10127054B4 (de) Verfahren zur Überwachung einer Spannungsversorgung eines Steuergeräts in einem Kraftfahrzeug
DE2917126A1 (de) Verfahren zum pruefen einer integrierten schaltung
DE3519252A1 (de) Fehlersichere logikschaltung
EP0037965B1 (de) Einrichtung zum Prüfen einer digitalen Schaltung mittels in diese Schaltung eingebauter Prüfschaltungen
DE10323908A1 (de) Verfahren und Anordnung zur Überwachung einer Leistungsendstufe
EP0108284B1 (de) Taktstromversorgung für ein Multimikrocomputersystem in Eisenbahnsicherungsanlagen
DE3909201C2 (de) Überwachungseinrichtung für ein programmgesteuertes Bauelement
DE4023700A1 (de) Schaltungsanordnung zur ueberwachung der freqenz einer einer signalfolge einer elektronischen vorrichtungung, insbesondere eines mikrorechners
DE3739227C2 (de)
DE3516900C2 (de)
DE102004042072B4 (de) Verfahren zum Testen einer zu testenden Schaltungseinheit und Testvorrichtung zur Durchführung des Verfahrens
DE3510524A1 (de) Vorrichtung zur eigenueberwachung einer schaltungsanordnung mit einem mikrocomputer
DE69525429T2 (de) Testen von Daten

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee