專利名稱:檢驗帶有部件的控制系統(tǒng)的功能的制作方法
技術領域:
本發(fā)明涉及一種用于對帶有部件�����、尤其是帶有冗余控制設備的控制系統(tǒng)的功能進行檢驗的方法以及相應的控制系統(tǒng)�����。
背景技術:
由于在復雜系統(tǒng)的部件中的故障并不可以完全避免��,所以容錯地設計安全關鍵的系統(tǒng)。系統(tǒng)的如下能力稱作容錯��,即在部件故障或失效的情況下以限定方式運行�����,例如進一步提供正確的或至少不錯誤的輸出量���。在安全關鍵的應用中�,使用了如下結構�,其中部件冗余地設計。所謂的1οο2結構(二選一)基于如下假設兩個冗余的部件相同地運行并且在相同輸入量的情況下提供相同的輸出量�����,只要沒有部件有故障�����。比較器因此在這樣的結構中連續(xù)地比較冗余的部件的輸出量并且在有差異時停止輸出��。通過所謂的集成的非持續(xù)的行為盡管可能引起系統(tǒng)停止��,但可靠地防止了錯誤輸出量的進一步處理�。對相應有故障的部件的直接識別通常是不可能的。所謂的loo2D結構附加地包含故障檢測和通過冗余的部件提供狀態(tài)報告����,其能夠在輸出量有差異時實現(xiàn)識別有故障的部件并且有針對性地關斷有故障的部件。由此���,系統(tǒng)的(應急)運行可以借助完好的部件至少維持一定時間(集成的持續(xù)行為)�。同樣已知了如下結構�����,其基于狀態(tài)報告而設置這種關斷��,但并不一定對輸出量進行連續(xù)比較��。此外已知的是���,冗余的部件的一個或多個保持不活動�,并且在活動的部件中出現(xiàn)故障時才激活完好的不活動的部件����,其于是使運行相應持續(xù)。在這種系統(tǒng)中����,所謂的表決器基于狀態(tài)報告的分析來提供分析信號或切換信號�����,其實現(xiàn)了相應的系統(tǒng)從有故障的部件切換到完好的部件�����,即必要時激活完好的部件���,將輸入量轉發(fā)給部件并且部件的輸出量在系統(tǒng)輸出端提供。相應的表決器分別檢驗出現(xiàn)的狀態(tài)報告的可信性并且例如通過真值表進行選擇����。狀態(tài)報告包括例如多個配屬于相應部件的激活建議。相應的表決器決定可以通過使用者干預而否決���。根據(jù)通用安全標準(例如IEC 61508)����,安全關鍵的系統(tǒng)的部件在故障情況下可以轉移到安全狀態(tài)�����。部件到達安全狀態(tài)的路徑通常必須也針對“睡眠”故障進行檢驗。借助例如在運行循環(huán)開始時進行的檢查�����,保證了在故障情況下這些路徑可供使用���。在前面所闡述的冗余系統(tǒng)中例如在具有兩個冗余控制設備的系統(tǒng)中,安全狀態(tài)例如在通過表決器切換到完好的控制設備之后達到���,因為在此情況下通過完好的控制設備保證了繼續(xù)運行�����。所有導致相應的切換的路徑因此如所提及的那樣通常在運行循環(huán)期間例如在初始化系統(tǒng)時被檢驗一次���。然而所有路徑的完全測試是耗時的并且在編程技術上是高要求的,因此在這樣的測試之前必須使兩個部件彼此同步�����。此外��,在多個路徑的情況下在兩個控制設備之間多次來回切換��,由此引起了相應零件的過量的負荷,其就其而言提高了易出故障性��。因此存在對改進用于對相應控制系統(tǒng)的功能進行檢驗的方案需求�,其可以簡單且可靠地實施并且并不具有所述的缺點。
發(fā)明內(nèi)容
基于此背景����,本發(fā)明提出了一種具有獨立權利要求所述的特征的用于對帶有部件、尤其帶有冗余的控制設備的控制系統(tǒng)的功能進行檢驗的方法��,以及提出了一種具有獨立權利要求所述的特征的控制系統(tǒng)�����。優(yōu)選的擴展方案是相應從屬權利要求以及以下描述的主題�。根據(jù)本發(fā)明的解決方案提出,不對所有功能或遍經(jīng)整個信號路徑或所有冗余的部件(例如兩個控制設備)的路徑進行相應檢驗�����,而是僅對功能(即至少一個而非所有)的一部分進行系統(tǒng)范圍的檢驗����。在此,本發(fā)明利用的是�,在冗余控制系統(tǒng)中要檢驗的功能可以分別劃分成部件方面的部分和非部件方面的部分����。功能的非部件方面的部分通過共同的信號路徑來限定���。功能的部件方面的部分在功能上獨立地進行檢驗,而剩余的即非部件方面的部分對于多個功能共同地進行檢驗����。典型地,在冗余的部件中基于輸入量分別提供輸出量以及通過部件提供了狀態(tài)報告��。在有合適的控制信號可用時�����,相應系統(tǒng)的功能的相應部件方面的部分完全在相應的部件內(nèi)運行并且因此可以完全在部件方面進行檢驗�。根據(jù)本發(fā)明,相應部件的狀態(tài)報告作為控制信號而被回讀�����。在第一步驟中����,功能因此在部件方面被檢驗���。部件方面的檢驗通過提供測試信號作為輸入信號并且回讀在至少一個部件中的相應的狀態(tài)報告來實現(xiàn)。有利地��,對所有部件的所有功能進行檢驗����。在接下來的步驟中,對在系統(tǒng)層上之前在部件方面已檢驗的的功能的所選部分進行完全檢驗�。所述檢驗包括對通過分析單元(例如表決器)對狀態(tài)報告的分析進行檢驗,和/或對通過分析單元提供相應(正確的)分析信號進行檢驗��。為此又提供測試信號作為輸入量����,然而回讀分析信號用于檢驗�。分析信號可以直接回讀或可以確定通過分析信號引起的開關單元的切換。傳統(tǒng)上���,如所提及的那樣�����,在系統(tǒng)起動時對相應冗余系統(tǒng)的所有功能在系統(tǒng)范圍進行檢驗,即包括檢驗在通常借助繼電器開關進行的在冗余的部件之間的切換過程���。而根據(jù)本發(fā)明所提出的措施的特別優(yōu)點在于����,在部件方面對功能的檢驗可以更為快速地并且由此在相應系統(tǒng)的初始化階段內(nèi)運行���,因為針對大部分檢驗技針對部件方面的部分可以避免繼電器開關的(緩慢)切換�����。有利地,為此�,在初始化階段期間防止相應繼電器開關的切換,在初始化階段中例如否決表決器決定�����。繼電器開關通常僅設計用于有限數(shù)目的切換循環(huán)并且隨著每個切換過程特別是在高負荷的情況下即在要切換大的電流的情況下而老化���,所以通過根據(jù)本發(fā)明的措施可以實現(xiàn)顯著延長使用壽命�。本發(fā)明附加地能夠實現(xiàn)在相應的測試中簡化的協(xié)調��。僅僅針對檢驗的一部分即系統(tǒng)范圍的測試而必須保證在部件之間的對于例如同步所需的無摩擦的相互作用。在控制設備內(nèi)的測試于是可以在沒有協(xié)調困難的情況下在初始化期間進行���。例如�,對相應系統(tǒng)的過壓監(jiān)控和欠壓監(jiān)控的檢驗通過在提供相應的輸入量的情況下模擬電壓故障和檢驗在輸出級中的作用來進行��。如果其被關斷�,則測試成功并且至輸出級的路徑在睡眠故障方面得到保護。在初始化期間�����,通常避免在部件之間的切換���,使得所述測試也不會導致切換���。例如在自測試期間,例如航空電子應用中在對飛行員規(guī)定的并且在手冊中描述的測試協(xié)議期間進行系統(tǒng)范圍內(nèi)的具有在部件之間切換的檢驗����。為此,兩個控制設備必須在后續(xù)測試方面進行協(xié)調或同步�。如果進行協(xié)調,則例如激活監(jiān)控模塊的切換路徑并且由兩個控制設備檢驗切換(及通過分析信號引起的開關狀態(tài))是否在一定時間內(nèi)進行��。接著,例如在部件之一中的故障復位之后以相同方式檢驗相反的切換��。如果兩個檢驗成功����,則證明功能的非部件方面的部分除了決定模塊例如表決器之外并且由此整個信號路徑?jīng)]有睡眠故障。本發(fā)明的其他優(yōu)點和擴展方案從說明書和所附的附圖中得到����。應理解的是,前面所描述的和以下還要闡述的特征不僅以相應所描述的組合方式而且以其他組合方式或單獨地可以應用��,而不離開本發(fā)明的范圍�。借助附圖中的實施例示意性地示出了本發(fā)明并且以下參照附圖詳細地描述了本發(fā)明。
圖1以流程圖形式示出了根據(jù)本發(fā)明的一個特別優(yōu)選的實施形式的流程��。圖2以示意圖示出了根據(jù)本發(fā)明的一個特別優(yōu)選的實施形式的部件方面的功能檢驗�。圖3以示意圖示出了根據(jù)本發(fā)明的一個特別優(yōu)選的實施形式的系統(tǒng)范圍內(nèi)的功能檢驗���。
具體實施例方式在附圖中相同或作用相同的元件設置有相同的附圖標記�。出于清楚原因省去了重復闡述�����。圖1以示意性流程圖示出了根據(jù)本發(fā)明的一個特別優(yōu)選的實施形式的方法10的
流程。
該方法10以第一步驟1開始�����,其中相應的系統(tǒng)獲得檢驗要求1’��,其觸發(fā)相應的檢驗��。步驟1也可以是系統(tǒng)初始化步驟�����,其在不需要檢驗要求1’的情況下自己觸發(fā)檢驗���。在步驟2中��,在部件方面即例如在系統(tǒng)的控制設備或子控制設備中檢驗系統(tǒng)的功能����。為此���,測試信號作為輸入信號被提供�����,其分別回讀部件的相應狀態(tài)報告�。如果在該步驟中檢測到故障,則輸出相應的故障報告2’�。如果步驟2成功結束部件方面的檢驗,則在步驟3中對至少一個功能進行系統(tǒng)范圍內(nèi)的檢驗��,優(yōu)選對在步驟2中檢驗的功能之一或各一個在系統(tǒng)范圍內(nèi)進行檢驗�。提供測試信號作為輸入量并且回讀在各個進行檢驗的部件中的相應的分析信號。如果在該步驟中檢測到故障�����,則相應地輸出故障報告3’�。如果步驟3成功結束部件方面的檢驗,則整個檢驗流程成功運行并且該系統(tǒng)在步驟4中處于準備好使用的狀態(tài)中�����。這可以通過輸出通知4’來顯示�����。圖2示意性地示出了在部件100內(nèi)根據(jù)本發(fā)明的一個特別優(yōu)選的實施形式的部件
5方面的功能檢驗����。作為檢驗結果,輸出兩個狀態(tài)報告131���、141���,只要不存在故障,它們就是相同的�。這兩個狀態(tài)報告通常對應于兩個激活建議,每個控制設備對應一個�。這樣,例如狀態(tài)報告131顯示第一控制設備可激活���,而狀態(tài)報告141顯示第二控制設備可激活����。部件100��,例如冗余的控制設備系統(tǒng)的控制設備或子控制設備��,尤其具有狀態(tài)信號模塊110����,其構造用于提供狀態(tài)信號111、112�����。狀態(tài)信號111、112與監(jiān)控報告1沈����、127—起被輸送給兩個分別冗余地構造為邏輯單元(“UND”)的狀態(tài)信號處理單元130、140���。狀態(tài)信號處理單元130�����、140分別輸出一個狀態(tài)報告131�、141�����,其在兩個輸入端上存在信號(“1”)時顯示無故障的運行�����。狀態(tài)信號111�����、112是激活建議���,其由控制設備內(nèi)的第一層產(chǎn)生����。在此通常涉及軟件層或功能層�����,其中第一控制設備和第二控制設備的功能性以傳統(tǒng)方式來檢驗��。對于這種針對功能水平的層-1-檢驗�����,典型地硬件組件本身的無故障性可以并不檢驗����,使得第二層設置為監(jiān)控水平。只要在部件方面的檢驗中確定沒有故障�,則由在控制設備內(nèi)的第二層來產(chǎn)生和輸出狀態(tài)報告131、141�����。為此,狀態(tài)報告131�����、141由監(jiān)控模塊120的監(jiān)控信號121���、122��、...借助邏輯單元125來形成��,該邏輯單元在輸入端上都沒有信號(“1”)時�����,即在顯示沒有故障時����,才輸出信號(“1”)����。層-2-檢驗典型地適于也檢驗硬件組件的無故障性。通過層-1-信號(111,112)與層-2-信號(126,127)的運算(130��,140),因此可以在識別出層-2-故障的情況下進行層-1-信號的“否決”�。狀態(tài)報告141經(jīng)由通道141’在檢驗的范圍中通過監(jiān)控模塊120來回讀,以便能夠檢查是否所希望的否決已發(fā)生���。通過提供相應的系統(tǒng)輸入(其例如也包含故障模擬)由此可以檢驗狀態(tài)報告141的正確觸發(fā),這能夠實現(xiàn)部件方面的檢驗���。盡管未示出���,但也可以設置狀態(tài)報告131的回讀。圖3示意性地示出了根據(jù)本發(fā)明的一個特別優(yōu)選的實施形式的借助兩個部件100和一個分析單元200的系統(tǒng)范圍內(nèi)的功能檢查�。在所示的例子中,涉及根據(jù)圖2的兩個部件 100��。兩個部件100構造用于提供狀態(tài)報告131���、141 (激活建議)���,其可以如在圖2的范圍中所闡述的那樣產(chǎn)生。狀態(tài)報告131�����、141被輸送給分析單元200?���;跔顟B(tài)報告131、141的激活建議��,通過分析單元200實現(xiàn)開關250的切換�,例如繼電器開關的切換�,通過由分析單元200提供的分析信號201來引起。開關250的切換實現(xiàn)了信號接收器300例如相應執(zhí)行器與兩個冗余的部件100例如控制設備之一的輸出端101’選擇性連接����,并且由此提供相應的輸出量101�。由此��,在兩個冗余的部件100之一的故障情況下可以將剩余完好的部件選擇性地與信號接收器300連接。此外設置有開關沈0�、270����,其在系統(tǒng)范圍內(nèi)的檢驗的情況下如同開關250那樣可以切換��,使得通過分析信號201引起的切換相應的開關250可以通過開關沈0、270顯示�����。測試開關沈0���、270的開關狀態(tài)可以在檢驗的范圍中通過通道沈0’���、270’來回讀。
權利要求
1.一種用于檢驗控制系統(tǒng)的要檢驗的功能的方法����,其中控制系統(tǒng)具有要檢查的尤其是冗余的部件(100)和分析單元000)��,該分析單元基于所述部件(100)的狀態(tài)報告(131,141)來分析所述部件(100)的功能性��,其中該方法包括a)在部件方面(2)檢驗要檢查的部件(100)的要檢驗的功能,以及b)在系統(tǒng)范圍內(nèi)(3)檢驗至少一個����、而非所有所述在部件方面O)的已檢驗的功能�。
2.根據(jù)權利要求1所述的方法�,其中所述在系統(tǒng)范圍內(nèi)( 的檢驗包括檢驗相應在控制設備方面O)已檢驗的功能中的恰好一個功能。
3.根據(jù)權利要求1或2所述的方法�����,其中所述在部件方面O)的檢驗在控制系統(tǒng)的初始化的范圍中進行。
4.根據(jù)上述權利要求之一所述的方法�����,其中所述在部件方面O)的檢驗包含取消通過分析單元O00)引起的在部件(100)之間的切換�����。
5.根據(jù)上述權利要求之一所述的方法�,其中所述在部件方面O)的檢驗包括在部件(100)內(nèi)的狀態(tài)報告(141’ )的回讀�����。
6.根據(jù)上述權利要求之一所述的方法��,其中所述在部件方面O)的檢驗包含故障狀態(tài)的模擬���。
7.根據(jù)上述權利要求之一所述的方法����,其中所述在系統(tǒng)范圍內(nèi)(3)的檢驗包含部件(100)的同步����。
8.根據(jù)上述權利要求之一所述的方法�����,其中所述在系統(tǒng)范圍內(nèi)( 的檢驗在檢驗協(xié)議范圍中進行����。
9.一種控制系統(tǒng)���,其構造為用于執(zhí)行根據(jù)上述權利要求之一所述的方法�����。
10.根據(jù)權利要求9所述的控制系統(tǒng)��,其具有冗余構造的控制設備��,用于控制作為部件(100)的執(zhí)行器(300)�。
全文摘要
檢驗帶有部件的控制系統(tǒng)的功能�。本發(fā)明涉及一種用于檢驗控制系統(tǒng)的要檢驗的功能的方法,其中控制系統(tǒng)具有要檢查的尤其是冗余的部件(100)和分析單元(200)�,該分析單元基于所述部件(100)的狀態(tài)報告(131,141)來分析所述部件(100)的功能性����,其中該方法包括在部件方面檢驗要檢查的部件(100)的要檢驗的功能��,以及所述在系統(tǒng)范圍內(nèi)(3)的檢驗包括至少一個���、而非所有所述在部件方面的已檢驗的功能。
文檔編號G05B23/02GK102591322SQ20111046306
公開日2012年7月18日 申請日期2011年9月26日 優(yōu)先權日2010年9月27日
發(fā)明者A·海爾, W·菲伊希特 申請人:羅伯特·博世有限公司