专利名称:冗余电源的制作方法
冗余电源本发明涉及一种冗余电源,具体涉及真正安全电路中的冗余,还涉及用于为了真 正安全电路中的功能冗余将多个真正安全输出多路复用的方法和装置。工业危险环境可包括存在潜在的爆炸性气体或细粉末的混合物的场所。真正安全是用来防止电气设备在危险环境中引起爆炸的概念。真正安全(IS)系 统包括位于该危险环境中的IS设备(称为现场电路或现场设备)、位于电源与IS设备之间 的不危险区域(或安全区域)中的功率限制装置(IS阻隔或电隔离器)以及关联的布线。 在真正安全系统中,所有设备按照这样的方式设计和安装即使在故障状况下,这些设备也 不会提供足以弓I发潜在的爆炸性气体混合物爆炸的能量或功率。可靠性是IS系统的特别重要的因素,其中对现场设备的易于操作性通常是非常 受限的,而且关键部件的故障可能不仅成本高而且潜在的高度危险。系统中的部件或电路 的冗余或重复是提高系统可靠性的一种方法,而且通常冗余地提供对安全很关键的电路, 以使如果主电路出故障,则还存在能被激活的等效备用电路。对于实时分布式控制系统尤其是具有危险区域的制造厂越来越常用的IS系统是 基于真正安全现场总线系统的IEC标准(IEC 60079-27)的,该标准已被称为现场总线真正 安全概念(FISCO)。在FISCO系统中,每个分段仅允许一个活动源(功率调节器或电源单元)。所有其 它部件必须作为无源电流宿(设备)。在需要防止分段上的所有设备在维护的情况下都失 效的系统中,可安装一个或多个冗余电源单元(PSU),以及用于在一个电源单元出故障或需 要更换时在电源之间切换的装置。在欧洲,危险环境和防爆区域被分类为所谓的区(Zone)。在0区、1区和2区之间 进行区分,0区是最敏感的区,其中可燃气氛很可能长期或持续存在。在1区中,可燃气氛可 能存在但不太可能长期存在,而在2区中,除了很短时间之外,可燃气氛不可能存在,存在 的时间典型地是由处理故障状况引起。还存在公认的电气装置的三类真正安全,其对应于这些危险环境区真正安全 “ia”,或简称为“Ex ia”,是适用于0、1和2区的设备;“Exib”设备仅适用于1和2区;以 及“Ex ic”设备仅适用于2区危险区域。US2004/025M^描述了使用限流电阻器的用于防爆区域中的电气负载的IS、冗 余电流-电压源的设备。US2004/0145843描述了一种有源保护电路,其利用N沟道FET来隔离两个或多个 电源与共同负载的连接并对这些连接定序,并对电源进行电压感测和反向偏压感测来操作 控制器。与已知的IS冗余系统和方法相关联的问题包括它们不能保证在电源转换期间仅 一个输入电源连接至负载,等等。需要的是一种在转换期间保证所有输入电源从负载完全 断开的系统,以确保不安全状况即多于一个的输入电源同时连接至输出负载的状况不会发生。因此,本发明的目的是提供一种符合所谓的冗余FISCO PSU方案的要求的方法和
5系统,该FISCO PSU方案要求两个FISCO PSU以待机冗余配置工作,同时它们的负载安装于 1区或2区危险区域,且该方案确保在任何时间点输入电源中最多一个电源连接至输出负载。本发明尤其适合于在FISCO系统中实现,并为此类系统提供冗余PSU,但并不限于 此。本发明寻求提供一种为了 IS电路的功能冗余而将IS输出多路复用的方法,以及 用于实现用于IS输出的多路复用器的多级切换装置。根据本发明的第一方面,提供了一种为了功能冗余而将多个真正安全输入多路复 用的方法,该方法使用连接至真正安全输出的多个开关模块;以及从多个真正安全的输 入源到多个相应的开关模块的多个基本相同的输入;其中,使用多个开关模块中的每个开 关模块之间的多个联锁信号来允许在任何时间点开关模块中最多一个开关模块活动,从而 允许来自多个输入源的多个输入中最多一个输入连接至真正安全的输出;以及还包括提供 有保证的最小周期的步骤,其中在切换至替换开关模块期间无输入连接至真正安全输出。优选使用两个开关模块,以使在使用时一个开关模块活动,同时另一个开关模块 冗余。其中在切换至替换开关模块期间无输入连接至真正安全的输出的有保证的最小 周期优选为至少10 μ s (或者确保或证明安全性所需的任何最小周期),且具有500 μ S的最 大周期(或确保对任一所连接现场设备无不利功能影响所需的任何最大周期)。优选地,如果活动开关模块的输入或活动开关模块本身出故障,则输出自动切换 至替代的开关模块。多个开关模块中的每个开关模块和多个真正安全的输入源中的每个输入源优选 是可移除的,同时至少一个输入连接至真正安全的输出。这意味着,可维护或更换部件,同 时仍对连接至输出的一个或多个IS设备供电。优选为每个开关模块设置机械式联锁,该机械式联锁被安排成防止在关联输入存 在的同时移除开关模块。这有利地防止了输入的任何瞬态组合,且简化了开关模块的故障 分析和电子设计。多个输入中的每个输入优选地包括来自真正安全电源的经调节电流和/或电压, 具体而言是FISCO PSU0通过确保输入来自真正安全的源,输出适用于驱动“Ex ib”现场电路。优选地,控制危险逻辑功能和不危险逻辑功能的逻辑电路是物理隔离的。在特别 有利的布置中,危险逻辑功能利用分立的逻辑实现,而不危险的逻辑功能在单芯片微处理 器上实现。根据本发明的另一方面,提供了一种用于将多个真正安全输入多路复用的切换电 路,该电路包括连接至真正安全输出的多个开关模块,每个开关模块被安排成接收多个基 本相同输入中的一个输入;每个开关模块包括被安排成允许在任何时间点多个输入中最多 一个输入连接至真正安全输出的锁定装置;其中该锁定装置进一步被安排成提供有保证的 最小周期,在该最小周期中在切换至替代开关模块期间无输入连接至真正安全输出。该锁定装置优选包括多个开关模块中的每个开关模块之间的多个锁定信号。优选地,输出在最少一个可数故障施加至切换电路的情况下保持真正安全。
根据本发明的另一方面,提供了一种为了功能冗余而将多个真正安全输入多路复 用的系统,该系统包括多个输入源;切换电路,包括连接至真正安全输出的多个开关模 块,每个开关模块被安排成从多个输入源接收多个基本相同输入中的一个输入;每个开关 模块包括被安排成允许在任何时间点多个输入中最多一个输入连接至真正安全输出的锁 定装置;其中该锁定装置进一步被安排成提供有保证的最小周期,在该最小周期中在切换 至替代开关模块期间无输入连接至真正安全输出。以下参照仅作为示例的附图进一步描述本发明,在附图中
图1是根据本发明的一个实施例的双冗余FISCO PSU方案的简化示意性框图;图2是根据本发明的一个实施例的双冗余FISCO PSU方案的一般化逻辑框图;图3是根据本发明的一个实施例的双冗余FISCO PSU方案的更详细逻辑图;图4是根据本发明的一个实施例的双冗余FISCO PSU方案的简单逻辑模拟的示意 图;以及图5是从在图4的逻辑模拟上运行模拟而获得的一系列曲线图。参照图1,示出了一种方案,通过该方案两个FISCO PSU装置能以适用于驱动“Ex ib”现场电路的双冗余配置连接至同一电气系统。该系统10分成两个物理区域安全区域 12和1区危险区域14。在安全区域12内,第一FISCO PSU(PSU_A) 16和第二FISCO PSU(PSU_ B) 22分别连接至第一开关仲裁模块(SAM)观和第二 SAM 30。PSU_A 16由第一本地电源18 驱动,并耦合至第一通信端口 20。同样,PSU_B 22由第二本地电源M驱动,并耦合至第二 通信端口 26。SAM 28,30通过底板联锁信号32连接到一起,以形成IS切换电路33。来自 SAM 28、30的输出共同连接至危险区域14中的“Ex ib”负载34。IS切换电路33被设计成通过切换以选择功能PSU 16、22来对PSU故障作出响应。 系统10被设计成允许在系统10继续工作的同时维修、更换或移除出故障的PSU或SAM。包 括联锁以确保在任何时刻仅一个PSU连接至危险区域负载34。为了保持足够的保护以避免PSU在现场维护期间的瞬时组合,每个SAM包括机械 式联锁,该机械式联锁防止在关联PSU存在时移除或插入SAM。这确保在SAM通电时永远不 会被移除或更换。因此,当“热交换”SAM时,确保该SAM未通电。来自另一 SAM的接口信号 将仍然保持活动。每个SAM内的逻辑的实现分成两个不同部分,“功能逻辑”和“危险逻辑”。为安全起 见,危险逻辑部分利用分立逻辑部件实现,然而功能逻辑部分能利用单芯片微处理器(MPU) 最高效地实现。图2示出根据本发明的IS切换电路33的一般化实现,其中相同元件用相同附图 标记来标识。第一 SAM 28包括经由信号al控制开关SAl的逻辑块36,以及经由信号a2控 制开关SA2的逻辑块38。第二 SAM 30包括经由信号bl控制开关SBl的逻辑块40,以及经 由信号1^2控制开关SB2的逻辑块。两个SAM 28,30通过包括联锁信号32的接口来互连。SAM的保护功能是a)防止两个FISCO PSU 16,22向现场电路;34上的危险组合;以及b)在转换期间提供具有有保证的最小“不工作周期”的“先断后通”动作,在该最 小“不工作周期”期间,PSU_A 16或PSU_B 22都不连接至负载。因为期望现场电路被批准为“Ex ib”,所以在最多一个可数故障施加至两个互连
7SAM 28,30的组合及其联锁信号连接32上情况下必须保持如此的保护水平,其中该一个可 数故障可以是开路、短路或出故障成为另一电阻值。考虑到此因素,限定以下设计规则,旨 在使未预见的逻辑错误或逻辑状态的风险最小a)该逻辑将被设计为状态机;b)所有状态都将被宣告;c)所有四个逻辑块36、38、40和42同时开启的状态将是“不允许”状态,经由在正 常操作或所施加的单个可数故障下出现的任何状态转换永远不会进入该“不允许”状态。一 旦这样的状态发生,状态机就被安排成立即且无条件地试图转换至四个逻辑块36、38、40、 42中的至少两个逻辑块切换为“关闭”的较安全状态。d)任何三个逻辑块36、38、40、42同时“开启”的状态将是“不允许”状态,经由正 常操作中可能出现的任何状态转换永远不会进入该“不允许”状态。一旦这样的状态发生, 状态机就被安排成立即且无条件地试图转换至四个逻辑块36、38、40、42中的至少两个逻 辑块切换为“关闭”的较安全状态。e)每个开关逻辑块36、38、40、42被安排成由逻辑源欠压检测器和过压箝位器保 护;以及f)每个SAM 28,30中的每个半导体功率开关SA1、SA2、SBU SB2被安排成在无功 率施加至逻辑的情况下缺省至“常关闭”。考虑了如图2所示的一般化SAM实现方式的两种可能的状态机实现方式。第一实 现方式仅使用中继干线A1、B1以及输出干线C的感测电压。第二实现方式使用信号al、a2、 bl、b2( “al和b2”选通)来更好地控制不希望有的瞬时状态,并确保这些状态被强制为空 闲状态。虽然这种额外控制不被认为是足够的“Ex ib”解决方案所必需的,但它优选用于 增强保护。然而,如果由于无限制的开路接口故障使SAM可热交换,则不能使用“al和1^2” 选通。利用这些设计规则,当在该接口 ( "al和b2”选通)上转移信号al、a2、bl、b2时, 可导出以下对称保护逻辑方程以用于图2的电路中的实现方式¢/1+ = 51 · b2{A\ + C)α2+ = Β\·δ2·Α\W+ =· a2(B\ + C)δ2+ = Α ·α2·Β\其中Jl=別的逻辑反al+ = al 的下一状态·=各项的逻辑与关系+=各项的逻辑或关系图3是实现上述安全逻辑方程的图1的IS切换电路33的一般化逻辑框图。如图 1和2所示,该系统包括通过互连信号32连接的第一 SAM模块观和第二 SAM模块30。以 粗体示出的连接表明功率从PSU_A 16和PSU_B 22流向危险区域负载34的路径。电压检测器a9、b9是确定PSU输入电压的足够性并将其作为逻辑信号VAQK、VBQK发 送的功能(非安全)部件。这些信号和来自手动按钮A 36和按钮B 38的那些信号被提供给微处理器中实现的功能逻辑块MPUa和MPUb,功能逻辑块MPUa和MPUb可分别利用功能信 号ENA和ENB关闭逻辑开关SA1、SA2和SB1、SB2。虽然未示出,但电压检测器a9、b9可交 换信号以确定输出V皿、VTOK。开关SA1、SA2和SB1、SB2是分别由逻辑信号al、a2和bl、l32控制的半导体开关。 这些开关被设计成在本地逻辑电源出故障的情况下常断开。欠压检测器(未示出)提供逆逻辑信号UVQmi、Uvolta2以及UVQlTB1,如果本地逻辑源 欠压,则逆逻辑信号UTOUIA1、Utoua2以及Utouibi迫使关联开关断开。MPUa和MPUb逻辑功能具有关联的看门狗检测器,关联的看门狗检测器分别提供逆 输出RESETa和RESETb(重置A和重置B)。它们是在关联微处理器重置时迫使半导体开关 SA1、SA2和SB1、SB2断开的功能逻辑信号。逻辑门al、a2、al0、bl、b2、bl0以及关联反相器和缓冲器实现如上所述的状态转
换方程。定时器TA1、TA2和TBI、TB2是不对称的定时电路,其将正向输入延时30 μ s到 68 μ S,但它们对于负向输入几乎无延时。在关联选通下(例如,a3和a4用于ΤΑ1),这些定 时器负责提供有保证的“先断后通”中断时间。多个定时器确保即使在施加可数故障时也 能保证该延时。中继干线电压检测器a8、al6、al2、a5和b8、bl6、bl2、b5检测相关干线电压是否 超过2. 3V到3. 7V范围的阈值电压。低电压阈值确保一旦存在足够的干线电压对5V逻辑 供电,联锁信号就有效,从而确保在干线电压超过4. 5V(最低工作逻辑源)时,在任一时刻 仅一个开关模块“导通”。输出干线电压检测器17、17检测输出干线电压是否超过7. 6V到 IlV的范围中的阈值电压。选择相对高的电压,以使在几乎无现场负载时的切换延迟最小, 从而在移除电源时现场总线线路端接电容缓慢放电。驱动器al4、al5和bl4、bl5提供允许“a2和1^2”选通功能的输出。驱动器设计使 得在施加任何单个可数故障时输出不会出故障“断开”(低)。电阻器RAl到RA14和RBl到RB14在功能电路和危险区域保护逻辑之间提供绝对 可靠的保护。电阻器值被选择成使功能逻辑内的任何短路状况不会在危险区域保护功能内 引起危险故障。Al和Bl选通(分别经由a5、al2和b5、bU)通过经由支座确定中继干线Al和Bl 的路线来实现。输出连接的开路故障将引起联锁信号32的丧失,但同时也断开对危险区域 14的供电。用于开关SA2和SB2的逻辑控制分别从用于开关SAl和SA2的逻辑控制的输出 “级联”操作。当每个开关接通时,这实现“格雷码(Gray-coded)”序列。以下描述涉及危险区域保护的各层。逻辑项a5、a2、a3、a4、SAl、b5、b2、b3、b4、SBl 形成在任一时刻仅允许 SAl 或 SA2
接通的双稳态。施加至任一项的任何单个可数故障会引起状态变化,但不会引起SAl和SA2 二者 在任一时间点(静态地)导通。逻辑源欠压检测器not_UTOmi和not_UTOm2在低于4. 5V的电压下工作,以使在该 逻辑被保证通电的时候,干线电压检测器a5、1^5将具有有效输出,从而保证双稳态操作。
逻辑项al6、al2、al0、all、SA2、bl6、bl2、bl0、bll、SB2 具有主要与瞬时性能有关 的功能,如下文详细解释。然而,该逻辑还提供了辅助保护功能。该逻辑使得,倘若相对的 中继干线Al或Bl “开启”,则开关SA2或SBl将断开。该逻辑还确保由SAl和SBl形成的 触发器的两个输出Al和Bl永远不会连接在一起,从而该触发器能工作于双稳态。倘若任 一个SA2或SB2逻辑出故障,则将SA2或SB2置于“接通”状态同时其它SAM开启,这样经 由出故障的SA2或SB2 (至Al或Bi)的反向导通将使开关改变状态,从而从“三开关接通” 状态转换至“两开关接通”状态。由 a6、a2、al3、alO、al4、al5、b6、b2、bl3、blO、bl4、bl5 提供的逻辑选通实现如
上所述的“a2和b2”选通功能。选通的目的主要是设计用于通过识别不希望出现的瞬态来 帮助防止不希望出现的瞬态出现,并导致向较安全的空闲状态的状态转换。然而,它还提供 对静态危险状态出现的附加保护。输出、互连以及输入被设计成在任何单个可数故障的情况下不会全部出故障而 “关闭”。定时器TAl和TBl提供延时,这些延时在开关改变状态时确保有保证的最小“中 断”周期。当状态改变在一个方向或另一方向上出现时,施加至任一定时器TAl或TBl的可 数故障将使该保护失效。然而,定时器TA2和TB2与TAl和TBl串联地工作,从而不管施加 至TAl或TBl的可数故障如何确保转换中断延时出现。即使TAl和TBl正确地工作,在开关SAl和SBl 二者均接通的情况下,由SAl和 SBl形成的双稳态在原则上也能进入瞬时不稳定状态。定时器TA2和TB2防止干线Al和 Bl上的瞬态传播至输出C。即使TAl或TBl出现单个可数故障,该瞬态也可能仅经由一个 而不是两个SAM模块传播。当接通时,开关SA2(和SB2)相对于SAl (和SBl)按顺序工作。这是借助经由逻 辑项al6(和bl6)感测Al (和Bi)的状态来实现的。该顺序旨在使传播至输出的“开启” 瞬态最少。该编码不是严格的格雷编码,因为当断开时,两个开关SAl和SA2(以及SBl和 SB2)同时断开,这样看起来最安全。当施加单个可数故障时,该先后顺序难免有错误。逻辑项a8和b8感测输出干线C,并在转换期间防止开关接通,直到输出干线电压 已经下降到7. 6V到IlV的范围中的阈值电压以下。这将有效地提供先后顺序,以在另一开 关能接通之前(在某种程度上)确认之前活动的开关的断开。单个可数故障的施加会使该 保护失效。如上所述,该系统必须保证在两个PSU之间的“先断后通”转换,具有有保证的断 开(中断)时间间隔。最小中断时间间隔的大小取决于用于SAM断开和接通的各个关键电 路中的最坏情况传播延时。为完全起见,该设计必须确保用于接通的最小时间延时始终超 过用于断开的最大延时,且这两个延时之差表示有保证的中断间隔。通过设计,该间隔必须 超过10 μ s,一般认为在该时长下任何潜在的易燃状况可能已经减弱至另一 PSU的重连将 不会引起易燃危险风险增加的程度。然而,对于现场总线应用,该间隔不能超过500μ s,这 是能接受的最大掉电间隔。参照图3,下表示出了计算得到的用于接通和断开SAM中的每个安全部件的延时。
权利要求
1.一种为了功能冗余将多个真正安全输入多路复用的方法,所述方法使用连接至真正安全输出的多个开关模块;以及从多个真正安全输入源到多个相应的开关模块的多个基本相同的输入;其中使用多个开关模块中的每个开关模块之间的多个联锁信号来允许在任何时间点 开关模块中最多一个开关模块活动,从而允许来自多个输入源的多个输入中最多一个输入 连接至真正安全输出;且进一步包括步骤提供有保证的最小周期,在所述有保证的最小周期中无输入在切换至替代开关模块期 间连接至真正安全输出。
2.如权利要求1所述的方法,其特征在于,包括两个开关模块。
3.如权利要求1或2所述的方法,其特征在于,无输入在切换至替代开关模块期间连接 至真正安全输出的所述有保证的最小周期至少是消除危险组合的可能性所需的时间或证 明所有源(在测试期间)从负载断开所需的时间。
4.如权利要求1至3中的任一项所述的方法,其特征在于,无输入在切换至替代开关模 块期间连接至真正安全输出的所述有保证的最小周期具有取决于所连接的IS负载设备的 掉电特性的最大周期。
5.如权利要求1至4中的任一项所述的方法,其特征在于,还包括如果活动开关模块的 输入出故障则自动切换至替代的开关模块的步骤。
6.如权利要求1至5中的任一项所述的方法,其特征在于,还包括如果活动开关模块出 故障则自动切换至替代的开关模块的步骤。
7.如权利要求1至6中的任一项所述的方法,其特征在于,多个开关模块中的每个开关 模块和多个真正安全的输入源中的每个输入源是能移除的,同时至少一个输入连接至真正 安全的输出。
8.如权利要求1至7中的任一项所述的方法,其特征在于,还包括为每个开关模块提供 机械联锁的步骤,所述机械联锁被安排成防止当开关模块的关联输入存在时移除所述开关 模块。
9.如权利要求1至8中的任一项所述的方法,其特征在于,所述多个输入中的每个输入 包括来自真正安全电源的经调节电流和/或电压。
10.如权利要求9所述的方法,其特征在于,所述多个电源中的每一个电源包括FISCOPSU。
11.如权利要求1至10中的任一项所述的方法,其特征在于,所述输出适用于驱动“Ex ib”现场电路。
12.如权利要求1至11中的任一项所述的方法,其特征在于,还包括使控制危险逻辑功 能和不危险逻辑功能的逻辑电路在物理上分离的步骤。
13.如权利要求12所述的方法,其特征在于,还包括利用分立逻辑实现危险逻辑功能 并在单芯片微处理器上实现不危险功能的步骤。
14.一种用于将多个真正安全输入多路复用的切换电路,包括连接至真正安全输出的多个开关模块,每个开关模块被安排成接收多个基本相同输入 中的一个输入;每个开关模块包括锁定装置,所述锁定装置被安排成允许在任何时间点多个输入中最多一个输入连接至真正安全输出;其中所述锁定装置还被安排成提供有保证的最小周期,在所述有保证的最小周期中无输入
15.如权利要求14所述的切换电路,其特征在于,刚好包括两个开关模块。
16.如权利要求14所述的切换电路,其特征在于,所述锁定装置包括在所述多个开关 模块中的每个模块之间的多个锁定信号。
17.如权利要求14、15或16所述的切换电路,其特征在于,无输入在切换至替代开关模 块期间连接至真正安全输出的所述有保证的最小周期至少是消除危险组合的可能性所需 的时间或证明所有源(在测试期间)从负载断开所需的时间。
18.如权利要求14至17中的任一项所述的切换电路,其特征在于,无输入在切换至替 代开关模块期间连接至真正安全输出的所述有保证的最小周期具有取决于所连接的IS负 载设备的掉电特性的最大周期。
19.如权利要求14至18中的任一项所述的切换电路,其特征在于,在使用时,所述切换 电路被安排成,如果活动开关模块的输入出故障,则所述切换电路自动切换至替代开关模 块。
20.如权利要求14至19中的任一项所述的切换电路,其特征在于,在使用时,所述切换 电路被安排成,如果活动开关模块出故障,则所述切换电路自动切换至替代开关模块。
21.如权利要求14至20中的任一项所述的切换电路,其特征在于,在使用时,所述切换 电路被安排成响应于外部命令切换至替代开关模块。
22.如权利要求14至21中的任一项所述的切换电路,其特征在于,在使用时,多个开关 模块中的每个开关模块能从所述切换电路移除,同时其它切换电路中的至少一个连接至输 出ο
23.如权利要求22所述的切换电路,其特征在于,所述多个开关模块中的每个开关模 块包括机械式联锁,所述机械式联锁被安排成防止在开关模块的关联输入存在的同时移除 所述开关模块。
24.如权利要求14至23中的任一项所述的切换电路,其特征在于,所述多个输入包括 来自真正安全电源的经调节电流和/或电压。
25.如权利要求M所述的切换电路,其特征在于,所述真正安全电源是FISCOPSU0
26.如权利要求14至25中的任一项所述的切换电路,其特征在于,所述输出适用于驱 动“Ex ib”现场电路。
27.如权利要求14至沈中的任一项所述的切换电路,其特征在于,所述切换电路中的 控制危险逻辑功能的逻辑电路与控制不危险逻辑功能的逻辑电路在物理上分离。
28.如权利要求27所述的切换电路,其特征在于,危险逻辑功能利用分立的逻 辑实现, 而不危险的功能在单芯片微处理器上实现。
29.如权利要求14至观中的任一项所述的切换电路,其特征在于,所述输出在最少一 个可数故障施加至所述切换电路的情况下保持真正安全。
30.一种为了功能冗余将多个真正安全输入多路复用的系统,所述系统包括多个输入源; 切换电路,包括连接至真正安全输出的多个开关模块,每个模块被安排成从多个输入源接收多个基本 相同输入中的一个输入;每个开关模块包括锁定装置,所述锁定装置被安排成允许在任何时间点多个输入中最 多一个输入连接至真正安全输出;其中所述锁定装置还被安排成提供有保证的最小周期,在所述有保证的最小周期中无 输入在切换至替代开关模块期间连接至真正安全输出。
31.一种基本如之前参照图1至5所描述的将多个真正安全输入多路复用的方法。
32.—种基本如之前参照图1至5所描述的将多个真正安全输入多路复用的切换电路。
33.一种基本如之前参照图1至5所描述的将多个真正安全输入多路复用的系统。
全文摘要
本发明提供一种为了功能冗余将多个真正安全输入多路复用的方法,该方法使用连接至真正安全输出的多个开关模块;以及从多个真正安全的输入源到多个相应的开关模块的多个基本相同的输入;其中,使用多个开关模块中的每个开关模块之间的多个联锁信号来允许在任何时间点开关模块中最多一个开关模块活动,从而允许来自多个输入源的多个输入中最多一个输入连接至真正安全的输出;以及还包括提供有保证的最小周期的步骤,其中在切换至替换开关模块期间无输入连接至真正安全输出。
文档编号H02J1/10GK102150339SQ200980136756
公开日2011年8月10日 申请日期2009年9月14日 优先权日2008年9月15日
发明者M·J·兰帕德, R·D·威弗尔 申请人:库帕技术公司