用于失效保险系统的安全架构的制作方法
【专利摘要】本发明涉及用于失效保险系统的安全架构。安全设备包括监视单元、测试块和具有至少一个接触构件的输出级,其中监视单元包括至少两个、优选地至少三个输出端并且被配置成提供至少两个、优选地至少三个不同的输出信号以用于测试其暂离故障,其中监视单元被配置成提供用于关断功能的至少一个使能信号,其中测试块包括至少一个输入端并且被配置成对监视单元的输出信号中的至少一个进行监视,其中测试块包括至少一个输出端并且被配置成提供用于关断功能的至少一个使能信号,其中输出级的至少一个接触构件具有至少两个输入端并且被配置成将监视单元的输出信号中的至少一个链接到测试块的至少一个使能信号。
【专利说明】用于失效保险系统的安全架构
[0001 ] 描述
本申请要求2015年3月23日在欧洲专利局提交的EP15160378的权益,其公开内容通过引用以其全部并入本文中。
[0002]本公开内容涉及安全架构,特别地涉及用于燃烧器系统的安全设备。失效保险(failsafe)保护是根据本公开内容的安全架构的集成部分。
[0003]除其它外,安全架构在IEC61508标准中被解决。该标准的第二版本在2010年公开。其涉及电气/电子/可编程安全性相关的系统的功能安全性。
[0004]标准EN13611—一用于燃气燃烧器和燃气器具的安全性、调节和控制设备一一从2011以及EN 60730——用于家庭和类似使用的自动电气调节和控制设备——也从2011描述了针对安全系统的最小要求。
[0005]安全性相关的控制系统除其它外从燃烧器系统、自动化技术、医学技术和交通工具技术的领域中已知。
[0006]在现有技术中已知,在用于安全性关键的任务的系统中,必须采取措施以保护免受误运转(malfunct1n)。例如,这包括借助于测试信号来监视安全设备的功能块。还已知具有结果比较的安全架构的多通道实施例。
[0007]随机发生(以及还可选地系统地发生)的故障旨在使用这些措施来标识。(燃烧器)系统或过程的安全状态可以通过使用监视单元来实现。
[0008]在安全架构和对应的安全电路的上下文中,在故障容忍(fault-tolerant)和失效保险架构之间进行区分。故障容忍架构特征在于,在发生一个或多个故障之后,对于控制任务和监视任务而言还可能进一步被实施。为了能够实现相对于随机发生的故障的这样的容忍,架构经常必须被构造有多通道冗余。
[0009]与故障容忍架构形成对照,失效保险系统必须在发生第一故障之后实现安全系统状态。所述适用于发生的另外故障。甚至在这样的情况下,系统必须实现安全系统状态。因此,安全设备中的第一和第二故障必须导致安全系统状态。
[0010]特别地,用于管理多个故障的要求经常导致多重冗余,并且因而增加架构的复杂性。此外,多通道构造增加这样的系统的成本。最后,与多通道构造关联的软件和硬件的显著复杂性经常不贡献于系统的控制任务和/或调节任务的实际履行。
[0011]本公开内容的主题是至少部分地克服现有系统的前述缺陷的经改进的安全设备和/或安全架构。
[0012]技术目标和优势
本公开内容潜在的本发明的目标是产生一种安全架构和/或安全电路,其提供用于安全设备的成本优化的和高效的结构。特别地,所述安全架构和/或安全电路旨在比具有多重冗余的设计更成本有效。同时,安全设备中的随机的第一和第二故障被设计成导致安全系统状态。因而,已经在发生了第一故障之后,根据本公开内容的安全设备和/或安全电路旨在发起(系统)关断。不要求另外的操作。另外的独立故障不应导致不安全系统状态。因而,安全架构旨在是失效保险的。
[0013]根据本发明的前述目标由安全架构和/或由安全电路和/或由根据本公开内容的独立权利要求的安全设备来实现。在从属权利要求中阐述了优选的实施例。
[0014]本公开内容潜在的本发明的目标是还提供一种安全架构和/或安全电路和/或安全设备,其通过中断能量供应、特别地通过中断电功率的供应来(除其它外)产生安全系统状态。
[0015]本公开内容潜在的本发明的目标是还提供一种准许(安全)锁定的安全架构和/或安全电路和/或安全设备。
[0016]本公开内容潜在的本发明的目标是还提供一种准许监视多个(不同地执行的)输入信号的安全架构和/或安全电路和/或安全设备。
[0017]本公开内容潜在的本发明的目标是还提供一种(至少部分地)在具有冗余的(多核)处理器上产生的安全架构和/或安全电路和/或安全设备。
[0018]本公开内容潜在的本发明的目标是还提供一种被配置成处理安全性相关的模拟或数字信号的安全架构和/或安全电路和/或安全设备。
[0019]本公开内容潜在的本发明的目标是还提供一种被配置成处理(初始地)静态信号的安全架构和/或安全电路和/或安全设备。
[0020]本公开内容潜在的本发明的目标是还提供一种被配置成规律地针对故障来测试它自身的安全架构和/或安全电路和/或安全设备。
[0021]本公开内容潜在的本发明的目标是还提供一种具有所公开的安全架构和/或所公开的安全电路和/或所公开的安全设备的燃烧器系统、特别是燃气燃烧器和/或机动车辆和/或燃料电池和/或电池。
【附图说明】
[0022]各种细节借助于以下详细描述对本领域技术人员可用。在该情况下,单独的实施例是非限制性的。伴随描述的附图可以被描述如下:
图1示出具有能够在输入和输出之间执行安全功能的监视单元的简单系统的框图。
[0023]图2示出具有附加的监视和诊断通道的简单系统的框图。
[0024]图3示出具有多重冗余的系统的框图。
[0025]图4使用框图来图示信号的动态化(dynamizat1n)。
[0026]图5使用框图来图示通过反馈对输出信号的控制。
[0027]图6使用框图来描述诸如用于防止篡改(falsificat1n)数字数据信号的冗余和控制机制之类的措施。
[0028]图7使用框图来描述将安全性相关的信号供应到安全架构的不同方式。
[0029]图8使用框图指代用于标识另外的随机发生的第二故障的措施。
[0030]图9将具有通过冗余的(多核)处理器的诊断的单通道架构的实际实现图示为框图。
[0031]图10使用框图来图示安全性相关的模拟信号到冗余的(多核)处理器的供应。
【具体实施方式】
[0032]图1示出具有输入端I和输出端2和监视单元3的简单架构1001(—个出自一个)。该简单架构1001的监视单元3中的误运转或故障可能导致系统不再能够实施系统的安全功能。结果,要求另外的措施用于为系统安全性而管理随机(且可选地还有系统性的)故障。
[0033]图2示出所谓的1001D架构(S卩,具有诊断和固有安全性的通道)。图2的架构提供监视单元5,所述监视单元5可以初始地导致输入端I和输出端2之间的安全功能。然而,监视单元5中的故障也可能导致安全功能的误运转。附加的监视和诊断通道6确保监视单元5中的故障导致安全系统状态。在一方面,该情况中的监视和诊断通道6具有标识监视单元5中发生的故障的任务。另一方面,监视和诊断通道6具有能够通过另外的措施实现安全关断的任务。措施的有效性取决于监视和诊断通道6的诊断能力。
[0034]在图3中,具有多重冗余的架构1003(—个出自三个)被示出有输出端2。监视单元的一个通道或两个通道7、8、9的误运转导致通过第三功能通道的安全性相关的关断。在该情况下,可能在监视单元中发生高达两个独立的故障。然而,可以实施过程的安全性相关的关断。然而,这要求至少三个独立的监视单元7、8、9。在最简单的情况下,监视单元被设计有冗余。诸如逆冗余功能之类的另外的变体或具有诊断设备的那些被提供,并也可以被使用。
[0035]从上文示出如果尽管有多个故障仍必须实现安全系统状态或安全操作状态则架构的复杂性上升。
[0036]本公开内容的目标之一是提供一种保证针对两个独立故障的失效保险性能的安全架构。在发生第一故障之后不要求另外的操作。因此,架构不一定必须是故障容忍的。附加的独立故障不应导致不安全系统状态。同时,架构旨在具有高效且成本有效的结构。
[0037]为了能够减少功能单元的数目,不是所有监视单元都应重复地运行。例如,可以在输出结果信号之前不久在安全结构中实施结果比较。在该情况下,在所有通道中,在监视单元中要求对应地高度复杂性(见图3)。
[0038]复杂计算的结果可以例如由使能信号简单地表示。在这样的情况下,后续信号处理可以被减少到使能信号的失效保险方面。信号处理的正确处理因而能够以缩减形式被监视。根据本公开内容的架构还考虑系统仅必须被设计成是失效保险的。不一定要求故障容忍。因此,在发生第一故障之后,可能已经实施安全关断和可选地锁定。
[0039]对于成本有效的安全架构的先决条件是将功能块减少到最小数目的所要求的单元。图2的100ID架构为此提供基础。监视单元5中的第一故障通过监视和诊断通道6来标识。它们受通过监视和诊断通道6的安全关断所控制。该情况中的诊断能力必须具有高质量(并且是可靠的),以使得发生的故障被安全地标识。
[0040]换言之,诊断能力应避免和/或优选地消除第一类型的故障,即发生的故障的不识别。同时,诊断能力应避免和/或优选地消除第二类型的故障,即,将非故障标识为故障。根据特定实施例,提供了监视和诊断通道6中的故障可以通过对诊断结果进行测试而被标识。
[0041]如图4中所示,所有静态信号10被附加的测试信号11动态化。目的是用于测试的连续能力。因而,安全架构能够实施功能块的值离散测试和时间离散测试。
[0042]图5图示出在输出信号13的情况下由监视单元所采取的措施。输出信号13被反馈到控制单元作为监视单元4b的输入信号12。它们接收借助于测试信号14的对应的动态化。因而,对于监视单元而言有可能控制初始静态的信号。
[0043]因此,图4和5涉及借助于测试信号的动态化。下文中详细公开的安全设备的监视设备30优选地被配置成借助于测试信号使监视设备的至少一个输出信号31、37动态化以用于控制目的。下文中详细公开的安全设备的测试块34优选地被配置成借助于测试信号使测试块34的至少一个输出信号35动态化以用于控制目的。下文中详细公开的安全设备的输出级38优选地被配置成借助于测试信号使输出级38的至少一个输出信号39动态化以用于控制目的。
[0044]根据可选存在的输出驱动器和/或中继接触(relay contact)19,在图5中实现信号反馈。以此方式,可以在输出端子处监视值。
[0045]根据图6,单独的功能单元17、18之间的数字数据信号通过附加的安全措施而被保护免受篡改。在该情况下,附加的测试数据16被添加到有用数据15。因而,产生附加的冗余和有效的控制机制。在该情况中的发射和接收单元可以实施相同的计算方法或逆冗余计笪并ο
[0046]根据图7,安全性相关的模拟信号28可以通过冗余的模拟或数字变换器和/或经由信号复用器在单个通道中被供应到安全架构。根据特定实施例,为了测试功能能力,定义的参考信号27a、27b经由可调电压参考而被切换到用于模拟信号的监视单元29的A/D变换器的模拟输入端。随后,实施测试。
[0047]借助于接口信号的该动态化,在单个通道上运行的所有输入信号获得针对控制的附加可能性。输出信号可以由去往输入端的反馈所控制。
[0048]为了能够标识另外的随机发生的第二故障,图8的1001D架构30产生两个另外的控制信号32、33以用于实际输出信号31。控制信号32、33在此处标识不存在故障。至少一个控制信号是动态可变的信号。所述至少一个动态可变的信号可以被另外的测试块34所测试。
[0049]根据图8,测试块34包括监视和诊断通道53。优选地,因此,测试块34具有包括至少一个输入端的监视和诊断通道53,其中测试块34的监视和诊断通道53的所述至少一个输入端被配置成接收监视单元30的输出信号中的至少一个32。
[°°50] 在该情况下,根据计算方法和时间控制(temporal control)机制所建立的数据值存在于控制信号32中。时间控制机制准许时间和逻辑控制。控制信号根据所定义的算法来改变其数据值。因而,确保免受篡改的高(动态)保护。
[0051]根据优选的实施例,控制信号32通过问题和回答监视来实现。在该情况下,另外的测试块34产生4位二进制值。4位二进制值应请求被传输到1001D架构30。4位二进制值在每一个成功测试之后根据以下准则改变:位值X3、X4的XOR(异或)。针对每个移位命令,它被集成在Xl中。因而,1001D架构30接收具有16个值的循环的可变任务。作为对每个任务的响应(4位值),1001D架构30必须在看门狗(Watchdog)窗口内向测试块34传输三个接连的响应(8位值),并随后在看门狗窗口外传输另外的响应。响应是固定定义的值,并且被测试块34所测试。在已经完成四个循环之后,使能输出信号35。
[0052]根据图8,监视单元30包括监视和诊断通道6 ο优选地,因此,监视单元30具有监视和诊断通道6,所述监视和诊断通道6具有至少一个输出端,其中监视单元30的监视和诊断通道6的所述至少一个输出端被配置成为测试块34提供至少一个控制信号33。特别优选地,监视单元30的架构对应于1001D架构。
[0053]为了证明测试块34的有效性,控制信号32和33被1001D架构30循环地改变成故障信号。这导致输出信号35。该输出信号由另外的比较器36利用不同地产生的信号37所测试。
[0054]换言之,本公开内容涉及安全设备,所述安全设备包括监视单元30、测试块34和具有至少一个接触构件&41的输出级38,其中监视单元30包括至少两个、优选地至少三个输出端并且被配置成提供至少两个32、37、优选地至少三个不同的31、32、37输出信号以用于测试其暂离(absence from)故障。
[0055]在正确信号的情况下,结果信号导致借助于被设计有冗余的输出级38来使能。
[0056]换言之,输出级38通过考虑由接触构件&41所采取的链接和来自块30和34的信号激活的结果而提供关断功能。
[0057]优选地,测试块34因此被配置成为监视单元30提供至少一个反馈信号。
[0058]监视单元30优选地被配置成将监视单元30的输出信号中的至少一个32循环地变更成故障信号以用于证明测试块34的有效性。
[0059]监视单元30还优选地被配置成将监视单元30的监视和诊断通道6的所述至少一个输出端上的控制信号33循环地变更成故障信号以用于证明测试块34的有效性。
[0060]安全系统状态例如可以在燃烧技术中的应用中通过中断所连接的致动器的功率供应和/或能量供应和/或电压供应来实现。功率供应和/或能量供应和/或电压供应被串联布置的接触构件关断。使能优选地仅在所有接触构件闭合时发生。
[0061 ]所有输出级38的输出值再次作为(动态)信号39被供应到1001D架构30。因此,产生(动态)安全监视电路。在该情况下,信号39的反馈可以单独地或作为公共信号而发生。
[0062 ]在该情况中发生的故障导致(系统的)安全关断。
[0063]优选地,因此,输出级38的所述至少一个接触构件&41处于断开(OPEN)状态或闭合(CLOSED)状态,并且输出级38包括至少一个输出端并且被配置成将所述至少一个接触构件&41的状态提供为用于监视单元30的反馈信号39。
[0064]优选地,在该情况下,监视单元30包括至少一个输入端,并且监视单元30的所述至少一个输入端被配置成从输出级38接收反馈信号39。
[0065]接触构件40的使能在该情况下直接借助于1001D架构30而发生。接触构件&41由来自测试块34和来自1001D架构30的两个(动态)使能信号所控制。用于接触构件&42的使能信号要求测试块34和1001D 30架构的动态。
[0066]换言之,本公开内容涉及安全设备,其中监视单元30被配置成提供用于关断功能的至少一个使能信号37,并且其中测试块34被配置成提供用于关断功能的至少一个使能信号,并且其中测试块34具有至少一个输入端并且被配置成对监视单元30的输出信号中的至少一个32进行监视。
[0067]换言之,测试块34包括至少一个输出端,并且被配置成提供用于关断功能的至少一个使能信号35。
[0068]换言之,输出级38的所述至少一个接触构件&41具有至少两个输入端,并且被配置成将监视单元30的输出信号中的至少一个37链接到测试块34的所述至少一个使能信号以便获得结果。
[0069]优选地,输出级38具有带有输入端的至少一个另外的接触构件40,其中输出级38的所述至少一个另外的接触构件40被配置成由监视单元30的输出信号之一 31直接使能。
[0070]特别优选地,在该情况下,输出级(38)通过考虑由接触构件40的使能来提供其关断功能。
[0071]演变是可能的和/或以并联的接触构件&42的形式来提供。为此,要求来自1001D架构30的多个激活。使能信号35可以被重复地使用。
[0072]因此,监视的原则是仅仅在整个系统内不存在故障才能够导致系统使能。第一故障已经导致借助于不同的安全监视电路的关断功能。
[0073]借助于该内置架构,多个安全性相关的功能可以在一个系统中被处置。因而,有可能监视多个不同类型的输入信号。因而,监视系统中的故障和/或安全性相关的事件的发生导致安全性相关的系统反应。
[0074]在该情况下的监视单元的复杂性被降低到简单的冗余关断功能。因而,相对于设计有完全冗余的安全架构,节约是可能的。
[0075]在根据图9的实际实现方式中,1001D架构30通过集成的锁步(lockstep)架构(冗余的多核处理器)44来实现。在该情况下的冗余多核处理器除了三个监视单元45、46、47之外包括主处理器48和测试处理器49。此外,比较元件50存在。
[0076]冗余(多核)处理器44特征在于在所监视的功能通道中实施安全性相关的信号的处理。在该情况下的监视和诊断具有这样的高质量使得故障可以被可靠地标识。
[0077]合适的冗余(多核)处理器44可以从德州仪器(Hercules系列TMS570、RM4x)、飞思卡尔(MPC564x系列、SPC5744x)或STM(SPC56EL54系列)获得。该列表不是限定性的。
[0078]多个不同的信号32、33产生自冗余(多核)处理器44。这些信号此外通过测试块34来测试。在实际实现方式中,测试块34可以通过集成切换(switching)电路来实现。集成切换电路执行例如(动态)控制信号32的值离散监视和时间离散监视。结果,产生使能信号35。使能信号35具有定义的动态。
[0079]合适的监视块34是例如从德州仪器(TPS65381)或飞思卡尔(MC33908)可得到的。该列表不是限定性的。
[0080]要求该动态以用于使能和/或激活输出级38中的接触构件&41和&42。这导致依赖性,根据所述依赖性第一单元30的结果被第二单元34循环地测试。要求用于使能输出级38中的接触构件&41和&42的(动态产生的)测试结果连同来自1001D架构30的至少一个(动态)
激活信号。
[0081]优选地,因此,监视单元30包括至少一个输入端,并且监视单元30的所述至少一个输入端被配置成从测试块34接收反馈信号35,并且监视单元30被配置成使用来自测试块34的反馈信号35,所述反馈信号35跟随在来自监视单元30的被改变成故障信号以用于证明测试块34的有效性的信号32、33之后。
[0082]优选地,在该情况下,输出级38被配置成使用接触构件&42将测试块的反馈信号35链接到监视单元的输出信号,以便在测试块34的非有效性被证明的情况下使用输出级的接触构件&42来采取关断和/或锁定。
[0083]此外优选地,监视单元30被配置成在测试块34的非有效性被证明时提供输出信号31、37,以使得通过输出级38的接触构件&41对输出信号31、37的接收激活输出级38的关断功能。
[0084]根据优选的实施例,在诊断和监视单元中发生故障的情况下,锁定输出级38。因而,在发生多故障之前,故障指示符被存储在(多核)处理器44的存储器区域中和/或在外部存储器(优选地,非易失性)中。该存储器区域的内容涉及控制信号32的生成。因此,在1001D架构30的多故障的情况下,安全锁定可以借助于测试块34和输出级38而发生。
[0085]优选地,因此,监视单元30因而被配置成在内部或在外部以及以易失性或非易失性的方式来存储输出信号31、37,其适合用于激活输出级38的关断功能。此外优选地,监视设备30被配置成从内部或外部以及易失性或非易失性存储器读取这样的信号。优选地,监视设备30另外被配置成评估这样从存储器读取的信号。特别优选地,作为所读取的信号的评估的结果,监视设备被配置成提供至少一个输出信号31、37,以使得输出级38的关断功能被激活和或保持被激活。结果,输出级被锁定或保持被锁定。
[0086]所述适用,而无论其是否涉及输出级38及其(一个或多个)输出信号39。此外,输出级38优选地被配置用于存储、用于读取、用于关于锁定的信号的评估。
[0087]根据图10,安全性相关的模拟信号可以通过冗余的模拟/数字变换器51、52和/或经由信号复用器通过单个通道被供应到安全架构。为了测试功能能力,定义的参考信号27经由测试块34和/或经由可变电压参考而切换到A/D变换器的模拟输入端。测试结果可以以与之前相同的方式被链接到使能信号32的生成。在该情况中的参考信号可以被直接切换到模拟输入变量和/或经由信号复用器。动态测试的原则在该情况下被维持。
[0088]优选地,监视单元30因此包括用于接收安全性相关的信号的至少一个输入端。优选地,监视单元30包括至少一个模拟/数字变换器51、52以用于供应至少一个安全性相关的模拟信号。
[0089]还提供了使用根据本公开内容的安全架构用于控制和/或调节和监视燃料电池。该使用可以涉及固态氧化物燃料电池和聚合物电解质燃料电池二者。此外,可能的是使用根据本公开内容的安全架构用于控制和/或调节和用于监视电池。这特别地涉及控制和/或调节和监视氧化还原液流电池(redox flux battery ),诸如例如银氧化还原存储电池、溴化钠氧化还原存储电池和/或溴锌存储电池。同样,提供了基于有机醌的氧化还原液流电池的控制和/或调节和监视。
[0090]根据本公开内容的安全架构或方法的部分可以体现为硬件、体现为由计算机或使用云计算机实现的软件模块、或可以使用前述可能性的组合来实现。软件可以包括固件、在操作系统内实现的硬件驱动器或应用程序。本公开内容因而还涉及包含本公开内容的特征和/或实现所要求的步骤的计算机程序产品。在作为软件的实现方式中,公开的功能可以作为一个或多个命令而存储在计算机可读介质上。计算机可读介质的一些示例包括随机存取存储器(RAM)、磁性随机存取存储器(MRAM)、只读存储器(ROM)、闪速存储器、电子可编程ROM(EPR0M)、电子可编程且可擦除ROM(EEPROM)、数据处理器的寄存器、硬驱动器、可互换存储器单元、光学存储器或可以被计算机或被其它IT设备和应用所使用的任何其它合适的介质。
[0091]以上描述涉及本公开内容的单独实施例。在不偏离本发明潜在的想法的情况下以及在不脱离本公开内容的范围的情况下可以采取对实施例的各种变更。本公开内容的主题由其权利要求所限定。在不脱离以下权利要求的保护范围的情况下可以采取不同的修改。
[0092]参考标号列表 I输入端
2输出端 3监视单元 4a监视单元4b监视单元5监视单元6监视和诊断通道7监视单元的通道8监视单元的通道9监视单元的通道
10(一个或多个)静态信号
11(一个或多个)附加测试信号
12(—个或多个)输入信号
13(一个或多个)输出信号
14(一个或多个)测试信号15有用数据
16测试数据17功能单元
18功能单元
19输出驱动器和/或中继接触
27、27a、27b (—个或多个)参考信号
28 (—个或多个)安全性相关的模拟信号
29用于模拟信号的监视单元
30 (1001D)架构
31输出信号
32另外的控制信号
33另外的控制信号
34测试块
35输出信号
36另外的比较器
37不同地产生的信号
38输出级
39 (动态)反馈信号
40接触构件
&41接触构件
&42接触构件
44 (多核)处理器
45监视单元
46监视单元
47监视单元
48主处理器
49测试处理器
50比较元件51A/D变换器
52A/D变换器
53监视和诊断通道。
【主权项】
1.一种安全设备,其包括监视单元(30)、测试块(34)和具有至少一个接触构件(&41)的输出级(38), 其中所述监视单元(30)包括至少两个、优选地至少三个输出端,并且被配置成提供至少两个(32、37)、优选地至少三个(31、32、37)不同的输出信号以用于测试其暂离故障, 其中所述监视单元(30)被配置成提供至少一个输出信号作为用于关断功能的使能信号(37), 其中所述测试块(34)包括至少一个输入端,并且被配置成对监视单元(30)的输出信号中的至少一个(32)进行监视, 其中所述测试块(34)包括至少一个输出端,并且被配置成提供用于关断功能的至少一个使能信号, 其中输出级(38)的所述至少一个接触构件(&41)具有至少两个输入端,并且被配置成将监视单元(30)的输出信号中的至少一个(37)链接到测试块(34)的所述至少一个使能信号以便获得结果, 其中所述输出级(38)通过考虑由接触构件(&41)采取的链接的结果来提供关断功能。2.如权利要求1中要求保护的安全设备,其中所述测试块(34)具有监视和诊断通道(53),所述监视和诊断通道(53)具有至少一个输入端,并且其中测试块(34)的监视和诊断通道(53)的所述至少一个输入端被配置成接收监视单元(30)的输出信号中的至少一个(32)。3.如权利要求1或2中的一项中要求保护的安全设备,其中所述监视单元(30)包括具有至少一个输出端的监视和诊断通道(6),并且其中监视单元(30)的监视和诊断通道(6)的所述至少一个输出端被配置成为测试块(34)提供至少一个控制信号(33)。4.如权利要求1至3中的一项中要求保护的安全设备,其中所述输出级(38)包括具有输入端的至少一个另外的接触构件(40),其中输出级(38)的所述至少一个另外的接触构件(40)被配置成直接通过监视单元(30)的输出信号之一 (31)使能。5.如权利要求4中要求保护的安全设备,其中所述输出级(38)通过考虑接触构件(40)的使能来提供其关断功能。6.如权利要求1至5中的一项中要求保护的安全设备,其中所述测试块(34)被配置成为监视单元(30)提供反馈信号(35)。7.如权利要求1至6中的一项中要求保护的安全设备,其中所述监视单元(30)被配置成将监视单元(30)的输出信号中的至少一个(32)循环地变更成故障信号以用于证明测试块(34)的有效性。8.如权利要求3中要求保护的安全设备,其中所述监视单元(30)被配置成将监视单元(30)的监视和诊断通道(6)的所述至少一个输出端上的控制信号(33)循环地变更成故障信号以用于证明测试块(34)的有效性。9.如权利要求6中要求保护的以及如权利要求7或8中的一项中要求保护的安全设备,其中所述监视单元(30)包括至少一个输入端,并且其中监视单元(30)的所述至少一个输入端被配置成从测试块(34)接收反馈信号(35),并且其中所述监视单元(30)被配置成使用来自测试块(34)的反馈信号(35),所述反馈信号(35)跟随在来自监视单元(30)的被改变成故障信号以用于证明测试块(34)的有效性的信号(32、33)之后。10.如权利要求9中要求保护的安全设备,其中所述监视单元(30)被配置成在测试块(34)的非有效性被证明时提供输出信号(31、37),以使得输出信号(31、37)的接收通过输出级(3 8 )的接触构件(&41)激活输出级(3 8 )的关断功能。11.如前述权利要求中的一项中要求保护的安全设备,其中输出级(38)的所述至少一个接触构件(&41)处于断开状态或闭合状态,并且其中所述输出级(38)包括至少一个输出端,并且被配置成提供所述至少一个接触构件(&41)的状态作为用于监视单元(30)的反馈信号(39)。12.如权利要求11中要求保护的安全设备,其中所述监视单元(30)包括至少一个输入端,并且其中监视单元(30)的所述至少一个输入端被配置成从输出级(38)接收反馈信号(39)。13.如前述权利要求中的一项中要求保护的安全设备,其中所述监视单元(30)被配置成借助于测试信号使监视单元(30)的至少一个输出信号(31、37)动态化以用于控制目的。14.如前述权利要求中的一项中要求保护的安全设备,其中所述监视单元(30)包括用于接收安全性相关的信号的至少一个输入端,并且其中优选地,所述监视单元(30)包括用于供应至少一个安全性相关的模拟信号的至少一个模拟/数字变换器(51、52)。15.—种燃烧器系统,特别是一种燃气燃烧器系统或油料燃烧器系统,其包括如前述权利要求中的一项中要求保护的安全设备。
【文档编号】G05B9/03GK105988365SQ201610167873
【公开日】2016年10月5日
【申请日】2016年3月23日
【发明人】K.奥布雷奇特
【申请人】西门子公司