БЕЗОПАСНАЯ ТЕСТОВАЯ СИСТЕМА Российский патент 2023 года по МПК H04L12/423 G01R31/00 

Описание патента на изобретение RU2792415C1

Настоящее изобретение относится к способу работы тестовой системы, содержащей множество компонентов безопасности, причем компоненты безопасности в каждом случае имеют сигнальный вход для приема пакетов данных и сигнальный выход для отправки пакетов данных, при этом на компонентах безопасности в каждом случае предусмотрен модуль безопасности, который можно установить как активный или неактивный, и состояние готовности, которое можно установить как активное или неактивное, при этом модуль безопасности компонента безопасности устанавливается как неактивный при неактивном состоянии соответствующего компонент безопасности.

Тестовый прибор можно использовать для выполнения измерений на опасных тестовых объектах, таких как трансформаторы тока. Поскольку опасный тестовый объект может накапливать опасное количество энергии, при выполнении измерений необходимо соблюдать соответствующие меры предосторожности. По этой причине тестовый прибор может быть расширен до тестовой системы с дополнительными компонентами. Например, опасная рабочая зона может быть оснащена сигнальными лампами и кнопками аварийного отключения в качестве компонентов. Выключатели аварийного отключения позволяют быстро и безопасно отключить усилители тока и напряжения в тестовом приборе. С другой стороны, сигнальные лампы могут указывать, например, на то, является ли тестовый объект или соответственно рабочая зона безопасным (разряженным) или небезопасным (находящимся под напряжением). В качестве дополнительного компонента может быть предусмотрена защита от включения тестового прибора для предотвращения несанкционированного включения. Активация защиты от включения может быть важным аспектом безопасности, особенно при работе с кабельными системами. Тестовая система обычно включает множество компонентов, в том числе тестовый прибор, сигнальные лампы, выключатели аварийного отключения, плавкие предохранители и подобное.

Одним вариантом построения такой тестовой системы является использование контура безопасности с дискретными сигналами. При этом компоненты тестовой системы соединены друг с другом через полевую шину безопасности, причем связь компонентов осуществляется посредством безопасно реализованных сигналов. По этой причине полевые шины безопасности конфигурируются и тестируются производителем. Из соображений безопасности пользователь не может и не должен изменять полевую шину безопасности. По этой причине пользователь не может интегрировать дополнительные компоненты в тестовую систему или передавать дополнительную информацию, например, для диагностических целей. Следовательно, в дополнение к высоким стандартам безопасности в отношении связи между компонентами также желательно, чтобы все компоненты имели длительный срок службы. Поскольку компоненты постоянно соединены друг с другом, прокладка кабеля требует значительных затрат. Кроме того, обнаружение и предотвращение ошибок в проводке (обрыв кабеля, короткое замыкание, перекрестные помехи и т. д.) являются очень затратными. Эти проблемы известны из уровня техники. Так, документ DE 10 2017130167 A1 раскрывает способ распознавания разрыва сетевых соединений, в котором упор делается на безопасную передачу тестовых данных по этим сетевым соединениям. DE 10 2017 130167 A1, как и в целом предшествующий уровень техники, только в ограниченной степени, касается самих участников или соответственно компонентов сети и их индивидуальной проверки.

Таким образом, задачей настоящего изобретения является создание гибкой тестовой системы для проведения измерений на тестовом объекте.

Эта задача решается тем, что сигнальные входы и сигнальные выходы компонентов безопасности соединены таким образом, что компоненты безопасности образуют кольцевую тестовую систему с направлением передачи пакетов данных, при этом компоненты безопасности в каждом случае циклически выполняют множество функциональных тестов и устанавливают их состояние готовности как активное, если множество функциональных тестов пройдено успешно, и как неактивное, если хотя бы один из функциональных тестов не пройден, при этом в качестве одного из функциональных тестов проверяется циклическое безошибочное получение пакета данных. Один из компонентов безопасности выбирают в качестве ведущего устройства шины (Busmaster - контроллер шины, задатчик шины), которое циклически посылает контрольный сигнал шины в пакете данных следующему компоненту безопасности, предусмотренному в направлении передачи, при этом контрольный сигнал шины в каждом случае пересылается компонентами безопасности в пакете данных, при этом ведущее устройство шины при приеме контрольного сигнала шины обнаруживает замкнутую кольцевую тестовую систему.

Таким образом, кольцевая тестовая система образует кольцевую шину, включающую компоненты безопасности. При этом сигнальные выходы компонентов безопасности соединены с сигнальными входами других компонентов безопасности в кольце, так что тестовая система имеет только одно направление передачи для передачи пакетов данных. Чтобы проверить, замкнута ли кольцевая тестовая система, один из компонентов безопасности назначается ведущим устройством шины. Ведущее устройство шины циклически отправляет контрольный сигнал шины в пакете данных через компоненты безопасности тестовой системы, при этом каждый из отдельных компонентов безопасности пересылает контрольный сигнал шины в пакете данных. Если контрольный сигнал шины снова поступает к ведущему устройству шины, он может обнаружить замкнутую тестовую систему. Время цикла для отправки пакетов данных предпочтительно составляет от 10 мс до 100 мс, при этом более короткое время цикла улучшает время отклика, особенно в случае неудачного функционального теста.

Действительно ли соответствующий компонент безопасности имеет активное состояние готовности, зависит от типа компонента безопасности и соответствующих функциональных тестов.

В отличие от шин безопасности предшествующего уровня техники передача пакетов данных между самими компонентами безопасности не обязательно должна быть безопасной. Вместо этого компоненты безопасности выполняют множество функциональных тестов, при этом как минимум один существенный функциональный тест выполняется в виде проверки циклического безошибочного приема пакета данных. В дополнение к этому функциональному тесту могут быть проведены дополнительные функциональные тесты. Состояние готовности соответствующего компонента безопасности устанавливается как активное только в том случае, если все функциональные тесты пройдены успешно. Если один или несколько функциональных тестов не пройдены, состояние готовности компонента безопасности устанавливается как неактивное. Такое коммуникационное соединение между компонентами безопасности обозначается как так называемый «Black channel» (черный канал), что означает, что связь между компонентами безопасности не считается функционально безопасной.

При обнаружении замкнутой кольцевой тестовой системы устройства ведущее устройство шины предпочтительно циклически проверяет, активно ли его состояние готовности, и, если состояние готовности активно, отправляет сигнал готовности в пакете данных следующему находящемуся в направлении передачи компоненту безопасности, при этом компоненты безопасности, когда они получают сигнал готовности, соответственно проверяют, является ли их состояние готовности активным, и в случае активного состояния готовности посылают сигнал готовности в пакете данных следующему предусмотренному в направлении передачи компоненту безопасности.

Если ведущее устройство шины, принимая контрольный сигнал шины, определяет замкнутую кольцевую тестовую систему, и его состояние готовности активно, то ведущее устройство шины посылает сигнал готовности следующему в направлении передачи компоненту безопасности, т.е. компоненту безопасности, сигнальный вход которого подключен к сигнальному выходу ведущего устройства шины. Этот компонент безопасности получает сигнал готовности и проверяет свое собственное состояние готовности. Если его состояние готовности активно, этот компонент безопасности отправляет сигнал готовности в пакете данных следующему расположенному в направлении передачи компоненту безопасности, и т. д. В отличие от контрольного сигнала шины, сигнал готовности не обязательно передается далее в соответствующих пакетах данных ведущему устройству шины, когда кольцевая тестовая система замкнута, но только если все компоненты безопасности действительно имеют активное состоянии готовности.

При получении сигнала готовности ведущее устройство шины предпочтительно определяет, что тестовая система готова к работе, и отправляет сигнал активации в пакете данных следующему предусмотренному в направлении передачи компоненту безопасности, при этом компоненты безопасности активируют их модуль безопасности в каждом случае, когда они получают сигнал активации и далее пересылают сигнал активации в пакете данных.

Если все модули безопасности активны, то активируется тестовая система, и компоненты безопасности могут обмениваться информацией, относящейся к безопасности. Информация, относящаяся к безопасности, - это информация, необходимая для проведения измерения в тестовой структуре.

Таким образом, тестовая система предлагает функционально безопасный канал связи для отправки и получения информации, связанной с безопасностью, только если все компоненты безопасности имеют активированный модуль безопасности. Если это так, то в тестовой системе также может быть предоставлена сводка по всем компонентам безопасности в качестве информации, относящейся к безопасности, между компонентами безопасности.

Компоненты безопасности могут включать в себя, например, блоки вывода для вывода информации, относящейся к безопасности, блоки ввода для ввода информации, относящейся к безопасности, силовые блоки для ввода/вывода информации, относящейся к безопасности, и т. д. Однако, компонент безопасности может только считывать относящуюся к безопасности информацию из пакетов данных и/или записывать ее в пакеты данных, когда модуль безопасности компонента безопасности активен.

Например, в качестве блоков ввода могут быть предусмотрены блоки разблокировки для разблокировки тестовой системы, или соответственно переключатели с ключом для защиты тестовой системы от посторонних лиц. Кроме того, в качестве блоков ввода могут быть предусмотрены блокирующие блоки, такие как выключатели аварийного отключения, для деактивации отдельных или всех компонентов безопасности или соответственно их функций. Аналогичным образом, пусковые выключатели могут быть предусмотрены для окончательной разблокировки измерения посредством тестовой системы.

В качестве силовых блоков в компонентах безопасности могут быть предусмотрены, например, усилители тока, усилители напряжения, «распределительные коробки», которые отключают опасные напряжения/токи и т. д. Если модуль безопасности неактивен, необходимо убедиться, что силовые блоки выключены.

В качестве блоков вывода могут быть предусмотрены предупреждающие лампы или блоки отображения для измеренных значений, при этом может отображаться цвет предупреждения (например, красный) в случае активного силового блока, и цвет готовности (например, зеленый) в случае обесточенного силового блока.

Компонент безопасности может включать в себя один или несколько блоков вывода, блоков ввода, силовых блоков или их комбинацию.

Например, компонент безопасности может инициировать аварийное отключение на основе полученной относящейся к безопасности информации в пакете данных. Это аварийное отключение снова передается как информация, связанная с безопасностью, в пакете данных, при этом другой компонент безопасности считывает эту информацию, связанную с безопасностью, и отображает сигнальную лампочку. Далее другой компонент безопасности может, например, отключить свой силовой блок. Опасное состояние силового блока компонента безопасности также может быть отправлено в виде пакета данных в качестве относящееся к безопасности информации и, в свою очередь, может быть считано и выведено. Например, определение «Hazard» в стандарте IEC 61508, предпочтительно в редакции 2.0, или в стандарте ISO 13849, предпочтительно в версии ISO 13849-1:2015, ISO 13849-2:2012, может рассматриваться как опасное.

После отправки сигнала готовности и если сигнал готовности не получен, ведущее устройство шины предпочтительно посылает сигнал аварийного отключения в пакете данных следующему предусмотренному в направлении передачи компоненту безопасности, при этом компоненты безопасности при получении сигнала аварийного отключения каждый раз деактивируют свой модуль безопасности и далее пересылают сигнал аварийного отключения в пакете данных. Если ведущее устройство шины не получает обратно свой сигнал готовности в течение запланированного цикла, оно делает вывод, что по меньшей мере один компонент безопасности имеет неактивное состояние готовности. Последующая отправка сигнала аварийного отключения может гарантировать, что все модули безопасности всех компонентов безопасности также неактивны.

После того, как контрольный сигнал шины был отправлен, и если контрольный сигнал шины не получен, ведущее устройство шины предпочтительно посылает сигнал аварийного отключения в пакете данных следующему предусмотренному в направлении передачи компоненту безопасности, при этом при получении сигнала аварийного отключения компоненты безопасности деактивируют свой модуль безопасности и далее пересылают сигнал аварийного отключения в пакете данных. Таким образом, в частности, в случае разрыва кольца и при конфигурации компонентов безопасности, при которой они всегда отправляют пакет данных, даже если они не получают пакет данных, можно гарантировать, что все модули безопасности действительно деактивированы.

Компоненты безопасности предпочтительно проводят тест безопасности и, если тест безопасности не пройден, деактивируют свое состояние готовности и отправляют сигнал аварийного отключения в пакете данных следующему предусмотренному в направлении передачи компоненту безопасности, при этом компоненты безопасности после получения сигнала аварийного отключения деактивируют свой модуль безопасности и пересылают сигнал аварийного отключения в пакете данных. Во время теста безопасности проверяются критически важные для безопасности функции компонентов безопасности. Если тест безопасности не пройден, состояние готовности и, следовательно, модуль безопасности немедленно деактивируются, а также немедленно отправляется пакет данных с сигналом аварийного отключения, чтобы как можно быстрее деактивировать все другие модули безопасности всех других компонентов безопасности.

Ведущее устройство шины предпочтительно выбирается через идентификаторы компонентов безопасности. Компонент безопасности с наименьшим идентификатором компонента предпочтительно выбирается в качестве ведущего устройства шины.

Компоненты безопасности могут отправлять идентификатор компонента с контрольным сигналом шины в пакете данных, при этом ведущее устройство шины идентифицирует компоненты безопасности по идентификаторам компонентов, полученным с контрольным сигналом шины.

Ведущее устройство шины предпочтительно пересылает идентификаторы компонентов обратно соответствующим компонентам безопасности в пакете данных, при этом компонент безопасности устанавливает свой состояние готовности как неактивное, если он не получает обратно свой идентификатор от ведущего устройства шины.

Контрольный сигнал шины, сигнал готовности, сигнал активации, сигнал аварийного отключения и т. д. могут быть отправлены ведущим устройством шины в общем пакете данных или в отдельных пакетах данных. Если контрольный сигнал шины и сигнал готовности посылаются в одном пакете данных, то при получении сигнала готовности в пакете данных посредством ведущего устройства шины можно определить, что кольцевая тестовая система все еще замкнута. Только если пакет данных также содержит сигнал готовности, когда он получен ведущим устройством шины, ведущее устройство шины может определить, что все компоненты безопасности имеют активное состоянии готовности.

Если модули безопасности активны, информация, связанная с безопасностью, также может быть отправлена через тот же пакет данных, например, контрольный сигнал шины, сигнал готовности, сигнал активации, сигнал аварийного отключения и т. д.

Настоящее изобретение поясняется далее более подробно со ссылкой на фиг.1-6, которые показывают предпочтительные конфигурации изобретения в качестве примера, схематично и без ограничений. При этом показано:

Фиг. 1 компонент безопасности,

Фиг. 2 тестовая система, состоящая из трех компонентов безопасности,

Фиг. 3 передача контрольного сигнала шины,

Фиг. 4а передача сигнала готовности, при этом компонент безопасности имеет неактивное состояние готовности,

Фиг. 4b отправка сигнала готовности, когда все компоненты безопасности имеют активное состояние готовности,

Фиг. 5 отправка сигнала активации,

Фиг. 6а разрыв кольца,

Фиг. 6b отправка сигнала аварийного отключения.

Компонент 11, 12, 13 безопасности показан на фиг.1. Компонент 11, 12, 13 безопасности имеет сигнальный вход Rx для приема пакетов DP1, DP2, DP3 данных и сигнальный выход Tx для отправки пакетов DP1, DP2, DP3 данных. Компонент 11, 12, 13 безопасности также имеет состояние r готовности, которое может быть установлено как активное или неактивное. Компонент 11, 12, 13 безопасности включает в себя модуль М безопасности, который может быть установлен активным или неактивным, но всегда устанавливается как неактивный при неактивном состоянии готовности. Однако, это не означает, что модуль безопасности M всегда должен быть установлен как активный при активном состоянии r готовности.

Компонент 11, 12, 13 безопасности циклически выполняет по меньшей мере один функциональный тест Т. Если все функциональные тесты Т пройдены успешно, состояние r готовности устанавливается как активное. Если хотя бы один функциональный тест Т не пройден, состояние r готовности устанавливается как неактивное, что означает, что модуль М безопасности также устанавливается неактивным или соответственно остается неактивным, если он уже был неактивным.

На показанных фигурах активное состояние r готовности, а также активный модуль М безопасности, в целом показано как «1», а неактивное состояние r готовности, как и неактивный модуль М безопасности, в целом показано как «0». Непройденный функциональный тест Т отображается как перечеркнутая буква Т; если функциональный тест Т прошел успешно, он отображается как Т.

На фиг.2 показана конструкция тестовой системы, состоящей из множества компонентов 11, 12, 13 безопасности, как описано со ссылкой на фиг.1. Компоненты 11, 12, 13 безопасности соединены друг с другом в виде кольцевой тестовой системы в виде кольцевой шины путем соединения сигнального входа Rx одного компонента 11, 12, 13 безопасности с сигнальным выходом Tx другого компонента 11, 12, 13 безопасности. Например, на фиг. 2 сигнальный выход Тх первого компонента 11 безопасности соединен с сигнальным входом Rx второго компонента 12 безопасности, сигнальный выход Тх второго компонента 12 безопасности соединен с сигнальным входом Rx третьего компонента 13 безопасности, а сигнальный выход Tx третьего компонента 13 безопасности соединен с сигнальным входом Rx первого компонента 11 безопасности.

Конечно, множество из трех компонентов 11, 12, 13 безопасности на показанных фигурах выбрано только в качестве примера, а тестовая система может включать в себя любое количество компонентов 11, 12, 13 безопасности.

В качестве функционального теста Т компоненты 11, 12, 13 безопасности выполняют, по меньшей мере, одну проверку циклического безошибочного приема пакета DP данных. Это можно сделать, например, с помощью проверки контрольной суммы, проверки последовательности, тайм-аута и т. д. Благодаря этой проверке того, что принятые пакеты DP данных не содержат ошибок, устанавливается так называемый Blackchannel между компонентами 11, 12, 13 безопасности.

Если в текущем цикле все функциональные тесты Т компонента 11, 12, 13 безопасности проходят успешно, состояние r готовности этого компонента 11, 12, 13 безопасности устанавливается как активное, если он еще не активен. Если модуль М безопасности и состояние r готовности уже были установлены как активные, модуль М безопасности остается активированным, до тех пор пока другая мера безопасности не деактивирует модуль М безопасности. На фиг.2 на одном из компонентов 11, 12, 13 безопасности предусмотрен только основной функциональный тест T(DP1), T(DP2), T(DP3) проверки циклического безошибочного приема пакета DP данных. Если этот функциональный тест T(DP1), T(DP2), T(DP3) не пройден, соответствующий состояние r готовности устанавливается как неактивное, если функциональный тест T(DP1), T(DP2), T(DP3) пройден успешно - что здесь означает, что "все" функциональные тесты T для каждого компонента 11, 12, 13 безопасности прошли успешно, поскольку он является единственным предусмотренным функциональным тестом T - соответствующее состояние r готовности устанавливается как активное.

В соответствии с изобретением один из компонентов 11, 12, 13 безопасности выбирается в качестве ведущего устройства BM шины, причем ведущее устройство BM шины может быть выбрано с использованием идентификатора компонента, например идентификационного номера UID, компонентов 11, 12, 13 безопасности. Например, может быть выбран компонент 11, 12, 13 безопасности с наименьшим идентификатором UID. На фиг.3 в качестве примера первый компонент 11 безопасности с UID1 выбран в качестве ведущего устройства BM шины. В соответствии с изобретением ведущее устройство BM шины проверяет, действительно ли компоненты 11, 12, 13 безопасности образуют кольцевую тестовую систему, т.е. кольцевую шину. С этой целью ведущее устройство BM шины отправляет контрольный сигнал B шины в пакете DP1 данных следующему предусмотренному в направлении передачи компоненту безопасности, в данном случае второму компоненту безопасности 12. Если существует соединение между компонентами 11, 12, 13 безопасности, контрольный сигнал B шины принимается всеми присутствующими в кольцевой шине компонентами 11, 12, 13 безопасности через сигнальный вход Rx в пакете DP1, DP2, DP3 данных и далее пересылается через сигнальный выход Tx.

Поскольку каждый компонент 11, 12, 13 безопасности, таким образом, ожидает периодический пакет DP1, DP2, DP3 данных (с контрольным сигналом B шины), (основной) функциональный тест T может заключаться в проверке того, что этот пакет DP данных принимается циклически без ошибок. Если пакет DP1, DP2, DP3 данных не принят, как ожидалось, или если проверка на наличие ошибок и, следовательно, (основной) функциональный тест Т не пройдены, соответствующий компонент 11, 12, 13 безопасности деактивирует свое состояние r готовности.

Необязательно, в этом случае компонент 11, 12, 13 безопасности может также послать сигнал N аварийного отключения в пакете DP1, DP2, DP3 данных, который пересылается далее всеми компонентами 11, 12, 13 безопасности в пакете DP1, DP2, DP3 данных, при этом все компоненты 11, 12, 13 безопасности, которые получают сигнал аварийного отключения, деактивируют свой модуль М безопасности, что представляет собой дополнительный механизм безопасности.

На фиг.3 первый компонент 11 безопасности в качестве ведущего устройства BM шины, таким образом, отправляет контрольный сигнал B шины через свой сигнальный выход Tx в пакете DP1 данных на сигнальный вход Rx второго компонента 12 безопасности. Второй компонент 12 безопасности посылает контрольный сигнал B шины в пакете DP2 данных через сигнальный выход Tx на сигнальный вход Rx третьего компонента 13 безопасности и третий компонента 13 безопасности пересылает контрольный сигнал B шины далее в пакете DP3 данных через сигнальный выход Tx на сигнальный вход Rx первого компонента 11 безопасности, который представляет собой ведущее устройство BM шины. Конечно, ведущее устройство BM шины получает контрольный сигнал B шины только тогда, когда кольцевая шина замкнута. Таким образом, ведущее устройство BM шины может гарантировать, приняв контрольный сигнал B шины, что кольцевая шина замкнута.

Компоненты 11, 12, 13 безопасности преимущественно выполнены таким образом, что каждый из них передает свой идентификационный номер UID1, UID2, UID3 вместе с контрольным сигналом B шины в пакете данных, как также показано на фиг. 3. Соответственно, ведущее устройство BM шины может быть предназначено для идентификации компонентов 11, 12, 13 безопасности с использованием идентификационных номеров UID1, UID2, UID3, полученных с контрольным сигналом B шины. Как показано на фиг. 3, второй компонент 12 безопасности принимает контрольный сигнал B шины с пакетом DP1 данных от ведущего устройства BM шины, добавляет свой идентификационный номер UID1 и передает пакет DP2 данных с контрольным сигналом B шины на третий компонент 13 безопасности, который, в свою очередь, добавляет свой идентификационный номер UID3 и передает контрольный сигнал B шины в пакете DP3 данных на первый компонент 11 безопасности, который представляет собой ведущее устройство BM шины. В пакете данных DP с контрольным сигналом B шины ведущее устройство BM шины принимает не только информацию о том, что кольцевая шина замкнута, но также идентификационные номера UID2, UID3 других компонентов 12, 13 безопасности; ведущее устройство BM шины уже знает свой собственный идентификационный номер UID1. Таким образом, компоненты 11, 12, 13 безопасности в тестовой системе известны ведущему устройству BM шины по своим идентификационным номерам UID1, UID2, UID3.

Компоненты 11, 12, 13 безопасности в дальнейшем продолжают выполнять циклические функциональные тесты T, но, по меньшей мере, основной функциональный тест T (проверка циклического безошибочного приема пакетов DP1, DP2, DP3 данных). Функциональные тесты T не показаны на фиг.3-5 по причинам наглядности.

Аналогичным образом ведущее устройство BM шины продолжает выполнять проверку замкнутой кольцевой тестовой системы, отправляя контрольный сигнал B шины.

Ведущее устройство BM шины теперь может также послать соответствующие идентификационные номера UID2, UID3 обратно соответствующим компонентам 12, 13 безопасности (не показаны). Это означает, что каждый компонент 11, 12, 13 безопасности может сам проверить, действительно ли кольцевая шина замкнута. Компоненты безопасности 12, 13 предпочтительно могут быть сконфигурированы таким образом, чтобы они устанавливали свое состояние r готовности как неактивное, если они не получают свой идентификационный номер UID2, UID3 обратно от ведущего устройства BM шины, поскольку это указывает на ошибку в кольцевой шине.

Если ведущее устройство BM шины получает контрольный сигнал B шины через свой сигнальный вход Rx (за счет чего обнаруживается замкнутая кольцевая шина) и если состояние r готовности ведущего устройства BM шины активно, то ведущее устройство BM шины через его сигнальный выход Tx передает сигнал R готовности в пакете DP данных к другому, предусмотренному в направлении передачи (здесь второй) компоненту 12 безопасности, как показано на фиг. 4a, b. При приеме пакета DP1, DP2, DP3 данных с сигналом R готовности каждый компонент 11, 12, 13 безопасности проверяет, активно ли его состояние r готовности. Если состояние r готовности неактивно, соответствующий компонент 11, 12, 13 безопасности не отправляет сигнал R готовности в пакете DP1, DP2, DP3 данных. Однако, если компонент 11, 12, 13 безопасности принимает сигнал готовности R в пакете DP данных и его состояние r готовности активно, компонент 11, 12, 13 безопасности также передает сигнал готовности R через свой сигнальный выход Tx в пакете данных на сигнальный вход Rx присоединенного к нему компонента 11, 12, 13 безопасности.

На фиг.4а предполагается, что третий компонент 13 безопасности имеет неактивное состояние r готовности. Таким образом, сигнал готовности R направляется в пакете DP1 данных от ведущего устройства BM шины ко второму компоненту 12 безопасности. Поскольку второй компонент 12 безопасности имеет активное состояние r готовности, он пересылает сигнал готовности R третьему компоненту 13 безопасности в пакете DP2 данных. Однако, третий компонент 13 безопасности имеет неактивное состояние r готовности и, следовательно, не передает сигнал готовности R в пакете DP3 данных на первый компонент 11 безопасности (здесь ведущее устройства BM шины). Таким образом, ведущее устройство BM шины делает вывод, что не все компоненты безопасности имеют активное состояние r=1 готовности.

Если ведущее устройство BM шины не получает сигнал R готовности, оно предпочтительно посылает сигнал N аварийного отключения в пакете DP1 данных (не показан), который передается компонентами 11, 12, 13 безопасности. При получении сигнала N аварийного отключения компоненты 11, 12, 13 безопасности отключают свой модуль М безопасности, если он уже не является неактивным. Это обеспечивает дополнительную меру предосторожности и гарантирует, что все модули безопасности M неактивны.

Напротив, на фиг.4b предполагается, что все компоненты 11, 12, 13 безопасности имеют активное состояние r готовности. Таким образом, сигнал R готовности направляется только в пакете DP1 данных ко второму компоненту 12 безопасности, который из-за своего активного состояния r готовности направляет сигнал R готовности в пакете DP3 данных к третьему компоненту 13 безопасности. Благодаря своему активному состоянию r готовности третий компонент 13 безопасности направляет сигнал R готовности в пакете DP3 данных к первому компоненту 11 безопасности, который представляет собой ведущее устройство BM шины. Таким образом, ведущее устройство BM шины обнаруживает, что все компоненты 11, 12, 13 безопасности имеют активное состояние r готовности, и таким образом определяет работоспособную тестовую систему. Следует отметить, что как при активном состоянии r готовности (фиг. 4b), так и при неактивном состоянии r готовности (фиг. 4a) третьего компонента 13 безопасности ведущее устройство BM шины принимает контрольный B сигнал шины в пакете DP3 данных. Это означает, что в обоих случаях имеется замкнутая кольцевая тестовая система. Если бы это было не так, то ведущее устройство BM шины не получило бы никакого пакета DP3 данных и, следовательно, никакого контрольного сигнала B шины (и, конечно, никакого сигнала R готовности и т. д.).

На фиг.5 показан случай, в котором ведущее устройство BM шины уже определило, что тестовая система готова к работе, приняв сигнал R готовности. Таким образом, ведущее устройство BM шины посылает сигнал A активации всем другим компонентам безопасности 12, 13, т. е. только в пакете DP1 данных следующему компоненту безопасности, подключенному в направлении передачи (здесь второму компоненту 12 безопасности), который, в свою очередь, пересылает далее сигнал активации А в пакете DP2 данных к следующему, подключенному в направлении передачи компоненту безопасности (здесь третий компонент 13 безопасности) и т. д. Другие компоненты 12, 13 безопасности переключают свой модуль М безопасности в активное состояние каждый раз, когда они получают сигнал A активации в пакете DP данных, что означает, что кольцеобразная тестовая система активна.

Компонентам 11, 12, 13 безопасности разрешено отправлять и принимать относящуюся к безопасности информацию М1, М2, М3 только в том случае, если модуль М безопасности соответственно активен. На фиг.5 предполагается, что все компоненты 11, 12, 13 безопасности уже получили сигнал А сигнал и продолжают получать его циклически.

Первый компонент 11 безопасности включает в себя блок ввода, например переключатель, и благодаря активному модулю М безопасности он может добавлять относящуюся к безопасности информацию М1 в пакет DP1 данных. Например, команда запуска измерения может быть указана первым компонентом 11 безопасности как относящаяся к безопасности информация M1.

Второй компонент 12 безопасности содержит силовой блок. Поскольку его модуль M безопасности активирован, второй компонент 12 безопасности может, таким образом, считывать относящуюся к безопасности информацию M1 из пакета DP1 данных, а также добавлять относящуюся к безопасности информацию M2 в пакет DP2 данных. Например, второй компонент 12 безопасности может активировать свой силовой блок на базе относящейся к безопасности информации М1, исходящей от первого компонента 11 безопасности, в виде команды запуска измерения, а также добавить относящуюся к безопасности информацию М2 в виде измеренных значений в пакет DP2 данных.

Третий компонент 13 безопасности включает в себя блок вывода, который теперь может выводить информацию М1, М2, относящуюся к безопасности, содержащуюся в пакете DP2 данных, например информацию М1, относящуюся к безопасности, исходящую от первого компонента 11 безопасности, относительно блока ввода, например команда начала измерения, или относящуюся к безопасности информацию М2, исходящую от второго компонента 12 безопасности в отношении силового блока, например, измеренное значение. Когда модуль M безопасности активирован, каждый из компонентов 11, 12, 13 безопасности может добавлять относящуюся к безопасности информацию M1, M2, M3 в пакет DP1, DP2, DP3 данных и/или считывать ее из пакета DP1, DP2, DP3 данных - в зависимости от конфигурации компонента 11, 12, 13 безопасности. Блок ввода, силовой блок и блок вывода показаны только на фиг.5 и 6а, так как модули М безопасности компонентов 11, 12, 13 безопасности активированы только здесь.

На фиг. 5, как и на фиг. 4, пакеты DP1, DP2, DP3 данных также содержат контрольный сигнал B шины и сигнал R готовности, при этом ведущее устройство BM шины продолжает контролировать замкнутую кольцевую тестовую систему, а также активное состояние готовности r всех компонентов 11, 12, 13 безопасности.

Компоненты 11, 12, 13 безопасности также могут выполнять тест S безопасности (не показан) и, если тест безопасности не пройден, деактивировать свой модуль М безопасности и посылать сигнал N аварийного отключения в пакете DP1, DP2, DP3 данных на другие компоненты 11, 12, 13 безопасности тестовой системы, которые после получения сигнала N аварийного отключения не только передают его в пакете DP1, DP2, DP3 данных, но также деактивируют свой модуль М безопасности. Таким образом, неудачный тест S безопасности немедленно приводит к отправке пакета DP1, DP2, DP3 данных с сигналом N аварийного отключения для деактивации модулей M безопасности всех компонентов 11, 12, 13 безопасности. Сигнал N аварийного отключения также может быть отправлен ведущим устройством BM шины, если ведущее устройство BM шины не получает назад на сигнальный вход Rx в пакете DP3 данных сигнал A активации, который оно отправило.

В отличие от теста S безопасности, непрохождение функционального теста T (который не является критичным для безопасности) приводит только к неактивному состоянию r готовности упомянутого компонента 11, 12, 13 безопасности. Это неактивное состояние r готовности распознается только ведущим устройством BM шины, когда оно передает и не получает сигнал R готовности. При этом другие компоненты 11, 12, 13 безопасности, чьи функциональные тесты T не прошли, могут оставаться в активном состоянии r готовности.

Разрыв кольца, то есть прерывание линии связи между вторым компонентом 12 безопасности и третьим компонентом 13 безопасности показан на фиг.6а, b. Предполагается, что разрыв кольца на фиг.6а происходит после того, как ведущее устройство BM шины приняло пакет DP3 данных, что означает, что ведущее устройство BM шины все еще не имеет индикации разрыва кольца, когда отправляется пакет DP1 данных. Таким образом, пакет DP1 данных с контрольным сигналом B шины (и здесь также сигналом готовности R, сигналом A активации и относящейся к безопасности информацией M1, M2, M3) достигает второго компонента 12 безопасности, который в этот момент времени также не обнаружил разрыв кольца и, таким образом, посылает пакет DP2 данных, который, однако не достигает третьего компонента 13 безопасности.

Третий компонент 13 безопасности сконфигурирован здесь таким образом, что он не отправляет никакого пакета DP3 данных, если он не принимает никакого пакета DP2 данных. Таким образом, циклический функциональный тест T ведущего устройства BM шины не пройден, и ведущее устройство BM шины деактивировало бы свое состояние r готовности. Таким образом, ведущее устройство BM шины устанавливает свое состояние r готовности как неактивное и посылает пакет данных DP с сигналом N аварийного отключения, чтобы деактивировать модули M безопасности всех компонентов 11, 12, 13 безопасности. Сигнал N аварийного отключения достигает второго компонента 12 безопасности в пакете DP1 данных, в результате чего модуль М безопасности второго компонента 12 безопасности деактивируется.

Если бы третий компонент 13 безопасности был сконфигурирован таким образом, что он также посылает пакет DP3 данных, если он не получает пакет DP2 данных (не показан), то основной функциональный тест Т ведущего устройства BM шины был бы успешным, в связи с чем ведущее устройство BM шины сохранило бы состояние r готовности активным. В этом случае предпочтительно, если ведущее устройство BM шины сконфигурировано таким образом, что оно отправляет сигнал N аварийного отключения, если оно не получает контрольный сигнал B шины. Однако, из-за разрыва кольца ведущее устройство BM шины по-прежнему не получило бы контрольный сигнал B шины и поэтому отправило бы сигнал N аварийного отключения в пакете DP1 данных, если бы он был сконфигурирован таким образом. В случае разрыва кольца ведущее устройство BM шины ни в коем случае не получает контрольный сигнал B шины и, таким образом, обнаруживает кольцевую тестовую систему, которая больше не замкнута (фиг. 6b).

Однако, из-за разрыва кольца второй компонент 12 безопасности не может передать сигнал N аварийного отключения третьему компоненту 13 безопасности в пакете DP2 данных. Однако, третий компонент 13 безопасности циклически выполняет, по меньшей мере, один основной функциональный тест T(DP) и ожидает для проверки, по меньшей мере, один пакет DP2 данных. Таким образом, этот функциональный тест Т не проходит, в результате чего третий компонент 13 безопасности переключает свое состояние r готовности в неактивное, в результате чего модуль М безопасности также переключается в неактивное состояние.

Таким образом, в показанной тестовой системе первый и третий компоненты 11, 12, 13 безопасности остаются с неактивным модулем безопасности M. Второй компонент 12 безопасности может иметь активное состояние r готовности при условии, что никакие соответствующие функциональные тесты T не пройдут неудачно. Однако, это возможно только в том случае, если первый компонент 11 безопасности сконфигурирован таким образом, что он отправляет пакет DP данных, даже если он не принимает пакет DP данных (например, с контрольным сигналом B шины), поскольку в противном случае основной функциональный тест T второго компонента 12 безопасности был бы не пройден.

Тестовая система может, например, простым образом дополняться дополнительными компонентами безопасности между вторым компонентом 12 безопасности и третьим компонентом 13 безопасности. В качестве альтернативы может быть применено другое расположение компонентов 11, 12, 13 безопасности или же кольцевой разрыв может быть просто замкнут.

Только когда разрыв кольца устранен, определяется ведущее устройство BM шины, как описано выше, отправляется пакет DP1, DP2, DP3 данных с контрольным сигналом B шины для обнаружения замкнутой кольцевой тестовой системы, отправляется пакет DP1, DP2, DP3 данных с сигналом готовности R, и таким образом, все компоненты 11, 12, 13 безопасности имеют активное состояние r готовности, отправляется сигнал A активации для активации модулей M безопасности компонентов 11, 12, 13 безопасности тестовой системы. Относящаяся к безопасности информация М1, М2, М3 может затем снова обмениваться между компонентами 11, 12, 13 безопасности.

Похожие патенты RU2792415C1

название год авторы номер документа
КОМПОЗИЦИЯ СВЯЗЫВАЮЩЕГО СИРОПА, СОДЕРЖАЩАЯ АЛЛЮЛОЗУ И СИРОПЫ С НИЗКИМ СОДЕРЖАНИЕМ САХАРА, ПРОДУКТЫ, СОДЕРЖАЩИЕ КОМПОЗИЦИЮ СИРОПА, И СПОСОБЫ ПОЛУЧЕНИЯ 2020
  • Икоз, Дидем
  • Парк, Мэттью
RU2812470C2
КОНТРОЛЬНО-ВЫЧИСЛИТЕЛЬНАЯ СИСТЕМА, СПОСОБ УПРАВЛЕНИЯ КОНТРОЛЬНО-ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМОЙ, А ТАКЖЕ ПРИМЕНЕНИЕ КОНТРОЛЬНО-ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ 2011
  • Кабулепа Лукуза Дидьер
  • Эренберг Торстен
  • Баумайстер Даниель
RU2585262C2
Способ передачи данных по шине, система связи для осуществления данного способа и устройство автоматической защиты для предотвращения аварийной ситуации на объекте управления 2018
RU2705421C1
СПОСОБ И УСТРОЙСТВО ДЛЯ ИЗМЕРЕНИЯ ОГРАНИЧЕНИЯ ПОТОКА ТЕКУЧЕЙ СРЕДЫ В СОСУДЕ 2011
  • Дейвиз Джастин
  • Мэйет Джамиль
RU2556782C2
СИСТЕМА ПРИЕМО-ПЕРЕДАЧИ, КОНТРОЛЯ И ОБРАБОТКИ ДАННЫХ 2012
  • Боримский Александр Цезаревич
RU2473973C1
СПОСОБ ДИФФЕРЕНЦИАЛЬНОЙ ДИАГНОСТИКИ НОВООБРАЗОВАНИЙ КОРЫ НАДПОЧЕЧНИКОВ 2015
  • Шафигуллина Зульфия Рифгатовна
  • Лисицын Александр Александрович
  • Великанова Людмила Иосифовна
  • Ворохобина Наталья Владимировна
  • Стрельникова Елена Геннадьевна
  • Объедкова Екатерина Валерьевна
  • Кривохижина Наталья Сергеевна
  • Кухианидзе Екатерина Акакиевна
  • Москвин Алексей Леонидович
  • Поваров Владимир Глебович
RU2583918C1
СПОСОБ ПОЛУЧЕНИЯ ТВЕРДОГО МАЛЬТИТА ИЗ КРАХМАЛА 2013
  • Фурлан Тициано
  • Наталони Луиджи
  • Толомелли Патрициа
RU2631825C2
СПОСОБ ПЕРИОДИЧЕСКОГО ТЕСТИРОВАНИЯ ЦИФРОВОЙ ПОДСТАНЦИИ 2015
  • Мустафин Рамиль Гамилович
RU2616497C1
УСТРОЙСТВО ДЛЯ ПРЕДОСТАВЛЕНИЯ УСЛУГ ИНТЕЛЛЕКТУАЛЬНОЙ СЕТИ 1999
  • Пирожков В.И.
  • Оськин В.А.
  • Андрианов В.В.
  • Каминский В.Г.
  • Фунтиков Д.А.
  • Горелова Л.В.
RU2156037C1
СИСТЕМА ЭЛЕКТРОННЫХ ДЕТОНАТОРОВ 2001
  • Халлин Суне
  • Вестберг Ян
  • Йенссон Элоф
RU2255303C2

Иллюстрации к изобретению RU 2 792 415 C1

Реферат патента 2023 года БЕЗОПАСНАЯ ТЕСТОВАЯ СИСТЕМА

Изобретение относится к области тестовых систем для проведения измерений на тестовом объекте. Техническим результатом является обеспечение проверки тестовой системы. Сигнальные входы (Rx) и сигнальные выходы (Tx) компонентов (11, 12, 13) безопасности соединены таким образом, что компоненты (11, 12, 13) безопасности образуют кольцевую тестовую систему с направлением передачи для пакетов (DP1, DP2, DP3) данных, при этом компоненты (11, 12, 13) безопасности в каждом случае циклически выполняют множество функциональных тестов (T), и их состояние (r) готовности устанавливается как активное при успешном прохождении функциональных тестов (T), и как неактивное, если хотя бы один из функциональных тестов (T) не пройден, при этом в качестве одного из функциональных тестов (T) проверяют циклический безошибочный прием пакета (DP) данных, и причем один из компонентов (1, 11, 12, 13) безопасности выбирают в качестве ведущего устройства (BM) шины, которое циклически отправляет контрольный сигнал (B) шины в пакете (DP1) данных к следующему предусмотренному в направлении передачи компоненту (11, 12, 13) безопасности, при этом контрольный сигнал (B) шины пересылают в каждом случае компонентами безопасности (11, 12, 13) в пакете (DP2, DP3) данных, и причем ведущее устройство (BM) шины при получении контрольного сигнала (B) шины в пакете (DP3) данных обнаруживает замкнутую кольцевую тестовую систему. 8 з.п. ф-лы, 8 ил.

Формула изобретения RU 2 792 415 C1

1. Способ проверки тестовой системы, содержащей множество (n) компонентов (11, 12, 13) безопасности, при этом компоненты (11, 12, 13) безопасности имеют в каждом случае сигнальный вход (Rx) для приема пакетов (DP1, DP2, DP3) данных и сигнальный выход (Tx) для отправки пакетов (DP1, DP2, DP3) данных, при этом на компонентах (11, 12, 13) безопасности в каждом случае предусмотрен модуль (M) безопасности, который может устанавливаться как активный или неактивный, и состояние (r) готовности, которое может устанавливаться как активное или неактивное, при этом модуль (М) безопасности компонента (11, 12, 13) безопасности устанавливается как неактивный при неактивном состоянии (r) готовности соответствующего компонента (11, 12, 13) безопасности, отличающийся тем, что сигнальные входы (Rx) и сигнальные выходы (Tx) компонентов (11, 12, 13) безопасности соединены таким образом, что компоненты (11, 12, 13) безопасности образуют кольцевую тестовую систему с направлением передачи для пакетов (DP1, DP2, DP3) данных, при этом компоненты (11, 12, 13) безопасности в каждом случае циклически выполняют множество функциональных тестов (T), и их состояние (r) готовности устанавливается как активное при успешном прохождении функциональных тестов (T), и как неактивное, если хотя бы один из функциональных тестов (T) не пройден, при этом в качестве одного из функциональных тестов (T) проверяют циклический безошибочный прием пакета (DP) данных, и причем один из компонентов (1, 11, 12, 13) безопасности выбирают в качестве ведущего устройства (BM) шины, которое циклически отправляет контрольный сигнал (B) шины в пакете (DP1) данных к следующему предусмотренному в направлении передачи компоненту (11, 12, 13) безопасности, при этом контрольный сигнал (B) шины пересылают в каждом случае компонентами безопасности (11, 12, 13) в пакете (DP2, DP3) данных, и причем ведущее устройство (BM) шины при получении контрольного сигнала (B) шины в пакете (DP3) данных обнаруживает замкнутую кольцевую тестовую систему.

2. Способ по п.1, отличающийся тем, что ведущее устройство шины (ВМ) при обнаружении замкнутой кольцевой тестовой системы циклически проверяет, активно ли его состояние (r) готовности, и при активном состоянии (r) готовности посылает сигнал (R) готовности в пакете (DP1) данных следующему находящемуся в направлении передачи компоненту (11, 12, 13) безопасности, и причем компоненты (11, 12, 13) безопасности в каждом случае при получении сигнала (R) готовности проверяют, активно ли их состояние (r) готовности, и при активном состоянии (r) готовности отправляют сигнал (R) готовности в пакете (DP2, DP3) данных к следующему предусмотренному в направлении передачи компоненту (11, 12, 13) безопасности.

3. Способ по п.2, отличающийся тем, что ведущее устройство (ВМ) шины при получении сигнала (R) готовности обнаруживает работоспособную тестовую систему и посылает сигнал (А) активации в пакете (DP1) данных следующему предусмотренному в направлении передачи компоненту безопасности (11, 12, 13), при этом компоненты (11, 12, 13) безопасности в каждом случае при получении сигнала (А) активации активируют свой модуль (М) безопасности и далее пересылают сигнал (А) активации в пакете (DP2, DP3) данных.

4. Способ по п.3, отличающийся тем, что ведущее устройство (ВМ) шины после отправки сигнала (R) готовности, и если сигнал (R) готовности не был получен, посылает сигнал (N) аварийного отключения в пакете (DP1) данных следующему предусмотренному в направлении передачи компоненту (11, 12, 13) безопасности, при этом компоненты (11, 12, 13) безопасности деактивируют их модуль (M) безопасности в каждом случае после получения сигнала (N) аварийного отключения и далее пересылают сигнал (N) аварийного отключения в пакете (DP2, DP3) данных.

5. Способ по любому из пп.1-3, отличающийся тем, что ведущее устройство (ВМ) шины после отправки контрольного сигнала (В) шины, и если контрольный сигнал (В) шины не был получен, посылает сигнал (N) аварийного отключения в пакете (DP1) данных следующему предусмотренному в направлении передачи компоненту (11, 12, 13) безопасности, при этом компоненты (11, 12, 13) безопасности деактивируют их модуль (M) безопасности в каждом случае после получения сигнала (N) аварийного отключения и далее пересылают сигнал (N) аварийного отключения в пакете (DP2, DP3) данных.

6. Способ по любому из пп.1-5, отличающийся тем, что компоненты (11, 12, 13) безопасности выполняют тест (S) безопасности, и если тест (S) безопасности не пройден, соответствующий компонент (11, 12, 13) деактивирует свое состояние (r) готовности и посылает сигнал (N) аварийного отключения в пакете (DP1, DP2, DP3) данных следующему предусмотренному в направлении передачи компоненту (11, 12, 13) безопасности, при этом компоненты (11, 12, 13) безопасности при получении сигнала (N) аварийного отключения деактивируют их модуль (M) безопасности и отправляют сигнал (N) аварийного отключения в пакете (DP1, DP2, DP3) данных.

7. Способ по любому из пп.1-6, отличающийся тем, что выбор ведущего устройства (BM) шины осуществляют посредством идентификатора (UID1, UID2, UID3) компонента упомянутых компонентов (11, 12, 13) безопасности, предпочтительно компонент (11, 12, 13) безопасности с наименьшим идентификатором (UID1, UID2, UID3) компонента выбирают в качестве ведущего устройства (BM) шины.

8. Способ по любому из пп.1-7, отличающийся тем, что компоненты (11, 12, 13) безопасности отправляют идентификатор компонента (UID1, UID2, UID3) с контрольным сигналом (B) шины в пакете (DP1, DP2, DP3) данных, причем ведущее устройство (BM) шины идентифицирует компоненты (11, 12, 13) безопасности по идентификаторам (UID1, UID2, UID3) компонентов, полученным с контрольным сигналом (B) шины.

9. Способ по п.8, отличающийся тем, что ведущее устройство шины (BM) посылает идентификаторы (UID1, UID2, UID3) компонентов обратно соответствующим компонентам (11, 12, 13) безопасности в пакете (DP1) данных и компонент (11, 12, 13) безопасности устанавливает свое состояние (r) готовности как неактивное, если он не получает свой идентификатор (UID1, UID2, UID3) обратно от ведущего устройства шины (BM).

Документы, цитированные в отчете о поиске Патент 2023 года RU2792415C1

DE 102017130167 A1, 21.06.2018
DE 102017209309 A1, 06.12.2018
EP 3151476 A1, 05.04.2017
WO 2016055307 A1, 14.04.2016
ИНТЕРФЕЙСНЫЙ БЛОК, ТРАНСПОРТИРОВОЧНАЯ СИСТЕМА И СПОСОБ КОНТРОЛЯ РАБОЧЕГО СОСТОЯНИЯ ВХОДНОЙ СХЕМЫ В СХЕМЕ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ТРАНСПОРТИРОВОЧНОЙ СИСТЕМЫ 2011
  • Каттайнен Ари
  • Хови Антти
RU2604633C2

RU 2 792 415 C1

Авторы

Нуссбаумер, Роланд

Блохер, Томас

Кукук, Маттиас

Даты

2023-03-22Публикация

2020-10-16Подача