[发明专利]一种危险失效的同步逻辑诊断方法

权利要求书

1.一种危险失效的同步逻辑诊断方法，其特征在于：在安全控制器的逻辑解算系统的输入端和输出端并联上同步诊断检测逻辑系统；同步诊断检测逻辑系统的同步诊断逻辑控制器在安全控制系统的扫描时序周期内插入一个同步检测时序片段，在此片段内于逻辑解算系统的输入端注入一组危险信号，并同步地检测逻辑解算系统的输出信号是否为期望的故障输出值，来诊断检测逻辑解算系统是否存在危险失效，只有系统响应了危险信号的输入，逻辑解算输出能使控制系统进入安全保护状态的信号，证明解算系统没有危险失效的风险，否则诊断系统则输出危险故障报警信号，关停安全控制器，进入安全保护状态，达到对逻辑解算系统危险失效的诊断目的。

2.根据权利要求1所述的一种危险失效的同步逻辑诊断方法，其特征在于实现诊断方法的故障同步诊断逻辑架构为：传输信号i连接到信号开关耦合器（K1）的一路输入端（1），同步诊断控制器的诊断信号输出端输出的危险信号e连接到信号开关耦合器（K1） 的另一路输入端（2），同步诊断控制器的控制信号输出端输出的诊断控制信号d连接到开关耦合器（K1）的控制端（3），开关耦合器（K1）输出端（4）连接到逻辑解算器（L1）的输入端（1），逻辑解算器（L1）的输出端（2）一路连接信号比较器（C1）的输入端（1），逻辑解算器（L1）的输出端（2）另一路输出信号f（i）；信号比较器（C1）的另一路输入端（2）连接同步诊断控制器的解算输出信号Fe，比较器（C1）的输出端（3）连接同步诊断控制器的诊断信号输入端c；同步诊断控制的CBUS端连接安全控制器的指令总线，EBUS端连接安全控制器的故障总线。

3.根据权利要求2所述的一种危险失效的同步逻辑诊断方法，其特征在于：同步诊断控制器通过CBUS获得安全控制器的扫描运算周期Ts时序，在周期Ts内插入诊断控制周期Td，在非诊断周期Ts - Td时，诊断控制器不输出控制信号d和危险信号e，信号开关耦合器（K1）把传输信号i连接到逻辑解算器（L1）的一路输入端，进行正常的逻辑解算f（i），这是安全控制器的逻辑运算常态；在诊断周期Td内，同步诊断控制器输出切换控制信号d和危险信号e，信号开关耦合器（K1）把危险信号e切换到逻辑解算器（L1）的输入进行诊断解算f（e），比较器（C1）把逻辑解算器（L1）的解算信号f（e）和同步诊断控制器内部的同步解算信号值Fe进行比较，结果由比较器输出端输出至诊断控制器的诊断信号输入端c，如果比较的结果为期望的解算结果f（e）=Fe，则安全控制器的解算系统无危险失效故障；否则，安全控制器有危险失效故障，诊断控制器通过EBUS向安全控制器发出危险失效信号。

4.根据权利要求1所述的一种危险失效的同步逻辑诊断方法，其特征在于信号的传输安全完整性及其同步检测方法的逻辑架构为：传输信号i在传输起始端连接到信号开关耦合器（K1）的一路输入端（1），同步诊断控制器的诊断信号输出端输出的危险信号e连接到信号开关耦合器（K1）的另一路输入端（2），同步诊断控制器的控制信号输出端输出的诊断控制信号d连接到开关耦合器（K1）的控制端（3），开关耦合器（K1）的输出端（4）连接传输信号i的传输路径（L1）的传输起始端（1），传输路径（L1）的传输终点端（2）一路连接信号比较器（C1）的一路输入端（1）；传输路径（L1）的传输终点端（2）另一路直接输出传输信号i；信号比较器（C1）的另一路输入端（2）连接同步诊断控制器输出的危险信号e，比较器（C1）的输出端（3）连接同步诊断控制器的诊断信号输入端c；同步诊断控制的CBUS端连接安全控制器的指令总线，EBUS端连接安全控制器的故障总线。

5.根据权利要求4所述的一种危险失效的同步逻辑诊断方法，其特征在于：同步诊断控制器通过CBUS获得安全控制器的扫描运算周期Ts时序，在周期Ts内插入诊断控制周期Td，在非诊断周期Ts - Td时，诊断控制器不输出控制信号d和危险信号e，信号开关耦合器（K1）把传输信号i通过传输路径（L1）向后级传输，这是安全控制器的常态；在诊断周期Td内，同步诊断控制器输出切换控制信号d和危险信号e，信号开关耦合器（K1）把危险信号e通过传输路径（L1）输入比较器（C1）与同步诊断控制器输出的危险信号e进行比较，结果由比较器（C1）输出端（3）输出至诊断控制器的诊断信号输入端c，如果比较的结果为期望的解算结果，则安全控制器的解算系统无危险失效故障；否则，安全控制器有危险失效故障，诊断控制器通过EBUS向安全控制器发出危险失效信号。