Дублированная система управления Советский патент 1983 года по МПК H05K10/00 G05B19/418 

Изобретение относится к технике повышения эксплуатационной надежности электронного оборудования, а именно к резервированию управляющих устройств, преимущественно управляющих вычислительных машин и может быть использовано в автоматических и автоматизированных системах управления процессами и установками, в которых основное управляющее устройство задублировано резервным.

Известны резервированные системы управления, содержащие основное и резервированное управляющие устройства, выходы которых подключены к узлу функционального анализа, воздействующему на управляющий вход переключателя, коммутируемые входы которых соединены с выходами управляющих устройств, а выход переключателя - с исполнительным органом 1 и 2.

Однако эти системы управления одновременно с выполнением основной задачи осуществляют функциональный анализ управляющих сигналов на соответствие заданному критерию, что позволяет выявить неработоспособное устройство и отключить его от управления. Применение таких систем управления целесообразно только для устройств и процессов, у которых невелико количество управляемых координат, поскольку с увеличением их числа возрастает и время функционального анализа, а возникающее при этом запаздывание отрицательно влияет на качество управления.

Известна также резервированная система управления сложными процессами и объектами с множеством каналов воздействия и сигналов обратной связи.

Известная система управления содержит основное и резервное управляюидие устройства с подключенным к их сигнальным входам блок датчиков, переключающий блок, выхо которого подключен ко входу блока исполнительных органов и пульт управления, выход которого подключен к первому сигнальному входу переключающего блока 33.

Недостатком известной системы управления является нарушение ее управляющей и информационной функций при отказе основного управляющего устройства. Это нарушение возникает из-за того, что с момента появления неисправности до ее обнаружения и завершения передачи упраления резервному управляющему устрству, объект управления находится под воздействием отказавшего устройства. Нарушение управляющей и информационной функций системы управления может произойти еще и потому, что формирование сигнала Отказ осуществляет само основное управляющее устройство,а его повреждения могут быть такими, что указанный сигнал не будет сформирован. В этом случае объект управления остается подключенным к неисправному устройству до тех пор, пока по инициативе оператора не будет осуществлен переход на режим ручного управления с использованием имеющегося в системе пульта .

Цель изобретения - повышение надежности системы за счет сохранения непрерывности управляющей и информационной функций при отказе основного управляющего устройства, который проявляется в потере работоспособности одного или нескольких блоков, входящих в его состав, а именно процессора, запоминающих блоков, блока ввода или блока вывода .

Поставленная цель достигается тем, что дублированная система управления, содержащая основное и резервное управляющие устройства с подключенным к их сигнальным входам блоком датчиков, переключающий блок, выход которого-подключен к входу блока исполнительных органов, и пульт управления, выход которого подключен к первому сиг.нальному входу переключающего блок содержит генератор, индикатор, блок контроля и два блока задержки, каждый из которых включен между управляющим выходом основного и резервного управляющих устройств соответственно и соответствующим вторым сигнальным входом переключающего блока, первый вход блока контроля подключен к контрольному выходу основного управляющего устройства, второй вход - к контрольному выходу резервного управляющего устройства , а третий вход - к выходу генератора и контрольным входам основного и резервного управляющих. устройств, первый выход - к первому управляющему входу переключающего блока, а второй выход - к второму уравляющему входу .переключающего блока и входу индикатора.

Кроме того, блок контроля содержит семь элементов совпадения, четыре триггера и два . элемента НЕ;первые входы первого и второго элементов совпадения соединены с первым входом блока, а первые входы третьего и четвертого элементов совпадения соединены с вторым входом блока, третий вход которого соединен с общей шиной и первыми входами первого и второго триггеров, пятого и шестого элементов совпадения, вторыми входами второго и третьего элементов совпадения и через элементы НЕ - с вторыми входами первого и четвертого элементов совпадения, выходы первого, пятого, второго третьего четвертого и шестого элементов совпгщения подключены соответственно к первому и второму входам третьего триггера, вторым входам первого и второго триггеров и к первому и второму входам четвертого триггера, выходы первого и второго триггеров соединены соответственно с вторыми входами пятого и шестого элементов совпадения, а выход третьего триггера, являющийся первым выходом блока, и выхо четвертого триггера подключены к входам седьмого элемента совпадения выход которого соединен с вторым выходом блока.

На фиг. 1 изображена блок-схема дублированной системы управления; на фиг. 2 - график взаиморасположения сигналов генератора, а также сигналов на входе и выходе каждого из блоков задержки; на фиг. 3 структурная схема основного управляющего устройства; ,на. фиг. 4 структурная схема блокакЪнтроля, на фиг. 5.- 7 - графики сигналов, поясняющих работу блока контроля.

Дублированная система (фиг. 1) содержит основное управляющее устройство 1, резервное управляющее устройство 2, блок 3 датчиков, блок 4 исполнительных органов, переключающий блок 5, пульт 6 управления, блоки 7 и 8 задержки, генератор (периодических сигналовJ9, индикатор 10 и блок 11 контроля.

Основное управляющее устройство имеет сигнальный вход 12, управляющий выход 13, контрольный вход 14 и Контрольный выход 15.

Резервное управляющее устройство 2 имеет сигнальный вход 16, управляющий выход 17, контрольный вход 18 и контрольный выход 19.

Переключающий блок 5 располагает тремя коммутируемыми входами,20-22 а также двумя управляющими: первым 23 и вторым 24.

У блока контроля имеется первый 25, второй 26 и третий 27 входы, а также первый,28 и второй 29 выходы .

На фиг. 2 изображены сигнал 30 генератора 9, управляющий сигнал 3 поступающий с выхода 13 устройства 1 на вход блока 7 задержки, а такж сигнал 32 на выходе этого блока (сигнал, воздействующий на вход блока 8, и сигнал на его выходе полностью совпадают с сигналами 3 и 32 соответственно ). Сигналы 32 и 31 смещены во времени .t на величину задержки Т , реализуемую каждым из блоков 7 и 8, которая равна периоду следования сигналов 30.

Управляющее устройство 1, схема которого изображена на фиг. 3, содержит процессор 33, оперативный запоминающий блок 34, буферный запоминающий блок 35, блок 36 ввода, блок 37 вывода, интерфейсный блок 38 и контролер 39.

Блок 11 контроля, схема которого приведена на фиг. 4, включает первый 40, второй 41, третий 42, четвертый 43, пятый 44, шестой 45 и седьмой 46 элементы совпадения) первый 47, второй 48, третий 49 и четвертый 50 триггеры, а также элементы НЕ 51 и 52.

На фиг. 5-7 как функция времени -t , изображены следующие сигналы: сигналы 30 генератора 9; конрольные сигналы 53, формируемые устройством 1 на выходе 15(совпадают по форме и по времени с сигналами на выходе 19 устройства 2), сигналы 54 на выходе элемента 41 совпадения; сигналы 55 на выходе триггера 47,- сигнал 56 на выходе элемента 44 совпадения; сигнал 57 на выходе элемента 40 совпадения.

Принцип работы дублированной системы управления заключается в том, что одинаковые управляющие сигналы, одновременно формируемые основным и резервным управляющими, устройствами, задержи Баются в сигнальных цепях, подключеных к коммутируемым входам переключающего блока, а во время задержки осуществляется контроль работоспособности управлякхцих устройств и при необходимости - переключение коммутируемых входов.

Выполнение рабочих программ устройствами 1 и 2 сводится к формированию ими на своих выходах 13 и 17 управляющих, а на выходах 15 и 19 - контрольных сигналов, причем формирование контрольных сигналов имеет приоритет пер.ед генерацией управляющих.

Устройства 1 и 2 вырабатывают управляющие сигналы с учетом данных, поступающих .от блока 3 датчиков, соединенного с входами 12 и 16 этих устройств. Выработка управляющих сигналов устройствами 1 и 2 выполняется синфазно, причем устройство 1 транслирует управляющие сигналы со своего выхода 13 на вход 20 блока 5 через блок 7 задержки, а устройство 2 - со свое выхода 17 на вход 21 блока 5 чере блок 8 задержки. В начале работы дублированной системы выход переключающего блока 5 соединен с коммутируемым входом 20. Контроль работоспособности упра ляющих устройств 1 и 2 выполняют блок 11 контроля, анализируя контрольные сигналы этих устройств, ко торые поступают с выходов 15 и 19 соответственно на первый 25 и второй 26 входы блока 11. Формирование контрольных сигналов осущес вляется циклически, с периодом, равным периоду следования сигналов 30 генератора 9. При подтверждении работоспособности состояния управляющего ус ройства 1, что фиксируется заданной комбинацией бинарных сигналов на выходах 28 и 29 блока 11, подключенные к ним управляющие входы 23 и 24 блока 5 не возбуждаются, и сопряжение выхода этого блока со своим входом 20 не нарушается. Бла годаря этому на блок исполнительны органов 4 поступают сигналы, досто верность которых подтверждена конт ролем управляющего устройства 1, выполненным после формирования эти сигналов. Блок 4 исполнительных ор ганов воздействует в свою очередь на объект управления, включаемый между этим блоком и блоком 3 датчиков . При выявлении отказа управляющего устройства 1 на выходах 28 и 29 блока контроля возникает соот ветствующая комбинация бинарных сигналов, воспринимаемая управляющими входами 23 и 24 блока 5. В ре зультате этого блок 5 переключает свой выход на коммутируемый вход 21, после чего управление продолжа ет резервное устройство 2. В случае последующего отказа ус ройства 2, выявляемого блоком 11 контроля, последний должным образо воздействует на входы 23 и 24 переключающего блока 5 и возбуждает дикатор 10, Блок 5 подключает при этом свой выход к коммутируемому входу 22, образуя новый канал воздействия на объект управления, поз воляющий оператору продолжить управление с помощью пульта 6. Для пояснения принципа работы дублированной системы управления на фиг, 2 представлено взаиморасположение сигнала 30 генератора 9, одного из управляющих сигналов 31, воздействующего на блок 7 задержки а также соответствующего ему сигнала 32 на выходе этого блока (сиг налы на входе и выходе блока 8 экви валентны указанным ). Сигнал 30 имеет прямоугольную фо му, существует в течение времени Т и генерируется с периодом „с, равным времени задержки, которое реализует каждый из блоков 7 и 8. Время Т используется для контроля работоспособности устройств 1 и 2, а при необходимости и для передачи управления устройству 2. Из взаиморасположения сигналов 30-32 видно, что проверка работоспособности устройств 1 и 2 выполняется после того, как управляющие сигналы уже сформированы/ но еще до того, как они появляются на ны|ходе блоков 7 и 8 задержки и способны воздействовать на блок 4, а значит и на объект управления. При обнаружении отказа управляющего устройства 1 сигналы на выходе, блока 7 задержки рассматриваются как недостоверные, а в блок 4 транслируются заменяющие их достоверные сигналы с выхода блока 8 задержки. Процесс формирования управляющих и контрольных сигналов управляющим устройством 1 поясняется с помощью структурной схемы на фиг. 3 (структура и работа управляющего устройства 2 полностью эк,Бивалентны структуре и работе управляющего устройства 1, Первый сигнал, возникающий на выходе генератора 9 после его запуска воздействует на вход 14, проходит блок 36 ввода и интерфейсный блок 38, распознаётся процессором 33, после чего управляющее устройство 1 приступает к выполнению рабочей программы. Рабочая программа начинается с формирования контрольного сигнала на выходе 15,Этот сигнал формируется каждый раз после того, как на вход 14 воздействует сигнал генератора 9. Блок 36 ввода транслирует эти сигналы через интерфейсный блок 38 в контроллер 39 и процессор 33, После этого контроллер 39 устанавливает буферный запоминающий блок 35 в режим накопления информации, поступающей в него с сигнального входа 12 через блок 36 ввода и интерфейсный блок 38, При этом процессор вырабатывает контрольный сигнал, используя данные из оперативного запоминающего блока 34 и адресует этот сигнал через интерфейсный блок 38 и блок 37 вывода на контрольный выход Д5, Затем информация из буферного запоминающего блока 35, накопившаяся тем во время формирования контрольного сигнала, передается в оперативный запоминающий блок 34, в который адресуются и данные, характеризующие сигналы, продолжающие воздействовать на вход 12. Эти сигналы преобразуются блоком 36 ввода (перевод из аналоговой формы в дискретную, кодирование и т.п.) и через интерфейсный блок 38 и запоминающий блок 35 транслируются в оперативный запоминающий блок 34.

Процессор 33, взаимодействуя с блоком 34, вырабатывает управляющую информацию, которая в закодированном виде через блок 38 передается в блок 37 вывода. Этот блок преобразует принятые данные в управляющие сигналы на своем выходе 13.

Таким образом, управляющие устройства 1 и 2 с помощью рабочей программы, хранящейся в их запоминающих блоках, формируют на своих выходах управляющие и контрольные сигналы.

При формировании контрольных сигналов управляющие устройства 1 и 2 используют все свои узлы. Следовательно, контрольные сигналы параметры которых отвечают известным требованиям, свидетельствуют об исправной работе этих устройств

Контроль состояния управляющих устройств осуществляет блок 11 контроля. Работа этого блока поясняется с помощью схемы на фиг, 4 и графиков на фиг. 5-7.

Вырабатываемые управляющими устройствами 1 и 2 контрольные сигналы 53, воздействуют на входы 25 и 26 блока 11 контроля. Частота этих сигналов, как было указано выше, совпадает с частотой сигналов 30 гнератора 9, а скважность назначается такой, чтобы длительность сигнала 30 превышала длительность сигнала 53, и при этом последний должен существовать только во время существования сигнала 30,

При нормальной работе управляющего устройства 1 (фиг. 4 и 5) синал 30, воздействуя своим передним фронтом на вход триггера 47, переводит его из единичного состояния, в котором он находился до начала работы, в нулевое (график сигнала 55 ). .

Сигнал 30 генератора 9 воздействует также и на один из входов элемента 41 совпадения. Во время существования сигнала 30 на другой вход элемента 41 совпадения со стороны входа 25 поступает контрольный сигнал 53, благодаря чему высоким уровнем сигнала 54, возникающего на выходе этого элемента, тригер 47 переводится в исходное единичное состояние.

Если после этого контрольный синал 53 прекращает действовать ране чем исчезнет сигнал 30, что свидетельствует о нормальной работе управляющего устройства 1, то сигнал 56 на выходе элемента 44 совпгодени

(элемент совпадения на низкие уровни) остается в нулевом состоянии.

В нулевом состоянии остается при этом и выход элемента 40 совпадения, поскольку поступающий на него сигнал 53 и интертированный сигнал 30 не находятся одновременно в единичном состоянии.

Из сказанного следует, что если во время существования сигнала 30

0 на вход 25 воздействует сигнал 53 и его длительность меньше длительности сигнала 30, то триггер 49 не меняет своего исходного нулевого состояния. При этом на его вы5ходе, который является и первым выходом 28 блока 11, остается сиг- , нал низкого уровня, отображающий код О, характеризующий работоспособное состояние устройства 1.

На фиг. 6 представлены графики,

0 отображающие состояние узлов блока 11 контроля в случае такого отказа управляющего устройства 1, при котором контрольный сигнал 53 на его выходе 15 продолжает действовать

5 (или возникает )на участке, где сигнал 30 исчезает. В этом случае после исчезновения сигнала 30 на оба входа элемента 40 совпадения как от элемента НЕ 51, так и со

0 входа 25 поступают сигналы высокого уровня. Это определяет высокий уровень сигнала 57 (выход элемента 40 совпадения который воздействуя на триггер 49, перебрасы5вает его в единичное состояние, фиксируемое на время дальнейшей работы. В силу этого на выходе 28 возникает сигнал высокого уровня, отображающий код 1, что свидетель0ствует о неисправности устройства 1.

На фиг. 7 представлены графики сигналов узлов блока 11 контроля .при отказе управляющего устройства 1, который характерен отсутствием контрольного сигнала 53.

5

В этом случае триггер 47, перебрасываемый в нулевое состояние передним фронтом сигнала 30 (график 55), остается в этом сосгоянии и впредь. Это объясняется тем, что

0 отсутствие контрольного сигнала 53 на входе 25 предопределяет низкий уровень сигнала 54 на выходе схемы 41 совпадения. Следовательно, после окончания действия сигнала

5 30, элемент 44 совпадения на низкие уровни отреагирует изменением нулевого состояния своего выхода на единичное (график 56 ).

Благодаря этому триггер 49 бу0дет переброшен в единичное состояние и на выходе 28 зафиксируется высокий уровень сигнала, соответствующий коду 1, обозначающему неисправность основного управляющего

5 устройства 1,

Аналогично работает и другая часть схемы блока 11 контроля, симметричная рассмотренной, которая проверяет резервное управляющее устройство 2 Состояние этого устройства отображает уровень сигнала на выходе триггера 50. Низкий уровень сигнала на выходе этого триггера свидетельствует о нормальной работе устройства 2, а высокий -Об его отказе.

Сигналы триггеров 50 и 49 воздействуют соответственно на второй и первый входы элемента 46 совпадения, выход которого представляет собой второй выход 29 блока 11.

Следовательно, если на выходах 28 и 29 блока 11 контроля зафиксирован код 00,это означает, что управлягацие устройства 1 и,2работаю нормально.

Код 10 на выходах 28 и 29 свидетельствует об отказе управляющего

устройства 1 при сохранении работоспособности управлякяцим устройством 2.

В случае отказа обоих управляющих устройств 1 и 2 на выходах 28 и 29 устанавливается код 11. При этом возбуждается индикатор 10, оповещающий о необходимости продолжения управления с помощью пульта 6.

Блок 11, как существенно более простое устройство по сравнению с устройствами 1 и 2, обладает по отношению к ним повышенной надежностью, структура блока 11 допускает резервирование (например, троирование I каждого его узла. Указанные обстоятельЪтва допускают применение этого блока в качестве контрольного.

Дублированная система управления обладает повышенной надежностью по сравнению с известной и сохраняет возможность использования пульта управления как аварийного блока.

Гт

30

П

1. ДУБЛИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ, содержащая основное и резервное управляющие устройства с подключеннЕЛм к их сигнальным входам блоком датчиков, переключающий блок, выход которого подключен к входу блока исполнительных органов, и пульт управления, выход которого подключен к первому сигнальному ВХОДУ переключающего блока, отличающаяся тем, что, с целью повышения надежности системы за счет сохранения непрерывности управляющей и информационной функцией при отказе основного управляющего устройства, она содержит генератор, индикатор, блок контроля и два блока задержки, каждый из которых включен между управляющим выходом основного и резервного управляющих устройств соответственно и соответствующим вторым сигнальным входом.переключающего блока, первый вход блока контроля подключен к контрольному выходу основного управляющего устройства, второй вход - кконтрольному быходу рёзёрвного управляющего устройства, а третий вход - к выходу генератора и контрольнЕлм входам основного и резервного управляющих устройств, первый выход - к первому управляю- , щему входу переключающего блока, а второй выход - к второму управляющему входу переключающего блока и входу индикатора. 2. Система по п.1,отличающаяся тем, что блок контроля содержит семь элементов совпадения, четыре триггера и два элемента НЕ, первые входы первого и второго элементов совпадения соединены с первым входом блока, а первые входы третьего и четвертого i элементов совпадения соединены с вторым входом блока, третий вход сл которого соединен с общей шиной и первыми входами первого и второго триггеров, пятого и шестого элементов совпадения, вторыми входами второго и третьего элементов совпадения и через элементы НЕ - с вторыми входами первого и четвертого элементов совпадения, выходы первого пятого второго, третьего четвертого О5 и шестого элементов совпадения подtsD ключены соответственно к первому и СО второму входам третьего триггера, вторым входам первого и второго о триггеров и к первому и второму О) входам четвертого триггера, выходы первого и второго триггеров соединены соответственно с вторыми входами пятого и шестого элементов совпадения, а выход третьего триггера, являющийся первым выходом блока, и выход четвертого триггера подключены к входам седьмого элемента совпадения, выход которого соединен с вторым ьыходом блока.

фиг. 2

4j

J

CZ

32

-g- /

7Ji

15

л

LU

J«

36

т

f2

1

Фиг 3

п±.

гг

J

IJ

1Г

П п

л

sit

Фиг.б

.S4