Дублированная система управления

Авторы патента:

H05K10 - Способы и устройства для повышения эксплуатационной надежности электронного оборудования, например с помощью однородных резервных блоков для замены

G05B19/418 - общее управление технологическим процессом, т.е. централизованное управление множеством станков, например непосредственное или распределенное числовое управление (DNC), гибкое автоматизированное производство (FMS), интегрированные производственные системы (IMS), автоматизированные интегрированные производства (CIM)

1. ДУБЛИРОВАННАЯ СИСТЕМА УПРАВЛЕНИЯ, содержащая основное и резервное управляющие устройства с подключеннЕЛм к их сигнальным входам блоком датчиков, переключающий блок, выход которого подключен к входу блока исполнительных органов , и пульт управления, выход которого подключен к первому сигнальному ВХОДУ переключающего блока, отличающаяся тем, что, с целью повышения надежности системы за счет сохранения непрерывности управляющей и информационной функцией при отказе основного управляющего устройства, она содержит генератор, индикатор, блок контроля и два блока задержки, каждый из которых включен между управляющим выходом основного и резервного управляющих устройств соответственно и соответствующим вторым сигнальным входом.переключающего блока, первый вход блока контроля подключен к контрольному выходу основного управляющего устройства, второй вход - кконтрольному быходу рёзёрвного управляющего устройства, а третий вход - к выходу генератора и контрольнЕлм входам основного и резервного управляющих устройств, первый выход - к первому управляю- , щему входу переключающего блока, а второй выход - к второму управляющему входу переключающего блока и входу индикатора. 2. Система по п.1,отличающаяся тем, что блок контроля содержит семь элементов совпадения, четыре триггера и два элемента НЕ, первые входы первого и второго элементов совпадения соединены с первым входом блока, а первые входы третьего и четвертого i элементов совпадения соединены с вторым входом блока, третий вход сл которого соединен с общей шиной и первыми входами первого и второго триггеров, пятого и шестого элементов совпадения, вторыми входами второго и третьего элементов совпадения и через элементы НЕ - с вторыми входами первого и четвертого элементов совпадения, выходы первого пятого второго, третьего четвертого О5 и шестого элементов совпадения подtsD ключены соответственно к первому и СО второму входам третьего триггера, вторым входам первого и второго о триггеров и к первому и второму О) входам четвертого триггера, выходы первого и второго триггеров соединены соответственно с вторыми входами пятого и шестого элементов совпадения, а выход третьего триггера , являющийся первым выходом блока, и выход четвертого триггера подключены к входам седьмого элемента совпадения, выход которого соединен с вторым ьыходом блока.

СОЮЗ СОВЕТСКИХ

СОЦИАЛИСТИЧЕСКИХ .

РЕСПУБЛИК

ОПИСАНИЕ ИЗОБРЕТЕНИЯ

M ABTOPCHOMY СВИДЕТЕЛЬСТВУ

ГОСУДАРСТВЕННЫЙ КОМИТЕТ СССР

ПО ДЕЛАМ ИЗОБРЕТЕНИЙ И ОТКРЫТИЙ (21) 3492471/18-24 (22) 17.09.82 (46) 23.12.83. Бюл. 9 47 (72) Л.И.Гончаров, В.Г,Крючков, Ю.П.Охотников и И.Г.Шафир (53) 621.396 (088.8) (56) 1. Авторское свидетельство СССР

Р 128929, кл. G 06 11/00, 1959.

2. Патент США 9 40335705, кл. 318/364, опублик. 1977.

3. Авторское свидетельство СССР

9 770022337799, кл. 6 06 В 19/18, 1978 (прототип). (54)(57) 1. ДУБЛИРОВАННАЯ СИСТЕМА

УПРАВЛЕНИЯ, содержащая основное и резервное управляющие устройства с подключенным к их сигнальным входам блоком датчиков, переключающий блок, выход которого подключен к входу блока исполнительных органов, и пульт управления, выход которого подключен к первому сигнальному входу переключающего блока, отличающаяся тем, что, с целью повышения надежности системы за счет сохранения непрерывности управляющей и информационной функцией при отказе основного управляющего устройства, она содержит генератор, индикатор, блок контроля и два блока задержки, каждый из которых включен между управляющим выходом основного и резервного управляющих устройств соответственно и соответствующим вторым сигнальным входом.переключаюцего блока, первый вход блока контроля подключен к контрольному выходу основного управляющего устройства, второй вход вЂ” к контрольному Выходу резервного управляющего устройства, а третий вход вЂ” к выходу генерато.,Я0„„1062906 А

3Ш Н 05 K 10/00; G 05 В 9/03, G 05 В 19/18 ра и контрольным входам основного и резервного управляющих устройств, первый выход вЂ” к первому управляю-, щему входу переключающего блока, а второй выход вЂ” к второму управляющему входу переключающего блока и входу индикатора.

2. Система по и. 1, о т л и ч а ю щ а я с я тем, что блок контроля содержит семь элементов совпадения, четыре триггера и два элемента НЕ, первые входы первого и второго элементов совпадения соединены с первым входом блока, а первые входы третьего и четвертого элементов совпадения соединены с вторым входом блока, третий вход которого соединен с общей шиной и первыми входами первого и второго триггеров, пятого и шестого элементов совпадения, вторыми входами второго и третьего элементов совпадения и через элементы НЕ вЂ” с вторыми входами первого и четвертого элементов совпадения, выходы первого пятого второго, третьего четвертого и шестого элементов совпадения подключены соответственно к первому и второму входам третьего триггера, вторым входам первого и второго триггеров и к первому и второму входам четвертого триггера, выходы первого и второго триггеров соединены соответственно с вторыми входами пятого и шестого элементов совпадения, а выход третьего триггера, являюцийся первым выходом блока, и выход четвертого триггера подключены к входам седьмого элемента совпадения, выход которого соединен с вторым выходом блока.

1062906

Изобретение относится к технике повышения эксплуатационной надежности электронного оборудования, а именно к резервированию управляющих устройств, преимущественно управляющих вычислительных машин и может быть использовано в автоматических и автоматизированных системах управления процессами и установками, в которых основное управляющее устройство задубли- 10 ровано резервным.

Известны резервированные системы управления, содержащие основное и резервированное управляющие устройства, выходы которых подключены к узлу функционального анализа, воздействующему на управляющий вход переключателя, коммутируемые входы которых соединены с выходами управляющих устройств, а о выход переключателя вЂ” c исполнительным органом (1 3 и,"2 ).

Однако эти системы управления одновременно с выполнением основной задачи осуществляют функциональный анализ управляющих сигналов на соответствие заданному критерию, что позволяет выявить неработоспособное устройство и отключить его от управления. Применение таких систем управления целесообразно только для устройств и процессов, у которых невелико количество управляемых координат, поскольку с увеличением их числа возрастает и время функционального анализа, а возникающее при этом запаздывание отрицательно влияет на качество управления.

Известна также резервированная система управления сложными про- 40 цессами и объектами с множеством каналов воздействия и сигналов обратной связи.

Известная система управления содержит основное и резервное уп- 45 равляющие устройства с подключенным к их сигнальным входам блоком датчиков, переключающий блок, выход которого подключен ко входу блока исполнительных органов и пульт уп- g() равления, выход которого подключен к первому сигнальному входу переключающего блока (33 °

Недостатком известной системы управления является нарушение ее управляющей и информационной функций при отказе основного управляющего устройства. Это нарушение возникает из-за того, что с момента появления неисправности до ее обнаружения и завершения передачи управ- ления резервному управляющему устройству, объект управления находится под воздействием отказавшего устройства ° Нарушение управляющей и информационной функций системы управления может произойти еще и потому, что формирование сигнала

"Отказ" осуществляет само основное управляющее устройство,а его повреждения могут быть такими, что указанный сигнал не будет сформирован. B этом случае объект управления остается подключенным к неисправному устройству до тех пор, пока по инициативе оператора не будет осуществлен переход на режим ручного управления с использованием имеющегося в системе пульта.

Цель изобретения вЂ” повышение надежности системы за счет сохранения непрерывности управляющей и информационной функций при отказе основного управляющего устройства, который проявляется в потере работоспособности одного или нескольких блоков, входящих в его состав, а именно процессора, запоминающих блоков, блока ввода или блока вывЂ” вода.

Поставленная цель достигается тем, что дублированная система управления, содержащая основное и резервное управляющие устройства с подключенным к их сигнальным входам блоком датчиков, переключающий блок, выход которого. подключен к входу блока исполнительных органов, и пульт управления, выход которого подключен к первому сигнальнбму входу переключающего блока, содержит генератор, индикатср, блок контроля и два блока задержки, каждый из которых включен между управляющим выходом основного и резервного управляющих устройств соответственно и соответствующим вторым сигнальным входом переключающего блока, первый вход блока контроля подключен к контрольному выходу основного управляющего устройства, второй вход вЂ” к контрольному выходу резервного управляющего устройства, а третий вход вЂ” к выходу генератора и контрольным входам основного и резервного управляющих. устройств, первый выход вЂ” к первому управляющему входу переключающего блока, а второй выход вЂ” к второму управляющему входу переключающего блока и входу индикатора.

Кроме того, блок контроля содержит семь элементов совпадения, четыре триггера и два элемента НЕ,первые входы первого и второго элементов совпадения соединены с первым входом блока, а первые входы третьего и четвертого элементов совпадения соединены с вторым входом блока, третий вход которого соединен с общей шиной и первыми входами первого и второго триггеров, пятого и шестого элементов совпадения, вто1062906 рыми входами второго и третьего элементов совпадения и через элементы HE вЂ” с вторыми входами первого и четвертого элементов совпадения, выходы первого, пятого, второго третьего четвертого и шестого элементов совпадения подключены соответственно к первому и второму входам третьего триггера, вторым .входам первого и второго триггеров и к первому и второму входам четвертого триггера, выходы первого и второго триггеров соединены соответственно с вторыми входами пятого и шестого элементов совпадения, а выход третьего триггера, являющийся первым выходом блока, и выход четвертого триггера подключены к нходам седьмого элемента совпадения выход которого соединен с вторым выходом блока.

На фиг. 1 изображена блок-схема дублированной системы управления; на фиг. 2 вЂ” график взаиморасположения сигналов генератора, а также сигналов на. входе и выходе каждого из блоков задержки; на фиг. 3 структурная схема основного управляющего устройства;,на фиг. 4 структурная схема блока контроля, на фиг. 5 вЂ” 7 вЂ” графики сигналов, поясняющих работу блока контроля.

Дублированная система (фиг. 1) содержит основное управляющее уст- . ройство 1, резервное управляющее устройство 2, блок 3 датчиков, блок 4 исполнительных органов, переключающий блок 5, пульт 6 управления, блоки 7 и 8 задержки, генератор (периодических сигналов )9, индикатор 10 и блок 11 контроля.

Основное управляющее устройство 1 имеет сигнальный вход 12, управляющий выход 13, контрольный вход

14 и контрольный выход 15.

Резервное управляющее устройство

2 имеет сигнальный вход 16, управляющий выход 17, контрольный вход

18 и контрольный выход 19.

Переключающий блок 5 располагает тремя коммутируемыми входами,20-22, а также двумя управляющими: первым

23 и вторым 24.

У блока контроля имеется первый

25, второй 26 и третий 27 входы, а также первый,28 и второй 29 выходы, На фиг. 2 изображены сигнал 30 генератора 9, управляющий сигнал 31, поступающий с выхода 13 устройства

1 на вход блока 7 задержки, а также сигнал 32 на выходе этого блока (сигнал, воздействующий на вход блока 8, и сигнал на его выходе полностью совпадают с сигналами 31 и 32 соответственно ). Сигналы 32 и 31 смещены во времени . на ве10

65 личину задержки ., реализуемую каждым из блоков 7 и 8, которая равна периоду следования сигналон 30.

Управляющее устройство 1, схема которого изображена на фиг. 3, содержит процессор 33, оперативный запоминающий блок 34, буферный запоминающий блок 35, блок 36 ввода, блок 37 вывода, интерфейсный блок 30 и контролер 39.

Блок 11 контроля, схема которого принедена на фиг. 4, включает первый 40, второй 41, третий 42, четвертый 43, пятый 44, шестой 45 и седьмой 46 элементы совпадения; первый 47, второй 48, третий 49 и четвертый 50 триггеры, а также элементы HE 51 и 52.

На фиг. 5-7 как функция времени t, изображены следующие сигналы: сигналы 30 генератора 9; контрольные сигналы 53, формируемые устройством 1 на ныходе 15(совпадают по форме и по времени с сигналами на выходе 19 устройства 2), сигналы 54 на выходе элемента 41 совпадения; сигналы 55 на выходе триггера 47; сигнал 56 на выходе элемента 44 совпадения; сигнал 57 на выходе элемента 40 совпадения.

Принцип работы дублированной системы управления заключается и том, что одинаковые управляющие сигналы, одновременно формируемые основньм и резервным управляющими устройствами, задержи ваются н сигнальных цепях, подключеных к коммутируемым входам переключающего блока, а во время задержки осуществляется контроль работоспособности управляющих устройств и при необходимости вЂ” переключение коммутируемых входов °

Выполнение рабочих программ устройствами 1 и 2 сводится к формированию ими на своих выходах

13 и 17 управляющих, а на выходах

15 и 19 вЂ” контрольных сигналов, причем формирование контрольных сигналов имеет приоритет перед генерацией управляющих.

Устройства 1 и 2 вырабатывают управляющие сигналы с учетом данных,. поступающих .от блока 3 датчикон, соединенного с входами 12 и 16 этих устройств. Выработка управляющих сигналов устройствами

1 и 2 выполняется синфазно, причем устройство 1 транслирует управляющие сигналы со своего :выхода 13 на вход 20 блока 5 через блок 7 задержки, а устройство 2 вЂ” со своего выхода 17 на вход 21 блока 5 через. блок 8 задержки. В начале работы дублированной системы выход переключающего блока 5 соединен с коммутируемым входом 20.

1062906

Для пояснения принципа работы дублированной системы управления на фиг. 2 представлено взаиморасположение сигнала 30 генератора 9, одного из управляющих сигналов 31, воздействующего на блок 7 задержки, а также соответствующего ему сигнала 32 на выходе этого блока (сигналы на входе и выходе блока 8 эквивалентны укаэанным ). 60

Сигнал 30 имеет прямоугольную форму, существует в течение времени Т и генерируется с периодом :, равным времени задержки, которое реализует кажцый из блоков 7 и 8. 65

Контроль работоспособности упранляющих устройств 1 и 2 выполняют блок 11 контроля, анализируя контрольные сигналы этих устройств, которые поступают с выходов 15 и 19 соответстненно на первый 25 и второй 26 нходы блока 11. Формирование контрольных сигналон осуществляется циклически, с периодом, равным периоду следонания сигналов 30 генератора 9.

При подтверждении работоспособности состояния управляющего устройства 1, что фиксируется заданной комбинацией бинарных сигналов на выходах 28 и 29 блока 11, подключенные к ним упранляющие входы

23 и 24 блока 5 не возбуждаются, и сопряжение выхода этого блока со своим входом 20 не нарушается. Благодаря этому на блок исполнительных 20 органов 4 поступают сигналы, достоверность которых подтверждена контролем управляющего устройства 1, выполненным после формирования этих сигналов. Блок 4 исполнительных ор- 25 ганов воздействует в свою очередь на объект управления, включаемый между этим блоком и блоком 3 датчиков.

При выявлении отказа управляю- 30 щего устройства 1 на выходах 28 и 29 блока контроля возникает соответствующая комбчнация бинарных сигналов, воспринимаемая управляющими входами 23 и 24 блока 5. В результате этого блок 5 переключает свой выход на коммутируемый вход

21, после чего управление продолжает резервное устройство 2.

В случае последующего отказа устройстна 2, выявляемого блоком 11 контроля, последний должным образом воздействует на входы 23 и 24 переключающего блока 5 и возбуждает индикатор 10, Блок 5 подключает при этом свой выход к коммутируемому 45 входу 22, образуя новый канал ноздейстния на объект управления, позволяющий оператору продолжить управление с помощью пульта 6.

Время Т используется для контроля работоспособности устройстн

1 и 2, а при необходимости и для передачи управления устройству 2.

Из взаиморасположения сигналов

30-32 видно, что пронерка работоспособности устройств 1 и 2 выполняется после того, как управляющие сигналы уже сформированы-; но еще до того, как они появляются на ны ходе блоков 7 и 8 задержки и способны воздействовать на блок 4, а значит и на объект управления.

При обнаружении отказа управляющего устройства 1 сигналы на ныходе. блока 7 задержки рассматриваются как недостоверные, а в блок 4 транслируются заменяющие их достоверные сигналы с выхода блока 8 задержки.

Процесс формирования управляющих и контрольных сигналов управляющим устройством 1 поясняется с помощью структурной схемы на фиг. 3 (структура и работа управляющего устройства 2 полностью эквивалентны структуре и работе унравляющего устройства 1).

Первый сигнал, возникающий на ныходе генератора 9 после его запуска воздействует на вход 14, проходит блок 36 ввода и интерфейсный блок 38, распознается процессором 33, после чего управляющее устройство 1 приступает к выполнению рабочей программы.

Рабочая программа начинается с формирования контрольного сигнала на выходе 15.Этот сигнал формируется каждый раз после того, как на вход 14 воздействует сигнал генератора 9. Блок 36 ввода транслирует эти сигналы через интерфейсный блок 38 в контроллер 39 и процессор 33. После этого контроллер 39 устанавливает буферный запоминающий блок 35 в режим накопления информации, поступающей в него с сигнального входа 12 через блок 36 ввода и интерфейсный блок

38. При этом процессор вырабатывает контрольный сигнал, используя данные из оперативного запоминающего блока 34 и адресует этот сигнал через интерфейсный блок 38 и блок 37 вывода на контрольный выход 15. Затем информация из буферного запоминающего блока 35, накопицшаяся тем во время формирования контрольного сигнала, передается в оперативный запоминающий блок 34, в который адресуются и данные, характеризующие сигналы, продолжающие воэдейстновать на нход 12. Эти сигналы преобразуются блоком Зб ввода (перевод из аналоговой формы в дискретную, ко1062906

20 дирование и т.п.) и через интерфейсный блок 38 и запоминающий . блок 35 транслируются в оперативный запоминающий блок 34.

Процессор 33, взаимодействуя с блоком 34, вырабатывает управляющую информацию, которая в закодированном виде через блок 38 передается в блок 37 вывода. Этот блок преобразует принятые данные в управляющие сигналы на своем выходе 13.

Таким образом, управляющие устройства 1 и 2 с помощью рабочей программы, хранящейся в их запоминающих блоках, формируют на своих выходах управляющие и контрольные сигналы.

При формировании контрольных сигналов управляющие устройства

1 и 2 используют все свои узлы.

Следовательно, контрольные сигналы, параметры которых отвечают известным требованиям, свидетельствуют об исправной работе этих устройств.

Контроль состояния управляющих устройств осуществляет блок 11 контроля. Работа этого блока поясняется с помощью схемы на фиг. 4 и графиков на фиг. 5-7.

Вырабатываемые управляющими устройствами 1 и 2 контрольные сигналы 53, воздействуют на входы 25 и

26 блока 11 контроля. Частота этих сигналов, как было указано выше, совпадает с частотой сигналов 30 генератора 9, а скважность назначается такой, чтобы длительность сигнала 30 превышала длительность сигнала 53, и при этом последний должен существовать только во время существования сигнала 30.

При нормальной работе управляющего устройства 1 (фиг. 4 и 5) сигнал 30, воздействуя своим передним фронтом на вход триггера 47, переводит его из единичного состояния, в котором он находился до начала работы, в нулевое (график сигнала 55 ).

Сигнал 30 генератора 9 воздействует также и на один из входов элемента 41 совпадения. Во время существования сигнала 30 на другой вход элемента 41 совпадения со стороны входа 25 поступает контрольный сигнал 53, благодаря чему высоким уровнем сигнала 54, возникающего на выходе этого элемента, триггер 47 переводится в исходное единичное состояние.

Если после этого контрольный сигнал 53 прекращает действовать ранее, чем исчезнет сигнал 30, что свидетельствует о нормальной работе управляющего устройства 1, то сигнал

56 на выходе элемента 44 совпадения

65 (элемент совпадения на низкие уровни ) остается в нулевом состоянии.

В нулевом состоянии остается при этом и выход элемента 40 совпадевЂ” ния, поскольку поступающий на него сигнал 53 и интертированный сигнал

30 не находятся одновременно в единичном состоянии.

Из сказанного следует, что если во время существования сигнала 30 на вход 25 воздействует сигнал 53 и его длительность меньше длительности сигнала 30, то триггер 49 не меняет своего исходного нулевого состояния. При этом на его выходе, который является и первым выходом 28 блока 11, остается сигнал низкого уровня, отображающий код "0", характеризующий работоспособное состояние устройства 1.

На фиг. 6 представлены графики, отображающие состояние узлов блока

11 контроля в случае такого отказа управляющего устройства 1, при ковЂ” тором контрольный сигнал 53 на его выходе 15 продолжает действовать (или возникает ) на участке, где сигнал 30 исчезает. В этом случае после исчезновения сигнала 30 на оба входа элемента 40 совпадения как от элемента НЕ 51, так и со входа 25 поступают сигналы высокого уровня. Это определяет высокий уровень сигнала 57 (выход элемента 40 совпадения который воздействуя на триггер 49, перебрасывает его в .единичное состояние, фиксируемое на время дальнейшей работы. В силу этого на выходе 28 возникает сигнал высокого уровня, отображающий код "1", что свидетельствует о неисправности устройства 1.

На фиг. 7 представлены графики сигналов узлов блока 11 контроля .при отказе управляющего устройства 1, который характерен отсутствием контрольного сигнала 53.

B этом случае триггер 47, перебрасываемый в нулевое состояние передним фронтом сигнала 30 (график 55), остается в этом сосТоянии и впредь. Это объясняетсч тем, что отсутствие контрольного сигнала

53 на входе 25 предопределяет низкий уровень сигнала 54 на выходе схемы 41 совпадения. Следовательно, после окончания действия сигнала

30, элемент 44 совпадения на низкие уровни отреагирует изменением нулевого состояния своего выхода на единичное (график 56.).

Благодаря этому триггер 49 будет переброшен в единичное состояние и на выходе 28 зафиксируется высокий уровень сигнала, соответствующий коду "1", обозначающему неисправность основного управляющего устройства 1.

1062906

Аналогично работает и другая часть схемы блока 11 контроля, симметричная рассмотренной, которая проверяет резервное управляющее устройство 2 Состояние этого устройства отображает уровень сигнала на выходе триггера 50. Низкий уровень сигнала на выходе этого триггера свидетельствует о нормальной работе устройства 2, а высокий .об его отказе.

Сигналы триггеров 50 и 49 воздействуют соответственно на второй и первый входы элемента 46 совпадения, выход которого представляет собой второй выход 29 блока 11.

Следовательно, если на выходах

28 и 29 блока 11 контроля зафиксирован код "00",это означает, что управляющие устройства 1и.2работают нормально.

Код "10" на выходах 28 и 29 свидетельствует об отказе управляющего устройства 1 при сохранении работоспособности управляющим устройством 2.

В случае отказа обоих управляющих устройств 1 и 2 на выходах 28 и 29

5 устанавлив ется код 11 . При этом возбуждается индикатор 10, оповещающий о необходимости продолжения управления с помощью пульта 6.

Блок 11, как существенно более простое устройство по сравнению с устройствами 1 и 2, обладает по отношению к ним повышенной надежностью, структура блока 11 допускает резервирование (например, троиро15 ванне ) каждого его узла. Укаэанные обстоятельства допускают применение этого блока в качестве контрольного.

Дублированная система управления обладает повыщенной надежностью по сравнению с известной и сохраняет возможность использования пульта управления как аварийного блока.

1062906

50 (Ри2. 7

Составитель И.ШаФИР

Р дактор Г.Волкова ТехредЖ.Кастелевич Корректор О.Тигор

Заказ 10269/60 Тираж 845 Подписное

ВНИИПИ Государственного комитета СССР по делам .изобретений и открытий

113035, Москва, Ж-35, Раушская наб., д. 4/5

Филиал "Цатент", r. ужгород ул. Проектная, 4