контрольно-командная система защиты
Классы МПК: | G05B23/00 Испытания и контроль систем управления или их элементов |
Автор(ы): | Жан-Поль Фретти (FR), Жозе Йепез (FR), Даниель Перез (FR), Мишель Прюнье (FR), Кристиан Дюо (FR) |
Патентообладатель(и): | Мерлэн Жерэн (FR) |
Приоритеты: |
подача заявки:
1994-01-06 публикация патента:
20.08.1999 |
Изобретение относится к системам управления технологическими процессами. Технический результат заключается в повышении надежности, который достигается за счет того, что контрольно-командная система защиты содержит управляющую схему, дублирующую работу главного органа коммутации в случае его повреждения. Управляющая схема, обнаружив такое повреждение, подает на выход анализирующего устройства сигналы, аналогичные входным сигналам системы, и подает эти сигналы на выход системы через вспомогательный орган коммутации, которым она управляет. Схема управления также контролирует правильное функционирование автоматов, соединенных на входе системы, и сама себя автотестирует. 9 з.п. ф-лы, 4 ил.
Рисунок 1, Рисунок 2, Рисунок 3, Рисунок 4
Формула изобретения
1. Контрольно-командная система защиты, содержащая два входа (En, Es), соединенные с выходами рабочего канала и аварийного канала, причем сигналы, выдаваемые рабочим и аварийным каналами, идентичны при нормальной работе, главный орган коммутации, предназначенный для выборочного соединения одного из входов (En, Es) с выходом (Sо) системы, и управляющую схему, отличающаяся тем, что управляющая схема снабжена первым (E1), вторым (E2) и третьим (E3) входами, соответственно соединенными с входами (En, Es) и с выходом (Sо) системы, ответным выходом (R), соединенным с выходом (Sо) системы через вспомогательный орган коммутации, при этом управляющая схема содержит микропроцессор, соединенный с входами (E1, E2, E3) и с ответным выходом (R), предназначенный для закрывания вспомогательного органа коммутации и открывания главного органа коммутации в случае сбоя главного органа коммутации. 2. Система по п.1, отличающаяся тем, что управляющая схема предназначена для подачи на ответный выход (R) сигналов, аналогичных сигналам на входе (En) в случае сбоя главного органа коммутации. 3. Система по п.1 или 2, отличающаяся тем, что управляющая схема снабжена схемой запоминания, соединенной с ответным выходом (R). 4. Система по одному из пп.1 - 3, отличающаяся тем, что управляющая схема снабжена логическим интерфейсом, который совместно с микропроцессором и схемой запоминания предназначены в случае повреждения рабочего и аварийного каналов для подачи на ответный выход (R) сигналов, аналогичных сигналам, подаваемым на входы (En, Es) системы в момент, предшествующий обнаружению повреждения, и обеспечения закрытия вспомогательного органа коммутации и открытия главного органа коммутации. 5. Система по одному из пп.1 - 3, отличающаяся тем, что управляющая схема снабжена входом (E4) и логическим интерфейсом, которые совместно с микропроцессором и схемой запоминания предназначены в случае повреждения рабочего и аварийного каналов для подачи на ответный выход (R) сигналов, подаваемых на вход (E4) управления ручными и/или дистанционными средствами управления для последующего закрытия вспомогательного органа коммутации и открытия главного органа коммутации. 6. Система по п.4 или 5, отличающаяся тем, что управляющая схема содержит средства обнаружения некогерентности между сигналами, подаваемыми на первый и второй входы (En, Es) системы. 7. Система по одному из пп.4 - 6, отличающаяся тем, что управляющая схема снабжена по меньшей мере четвертым входом (CGn, CGs) для подачи сигналов, характерных для нормального функционирования соответственно рабочего и аварийного каналов, связанным с микропроцессором для анализа сигналов (CGn, CGs). 8. Система по п. 3, отличающаяся тем, что управляющая схема содержит средства для постепенного изменения сигналов, характерных для положения анализа, до открытия вспомогательного органа коммутации и закрытия главного органа коммутации и для постепенного приведения сигналов, характерных для положения анализа, к величинам, аналогичным величинам входных сигналов (En, Es), подаваемых в систему. 9. Система по одному из пп.4 - 7, отличающаяся тем, что управляющая схема содержит сторожевое устройство, которое совместно с логическим интерфейсом предназначено для автоматического управления коммутацией главным органом коммутации на выходе рабочего канала в случае обнаружения повреждения управляющей схемы. 10. Система по п.9, отличающаяся тем, что управляющая схема, содержащая микропроцессор и логический интерфейс, снабжена логическими схемами, входы которых предназначены для приема управляющих сигналов, выдаваемых микропроцессором, и сигналов (CGn, CGu), соответственно характерных для правильного функционирования рабочего канала и микропроцессора, при этом названные логические схемы предназначены для выдачи контрольных сигналов (S1, S2, S3) основного и вспомогательного органов коммутации.Описание изобретения к патенту
Изобретение касается контрольно-командной системы защиты, имеющей два входа, соединенных с выходами рабочего и аварийного канала, при этом сигналы, выдаваемые рабочим и аварийным каналами, идентичны при нормальной работе основных средств связи, предназначенных для выборочного соединения одного из входов с выходом системы, и средств управления, названных средствами коммутации /переключения/. Контрольно-командные системы, используемые для увеличения процессами, в частности, для управления режимами работы электростанции, должны надежно контролировать приводы. Обычно это осуществляется с помощью системы, тип которой схематично показан на фиг. 1. Два автомата 1 и 2, соответственно представляющие собой рабочий канал /N/ и аварийный /S/, используются с резервированием. Входы двух автоматов соединены с одним и тем же показанным устройством управления таким образом, чтобы выдавать на выходе избыточные, идентичные сигналы, подаваемые на два входа En и Es контрольно-командной системы. Она имеет единственный выход So, соединенный с одним или несколькими /не показанными/ управляемыми приводами. Главный орган коммутации 3 позволяет выборочно соединять один из входов En и Es с выходом So. При нормальной работе сигнал, подаваемый на вход En через рабочий канал, передается на выход So. Повреждение рабочего канала N, обнаруживаемое им, вызывает на выходе сторожевого устройства возникновение сигнала CGn, который управляет перебросом органа коммутации 3 так, чтобы передавать на выход So информацию, обеспечиваемую аварийным каналом S. В такой системе не учитываются повреждения ни сторожевого устройства рабочего канала, ни органа коммутации. В других известных контрольно-командных системах применяется схема мажоритарной выборки, входы которой соединены хотя бы с тремя зарезервированными каналами. Схема мажоритарной выборки 2/3, например, сравнивает сигналы, подаваемые на ее три входа и передает на выходе только сигналы, соответствующие сигналам, подаваемым хотя бы на два из ее входов. Для предотвращения выхода из строя схемы мажоритарной выборки можно использовать две зарезервированных схемы. Естественно, при этом система становится более сложной и дорогостоящей. В основу изобретения положена задача усовершенствования готовности контрольно-командных систем типа, представленного на фиг. 1. при обеспечении надежности ее функционирования в оптимальном режиме. Согласно изобретению эта задача решается за счет того, что средства управления содержат первый, второй и третий входы, соответственно соединенные со входами и с выходом системы, выход анализирующего устройства /ответный выход/, соединенный с выходом системы через вспомогательные средства коммутации, управляемые названными средствами управления, и средства тестирования /проверки/ основных средств коммутации, соединенных со входами средств управления и вызывающих закрытие вспомогательных средств коммутации и открытие основных средств коммутации средствами управления в случае обнаружения неисправности средств коммутации. Чаще всего средства управления подают на выход анализирующего устройства сигналы, характерные для сигналов, подаваемых на свой первый вход в случае повреждения основных средств коммутации. В предпочтительном примере выполнения изобретения средства управления содержат средства запоминания сигналов, характерных для положения анализа, соединенных с выходом анализирующего устройства. Для повышения готовности системы средства управления содержат средства, предназначенные в случае повреждения рабочего и аварийного каналов вызвать подачу на выход анализирующего устройства сигналов, характерных для сигналов, подаваемых на входы системы в момент, предшествующий обнаружению неисправности, вызвать закрытие вспомогательных средств коммутации и открытие основных средств коммутации. Для уменьшения перебоев в работе, также при переходе от положения анализа к нормальному положению коммутации, средства управления содержат средства, позволяющие производить постепенное изменение сигналов, характерных для положения анализа, до открытия вспомогательных средств коммутации и закрытия основных средств коммутации с тем, чтобы постепенно привести сигналы, характерные для положения анализа, к величинам, почти идентичным величинам входных сигналов, подаваемых в систему. Согласно предпочтительному примеру осуществления изобретения управления содержат средства автотестирования и автоматические средства управления, управляющие автоматически переключением основных средств связи на выходе рабочего канала в случае обнаружения неисправности средств управления. Другие преимущества и характеристики будут более подробно изложены далее в конкретных примерах осуществления изобретения, данных в качестве иллюстративных, а не ограничительных примеров и представленных на прилагаемых чертежах, где:Фиг. 1 - упомянутый выше прототип. Фиг. 2 - блок-схема контрольно-командной системы согласно изобретению. Фиг. 3 один из примеров выполнения управляющей схемы системы согласно фиг. 2. Фиг. 4 представляет один из примеров выполнения главного органа коммутации системы согласно фиг. 2. Система, представленная на фиг. 2, содержит, как и система согласно фиг. 1, главный орган коммутации 3, позволяющий выборочно соединить входы En и Es с выходом So. Управление органом 3 осуществляется управляющей схемой 4 с микропроцессором. Управляющая схема получает на вход /E1, E2, E3/ сигналы, имеющиеся на входах En и Es и на выходе So системы. Она содержит выход R анализирующего устройства и выходы /S1, S1, S3/ управления, предназначенные для управления главным органом коммутации 3, а также вспомогательным органом 5, соединенным между выходом R анализирующего устройства и выходом So системы. Выход S4 управляющей схемы 4 соединяется с устройством сигнализации 6, в то время как вход E4 соединяется с органом контроля 7. Устройство 6 и орган 7 могут обращаться друг с другом, интегрироваться в управляющую схему 4 и/или располагаться на расстоянии в случае необходимости в одном устройстве. Каждый из автоматов 1 и 2 выдает управляющей схеме 4 сигнал сторожевого устройства, CGn или CGs, характерный для его работы. Обычно такой сигнал приводится к 0 в случае повреждения соответствующего автомата. Один из примеров выполнения управляющей схемы 4, более всего подходящий к случаю, когда входными и выходными сигналами системы являются аналоговые сигналы, представлен на фиг. 3. На ней управляющая схема содержит центральный блок, представленный в виде микропроцессора 8. Микропроцессор 8 получает сигналы, подаваемые на входы E1, E2, и E3 управляющей схемы через аналого-цифровой преобразователь 9. Он также получает сигналы от сторожевого устройства, CGn и CGs, в известных случаях через интерфейс "все или ничего" TOR 10, а также сигналы, подаваемые на вход E4 системы. Он выдает управляющие сигналы логическому интерфейсу 11, сигнализационные сигналы выходу S4 и сигналы схеме сторожевого устройства 12 классического типа, который вырабатывает сигнал сторожевого устройства CGU, характерный для работы микропроцессора. Он выдает также сигналы схеме запоминания 13 положения анализа, она же соединена с выходом R анализирующего устройства через аналого-цифровой преобразователь 14. Логический интерфейс 11 также получает сигналы сторожевого устройства CGn и CGu и соединен с управляющими выходами S1-S3 системы. В каждый момент управляющая схема 4 проверяет состояние системы и нормальное функционирование рабочего и аварийного каналов на входе. В частности, она проверяет состояние различных сторожевых устройств /GCn, Cgs, CGu/, когерентность входных сигналов En и Es и их когерентность с выходными сигналами So. При отсутствии дефекта одновременно в самой системе и на ее входе /CGn= CGs = CGu= 1, En=Es=So/ управляющая схема 4 выдает на своих контрольных выходах S1-S3 сигналы, при которых выход So системы будет соединяться со входом En через главный орган коммутации 3, а вспомогательный орган коммутации 5 будет открыт. Это нормальное положение переключателей соответствует положению, показанному на фиг. 2. Если управляющая схема 4 обнаруживает повреждение в главном органе коммутации 3, она выдает на своих управляющих выходах S1-S3 сигналы, при которых связь между входами En и Es и выходом So будет прервана и выход So будет соединен с выходом анализирующего устройства R. Тогда управляющая схема 4 дублирует работу главного органа коммутации 3 и подает на выход R анализирующего устройства сигналы, аналогичные сигналам, имеющимся на выходах En и Es и соответственно подаваемых на входы E1 и E2 управляющей схемы 4. В примере, представленном на фиг. 3, эти сигналы преобразуются в цифровые преобразователем 9 и читаются микропроцессором 8. В случае повреждения главного органа коммутации, обнаруживаемого управляющей схемой 4, если рабочий канал функционирует правильно /CGn=1/, микропроцессор выдает схеме запоминания 13 входные величины En. Эти величины преобразуются в аналоговые преобразователем 14 до подачи на выход анализирующего устройства. Управляющая схема 4 таким образом дублирует без сбоев работу главного органа коммутации 3 в случае его повреждения. Таким образом, она образует избыточный канал, способный заменить главный орган коммутации. Если управляющая схема одновременно обнаруживает плохое функционирование рабочего канала на входе системы /CGn=0/, а аварийный канал при этом работает правильно /CGs=1/, тогда она подает на выход R анализирующего устройства характерные сигналы входа Es. В предпочтительном примере выполнения, представленном на фиг. 2, главный орган коммутации 3 образован последовательным соединением двух коммутационных элементов. Переключатель C1 последовательно соединяется с прерывателем C2. Выход переключателя с 1 может под управление сигналов, подаваемых на управляющий выход S1 схемы 4, выборочно соединяться со входами En и Es. Прерыватель C2, устанавливаемый между выходом переключателя C1 и выходом So, управляется сигналами, подаваемыми на управляющий выход S2 схемы 4. В этом случае блокировка в открытом положении прерывателя C2 обнаруживается управляющей схемой 4 путем простого сравниванием сигналов, имеющихся на выходе En и на выходе So. В действительности, хотя CGn=CGu=1, сигналы En и So неидентичны /EnSo/, если прерыватель C2 открыт. И, наоборот, простая проверка когерентности между En и So и между Es и So недостаточна для обнаружения блокировки ни в закрытом положении C2, ни в одном из его положений переключения переключателя C1. В одном из примеров выполнения главного органа коммутации, представленном на фиг. 4, переключатель C1 выполняется в виде независимых прерывателей C3 и C4, расположенных соответственно между входами En и Es и входом прерывателя C2. В этом случае некогерентность выходов En и So может быть характерной для блокировки в открытом положении либо C2, либо C3. К тому же, некогерентность выходов Es и So, если переключатель C1 перебрасывается в аварийное положение, может быть характерна для блокировки в открытом положении либо C2, либо C4. Блокировка в закрытом положении одного из элементов C2, C3, C4 органа 3 не обнаруживается проверкой когерентности входов En и Es и выхода So. Для улучшения проверки повреждения главного органа коммутации 3 управляющая схема 4 может также производить динамические линейные тесты малыми импульсами. Тестирование малыми импульсами заключается в переключении за очень короткий промежуток времени, например, несколько миллисекунд, одного из элементов органа 3, и в проверке влияния такого переключения на выходные сигналы So. Таким образом, открытие в течение очень короткого испытательного периода прерывателя C2 или C3, в то время как система находится в своем нормальном рабочем положении, должно привести к прерыванию сигналов, подаваемых на So, если прерыватель не заблокирован в закрытом положении. И наоборот, залипание /блокировка/ в закрытом положении немедленно обнаруживается, при этом сигнал в So остается идентичным входному сигналу En во время проверки. Длительность проверочных импульсов такова, что на изменение выходных сигналов во время проверки не реагируют приводы, расположенные на выходе. Обнаружение залипания в закрытом положении одного из прерывателей C2, C3 и C4 приводит, как и их залипание в открытом положении, к тому, что управляющая схема открывает главный орган коммутации 3 и подменяет поврежденный главный оран коммутации, подавая на выход анализирующего устройства сигналы, аналогичные водным сигналам системы, при этом закрывая вспомогательный орган 5 коммутации. Для более точного определения повреждений органа коммутации 3 тестирование можно разделить на подфункции. Так, управляющая схема может, например, получать не только сигналы En, Es и Sо, но и также иметь вход, соединенный с выходом переключателя C1. Таким образом, возможно более точно локализовать возможное повреждение и, осуществляя управление когерентностью разделенных и общих тестов, повысить надежность этих тестов. Как показано на фиг. 4, каждый из прерывателей может быть образован последовательным соединением двух простейших прерывателей /C3a и C3b для C3/. Два простейших прерывателя управляются идентичными сигналами, но преимущественно начиная с различных выходов управляющей схемы. В случае блокировки в закрытом положении одного из простейших прерывателей всегда возможно открыть соответствующий прерыватель, а в результате - и главный орган коммутации. Управляющая схема реагирует не только в случае повреждения главного органа коммутации 3, но также в случае повреждения рабочего и аварийного каналов на входе системы, в случае повреждения самой управляющей схемы и в случае повреждения вспомогательного органа коммутации, оптимизируя надежность и готовность системы. Любое повреждение, обнаруживаемое управляющей схемой, сигнализируется сигнализационному устройству 6. Управляющая схема обнаруживает повреждение на входе, анализируя сигналы сторожевого устройства CGn и CGs автоматов 1 и 2 и производя анализ когерентности сигналов, подаваемых на входы En и Es. Когда сторожевое устройство автомата 1 рабочего канала сигнализирует о его повреждении /CGn=0/, это повреждение обнаруживается управляющей схемой 4. При отсутствии повреждения аварийного канала /CGs=1/, главного органа коммутации 3 и самой управляющей схемы /CGu=1/ управляющий орган 4 выдает на своих управляющих выходах /S1-S3/ управляющие сигналы, предназначенные перевести главный орган коммутации 3 в аварийное положение. В этом положении орган 3 соединяет вход Es с выходом Sо, при этом переключатель C1 переключается из положения, представленного на фиг. 2, в то время как прерыватель C2 остается закрытым и вспомогательный орган коммутации 5 остается в положении открытия. В примере выполнения, представленном на фиг. 4, прерыватель C3 открывается, в то время как прерыватель C4 закрыт. Когда сторожевое устройство аварийного автомата 2 сигнализирует о его повреждении /CG5= 0/, при отсутствии повреждения рабочего канала /CGn=1/, главного органа коммутации /En=Sо/ и управляющей схемы /CGu=1/, управляющая схема не изменяет работу системы, которая остается в положении, изображенном на фиг. 2, но сигнализирует об этом повреждении сигнализационному устройству 6. Когда правильно функционирующая /CGu=1/ управляющая схема 4 обнаруживает одновременное повреждение автоматов 1 и 2, т.е. либо когда /CGn=CGs=0/, либо когда, хотя CGn=CGs=1, наблюдается некогерентность между входными сигналами системы /EnEs/, она управляет переходом системы в положение анализа. В этом положении главный орган коммутации 3 открыт и вспомогательный орган коммутации 5 закрыт, соединяя выход So с выходом анализируемого устройства R. Тогда сигналы, подаваемые на выход анализирующего устройства, являются величинами, заносимыми в память в схеме запоминания 13. Эти сигналы могли бы соответствовать неизменному предопределенному значению, ставя контролируемые системой приводы в предопределенное надежное положение. Такая неизменная величина могла бы в случае необходимости быть передана телеграфным способом. Использование неизменной величины имеет своим недостатком сбои при переходе и положению анализа. Для его устранения запоминаемые величины преимущественно должны соответствовать действительным входным сигналам системы в момент, предшествующий повреждению. Когда входные сигналы постоянно подаются на вход управляющей схемы для осуществления тестов когерентности, микропроцессор 8 может систематически вводить в память в схеме 13 величину последних правильных сигналов, эти сигналы затем используются в качестве положения анализа при обнаружении одновременного повреждения двух автоматов. После перехода к положению анализа управляющая схема может поддерживать постоянную величину, подаваемую на выход анализируемого устройства или содержать средства, например, в форме подпрограммы микропроцессора 8 для постепенного перехода к величине, соответствующей предопределенному положению, которое рассматривается как надежное. Аналогичным образом переход от положения анализа к нормальному положению может производиться постепенно для устранения сбоев, например, начиная с углового коэффициента изменения, предварительно занесенного в память управляющей схемы. Переход в положение анализа осуществляется автоматически и сигнализируется сигнализационному устройству 6. Тогда оператор может в случае необходимости управлять вручную приводными устройствами, расположенными на выходе системы. Это ручное управление может осуществляться от органа управления 7, расположенного там же или на расстоянии. Органы ручного управления тогда контролируют положение приводных устройств через управляющую схему 4, в частности, через микропроцессор и схему запоминания 14. Автоматическая управляющая программа может также вводиться в управляющий орган 7 так, чтобы автоматически продублировать работу положения анализа, если переход к положению анализа сигнализируется устройством сигнализации 6. Замена поврежденного главного органа коммутации 3 через управляющую схему наряду с переходом в положение анализа в случае повреждения автоматов на входе системы позволяют значительно повысить готовность системы. Разбивка тестов, наряду с использованием динамических линейных тестов, также позволяет повысить надежность. Она же может быть еще улучшена автотестированием управляющей схемы 4. Автотестирование управляющей схемы осуществляется главным образом от его собственного сигнала сторожевого устройства CGu. Как только он сигнализирует о повреждении /CGu=0/, управляющая схема отключается, оставляя систему работать в режиме простого переключателя. В предпочтительном примере выполнения изобретения, представленном на фиг. 3, логический интерфейс 11 позволяет учитывать этот тип повреждения и управлять органами коммутации 3 и 5. Логический интерфейс задуман таким образом, чтобы на управляющих выходах S1-S3 обеспечивать управляющие сигналы, которые ему подаются микропроцессором 8, когда CGu=1. И, наоборот, если CGu=0, тогда выходные сигналы микропроцессора задерживаются, и если сигнал сторожевого устройства CGn рабочего канала равен 1, выходные сигналы S1-S3 таковы, что переключатели будут в нормальном положении, представленном на фиг. 2. При переходе к 0 CGn автоматически задает изменения выходных сигналов для переброса главного органа коммутации в аварийное положение. Таким образом, в случае повреждения управляющей схемы нормальное положение коммутации используется автоматически с автоматическим переходом к аварийному положению, управляемому сторожевым устройством рабочего канала в случае повреждения рабочего канала. B случае повреждения управляющей схемы функции анализа и избыточности управляющей схемы более не обеспечиваются, и такое повреждение считается повреждением, которое необходимо срочно устранить, и о нем подается сигнал устройству сигнализации 6. Согласно не представленному примеру вместо перехода в нормальное положение в случае повреждения микропроцессора, система может переходить в положение передающего кабеля, соединяя посредством логического интерфейса выход So с предварительно переданными величинами, при этом задавая открытие главного органа коммутации 3. Такое решение менее удовлетворительно, поскольку оно вызывает сбoи и не гарантирует длительную нормальную работу. Предыдущее решение имеет своим недостатком зависимость системы от повреждения главного органа коммутации, но вероятность того, чтобы оба повреждения случились одновременно, очень мала и обычно предпочтение отдают наличию рабочих величин на выходе. Управляющая схема проверяет правильное функционирование не только микропроцессора 8, но и других элементов, входящих в его состав, например, интерфейса TOR 10 и преобразователей 9 и 14. Тестирование интерфейса TOR может, например, выполняться по типу тестирования малыми импульсами, при этом входы интерфейса на короткое время выводятся на предопределенное значение. Что касается преобразователей, то тестирование может быть произведено путем повторного чтения аналоговых величин, представленных на выходе анализирующего устройства R. Выходные сигналы преобразователя 14 подаются на вход преобразователя 9, микропроцессор проверяет когерентность между сигналами, вновь преобразованными в числовые преобразователем 9, и сигналами, поданными схемой запоминания 13 к преобразователю 14. Если управляющая схема обнаруживает повреждение одного из названных элементов, микропроцессор сигнализирует о повреждении и выдает на управляющих выходах S1-S3 такие сигналы, при которых переключатели будут находиться в нормальном положении, представленном на фиг. 2. Переход в аварийное положение может также осуществляться в случае последующего повреждения рабочего автомата, когда начальное повреждение касается преобразователей. Тестирование системы предпочтительно дополняется линейным тестированием малыми импульсами вспомогательного органа коммутации 5. На период тестирования, очень короткий в целях невмешательства в работу приводных устройств, расположенных на выходе системы, орган 5 закрыт, при этом предопределенный сигнал одновременно подается на выход анализирующего устройства. Если орган блокируется открытым, управляющая схема сигнализирует о дефекте и поддерживает функционирование системы в нормальном положении или при необходимости в аварийном режиме. Управляющая схема 4 предпочтительно имеет не представленную здесь схему питания, состоящую из двух простейших избыточных схем, эта схема питания также тестируется. Для этого выходные сигналы каждой из простейших схем питания подаются на вход аналого-цифрового преобразователя 9 и сравниваются микропроцессором с уровнем предопределенных величин. Повреждение одной из простейших схем естественно сигнализируется устройству сигнализации 6. Таким образом, управляющая схема проверяет в реальном времени различные функции системы и в результате управляет переключениями органов коммутации. В частности, она переводит систему в аварийное положение в случае повреждения рабочего канала, в положение анализа в случае повреждения автоматов на входе системы, при этом управляющая схема осуществляет функцию резервирования в случае повреждения главного органа коммутации. В случае серьезного повреждения самой управляющей схемы сторожевое устройство рабочего канала осуществляют с помощью логического интерфейса, удерживание системы в рабочем положении и ее переход в случае необходимости в аварийное положение. Система, описанная выше, толерантная к первой неисправности, имеет коэффициент неготовности порядка 10-7. В описании, данном выше, сигналы, подаваемые на вход системы, являются аналоговыми. Таким же образом можно поступать с входными сигналами типа "все или ничего" TOR. В этом случае управляющая схема не содержит преобразователей, но при необходимости имеет адаптерную схему, расположенную на входе системы и, в частности, предназначенную обеспечивать гальваническую изоляцию между автоматами и системой. Кроме того, интерфейс мощности устанавливается между выходом So и управляемыми приводными устройствами. Органы коммутации состоят из переключателей и/или из электромеханических или электронных прерывателей. Сигналы CGn и CGs могут в случае необходимости после мультиплексирования подаваться на один и тот же выход управляющей схемы.
Класс G05B23/00 Испытания и контроль систем управления или их элементов