ES2297050T3 - Modulo de interfaz para un componente controlado. - Google Patents

Modulo de interfaz para un componente controlado. Download PDF

Info

Publication number
ES2297050T3
ES2297050T3 ES02802092T ES02802092T ES2297050T3 ES 2297050 T3 ES2297050 T3 ES 2297050T3 ES 02802092 T ES02802092 T ES 02802092T ES 02802092 T ES02802092 T ES 02802092T ES 2297050 T3 ES2297050 T3 ES 2297050T3
Authority
ES
Spain
Prior art keywords
component
logic
command
signal
interface module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02802092T
Other languages
English (en)
Inventor
Fred H. Bednar
Bruce M. Cook
Louis W. Gaussa, Jr.
Glenn E. Lang
William F. Schaefer
Stephen Slinski
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Westinghouse Electric Co LLC
CBS Corp
Original Assignee
Westinghouse Electric Co LLC
Westinghouse Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Westinghouse Electric Co LLC, Westinghouse Electric Corp filed Critical Westinghouse Electric Co LLC
Application granted granted Critical
Publication of ES2297050T3 publication Critical patent/ES2297050T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03FAMPLIFIERS
    • H03F13/00Amplifiers using amplifying element consisting of two mechanically- or acoustically-coupled transducers, e.g. telephone-microphone amplifier
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03FAMPLIFIERS
    • H03F1/00Details of amplifiers with only discharge tubes, only semiconductor devices or only unspecified devices as amplifying elements
    • H03F1/08Modifications of amplifiers to reduce detrimental influences of internal impedances of amplifying elements
    • H03F1/22Modifications of amplifiers to reduce detrimental influences of internal impedances of amplifying elements by use of cascode coupling, i.e. earthed cathode or emitter stage followed by earthed grid or base stage respectively
    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03FAMPLIFIERS
    • H03F2200/00Indexing scheme relating to amplifiers
    • H03F2200/321Use of a microprocessor in an amplifier circuit or its control circuit
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Plasma & Fusion (AREA)
  • Quality & Reliability (AREA)
  • Manufacturing & Machinery (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Safety Devices In Control Systems (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Container Filling Or Packaging Operations (AREA)
  • Encapsulation Of And Coatings For Semiconductor Or Solid State Devices (AREA)
  • Non-Metallic Protective Coatings For Printed Circuits (AREA)
  • Programmable Controllers (AREA)

Abstract

Un módulo (3) de interfaz de componente, no basado en software, entre sistemas basados en software primero y segundo, que generan, respectivamente, los conjuntos primero y segundo de señales de comando de componente, y un componente controlado (5) que genera señales de respuesta del componente, comprendiendo el módulo (3) de interfaz de componente: una pluralidad de puertos (7, 9, 10) de entrada, a través de los cuales ingresan los conjuntos primero y segundo de señales de comando del componente; un procesador (25), no basado en software, que arbitra los conjuntos primero y segundo de señales de comando de componente, y que integra con los mismos las señales de respuesta de componente para generar una señal de control del componente; y un dispositivo (27, 29) de salida que emite la señal de control de componente al componente controlado (5).

Description

Módulo de interfaz para un componente controlado.
Antecedentes de la invención Campo de la invención
Esta invención se refiere un módulo de interfaz de componente que arbitra las señales de comando de componente recibidas desde sistemas redundantes, y las integra con señales de respuesta de componente para generar señales de control de componente. El módulo de interfaz de componente incorpora funciones de diagnóstico que tienen en cuenta el estado del componente según lo informado por las señales de respuesta del componente.
Información sobre antecedentes
Ciertas plantas complejas integran señales de control de sistemas redundantes a fin de generar señales de activación para los componentes de la planta. Un ejemplo es una planta de energía nuclear, que utiliza un sistema de control y un sistema de seguridad y protección, que utilizan independientemente diversos sensores y elementos de lógica a fin de generar señales de control para bombas, motores, contactores, solenoides, equipos de conmutación y similares. Además, las señales de control manual están integradas con las señales automáticas. Es necesario arbitrar las señales de comando desde estas múltiples fuentes para generar la señal de control para el componente. Típicamente, se da a las señales manuales la más alta prioridad. A las señales generadas por los sistemas automáticos pueden asignarse prioridades de dos maneras: o bien un sistema tiene prioridad absoluta sobre el otro, o bien un comando en una dirección (p. ej., abierto o cerrado, apagado o encendido) desde cualquier sistema tiene prioridad sobre un comando en la dirección contraria. Un sistema recientemente desarrollado implementa la prioridad entre las señales automáticas y las señales manuales en un módulo de interfaz de componente con relés de salida que generan señales de control enviadas al componente.
Para mayor fiabilidad, la lógica de prioridad no está basada en software, y se implementa usualmente en hardware, tal como formaciones de compuertas, con las opciones sobre prioridad seleccionadas por puentes. Tal dispositivo de interfaz de lógica de prioridad se conoce a partir del documento US 5.745.539.
Los diversos componentes pueden tener sus propios requisitos para las señales de activación. Por ejemplo, los contactores requieren una señal de control continua, mientras que las válvulas operadas por motor sólo requieren una señal de control durante el movimiento de la válvula. En este último caso, la señal de control requiere ser terminada, a fin de impedir la quema del relé que genera las señales de control. Típicamente, tales componentes tienen conmutadores de límites de posición y, con frecuencia, también tienen conmutadores de límite de torsión. Un conmutador de límite de posición puede emplearse para indicar que la válvula se ha abierto. Otro puede utilizarse para indicar una válvula cerrada aunque, en algunas circunstancias en las cuales es esencial el cierre completo de la válvula, el conmutador de límite de torsión proporciona la indicación de cierre.
En la actualidad, la lógica de componentes, es decir, la lógica asociada, por ejemplo, a la posición del componente y a los conmutadores de límite de torsión, se implementa en el componente, y al nivel de potencia activadora del componente, incluso en el sistema anteriormente descrito, que combina las señales automáticas y las señales manuales en un módulo de interfaz de componente.
Hay campo, por lo tanto, para introducir mejoras en las interfaces entre los sistemas plurales que generan señales de comando de componentes y los componentes que controlan.
Resumen de la invención
La presente invención se orienta a un módulo de interfaz de componente, no basado en software, entre sistemas basados en software que generan conjuntos duplicados de señales de comando de componentes y un componente controlado. El módulo de interfaz de componente comprende: una pluralidad de puertos de entrada, a través de los cuales ingresan los conjuntos duplicados de señales de comando de componentes, un procesador no basado en software que arbitra los conjuntos primero y segundo de señales de comando de componentes y que integra a las mismas las señales de respuesta de componentes, a fin de generar una señal de control de componente, y un dispositivo de salida que emite la señal de control de componente al componente controlado. El procesador incluye lógica de prioridad, que arbitra entre los conjuntos de señales de comando de componentes a fin de seleccionar una señal prioritaria de comando de componente, y lógica de componente, que integra las señales de respuesta del componente seleccionado con las señales prioritarias de comando del componente seleccionado por la lógica de prioridad. La lógica de prioridad aplica la prioridad del sistema, mediante la cual uno de los conjuntos de señales de comando de componentes de uno de los sistemas tiene prioridad absoluta sobre señales de comando de componentes del otro sistema, o bien la prioridad funcional, donde una señal de comando de componentes generada por cualquier sistema que ordena una primera función del componente controlado tiene prioridad sobre otra señal de comando de componentes que ordena una segunda función relacionada del componente de control. Por ejemplo, a una señal de apertura o de inicio puede darse prioridad sobre una señal de cierre o detención, o viceversa. Como otro aspecto de la invención, la lógica de componentes puede incluir lógica de retención que mantiene una señal de control seleccionada entre una de las señales opuestas de comando de componentes hasta que la otra señal opuesta de comando de componentes sea seleccionada por la lógica de prioridad.
La lógica de componentes puede programarse haciendo efectivas las señales seleccionadas entre las señales de respuesta del componente, de manera tal como por el empleo de puentes, manteniendo por ello la fiabilidad del procesador basado en hardware.
Como otro aspecto de la invención, el procesador del módulo de interfaz de componente puede incluir lógica que realiza diagnósticos sobre el módulo de interfaz del componente. Pueden realizarse diversos tipos de diagnósticos. Por ejemplo, la lógica de diagnósticos puede incluir un verificador de interfaz de puerto que incluye un cierre temporal, que cierra temporalmente la entrada de la señal de comando al puerto de entrada en el momento que se inicia la prueba de interfaz del puerto. Luego la señal de entrada se conmuta alternativamente y se genera una señal de fallo de puerto de entrada si la señal de entrada detectada por el puerto no difiere de la señal temporalmente retenida.
La lógica de diagnósticos también puede incluir un verificador de pulsos que envía pulsos, de manera preferiblemente continua, tal como a intervalos espaciados, a través de la lógica de prioridad y la lógica de componentes, y lógica de análisis de pruebas, que determina los resultados de pruebas a partir de la propagación de los pulsos de prueba. Una señal de fallo de prueba de pulso se genera cuando no aparece ningún pulso de prueba en el dispositivo de salida. Sin embargo, la lógica de componentes, preferiblemente, incluye lógica de bloqueo que bloquea la generación de la señal de control aplicada al dispositivo de salida en respuesta a ciertas señales de respuesta del componente. En estas circunstancias, la lógica de análisis de pruebas genera una señal de fallo de prueba sólo cuando no aparece ningún pulso de prueba en el dispositivo de salida y la lógica de bloqueo no está bloqueando la generación de la señal de control del componente.
Según otro aspecto de la invención, las señales de comando del componente incluyen un par de señales opuestas, por ejemplo, de encendido/apagado, activando cada una de ellas un dispositivo de salida distinto, y el verificador de pulsos envía alternativamente pulsos a través de la lógica de componentes de prioridad sobre las señales opuestas de comando del componente. La lógica de análisis de pruebas genera un fallo de prueba de pulso cuando ninguno de los dispositivos de salida ve el pulso aplicado a la correspondiente señal de comando del componente, y la señal de control no ha sido bloqueada por la lógica de bloqueo. Allí donde la lógica del componente incluye lógica de retención que mantiene una señal de control del componente hasta que se aplique la señal opuesta de comando del componente, la lógica de análisis de pruebas genera una señal de fallo de prueba de pulso si el dispositivo de salida asociado a la señal de control que está retenida no ve los pulsos sobre la señal opuesta de control del componente.
La lógica de diagnóstico también puede incluir lógica de monitorización de la función de retransmisión. Esta lógica puede detectar un fallo de la bobina de retransmisión cuando la señal de control del componente y la señal de respuesta del componente que representa el estado de la bobina no coinciden. Se indica un fallo de contacto de la bobina cuando la señal de control del componente y el voltaje a través de los contactos de retransmisión son ambos cero o ambos distintos de cero.
Breve descripción de los dibujos
Puede lograrse una comprensión total de la invención a partir de la siguiente descripción de las realizaciones preferidas, cuando se lean conjuntamente con los dibujos adjuntos, en los cuales:
La Figura 1 es un diagrama en bloques simplificado de una planta que incorpora un módulo de interfaz de componente según la invención.
Las Figuras 2A y 2B, alineadas, presentan un diagrama en bloques de la lógica de prioridad que forma parte del módulo de interfaz de componente ilustrado en la Figura 1.
La Figura 3 es un diagrama en bloques de la lógica de prioridad adicional que puede utilizarse para el ordenamiento secuencial de la carga bajo control de un sistema externo.
Las Figuras 4A y 4B, alineadas, ilustran un diagrama en bloques de la lógica del componente para el módulo de interfaz del componente.
La Figura 5 es un diagrama en bloques de los diagnósticos que forman parte del módulo de interfaz de componente.
La Figura 6 es un diagrama en bloques de la interfaz de prueba del puerto de entrada.
La Figura 7 es un diagrama en bloques del verificador de pulsos que forma parte de los diagnósticos.
La Figura 8 es un diagrama en bloques de la lógica de análisis de pruebas de pulsos.
La Figura 9 es un diagrama en bloques de la lógica de monitorización de la función de retransmisión.
\global\parskip0.900000\baselineskip
Descripción de las realizaciones preferidas
El módulo de interfaz de componente (MIC) de la invención proporciona una interfaz estandarizada, orientada a objetos, a los componentes controlados en una planta compleja. La invención se describirá según se aplica a una planta de energía nuclear, pero tiene amplia aplicación a diversos tipos de plantas complejas, en las cuales los componentes pueden controlarse con señales de comando de componentes provenientes de múltiples fuentes. La Figura 1 ilustra, en forma muy simplificada, la aplicación del MIC de la invención a los sistemas 1 de instrumentación y control de una planta de energía nuclear. El módulo 3 de interfaz de componente es un módulo cualificado del grado de seguridad nuclear, no basado en software. Sin embargo, el módulo 3 puede emplearse tanto en sistemas nucleares de seguridad como en sistemas no de seguridad. El MIC 3 proporciona la interfaz completa del sistema de control a un componente controlado 5. MIC 3 similares se proporcionan para cada componente controlado en la planta.
El MIC tiene tres puertos de entrada, Puerto X, Puerto Y y Puerto Z, identificados por los caracteres de referencia 7, 9 y 11, respectivamente, en la Figura 1. Estos tres puertos, normalmente, están conectados con tres sistemas distintos. Para una típica aplicación de sistema de protección nuclear, los tres puertos 7, 9 y 11 estarían conectados con un sistema 13 primero o primario, p. ej., el Sistema Primario de Protección del Reactor, un sistema 15 segundo o distinto, p. ej., el Sistema de Protección Diverso, y un sistema manual remoto 17, p. ej., un sistema de control manual remoto conectado por cable. Las señales de comando de componente o los comandos de activación se reciben en el Puerto X 7 desde el sistema primario 13, a través de una conexión 19 por cable. Las señales duplicadas de comando de componente desde el sistema diverso 15 se reciben en el Puerto Y 9 por un bus 21 de entrada/salida en serie. El control manual remoto 17 puede estar en la sala de control principal de la planta, la sala de control de emergencia, o algún panel de control local en la planta, y está conectado con el Puerto Z 11 por la conexión 23 por cable. La entrada del Puerto Z no está concebida para ser el control manual "normal". Tal control normal, normalmente, se llevaría a cabo mediante los sistemas 13 y 15, basados en ordenador, donde puede establecerse la relación adecuada con el control automático, las modalidades operativas, los interbloqueos y similares. El sistema manual remoto 17 se proporciona, principalmente, con el fin de brindar diversidad y defensa en buena medida. Sin embargo, en cualquier aplicación dada, el Puerto Z 11 puede utilizarse para alguna otra función, manual o automática, que sea adecuada a su diseño. Por ejemplo, podría utilizarse como un panel de control local que es adyacente al componente controlado, tal como una bomba. Cualquiera de los puertos 7, 9 u 11 de control que quede sin uso para una aplicación dada del MIC 3 se deja desconectado. Cada uno de los puertos X, Y y Z puede conectarse por cable con un sistema externo, o conectarse a través de un bus de ordenador, tal como un bus de entrada/salida, en serie o en paralelo.
El corazón del MIC 3 es un procesador 25, no basado en software. En el módulo ejemplar, se utiliza una formación de compuertas programable en el terreno (FPGA) como el procesador 25. Según se expondrá, el procesador 25 realiza funciones lógicas sobre entradas recibidas a través de los puertos 7, 9 y 11, a fin de generar señales de control que se aplican a los dispositivos de salida mediante los relés 27 y 29. El relé 27 controla la activación del componente 5, mientras que el relé 29 controla la desactivación. La función exacta de estos relés 27 y 29 depende de las características operativas del componente 5. Por ejemplo, al relé 27 podría adjudicarse el abrir o cerrar una válvula, proporcionando el relé 29 la activación contraria. De manera similar, estos dos relés podrían emplearse para abrir o cerrar equipos de conmutación. Para algunos componentes sólo se necesita un relé. Por ejemplo, en el caso de un solenoide, el relé 27 estaría dotado continuamente de energía para activar el solenoide, y privado de energía para la desactivación. El componente 5 suministra señales de respuesta del componente al FPGA 25 del MIC 3. Estas señales de respuesta son pasadas por el FPGA 25 a los sistemas 13 y 15, primario y diverso, y al sistema manual remoto 17, a través, respectivamente, de los Puertos X, Y y Z.
El MIC 3 proporciona varias funciones vinculadas con la interfaz entre los sistemas 13, 15 y 17 y el componente 5, que incluyen: transición de nivel de voltaje y de corriente entre la lógica informática de los sistemas y los circuitos de control del componente, priorización de señales de comando del componente desde los diversos sistemas y puntos de control, interbloqueo rápido entre señales de respuesta del componente y las señales de comando del componente, y activación local e indicación del estado del equipo para las pruebas y mantenimiento de la planta. Las funciones específicas requeridas varían entre un componente y otro, sobre la base del tipo de equipo que se está controlando y de los requisitos funcionales únicos para ese componente específico. El MIC 3, por otra parte, está diseñado como una interfaz de control universal. Como se verá, los puentes de configuración se utilizan para seleccionar diversas características de la lógica del MIC, a fin de que coincidan con los requisitos funcionales específicos. La lógica de control adicional es ejecutada por los sistemas anfitriones 13 y 15 en software, para satisfacer requisitos específicos del proyecto. Esta lógica adicional incluye cosas tales como la combinación de comandos automáticos y manuales, la combinación de múltiples puntos de control manual (incluyendo controles en software y en hardware), el interbloqueo de componentes de planta (por ejemplo, abrir una válvula cuando arranca una bomba) y la determinación de discrepancias de activación cuando los fallos impiden el funcionamiento adecuado del componente.
La lógica del MIC consiste en dos partes. En la realización ejemplar de la invención, estas dos partes se combinan en una única FPGA 25. La primera parte de la lógica es la lógica 41 de prioridad, que se ilustra en las Figuras 2A y 2B. Las señales de comando del componente, por ejemplo, abren y cierran una válvula, o arrancan y detienen una bomba, y son recibidas desde cuatro fuentes; los dos sistemas "anfitriones" 13 y 15, a través, respectivamente, de los Puertos X e Y, y dos controles manuales dedicados, que incluyen el sistema remoto manual 17, a través del Puerto Z. El segundo control manual es un control manual local proporcionado por el conmutador 33.
\newpage
Un segundo conmutador 35 de control, situado en el módulo, permite la selección de las modalidades de control del sistema "anfitrión". En la posición normal, este control 35 habilita ambos sistemas "anfitriones", según la lógica de prioridad por exponer. El control 35 también puede girarse para habilitar sólo el sistema del Puerto X o el sistema del Puerto Y. Una cuarta posición del control 35 inhabilita las salidas de relé del MIC 3, y se utilizaría con fines de mantenimiento.
Según la simbolización estándar, los elementos 37 que contienen un "&" son compuertas AND, mientras que los elementos 39, que contienen "1", son compuertas OR. La lógica deviene programable mediante un cierto número de puentes 43.
La lógica 41 de prioridad proporcionada por el MIC 3 puede exponerse generalmente según lo siguiente:
* El control manual local 33 tiene la más alta prioridad
* El control manual remoto 17 tiene prioridad sobre los sistemas "anfitriones" 13 y 15.
* La prioridad de los comandos entre los sistemas "anfitriones" puede seleccionarse para que sea una de dos:
-
Un sistema tendrá prioridad absoluta sobre el otro, o bien
-
Un comando en una dirección (o sea, abrir o cerrar) desde cualquier sistema tiene prioridad sobre la dirección de comando contraria.
Esta lógica 41 de prioridad funciona según el principio general de que un comando en una dirección (p. ej., abrir o cerrar) bloquea el comando contrario desde puertos de una prioridad inferior. No es necesario bloquear los comandos en la misma dirección, permitiendo así una reducción en el número de compuertas lógicas. La modalidad de prioridad entre las activaciones del Puerto X y del Puerto Y se selecciona por medio de dos puentes 43 de configuración, denominados JP1 y JP2, según la Tabla 1.
\vskip1.000000\baselineskip
TABLA 1 Configuraciones del Puente de Modalidad de Prioridad
1
Además de la priorización de las activaciones, las señales de comando se proporcionan en las conexiones del Puerto X y del Puerto Y para permitir a los sistemas "anfitriones" 13 y 15 inhabilitar el control manual remoto 17. Para hacer esto, ambos sistemas deben activar un "1" lógico en esta señal de comando. Esta condición debe emplearse para casos en que los controles desde una estación de trabajo dada, tal como la sala de control principal, deban ser desactivados cuando esta estación de trabajo no esté ocupada. Un ejemplo del uso de esta característica de inhabilitación es la transferencia de control desde la sala de control principal a la sala de control de emergencia. El requerir una coincidencia de ambos sistemas impide que un único fallo bloquee el control manual remoto.
Se generan señales (esquina inferior derecha de la Figura 2B) para devolver a cada uno de los Puertos X, Y y Z, a fin de indicar que los comandos a través del puerto están bloqueados, ya sea por el conmutador selector 35 en el MIC o bien por un comando de mayor prioridad. Observe que incluso en el caso de que la prioridad entre X e Y esté basada en el estado del componente, la indicación de que las activaciones de un sistema dado están bloqueadas es correcta en cuanto a que el comando contrario no pasará por la lógica. Una activación por parte de uno de los sistemas no le brindará una indicación a sí mismo en cuanto a que el comando contrario está bloqueado.
Se proporciona un conjunto adicional de comandos de entrada para APAGAR/ENCENDER, para su empleo allí donde una señal debe ser tratada como una señal conducida por cable desde el terreno. Estos comandos, según se muestra en la Figura 3, se conectan con las entradas CIN7 (Prioridad INACTIVA) y CIN8 (prioridad ACTIVA). La aplicación primaria de estas señales será para el ordenamiento secuencial de la carga bajo control de un sistema externo. Son posibles dos configuraciones. La primera utiliza sólo la entrada CIN7. En el comienzo de la secuencia, esta señal se activa para desembarazarse de la carga. Mientras se mantenga la señal, los comandos de arranque normal a través de las otras entradas están bloqueados. Cuando se retira la señal, se permite el arranque normal de la bomba. La segunda configuración posible utiliza ambas entradas. El comando Prioridad INACTIVA de CIN7 se emplea nuevamente para desembarazarse de la carga al principio de la secuencia. Sin embargo, el comando Prioridad ACTIVA de CIN8 se utiliza para reiniciar la carga en el momento especificado. El comando Prioridad ACTIVA tiene precedencia sobre el de Prioridad INACTIVA, para permitir esta funcionalidad. El comando de reinicio sería efectivo independientemente del estado de la carga antes de la secuencia.
Los comandos de Prioridad INACTIVA y ACTIVA se combinan con los comandos normales desde el Puerto X, según se muestra en la Figura 3. Esto da a estos comandos de ordenamiento secuencial una mayor prioridad que la del mismo Puerto X. Esta prioridad no es configurable; sin embargo, se utiliza el puente JP19 para habilitar las entradas de Prioridad INACTIVA/ACTIVA. Si se quita este puente, se leen las entradas CIN7 y 8, y se almacenan en el almacén temporal en serie del Puerto Y, pero no tienen ningún efecto sobre la función del componente.
La lógica configurable 45 del componente MIC se muestra en las Figuras 4A y 4B. Se divide, a grandes rasgos, en dos partes. En la Figura 4A, las señales de comando del componente se reciben desde el bloque 41 de lógica de prioridad y, después del cierre temporal y el bloqueo, se aplican a los controladores de salida para los relés 27, 29. La porción del diagrama lógico mostrado en la Figura 4B toma las señales de respuesta del componente de la entrada de contacto desde el componente controlado 5 y ejecuta la lógica 46 de bloqueo para determinar cuándo deberían cerrarse temporalmente y bloquearse las activaciones.
La lógica 45 del componente incluye, además de las compuertas AND 37 y las compuertas OR 39, varios elementos 47 de retardo temporal. Estos elementos de retardo temporal proporcionan tres tipos de retardos: un retardo al pasar la señal aplicada, denominado "RETARDO DE ACTIVACIÓN", un retardo para apagar la señal aplicada, denominado "RETARDO DE DESACTIVACIÓN". Y un retardo para encender y apagar la señal, denominado "TDDBL". Los tiempos de los diversos retardos se proporcionan adyacentes al elemento 47. Los retardos temporales 47 "TDDBL" han sido añadidos en bucles de respuesta de retención temporal en la lógica. Son éstos retardos de "doble activación", en cuanto a que tanto el borde creciente como el borde decreciente de la entrada están retardados en los 10 milisegundos indicados. Si la duración de la entrada es menor que 10 milisegundos, no hay ninguna salida. De manera similar, si una entrada lógica activa se pulsa como inactiva momentáneamente (menos de 10 milisegundos de duración) no habrá ningún cambio en la salida. Estos retardos permiten que los pulsos cortos se propaguen a través de la lógica sin afectar el estado de los cierres temporales. Tales pulsos pueden utilizarse con fines de diagnóstico, a fin de determinar si el MIC está listo para activar una salida dada. La lógica 46 de bloqueo también incorpora compuertas 49 de OR exclusivo, representadas por un signo "+" dentro de un círculo, en el interior de un rectángulo.
El significado de las ocho señales de entrada de contacto depende de la aplicación específica y del tipo de componente que se está controlando. Sin embargo, la descripción general de estas señales es la siguiente:
CIN1
Posición del componente en el estado activado (válvula abierta, bomba en funcionamiento o equipo conmutador cerrado)
CIN2
Posición del componente en el estado no activado (válvula cerrada, bomba detenida o equipo de conmutación abierto)
CIN3
VERDADERO si desactivado; límite de torsión excedido en la dirección de apertura (puede combinarse con el conmutador de límite en la válvula); el contacto cerrado permite el movimiento
CIN4
VERDADERO si desactivado; límite de torsión excedido en la dirección de cierre (puede combinarse con el conmutador de límite en la válvula); el contacto cerrado permite el movimiento
CIN5
Interbloqueo VERDADERO si desactivado; el contacto cerrado permite el movimiento; el contacto abierto puede configurarse para causar el desplazamiento del interruptor
CIN6
Interbloqueo VERDADERO si activado; el contacto abierto permite el movimiento; el contacto cerrado puede configurarse para causar el desplazamiento del interruptor
CIN7
Prioridad INACTIVA [Carga de Secuencia Desalojada] (véase la Figura 3)
CIN8
Prioridad ACTIVA [Reinicio de Secuencia] (véase la Figura 3)
En todos los casos, los estados de las señales de respuesta del componente de entrada de contacto se envían a los sistemas "anfitriones" 13, 15 para su combinación en otra lógica flujo arriba, y para su indicación al operador. Para las entradas CIN5 a CIN8, los puentes de configuración retirarán, en algunos casos, la contribución de las entradas a la lógica. En este caso, estas señales de respuesta se convierten en entradas de propósito general al software de los sistemas "anfitriones".
Las funciones específicas del MIC 3 para una aplicación dada se seleccionan utilizando los puentes 43 de configuración. La Tabla 2 proporciona la definición de estos puentes. Cuando un puente está "ACTIVO", significa que está en su sitio, proporcionando un "1" lógico a la FPGA 25. Si el puente se ha quitado, se proporciona un "0" lógico a la FPGA, y se dice que el puente está "INACTIVO". En todo caso, los puentes de configuración proporcionan niveles estáticos de "1" o "0" a la FPGA que emplea estas señales para seleccionar las señales lógicas dinámicas. Para aplicaciones de sistemas no de seguridad del MIC 3, los valores de configuración pueden establecerse bajo control del software del sistema "anfitrión" (Puerto Y).
TABLA 2 Definiciones de puertos de configuración
3
4
El MIC 3 emplea la convención, para su propia lógica, de que un componente (p. ej., una válvula) esté NO
TOTALMENTE ABIERTO o NO TOTALMENTE CERRADO. Siguiendo esta convención, el cierre a medias se representa con ambas señales en valor verdadero, mientras que si ambas señales son falsas, existe una condición de error (posiblemente, pérdida de energía). En algunos casos, las señales disponibles de la válvula pueden no seguir esta convención. El puente JP3 de configuración invierte las entradas CIN1 y CIN2, de forma tal que un VÁLVULA ABIERTA se convierte en NO TOTALMENTE ABIERTA y una VÁLVULA CERRADA se convierte en NO TOTALMENTE CERRADA.
Ocurre a menudo que los conmutadores del límite de torsión del motor y los conmutadores del límite de posición de la válvula están cableados entre sí en la válvula. Esta práctica ahorra cableado entre la válvula y el Centro de Control de Motor que lo controla. La señal de entrada combinada tiene como significado que la válvula debería detenerse, debido a la alta torsión, o bien porque está abierta (cerrada). Ocurre con frecuencia que el conmutador de torsión es ignorado hasta que el conmutador del límite de posición indica que la válvula se ha desplazado desde su posición extrema. El puente JP6 de configuración dice al MIC que la lógica de combinación de torsión y posición se realiza externamente al MIC (es decir, en la válvula). En este caso, el comando de la válvula es detenido cuando se abre el correspondiente contacto de entrada de "torsión". Las entradas CIN1 y CIN2 no tienen ningún efecto sobre la lógica, sino que son entregadas a los sistemas de software. Si el puente JP6 de configuración no está colocado, las entradas CIN3 y CIN4 se tratan como conmutadores simples de límite de torsión y se combinan con las entradas CIN1 y CIN2 de posición en la lógica del MIC.
Cuando la lógica de posición/torsión ha concluido en el MIC 3, dos puentes 43 de configuración adicionales controlan la acción. El puente JP4 configura el comando de apertura, mientras que JP5 configura el comando de cierre. Cuando estos puentes están colocados, la válvula es detenida sólo en caso de torsión. Con el puente quitado, la válvula es detenida tanto en caso de límite de torsión como de posición. Ocurre a menudo en las VOM (válvulas operadas por motor) que la dirección de cierre está configurada para detenerse sólo en caso de torsión. Esto garantiza que la válvula esté firmemente cerrada, ya que los conmutadores de límite de posición cambian a menudo de estado antes del fin absoluto del desplazamiento. Cuando una válvula ha sido cerrada por torsión, es necesario ignorar el conmutador de límite de torsión en la apertura, hasta que el indicador de límite de posición indica que la válvula se ha separado de su base. Las entradas CIN1 y CIN2 también se utilizan para impedir el inicio de la acción cuando un componente ya está en la posición deseada. Por ejemplo, un comando de "apertura" no puede enviarse a una válvula que ya está abierta, independientemente del estado de las entradas de torsión. Los puentes JP4 y JP5 pueden insertarse para prevalecer sobre esta restricción, permitiendo así siempre el paso del comando. Observe que este bloqueo de comando no afecta a un comando retenido temporalmente que ya está en el proceso de ejecución, es decir, la válvula continuará cerrándose hasta que el conmutador de torsión se abra, si está configurado de tal manera.
Habrá algunas aplicaciones del MIC donde toda la lógica de detención del motor se realice externamente al MIC 3. En estos casos, las señales de conmutación de torsión no estarán disponibles para su empleo como base para retirar la energía a las salidas del MIC. Aún es deseable retirar la energía a las salidas del MIC para proteger los relés 27, 29. Se proporciona el puente JP11 de configuración para brindar un apagado retardado de las salidas a continuación de la conclusión del desplazamiento, según lo indicado por las entradas de posición. El retardo se establece en 10 segundos estrictos. Se observa que si el movimiento de la válvula se detiene a mitad de desplazamiento, debido al límite de torsión o a una sobrecarga térmica, las salidas del MIC permanecerán dotadas de energía en forma continua. Deben tomarse precauciones en los procedimientos de mantenimiento a fin de clarificar que el movimiento de la válvula puede reiniciarse inmediatamente cuando la condición desaparece. Si el JP11 no está insertado, la retirada de energía de las salidas del MIC en el límite del desplazamiento es inmediata.
Para equipos de conmutación eléctrica y grandes motores, es necesario impedir que el interruptor "bombee" cerrado, luego abierto, luego cerrado, etc. A fin de lograrlo, se establece un cierre temporal cuando se emite un comando de Abrir Interruptor y el interruptor queda efectivamente abierto. Este cierre temporal se utiliza para conceder permiso al comando Cerrar Interruptor para un intento. Cuando el interruptor se cierra, se desactiva el cierre temporal hasta el siguiente comando de apertura. El puente JP15 de configuración selecciona esta señal temporalmente cerrada como la base para el bloqueo de la salida. Así, si un interruptor ha sido cerrado, incluso momentáneamente, y luego su apertura se dispara por motivos propios (p. ej., exceso de corriente), los comandos de cierre (ENCENDER) subsiguientes se bloquean hasta que se da un comando de apertura (APAGAR). Si el JP15 no está insertado, las salidas del MIC se habilitan cada vez que el estado contrario es verdadero (p. ej., el interruptor de cierre se habilita toda vez que el interruptor está abierto), según el valor de los otros puentes de configuración.
Los puentes JP7 y JP9 de configuración, cuando se quitan, habilitan, respectivamente, los interbloqueos CIN5 y CIN6, para bloquear los comandos. El CIN5 es lógica de "verdad si inactivo"; un contacto abierto impide los comandos. El CIN6 es lógica de "verdad si activo"; un contacto cerrado impide los comandos. La inserción de los puentes JP7 y JP9 prevalece sobre estos interbloqueos.
Para los interruptores, que no utilizan las entradas de torsión, un bloqueo adicional sobre los comandos de cierre (ENCENDER) es proporcionado por la entrada CIN3. Un contacto abierto en esta entrada impide que se emita el comando INICIAR/ENCENDER. Si no se utiliza esta característica, bien debe insertarse el puente JP16 o bien la entrada debe "atarse" a los terminales para proporcionar un valor lógico "1" constante. El puente JP16 debe insertarse (o bien la entrada CIN4 debe estar "atada" al valor lógico "1") y el puente JP5 debe insertarse para permitir que se propaguen los comandos de desplazamiento tanto desde CIN5 como desde CIN6.
En todos los casos anteriores, allí donde se desee retirar la energía de las salidas de comandos al concluir las condiciones de desplazamiento o interbloqueo, debería quitarse el puente JP12. Cuando se inserta el JP12, los comandos de salida se mantienen, independientemente de las entradas de respuesta. Esto, típicamente, sólo se utilizaría con válvulas solenoides o contactores de motor.
Para interruptores eléctricos, es posible configurar las entradas CIN5 y CIN6 para proporcionar un comando de desplazamiento activo al interruptor, en lugar de limitarse a bloquear comandos desde los sistemas "anfitriones". Esto podría emplearse, por ejemplo, para implementar un desplazamiento de alta fiabilidad y alta velocidad en caso de exceso de corriente, o alguna otra condición detectada del interruptor o de su carga. Los puentes JP8 y JP10 habilitan este comando de desplazamiento desde las entradas CIN5 y CIN6, respectivamente. Nuevamente, CIN5 es verdadero si desactivado; un contacto abierto causa el desplazamiento. CIN6 es verdadero si activado; un contacto cerrado causa el desplazamiento. Cuando se inserta cualquiera de estos puentes, también debe insertarse el correspondiente puente, JP7 o JP9, de interbloqueo.
El puente JP14 de configuración determina si los comandos se retienen temporalmente o no en la lógica del MIC. Cuando se inserta este puente, los comandos no se retienen temporalmente. Si los comandos son retenidos temporalmente, la conclusión del desplazamiento (según la configuración del puente JP12) causará que se reinicie la retención temporal. Generalmente, un comando contrario al retenido temporalmente causará que se desactive una retención temporal, y que se active la del comando contrario. Las señales que ingresan a la retención temporal tienen un tiempo 47 de "disparo único" de un segundo. Esto tiene el efecto de hacer de la retención temporal una "activación de prioridad" durante el primer segundo y una "desactivación de prioridad" a continuación. Si la señal de límite de torsión rebota momentáneamente durante el primer segundo, el comando será retenido temporalmente de nuevo y el relé de salida será dotado nuevamente de energía. Después del periodo de expiración de 1 segundo, el límite de torsión liberará permanentemente el comando. Esta característica está presente cualquiera que sea la retención temporal de los comandos. De esta manera, para las VOM reguladoras, las entradas de torsión momentánea, durante el primer segundo a continuación del arranque del comando, sólo retirarán temporalmente la salida, mientras que aquellas que ocurran después de un segundo quitarán permanentemente la salida hasta que el comando sea retirado y luego restaurado. Observe que esta característica también está presente en el comando de desplazamiento para los interruptores, pero no ofrece ninguna funcionalidad utilizable. En el comando de cierre de interruptor, esta característica es reemplazada por la retención temporal antibomba descrita anteriormente.
Cuando los comandos se retienen temporalmente, es posible bloquear comandos contrarios hasta que el desplazamiento esté completo, insertando el puente JP13. Esto se haría para impedir que una VOM retroceda a mitad de carrera. El puente JP12 debe quitarse cuando se inserta el JP13, permitiendo así la retirada del cierre temporal al concluir el desplazamiento.
Las salidas de relé del módulo MIC, usualmente, son mutuamente excluyentes, es decir, se pretende que sólo una esté dotada de energía en cualquier momento dado. La configuración de esta lógica de anticoincidencia se proporciona mediante los puentes JP20, JP21 y JP22, según la Tabla 3. Normalmente, los sistemas anfitriones, conjuntamente con la lógica de prioridad, impiden las señales de salida coincidentes. Sin embargo, puede haber situaciones, para algunas aplicaciones del MIC, en que es posible, o incluso deseable, tal coincidencia. El caso por omisión, con ninguno de los tres puentes insertados, es que las señales de salida coincidentes causen que ambas salidas sean privadas de energía. Otras acciones posibles se describen en la tabla.
TABLA 3 Configuración de Lógica Anticoincidencia
5
La marca de comprobación significa que el puente está colocado, la raya significa que el puente está quitado, y una "X" significa que no importa si el puente está colocado o no.
El MIC 3 tiene varias características que brindan soporte a los diagnósticos. Éstos se centran, principalmente, en el conector del Puerto X, ya que es el que se utilizará normalmente para comandos de seguridad del sistema. No obstante, los diagnósticos proporcionan una cobertura parcial de todos los sistemas, ya que los comandos de las diversas fuentes se solapan en la lógica 41 de prioridad.
La Figura 5 muestra un diagrama en bloques de la función 51 de diagnóstico del MIC. Aunque esto se implementa dentro del dispositivo FPGA 25, requiere apoyo de circuitos fuera de la FPGA. El primero de estos circuitos de apoyo es la suma de compuertas 49 de OR exclusivo en las entradas del Puerto X para los comandos de Apertura/Inicio y Cierre/Parada. Estas compuertas 49 combinan las señales de comandos de componentes con pulsos de prueba que son generados por la FPGA 25, de forma tal que un pulso de prueba alto, o un pulso de prueba cero, se aplica sobre la señal de comando del componente, según si ésta última está baja o alta en el momento de la prueba de pulso. El segundo circuito de apoyo es un monitor 53 de corriente en cada una de las bobinas K1 y K2 de retransmisión de salida, 27 y 29. Los diagnósticos también incluyen una máquina 55 de estados de diagnóstico, a describir.
El primer diagnóstico es la interfaz 57 de prueba del Puerto X. Para implementar esta prueba, el conector del Puerto X incluye una señal de saludo de Prueba que permite que el sistema "anfitrión" 13 compruebe la interfaz para los comandos de Apertura/Inicio y Cierre/Parada. La cobertura de la prueba incluye las salidas digitales del sistema informático 13, la conexión del cable 19 con el MIC 3, los circuitos de acondicionamiento de la señal de entrada (no mostrados) y las entradas de patilla a la FPGA 25 en la placa de lógica. La Figura 6 muestra la lógica 59 de prueba de la interfaz del puerto, implementada en la FPGA que brinda soporte a esta interfaz de prueba.
El circuito lógico 59 consiste en una retención de pista para cada una de las dos señales contrarias de comando. Mientras que la entrada de Prueba esté inactiva, los comandos se pasan a la salida del circuito. Cuando la señal de Prueba se pone activa, ambas salidas son retenidas en el estado actual. La salida del cierre temporal se compara con la entrada. Se genera una señal de Acuse si las dos difieren. Esta señal de Acuse se somete a una operación de O lógico con la señal de Fallo del MIC que es devuelta al sistema "anfitrión" mediante el conector del Puerto X. Un temporizador de un segundo limita la duración del estado de retención.
Utilizando este circuito, el sistema "anfitrión" probará la interfaz aplicando las siguientes etapas:
1.
Se comprueba que la señal de Fallo del MIC esté despejada. Si no es así, se abandona la secuencia de prueba.
2.
Se activa la línea de Prueba.
3.
Se alterna el comando de Apertura/Inicio (si está desactivado, se activa, y viceversa).
4.
Se comprueba que la señal de Fallo del MIC esté activa (si no es así, se activa una alarma).
5.
El comando de Apertura/Inicio se restaura al estado original.
6.
Se desactiva la señal de Prueba.
7.
Se repiten las seis etapas para el comando de Cierre/Parada.
La prueba puede abandonarse en cualquier momento, y puede enviarse un comando válido a través de la entrada estableciendo como inactiva la entrada de Prueba.
Se prevé que la secuencia de prueba ocupará un cierto número de ciclos de procesador para llevarse a cabo. Se ejecutará una vez por minuto, aproximadamente.
Aunque no se proporciona ninguna característica de prueba similar para el Puerto Y, debería observarse que las comunicaciones por bus en serie proporcionan en sí mismas un alto grado de comprobación de interfaz.
El segundo diagnóstico es una prueba de pulso continuo de la lógica de prioridad y de componente. Los pulsos se aplican alternativamente a los comandos de Apertura/Inicio y de Cierre/Parada del Puerto X. El cambio del estado de la corriente que fluye en las bobinas 27 y 29 de retransmisión de salida se retiene temporalmente. Las salidas momentáneas se analizan utilizando información de la configuración de la lógica del componente, a fin de determinar si la respuesta ha sido correcta. Si no es así, se activa una retención temporal para indicar el estado de fallo.
La Figura 7 muestra la lógica 61 de prueba de pulso en más detalle. Un registro 63 de estado de ocho etapas controla la operación y sirve como generador de pulsos. El estado avanza desde un valor al siguiente a la frecuencia del reloj de 1 kHz, con la salvedad de que, en los estados 3 y 7, un temporizador 65 de cinco segundos retarda la entrada en el estado subsiguiente. Este temporizador es retenido en el estado de desactivación por la señal de Prueba del Puerto X, o por la señal de Bloqueo de X, de manera tal que las pruebas de pulso continuo serán suspendidas mientras esté en marcha una prueba del puerto, o bien si la lógica de prioridad, tal como la activación del conmutador de control local, impidiese la activación a través de las entradas del Puerto X. Un pulso de comando de Apertura/Inicio se genera durante los estados S0 y S1. El estado de la corriente en ambos relés es retenido temporalmente por un cierre 67 durante el estado S1. El S2 es un estado inactivo que permite que la lógica vuelva a su estado normal. El resultado de la lógica de análisis lógico es retenido temporalmente en la entrada al estado S3. Se sigue una secuencia similar para el pulso de Cierre/Parada, estando los números de estado desplazados en 4 unidades con respecto a aquellos de la prueba de entrada de Apertura/Inicio. Las condiciones lógicas que mantienen el temporizador 65 de cinco segundos desactivado también despejarán las retenciones temporales que retienen el resultado del análisis lógico. La prueba de pulso se repite continuamente, cada 10 segundos aproximadamente.
\newpage
La lógica 69 de análisis de pruebas, utilizada para analizar el resultado de la prueba de diagnóstico, se muestra en la Figura 8. Para cada uno de los relés 27 y 29, las condiciones aceptables son ingresadas a una compuerta OR. Estas condiciones son: 1) el relé recibe energía (sin embargo, uno de los pulsos de entrada, ya esté abierto o cerrado, debería ser capaz de retirarle la energía), 2) el relé ha recibido energía del pulso de entrada, 3) el relé contrario ha recibido energía (ya que esto bloquearía la salida, porque ambos relés no pueden estar activados a la vez), o bien 4) la lógica 45 del componente ha retirado el comando, debido a la conclusión del desplazamiento. En este último caso, los pulsos no se han propagado por la lógica 41 de prioridad y la lógica 45 del componente, porque la lógica 48 de bloqueo ha determinado que el relé no debería recibir energía. Esta condición se implementa con la ausencia del puente JP12 y la ausencia de la señal K1PERM o la señal K2PERM (que permiten que el relé asociado reciba energía) en la lógica 45 del componente, ilustrada en la Figura 4A.
Si ninguna de las cuatro condiciones anteriores es VERDADERA, entonces el cierre temporal por fallo de diagnóstico se activa para ese relé. Si bien la cobertura de este diagnóstico no es perfecta, otros diagnósticos y señalizaciones para el componente completan la cobertura. Por ejemplo, si la salida del relé está atascada en el estado de activación energética, bloqueando de tal manera este diagnóstico, la monitorización de la función de retransmisión descrita a continuación lo detectará. Si una entrada averiada del MIC 3 indica falsamente la posición del componente, bloqueando así el diagnóstico al concluir el desplazamiento, entonces la alarma de discrepancia de activación en el sistema activador llamará la atención sobre ese hecho.
Debido a que los pulsos cambian los estados de la lógica intermedia, es necesario retener temporalmente las señales de respuesta del bus en serie durante los estados S0, S1, S2, S4, S5 y S6.
El tercer diagnóstico realizado por el MIC 3 es la monitorización de la función de retransmisión. Las señales de respuesta suministradas a la lógica de la FPGA 25, desde los monitores 53 de la corriente de la bobina de retransmisión (véase la Figura 5) y desde los monitores 71 de voltaje, a través del lado A del primer conjunto 27c, 29c de contactos de los relés 27, 29, permiten que se lleve a cabo un diagnóstico estático de la interfaz de retransmisión. La lógica 73 de monitorización de la función de retransmisión mostrada en la Figura 9 se ejecuta para monitorizar las dos salidas de relé.
Se llevan a cabo dos funciones de monitorización. Primero, el monitor de corriente de la bobina debería coincidir con el estado lógico de la demanda de retransmisión. Los posibles fallos que podrían causar que no sea este el caso incluyen los siguientes:
- El transistor controlador del relé ha fallado (abierto o en corto)
- Pérdida del voltaje suministrado a la bobina de retransmisión
- Relé faltante (no enchufado)
- Circuito abierto de la bobina de retransmisión
- Detector de corriente de bobina averiado
- Panel de E/S de la FPGA averiado
En muchos casos, estos fallos se revelarán sólo al intentar activar la salida. Además, se realiza una comprobación para verificar que sólo uno de estos relés recibe energía en todo momento (si no está insertado el JP20). Las pruebas son válidas, no importa si el relé se utiliza o no en un circuito de salida. Un retardo temporal de 10 milisegundos impide indicaciones espurias durante las descargas transitorias de conmutación de relé.
El segundo monitor está en el voltaje indicado por las señales K1VM o K2VM a través del lado A (normalmente abierto) del primer conjunto 27c o 29c de contactos. Este es el contacto principal utilizado para salidas de módulos. El voltaje debería estar presente si el contacto está abierto (el relé no recibe energía) y el circuito de carga recibe energía. Sin embargo, en algunas aplicaciones no habrá voltaje en los contactos de ambos relés. Tal vez esto se debe a que sólo se está utilizando un relé, o a que se está utilizando el contacto normalmente cerrado (lado B). Por esta razón, se aplica un cierre temporal lógico a la señal que detecta la pérdida de voltaje. Esta parte de la monitorización se dispara por la presencia de voltaje en algún momento después de que se reinicia el MIC. Los posibles fallos que causarían la indicación de fallo de "contacto" incluyen:
* Pérdida de potencia de control del equipo activado
* Fallo del contacto de relé (abierto o en corto)
* Panel de E/S de la FPGA averiado
Fallo del circuito del monitor de voltaje en el Módulo de Campo
Nuevamente, se coloca un retardo temporal de 10 milisegundos en la alarma, para impedir indicaciones falsas durante las descargas transitorias de conmutación.

Claims (24)

1. Un módulo (3) de interfaz de componente, no basado en software, entre sistemas basados en software primero y segundo, que generan, respectivamente, los conjuntos primero y segundo de señales de comando de componente, y un componente controlado (5) que genera señales de respuesta del componente, comprendiendo el módulo (3) de interfaz de componente:
una pluralidad de puertos (7, 9, 10) de entrada, a través de los cuales ingresan los conjuntos primero y segundo de señales de comando del componente;
un procesador (25), no basado en software, que arbitra los conjuntos primero y segundo de señales de comando de componente, y que integra con los mismos las señales de respuesta de componente para generar una señal de control del componente; y
un dispositivo (27, 29) de salida que emite la señal de control de componente al componente controlado (5).
2. El módulo de interfaz de componente de la Reivindicación 1, en el cual el procesador (25) incluye lógica (41) de prioridad, que arbitra entre los conjuntos primero y segundo de señales de comando de componente, para seleccionar una señal de comando de prioridad de componente, y lógica (45) de componente que integra las señales seleccionadas de respuesta de componente con la señal de comando de prioridad de componente seleccionada por la lógica de prioridad.
3. El módulo de interfaz de componente de la Reivindicación 2, en el cual la lógica (41) de prioridad arbitra entre los conjuntos primero y segundo de señales de comando de componente para seleccionar la señal de comando de prioridad de componente según una entre a) la selección, por parte de la prioridad del sistema, de una señal de comando de componente de uno entre los conjuntos primero y segundo de señales de comando de componente, como la señal de comando de prioridad de componente, y b) la selección, por parte de la prioridad de función, de una señal de comando de componente de uno entre los conjuntos primero y segundo de señales de comando de componente que comandan una primera función del componente controlado (5), sobre otra señal de comando de componente que comanda una segunda función relacionada del componente controlado (5), como la señal de comando de prioridad de componente.
4. El módulo de interfaz de componente de la Reivindicación 2, en el cual cada conjunto de señales de comando de componente incluye pares de señales opuestas de comando de componentes y la lógica (45) de componente incluye lógica de retención que mantiene una señal de control de componente generada por una de las señales opuestas de comando de componentes hasta que la otra señal opuesta de comando de componentes sea seleccionada como la señal de comando de prioridad del componente.
5. El módulo de interfaz de componente de la Reivindicación 2, en el cual el procesador (25) incluye un medio para programar las señales seleccionadas de respuesta de componente, para su integración con la señal de comando de prioridad del componente seleccionada por la lógica de prioridad.
6. El módulo de interfaz de componente de la Reivindicación 5, en el cual el medio para programar la señal seleccionada de respuesta del componente comprende los puentes (43).
7. El módulo de interfaz de componente de la Reivindicación 2, en el cual la lógica (45) de componente incluye la lógica (46) de bloqueo, que bloquea la generación de la señal de control de componente en respuesta a ciertas señales de respuesta del componente.
8. El módulo de interfaz de componente de la Reivindicación 7, en el cual ciertas señales de respuesta del componente incluyen una señal de activación completada del componente, y la lógica de bloqueo que bloquea la señal de control del componente es sensible a la señal de activación completada del componente para bloquear la generación de la señal de control del componente.
9. El módulo de interfaz de componente de la Reivindicación 2, en el cual el procesador (25) incluye lógica (59, 61, 69, 73) de diagnósticos que realiza diagnósticos sobre el módulo (3) de interfaz de componente.
10. El módulo de interfaz de componente de la Reivindicación 9, en el cual la lógica de diagnósticos incluye un verificador (59) de interfaz de puerto que prueba al menos uno de los puertos (7, 9, 11) de entrada.
11. El módulo de interfaz de componente de la Reivindicación 10, en el cual el verificador (59) de interfaz de puerto comprende un cierre temporal del puerto de entrada que retiene temporalmente, como entradas retenidas, las señales de comando de componente ingresadas por el puerto, o puertos, de entrada al procesador (25) en el momento en que la prueba de interfaz de puerto es iniciada por el verificador (59) de interfaz de puerto, y un medio sensible a los cambios en las señales de comando de componente recibidas en el puerto, o puertos, de entrada desde el sistema correspondiente entre los sistemas (13, 15) basados en software primero y segundo, para generar una señal de superación de prueba de puerto de entrada.
12. El módulo de interfaz de componente de la Reivindicación 9, en el cual la lógica de diagnósticos comprende un verificador (61) de pulsos que envía pulsos de prueba a través de la lógica (41) de prioridad y la lógica (45) de componente, y lógica (69) de análisis de pruebas que determina los resultados de la prueba a partir de la propagación de los pulsos de prueba.
13. El módulo de interfaz de componente de la Reivindicación 12, en el cual el verificador (61) de pulsos envía pulsos de prueba continuamente a través de la lógica (41, 45) de prioridad y de componente.
14. El módulo de interfaz de componente de la Reivindicación 12, en el cual la lógica (69) de análisis de pruebas genera una señal de fallo de prueba cuando no aparecen pulsos de prueba en los dispositivos (27, 29) de salida.
15. El módulo de interfaz de componente de la Reivindicación 12, en el cual la lógica (45) de componente incluye lógica (46) de bloqueo que bloquea la generación de la señal de control de componente en respuesta a ciertas señales de respuesta del componente, y la lógica (69) de análisis de pruebas genera una señal de fallo de prueba sólo cuando no aparece ningún pulso en el dispositivo (27, 29) de salida y la lógica (46) de bloqueo no está bloqueando la generación de la señal de control de componente.
16. El módulo de interfaz de componente de la Reivindicación 15, en el cual cada uno de los conjuntos primero y segundo de señales de comando de componente incluye un par de señales contrarias de comando de componente, y el dispositivo de salida comprende dos dispositivos de salida, cada uno sensible a la correspondiente señal opuesta de comando de componente, enviando el verificador (61) de pulsos, alternativamente, pulsos a través de la lógica (41) de prioridad y la lógica (45) de componente, sobre las señales opuestas de comando de componente, generando la lógica (69) de análisis de pruebas una señal de fallo de prueba de pulso cuando cualquiera de los dispositivos de salida no ve el pulso aplicado a la correspondiente señal opuesta de comando de componente, y la señal de control no ha sido bloqueada por la lógica (46) de bloqueo.
17. El módulo de interfaz de componente de la Reivindicación 16, en el cual la lógica (45) de componente incluye lógica de retención que mantiene una señal de control generada por una de las señales opuestas de comando de componente, hasta que se aplica la otra señal opuesta de comando de componente, y la lógica (69) de análisis de pruebas genera una señal de fallo de prueba de pulso si el dispositivo de salida asociado a la señal de control que está retenida no ve los pulsos en la señal opuesta de control de componente.
18. El módulo de interfaz de componente de la Reivindicación 9, en el cual el dispositivo (27, 29) de salida comprende un relé y la lógica (59, 61, 69, 73) de diagnósticos incluye lógica (73) de monitorización de la función de retransmisión.
19. El módulo de interfaz de componente de la Reivindicación 18, en el cual el relé tiene una bobina y contactos de relé, y la lógica (73) de monitorización de la función de retransmisión detecta el fallo de la bobina del relé.
20. El módulo de interfaz de componente de la Reivindicación 19, en el cual la lógica (73) de monitorización de la retransmisión incluye un sensor de estado de bobina que genera una señal de estado de bobina, y la lógica (73) de monitorización de la retransmisión genera una indicación de fallo de bobina cuando la señal de control de componente y la señal de estado de bobina son ambas cero o ambas distintas de cero.
21. El módulo de interfaz de componente de la Reivindicación 20, en el cual la lógica (73) de monitorización de la retransmisión incluye un sensor de voltaje que detecta el voltaje a través de los contactos de relé, y la lógica de monitorización de la retransmisión genera una indicación de fallo del contacto de bobina cuando la señal de control de componente y el voltaje a través de los contactos de relé son ambos cero, y cuando ambos son distintos de cero.
22. El módulo de interfaz de componente de la Reivindicación 1, en el cual las señales de entrada de componente ingresan al procesador (25) y se pasan a los sistemas basados en software primero y segundo, a través de los puertos (7, 9, 11) de entrada.
23. El módulo de interfaz de componente de la Reivindicación 22, en el cual cada uno de los puertos (7, 9, 11) de entrada está conectado con uno entre los sistemas (13, 15) basados en software primero y segundo, a través de uno entre una conexión (19) cableada y un bus (21) de ordenador.
24. El módulo de interfaz de componente de la Reivindicación 1, en el cual los conjuntos primero y segundo de señales de comando de componente son suministrados a uno entre los puertos (7, 9, 11) de entrada, a través de uno entre una conexión (19) cableada y un bus (21) de ordenador.
ES02802092T 2001-09-24 2002-08-15 Modulo de interfaz para un componente controlado. Expired - Lifetime ES2297050T3 (es)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US32433201P 2001-09-24 2001-09-24
US32433101P 2001-09-24 2001-09-24
US324332P 2001-09-24
US324331P 2001-09-24

Publications (1)

Publication Number Publication Date
ES2297050T3 true ES2297050T3 (es) 2008-05-01

Family

ID=26984405

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02802092T Expired - Lifetime ES2297050T3 (es) 2001-09-24 2002-08-15 Modulo de interfaz para un componente controlado.

Country Status (6)

Country Link
EP (1) EP1433185B1 (es)
KR (1) KR100904577B1 (es)
AT (1) ATE379838T1 (es)
DE (1) DE60223827T2 (es)
ES (1) ES2297050T3 (es)
WO (1) WO2003036653A1 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007009141B4 (de) * 2007-02-24 2009-12-10 Sick Ag Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
US8527668B2 (en) * 2010-11-12 2013-09-03 Invensys Systems, Inc. Priority logic module
US9563590B2 (en) 2014-03-17 2017-02-07 Nxp Usa, Inc. Devices with arbitrated interface busses, and methods of their operation
US9643558B2 (en) 2015-02-18 2017-05-09 Freescale Semiconductor, Inc. Input signal mismatch detection circuit
KR20190004743A (ko) 2016-05-04 2019-01-14 브리스톨-마이어스 스큅 컴퍼니 인돌아민 2,3-디옥시게나제의 억제제 및 그의 사용 방법
KR102215206B1 (ko) * 2019-07-22 2021-02-10 간조릭 노로브삼부 구성요소 연계 모듈
CN111290374A (zh) * 2020-03-18 2020-06-16 昆山艾派科技有限公司 工业机器人io功能可靠性测试装置及其测试方法
KR102311225B1 (ko) * 2021-01-18 2021-10-13 한국수력원자력 주식회사 사용자 편의성이 강화된 구성 요소 인터페이스 모듈
CN114637271B (zh) * 2022-03-16 2024-03-15 天津津航计算技术研究所 一种应用于联锁系统采驱对位的测试工具
CN115639788B (zh) * 2022-09-09 2024-05-28 中国核动力研究设计院 基于数模混合技术的反应堆保护系统定期试验装置和方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3377541D1 (en) * 1982-06-03 1988-09-01 Lucas Ind Plc Control system primarily responsive to signals from digital computers
FR2600437B1 (fr) * 1986-06-18 1993-12-31 Telemecanique Electrique Procede et dispositif pour la commande redondante d'un organe de puissance
JPH01245335A (ja) * 1988-03-28 1989-09-29 Hitachi Ltd プログラマブルコントローラの多重化システム
US5745539A (en) * 1995-11-14 1998-04-28 Westinghouse Electric Corporation Apparatus and method for prioritization of multiple commands in an instrumentation and control system
US6292523B1 (en) * 1997-06-06 2001-09-18 Westinghouse Electric Company Llc Digital engineered safety features actuation system
US6308230B1 (en) * 1998-12-28 2001-10-23 The United States Of America As Represented By The Secretary Of The Navy Information/software interface having serial communications detection logic/electronics for determining either a host or an embedded microcomputer device controller connected thereto
US6556345B1 (en) * 2001-06-21 2003-04-29 Onetta, Inc. Optical network equipment with control and data paths
US6631146B2 (en) * 2001-07-06 2003-10-07 Intel Corporation Tunable laser control system

Also Published As

Publication number Publication date
KR20040037096A (ko) 2004-05-04
WO2003036653A1 (en) 2003-05-01
EP1433185B1 (en) 2007-11-28
DE60223827T2 (de) 2009-07-09
EP1433185A1 (en) 2004-06-30
ATE379838T1 (de) 2007-12-15
KR100904577B1 (ko) 2009-06-25
DE60223827D1 (de) 2008-01-10

Similar Documents

Publication Publication Date Title
ES2297050T3 (es) Modulo de interfaz para un componente controlado.
ES2236942T5 (es) Método y dispositivo para verificar la capacidad de funcionamiento de un dispositivo de seguridad
US6842669B2 (en) Component interface module
ES2321634T3 (es) Sistema de automatizacion redundante que comprende un aparato de automatizacion maestro y otro de reserva.
US4926281A (en) Fail-safe and fault-tolerant alternating current output circuit
ES2547467A2 (es) Prevención de reconexión desincronizada entre sistemas de energía
US4412282A (en) Microprocessor control circuit
US6381506B1 (en) Fail-safe microprocessor-based control and monitoring of electrical devices
US4697093A (en) Testable, fault-tolerant power interface circuit for controlling plant process equipment
ES2392466T3 (es) Dispositivo y procedimiento de comprobación de actores redundantemente conectados en el bucle de carga de un circuito de salida de seguridad
US7451485B2 (en) Information processing unit having tamper-resistant system
US5281857A (en) Self-checking interlock control system
CN108255097A (zh) 单脉冲触发上锁/解锁逻辑保护电路及实现方法
JPS58214B2 (ja) 多重化装置
ES2538352T3 (es) Circuito de conmutación de enclavamiento con detección de fallo único
KR20020058084A (ko) 통전-작동형 공학적 안전 설비 작동 시스템 및 이를 위한테스팅 방법
Mozina et al. Multifunction digital relay commissioning and maintenance testing
ES2915655T3 (es) Protección contra fallas internas
EP3961229A1 (en) Electronic device and corresponding self-test method
RU2109318C1 (ru) Автоматическое контрольное устройство
KR100949535B1 (ko) 이산 신호를 점검하는 장치
HU202328B (en) Programmed security two-channel control apparatus
SU1670767A2 (ru) Устройство дл обнаружени отказов в дискретном электроприводе с четырехфазным шаговым двигателем
SU1390625A2 (ru) Устройство дл приема последовательного кода
JPH04256769A (ja) 電子装置