FR2735882A1 - Systeme et procede de verification d'un systeme de commande numerique - Google Patents

Systeme et procede de verification d'un systeme de commande numerique Download PDF

Info

Publication number
FR2735882A1
FR2735882A1 FR9607699A FR9607699A FR2735882A1 FR 2735882 A1 FR2735882 A1 FR 2735882A1 FR 9607699 A FR9607699 A FR 9607699A FR 9607699 A FR9607699 A FR 9607699A FR 2735882 A1 FR2735882 A1 FR 2735882A1
Authority
FR
France
Prior art keywords
signal
control
control signal
verified
error
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9607699A
Other languages
English (en)
Other versions
FR2735882B1 (fr
Inventor
Kenneth R Talbott
Thomas D Gahagen
William T Dolenti
Iv David V Adams
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Limitorque LLC
Original Assignee
Limitorque LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Limitorque LLC filed Critical Limitorque LLC
Publication of FR2735882A1 publication Critical patent/FR2735882A1/fr
Application granted granted Critical
Publication of FR2735882B1 publication Critical patent/FR2735882B1/fr
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24078Debounce, correct periodicity of command
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24079Detect correct command wave form
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24081Detect valid sequence of commands
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24082Detect if driver, actuation circuit is correct
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24083Detect if actuators are correct, react
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24128Command and intermediate error feedback used to verify correct execution
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/25Pc structure of the system
    • G05B2219/25242Relay

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

L'invention concerne la vérification continue du bon fonctionnement d'un système de commande numérique. Le système de vérification (10) reçoit des signaux de commande et il les contrôle pour déterminer si le fonctionnement est correct. Le système de vérification comprend diverses parties, telles qu'un moyen de validation de signal de commande (12), un moyen de détection d'erreur (14), un moyen de génération de signal d'attaque (16), un moyen d'attaque (18), un moyen de validation d'attaque (20) et un moyen d'actionnement (22), qui contrôlent les signaux de commande à divers stades. Si une erreur est détectée, un signal d'erreur est généré pour empêcher le fonctionnement de l'équipement associé (60). Application à la commande de vannes dans des processus industriels.

Description

La présente invention concerne de façon générale des systèmes de commande numériques et elle concerne plus particulièrement des systèmes destinés à vérifier le fonctionnement d'un système de commande numérique.
On utilise souvent dans l'industrie des systèmes de commande numériques de divers types pour la commande d'un équipement électromécanique. Ainsi, des actionneurs de vannes sont un exemple de tels types d'équipement électromécanique qui, comme on le sait, peuvent être mis en oeuvre par l'utilisation de systèmes de commande numériques. De façon caractéristique, on utilise des actionneurs de vannes électromécaniques pour ouvrir et fermer des vannes qui commandent la circulation de fluides dans une grande variété de processus. Par exemple, on trouve fréquemment des actionneurs de vannes électromécaniques dans des centrales électriques, des raffineries de pétrole et des installations chimiques et de fabrication, pour ne citer que quelques applications.
Dans un grand nombre de ces applications, le fonctionnement de l'actionneur de vanne particulier est régulé par l'utilisation d'un système de commande numérique. Un type de système de commande numérique est décrit dans le brevet des E.U.A. nO 5 400 360, qui a été cédé à la demanderesse.
Un risque inhérent à des systèmes de commande numériques consiste en ce qu'une défaillance des circuits numériques peut ne pas être détectée, et, dans certains cas, elle peut affecter défavorablement la commande de l'équipement électromécanique.
Par exemple, une défaillance du circuit numérique peut conduire l'équipement électromécanique à fonctionner de manière imprévue ou d'une manière qui diffère de celle exigée par le système. Une technique connue pour contrôler des systèmes de commande numériques utilise des temporisateurs de contrôle de séquence qui sont restaurés à une cadence périodique par les commandes numériques. Plus précisément, si un temporisateur de contrôle de séquence n'est pas restauré, le système de commande numérique se réinitialise ou entre dans un état de non-fonctionnement.
L'inconvénient avec l'utilisation de temporisateurs de contrôle de séquence consiste en ce que la raison particulière de la défaillance du système reste indétectée, et par conséquent une analyse supplémentaire est nécessaire pour déterminer le problème particulier qui affecte le système de commande numé- rique. Un autre inconvénient consiste en ce que des temporisateurs de contrôle de séquence ne procurent pas un contrôle suffisamment exact du système de commande numérique pour l'utilisation dans de nombreuses applications.En particulier, il y a un intervalle de temps de retard entre le point auquel la défaillance dans le système de commande numérique se produit et le point auquel la défaillance est détectée par les temporisateurs de contrôle de fréquence; c'est en particulier le cas lorsqu'un temporisateur de contrôle de séquence n'est pas restauré. Cependant, dans de nombreuses applications, le fonctionnement de l'équipement électromécanique doit satisfaire des normes de fiabilité et de précision très strictes, et un tel retard est souvent insuffisant dans ces circonstances.En outre, même avec des applications dans lesquelles la précision est de moindre importance, il est toujours avantageux de détecter rapidement des problèmes de système, par exemple, et de réagir rapidement à ces problèmes, afin de limiter le temps d'immobilisation de l'équipement et le temps nécessaire à un technicien pour effectuer une réparation. La présente invention a donc été développée en relation avec ce qui précède et dans le but d'éliminer les déficiences de l'art antérieur.
La présente invention décrit un système et un procédé pour vérifier le fonctionnement d'un système de commande numérique; en particulier pour empêcher un fonctionnement imprévu d'un équipement sous la dépendance du système de commande numérique. La présente invention procure un système de vérification qui est associé à un système de commande numérique.
Le système de commande numérique applique au moins un signal de commande au système de vérification. Le système de vérification comprend un moyen de validation de signal de commande qui vérifie le signal de commande reçu à partir du système de commande numérique. Le système de vérification comprend également un moyen d'attaque pour produire au moins un signal d'actionnement en réponse à au moins un signal d'attaque. Il existe également un moyen de validation d'attaque qui vérifie une condition du moyen d'attaque. En outre, un moyen d'actionnement est incorporé et il réagit au signal d'actionnement provenant du moyen d'attaque en produisant au moins un signal de sortie du système de vérification. Il existe une structure de détecteur qui réagit au signal de sortie en identifiant une condition correspondant au signal de sortie.Le système de vérification comprend un moyen de détection d'erreur qui fonctionne sous la dépendance du moyen de validation de signal de commande, du moyen de validation d'attaque et de la structure de détecteur, pour produire au moins un signal d'erreur. Il existe en outre un moyen de génération de signal d'attaque qui fonctionne sous la dépendance du moyen de validation de signal de commande et du moyen de détection d'erreur, de façon à appliquer le ou les signaux d'attaque au moyen d'attaque.
Le procédé conforme à la présente invention est conçu pour vérifier le fonctionnement d'un système de commande numérique qui est utilisé dans la commande de divers types d'équipement, en particulier un équipement électromécanique. Le procédé comprend les étapes consistant à générer au moins un signal de commande, à vérifier le signal de commande et à générer en réponse au moins un signal de commande vérifié. Le procédé comprend également les étapes consistant à générer au moins un signal d'actionnement sous la dépendance d'au moins un signal d'attaque, à vérifier le signal d'actionnement et à générer en réponse au moins un signal d'attaque vérifié.Le procédé comprend également les étapes qui consistent à générer au moins un signal de sortie en réponse au signal d'actionnement, pour commander l'équipement électromécanique, et à vérifier le signal de sortie et à générer en réponse au moins un signal de sortie vérifié. En outre, le procédé comprend la génération d'au moins un signal d'erreur en réponse au signal de commande vérifié, au signal d'attaque vérifié et au signal de sortie vérifié, et la génération du ou des signaux d'attaque en réponse au signal de commande vérifié et au signal d'erreur
Un but de la présente invention est d'éviter un fonctionnement imprévu d'un équipement commandé de façon numérique.
Un autre but de la présente invention est de vérifier le fonctionnement d'un système de commande numérique dans le but de réguler le fonctionnement d'un équipement qui fonctionne sous la dépendance du système de commande numérique.
Un autre but de la présente invention est de vérifier le fonctionnement d'un système qui est utilisé pour la vérification du fonctionnement d'un système de commande numérique.
En outre, un autre but de la présente invention est d'offrir la possibilité de détecter des défaillances de système dans un système de commande numérique, afin d'éviter un fonctionnement non désiré.
Un autre but de la présente invention est de réaliser une détection précise et fiable de défaillances dans un système de commande numérique, cette détection pouvant être réalisée à un coût minimal.
D'autres caractéristiques et avantages de l'invention seront mieux compris à la lecture de la description qui va suivre de modes de réalisation, donnés à titre d'exemples non limitatifs. La suite de la description se réfère aux dessins annexés dans lesquels
La figure 1 est un schéma synoptique illustrant un mode de réalisation d'un système de vérification conforme à la présente invention;
La figure 2 est un schéma synoptique illustrant un mode de réalisation préféré d'un système de vérification conforme à la présente invention; et
La figure 3 est un schéma partiellement sous forme développée et partiellement sous forme synoptique illustrant un mode de réalisation, donné à titre d'exemple, des circuits électroniques de traitement du système de vérification conforme à la figure 2.
En se référant maintenant en détail aux dessins, dans lesquels des références numériques semblables désignent des éléments semblables dans l'ensemble des diverses représentations, on voit sur la figure l un schéma synoptique illustrant un mode de réalisation d'un système de vérification conforme à la présente invention. Les parties principales du système de vérification 10 sur la figure l sont un moyen de validation de signal de commande 12, un moyen de détection d'erreur 14, un moyen de génération de signal d'attaque 16, un moyen d'attaque 18, un moyen de validation d'attaque 20, un moyen d'actionnement 22 et une structure de détecteur 24. On décrira de façon plus détaillée, dans les paragraphes qui suivent, le fonctionnement de chacune de ces parties du système de vérification 10.
Le système de vérification conforme à la présente invention est de préférence réalisé en relation avec un système de commande numérique, ou dans le cadre d'un tel système. De façon générale, le système de vérification de la présente invention peut convenir pour l'utilisation avec n'importe quel type de système de commande numérique. Un exemple d'un système de commande numérique qui peut être utilisé avec le système de vérification de la présente invention comprend les systèmes adaptés pour la commande d'un équipement électromécanique, et le reste de la présente demande concernera cet exemple, à titre d'illustration. On décrira ici le fonctionnement du système de vérification 10 en relation avec un tel système de commande numérique.
Dans le fonctionnement du système de vérification 10, un moyen de commande 26 est de préférence incorporé sous la forme d'une partie du système de vérification 10 ou d'une partie du système de commande numérique. Dans de nombreuses applications, l'indication du fait que le moyen de commande 26 fait partie du système de vérification 10 ou fait partie d'un système de commande numérique est simplement d'ordre sémantique; c'est en particulier le cas lorsque le système de vérification 10 est directement incorporé dans le système de commande numérique. Dans le cadre de l'illustration qui est présentée ici, on considérera que le moyen de commande 26 fait partie du système de commande numérique.Le moyen de commande 26 conforme à la présente invention est de préférence un dispositif de traitement classique et il fonctionne en plaçant au moins un signal de commande sur au moins une ligne de signal qui est connectée au système de vérification 10.
Dans ce mode de réalisation, les signaux de commande qui sont placés par le moyen de commande 26 correspondent de préférence à un état de fonctionnement désiré de l'équipement électromécanique ou d'autres dispositifs associés. En outre, conformément à la présente invention, chaque signal de commande qui est placé par le moyen de commande 26 est de préférence une forme d'onde et a une configuration définie. Les signaux de commande qui proviennent du moyen de commande 26 sont dirigés vers le moyen de validation de signal de commande 12 du système de vérification 10.
Le moyen de validation de signal de commande 12 contrôle les signaux de commande qui lui sont appliqués, pour vérifier que les formes d'onde sont comprises dans des plages de paramètres définis spécifiés, et il fournit ensuite en sortie au moins un signal de commande vérifié. Conformément à la présente invention, le moyen de validation de signal de commande 12 comprend un moyen de contrôle de période 30 et un moyen de contrôle de validité et de séquence, 32. De façon générale, dans ce mode de réalisation, les signaux de commande qui proviennent du moyen de commande 26 sont appliqués à la fois au moyen de contrôle de période 30 et au moyen de contrôle de validité et de séquence, 32.En ce qui concerne le moyen de contrôle de période 30, les signaux de commande qui sont appliqués à celui-ci subissent une suppression des rebondissements et leurs périodes à l'état haut et à l'état bas sont contrô lées par comparaison avec des limites définies. Cependant, si les périodes contrôlées dépassent ces limites, un signal d'erreur est transmis pour chaque signal qui est trouvé dans une condition de dépassement des limites définies. Ces signaux d'erreur sont transmis au moyen de détection d'erreur 14.
Les signaux de commande qui sont appliqués au moyen de contrôle de validité et de séquence, 32, sont contrôlés pour vérifier la validité de forme d'onde et la séquence. En ce qui concerne la validité de forme d'onde, chacun des signaux est contrôle par comparaison avec des formes d'onde valides définies, et une erreur est signalée si un écart quelconque est détecté. La séquence de formes d'onde valides est vérifiée de façon similaire par comparaison avec des séquences admissibles définies, et si des séquences invalides quelconques sont détectées, une erreur est signalée. Les signaux d'erreur qui résultent du contrôle de la validité de forme d'onde ou de la séquence de formes d'onde valides, sont transmis au moyen de détection d'erreur 14. Cependant, lorsque les moyens de contrôle de validité et de séquence 32 ont vérifié que la validité de forme d'onde et la séquence de formes d'onde valides sont comprises dans les limites acceptables, au moins un signal de commande vérifié est ensuite transmis au moyen de génération de signal d'attaque 16.
En ce qui concerne le moyen de détection d'erreur 14, comme indiqué ci-dessus, celui-ci re çoit des signaux d'entrée d'erreur provenant à la fois du moyen de contrôle de période 30 et du moyen de contrôle de validité et de séquence, 32, du moyen de validation de signal de commande 12. De plus, le moyen de détection d'erreur 14 reçoit des signaux d'entrée d'erreur provenant du moyen de génération de signal d'attaque 16 et de la structure de détec teur 24, comme on le décrira ci-dessous. Le moyen de détection d'erreur 14 transforme les signaux d'entrée d'erreur en un signal d'erreur unique qui est transmis au moyen de génération de signal d'attaque 16. De plus, il est préférable dans ce mode de réalisation que le moyen de détection d'erreur 14 fournisse une indication d'état au moyen de commande 26, mais ceci n'est pas obligatoire.
Comme indiqué ci-dessus, le moyen de génération de signal d'attaque 16 reçoit les signaux de commande vérifiés provenant du moyen de contrôle de validité et de séquence, 32, du moyen de validation du signal de commande 12, et il reçoit également le signal d'erreur provenant du moyen de détection d'erreur 14, et il génère au moins un signal d'attaque qui est dirigé vers le moyen d'attaque 18. Le moyen d'attaque 18 génère à son tour au moins un signal d'actionnement en réponse à chaque signal d'attaque reçu à partir du moyen de génération de signal d'attaque 16. Le signal d'actionnement qui provient du moyen d'attaque 18 est transmis au moyen de validation d'attaque 20 et au moyen d'actionnement 22.
Dans le mode de réalisation présent, les signaux d'actionnement qui proviennent du moyen d'attaque 18 sont transmis à titre de signaux de rétroaction au moyen de validation d'attaque 20. Le moyen de validation d'attaque 20 contrôle les signaux de rétroaction reçus, en les comparant avec des valeurs définies, de façon à déterminer tout défaut de fonctionnement du moyen d'attaque 18. Si un défaut de fonctionnement quelconque est détecté, le moyen de validation d'attaque 20 applique au moins un signal d'erreur au moyen de détection d'erreur 14. Dans le mode de réalisation présent, le moyen de validation d'attaque 20 est de préférence réalisé sous la forme d'une partie du moyen de génération de signal d'at taque 16, mais il faut noter que ces parties peuvent également être réalisées sous la forme d'éléments séparés, sans sortir de l'esprit de la présente invent ion.
Comme indiqué ci-dessus, le moyen d'attaque 18 transmet également au moins un signal d'actionnement au moyen d'actionnement 22. Dans le mode de réalisation présent, les signaux d'actionnement sont de préférence transmis au moyen d'actionnement 22 sous la forme de signaux d'attaque de relais. Le moyen d'actionnement 22 réagit aux signaux d'attaque de relais en produisant au moins un signal de sortie qui est transmis à la structure de détecteur 24.
La structure de détecteur 24 réagit aux signaux de sortie et elle identifie une condition correspondant aux signaux de sortie. Dans la présente invention, la structure de détecteur 24 peut de préférence être adaptée pour la détection de défaillances dans l'équipement électromécanique 60 et pour produire un signal de sortie qui indique une défaillance dans le système. Dans ce mode de réalisation, une condition qui est détectée par la structure de détecteur 24 est la condition de fonctionnement du moyen d'actionnement 22. Un premier moyen de détection 52 est de préférence incorporé dans ce but, et si un fonctionnement défectueux quelconque est détecté, un signal d'erreur est transmis au moyen de détection d'erreur 14. Une autre condition que peut identifier la structure de détecteur 24 est celle correspondant au système de commande numérique.Dans ce but, il existe un second moyen de détection qui est désigné par la référence 54, mais il faut noter que ce second moyen de détection 54 n'est pas obligatoire et peut être éliminé.
En plus de la transmission des signaux de sortie à la structure de détecteur 24, le moyen d'actionnement 22 transmet également les signaux de sortie à l'équipement électromécanique 60, conformément à la commande de ce dispositif.
La figure 2 montre un mode de réalisation préféré du système de vérification 10 qui est illustré sur la figure 1. Sur la figure 2, les parties qui correspondent à celles identifiées sur la figure 1 sont illustrées en utilisant les mêmes désignations numériques, mais commençant par 100. Dans ce mode de réalisation, le moyen de commande 126 place quatre signaux de commande sur quatre lignes de signal portant les désignations 28a-28d, que reçoit le système de vérification 10. Comme mentionné précédemment en relation avec le mode de réalisation qui décrit le système de vérification 10, les quatre signaux de commande correspondent de préférence à l'état de fonctionnement désiré de l'équipement électromécanique associé et d'autres dispositifs associés, comprenant un actionneur de vanne dans ce mode de réalisation.Comme on l'a indiqué dans le contexte de l'invention, un actionneur de vanne est un type particulier d'équipement électromécanique qui, comme on le sait, peut être mis en oeuvre en utilisant des systèmes de commande numériques. Par conséquent, dans le mode de réalisation présent, les quatre signaux de commande qui sont générés par le moyen de commande 126 sont associés à la spécification fonctionnelle de l'actionneur de vanne qui est désigné par la référence 160 sur la figure 2. En ce qui concerne la configuration des quatre signaux de commande, de façon similaire au mode de réalisation de la présente demande qui a été envisagé précédemment, chacun des quatre signaux de commande est une forme d'onde d'une configuration définie, et chaque signal de commande particulier produit une action indépendante.Dans le mode de réalisation présent, le premier signal de commande 28a remplit la fonction du "battement de coeur" pour réguler le système de vérification 110, les second et troisième signaux de commande 28b et 28c dirigent respectivement les mouvements en sens d'horloge et en sens inverse d'horloge de l'actionneur de vanne, et le quatrième signal 28d remplit la fonction d'un signal d'alarme.
Les détails de chacun de ces signaux seront décrits ci-dessous de façon plus complète.
Les quatre signaux de commande qui sont transmis à partir du moyen de commande 126 sont appliqués à un moyen de validation de signal de commande 112, qui comprend un moyen de contrôle de période 130 et un moyen de contrôle de validité et de séquence 132, de façon similaire à ce qui a été décrit précédemment. Dans le mode de réalisation présent, le moyen de contrôle de période 130 comprend huit temporisateurs monostables, chaque paire de temporisateurs monostables recevant l'un des quatre signaux de commande et l'inverse de ce signal. De façon générale, la spécification du système de commande numérique impose des exigences de valeurs minimales et maximales de fréquence et de rapport cyclique aux signaux qui sont reçus à partir du moyen de commande 126. Comme décrit précédemment, les signaux de commande subissent une suppression des rebondissements et, dans ce mode de réalisation, chacun des huit temporisateurs monostables contrôle chaque ligne pour déterminer la durée à l'état haut et la durée à l'état bas de chaque signal, et si certains de ces signaux restent trop longtemps à l'état haut ou à l'état bas, en comparaison avec les limites définies qui sont autorisées par la spécification, cette condition est détectée, et un signal d'erreur est transmis au moyen de détection d'erreur 114 par les lignes 38a-38h.
Les signaux de commande qui sont appliqués dans ce mode de réalisation au moyen de contrôle de validité et de séquence, 132, sont mémorisés par les éléments de mémorisation 133 sur les fronts montants et descendants du signal de "battement de coeur".
Sur chaque front du signal de "battement de coeur", l'état des données mémorisées est comparé avec des combinaisons acceptables qui sont définies par la spécification. La spécification définit seulement certaines formes d'onde sur chaque ligne de signal comme étant des configurations de commande valides, et toutes les autres sont reconnues comme étant des erreurs qui génèrent un signal d'erreur qui est dirigé du moyen de contrôle de validité et de séquence 132 vers le moyen de détection d'erreur 114. Dans le mode de réalisation présent, il est préférable que les formes d'onde définies qui sont imposées par la spécification exigent que le signal de sens d'horloge, le signal de sens inverse d'horloge et le signal d'alarme aient des états différents sur les fronts montants et descendants des signaux de "battement de coeur".Lorsqu'il a été vérifié que les signaux de commande étaient compris dans les limites acceptables, les quatre signaux de commande vérifiés sont transmis aux moyens de génération de signal d'attaque 116 sur les lignes 30a-30d.
Dans ce mode de réalisation, le moyen de génération de signal d'attaque 116 comprend le moyen de validation d'attaque 120, comme décrit dans le mode de réalisation précédent. Le moyen de génération de signal d'attaque 116 reçoit donc les signaux de commande vérifiés provenant du moyen de contrôle de validité et de séquence 132, le signal d'erreur combiné provenant du moyen de détection d'erreur 114, qui est transmis sur la ligne 40, et des signaux de rétroaction provenant du moyen d'attaque 118. Il est préférable que la conception du moyen d'attaque 118, que l'on décrira ci-dessous de façon plus détaillée, impose que les signaux d'attaque provenant du moyen de génération de signal d'attaque 116 soient constitués par des formes d'onde impulsionnelles ayant un rapport cyclique élevé spécifié.
Cependant, si le rapport cyclique tombe à une valeur trop basse, ou si les formes d'onde demeurent pendant une durée spécifiée dans un état haut ou un état bas, le moyen d'attaque 118 sera mis hors fonction, par conception. Dans le mode de réalisation présent, le moyen de génération de signal d'attaque 116 applique quatre signaux au moyen d'attaque 118, sur les lignes 43a-43d.
Dans ce mode de réalisation, le moyen d'attaque 118 comprend quatre éléments d'attaque, chaque élément d'attaque ayant une entrée qui est connectée à l'une des lignes de sortie 43a-43d provenant du moyen de génération de signal d'attaque 116. De fa çon similaire, chacun des éléments d'attaque génère un signal de rétroaction sur les lignes 45a-45d, qui est renvoyé vers le moyen de validation d'attaque 120 du moyen de génération de signal d'attaque 116.
De façon similaire à ce qui a été décrit précédemment, chacun des signaux de rétroaction provenant de chacun des éléments d'attaque est contrôle par comparaison avec des valeurs définies, pour vérifier le fonctionnement de chaque élément d'attaque particulier. Le fonctionnement défectueux de l'un quelconque des éléments d'attaque a pour conséquence la transmission du signal d'erreur au moyen de détection d'erreur 114, sur la ligne 41.
De façon similaire au système de vérification 10, le moyen d'actionnement 122 reçoit les signaux d'actionnement sous la forme de signaux d'attaque de relais provenant du moyen d'attaque 118. Dans le mode de réalisation présent, le moyen d'actionnement 122 comprend quatre relais, chaque relais recevant l'un des quatre signaux d'attaque de relais provenant d'un élément d'attaque particulier. Comme illustré sur la figure 2, les signaux d'attaque de relais qui sont produits par les éléments d'attaque sont transmis aux quatre relais sur les lignes 48a48d. Trois des relais attaquent à leur tour le contacteur qui fait partie de l'actionneur de vanne, sur les lignes 50a-50c, pour commander le moteur.
Dans ce mode de réalisation, chacun des trois relais est spécifié pour une opération d'actionneur particulière, et le relais qui est actif dépend de l'action d'actionneur qui a été demandée par le moyen de commande 126 au moment où il a placé les signaux de commande sur les quatre lignes de signal 28a-28d.
Dans ce mode de réalisation préféré, un relais est adapté pour réguler l'actionnement du moteur en sens d'horloge, un relais est adapté pour réguler l'actionnement du moteur en sens inverse d'horloge et le troisième relais est adapté pour effectuer une régulation pendant la marche du moteur. Un quatrième relais est incorporé et il est connecté au second moyen de détection 154 de la structure de détecteur 124 par des lignes 50d, de façon similaire à ce qui a été décrit en relation avec le système de vérification 10. Le quatrième relais réagit également aux signaux de commande qui sont produits par le moyen de commande 126, et lorsqu'il est actif, il génère un signal de sortie qui est appliqué au second moyen de détection 154. Comme indiqué précédemment, le second moyen de détection 154 produit de préférence un signal de sortie indiquant une défaillance dans le système.Dans le mode de réalisation présent, le second moyen de détection 154 comprend un mécanisme d'alarme qui est utilisé pour fournir une indication de l'état du système de commande numérique. De façon similaire, les trois relais restants sont également connectés au premier moyen de détection 152 de la structure de détecteur 124. Dans ce mode de réalisation, le premier moyen de détection 152 est adapté pour effectuer un contrôle des trois relais ainsi que des bobines de contacteur, dans le but de détecter un défaut quelconque dans ces parties. En outre, bien que ceci ne soit pas représenté, dans le mode de réalisation présent, le premier moyen de détection 152 est de préférence incorporé directement sur les bobines du contacteur.
La figure 3 montre un schéma partiellement sous forme développée et partiellement sous forme synoptique d'un mode de réalisation qui constitue un exemple des circuits électroniques de traitement du système de vérification 110 conforme à la figure 2.
Sur la figure 3, les composants qui correspondent aux parties indiquées dans le schéma synoptique de la figure 2 sont encadrés par des lignes en pointillés et ils portent les mêmes désignations numériques que sur la figure 2. Comme représenté, les signaux de commande 28a-28d qui sont transmis à partir du moyen de commande 126 (non représenté) sont appliqués à un dispositif logique programmable (ou
PLD) 300. Dans ce mode de réalisation, le dispositif logique programmable 300 est un circuit intégré spécifique qui accomplit les opérations du moyen de validation de signal de commande 112, du moyen de détection d'erreur 114 et du moyen de génération de signal d'attaque 116, et qui est construit d'une manière classique. A titre d'exemple, le dispositif logique programmable 300 peut consister en une puce disponible dans le commerce, fabriquée par Microchip
Technology Inc., sous la référence PIC16c55/57. Dans ce mode de réalisation, il est préférable que l'in dication d'état qui est transmise à partir du moyen de détection d'erreur 114 représenté sur la figure 2, soit transmise à partir du dispositif logique programmable 300, sur la ligne 380, comme représenté. De plus, une source d'énergie (non représentée) est également incorporée et elle est incorporée au dispositif logique programmable 300 par la ligne UPS 384. De plus, une ligne de sortie SER 386 est également représentée et est connectée au dispositif logique programmable 300 et au moyen de commande 126, et cette ligne est adaptée pour la transmission d'information de diagnostic à l'endroit désiré.Le dispositif logique programmable 300 émet à son tour trois signaux d'attaque sur les lignes 43a-43c, vers les trois éléments d'attaque correspondants du moyen d'attaque 118. Les trois éléments d'attaque génèrent à leur tour les signaux de rétroaction qui sont renvoyés vers le dispositif logique programmable 300 sur les lignes 45a-45c, comme représenté. Dans le mode de réalisation présent, la structure de chacun des éléments d'attaque du moyen d'attaque 118 est la même, et dans un but d'illustration on décrira au paragraphe suivant le fonctionnement de l'élément d'attaque qui est connecté aux lignes 43a et 45a.
Dans le mode de réalisation présent, le signal d'attaque qui est appliqué à l'élément d'attaque peut de préférence être placé dans deux états.
Le premier état est un état inactif, à tension constante, et le second état est un état actif, avec une variation impulsionnelle, à fréquence élevée et à rapport cyclique élevé. Dans des situations dans lesquelles l'état du signal d'attaque correspond à une tension continue quelconque, une tension quelconque qui est présente sur un condensateur 327 sera réduite à 0 volt par décharge à travers une résistance 343. Lorsque la tension est réduite au-dessous d'environ 2 volts, un transistor à effet de champ 360 cesse de conduire du courant, et le courant traversant la bobine du relais 50a cesse, ce qui fait retourner le relais à son état inactif. De cette manière, le moyen d'attaque retourne de façon inhérente à une condition inactive.
Dans des situations dans lesquelles le signal d'attaque est dans l'état actif, le signal d'attaque alterne généralement entre environ 5 volts et 0 volt. La fréquence de l'onde est élevée et le rapport cyclique est également élevé, et par conséquent la durée de la condition de tension basse du signal est très courte. Lorsque le signal d'attaque s'élève à partir de l'état de tension basse vers l'état à tension élevée, le potentiel de la borne négative d'un condensateur 325 s'élève également. Ceci fait circuler un courant à travers une résistance 344 qui charge le condensateur 327. Comme indiqué ci-dessus, pendant cette même durée, la résistance 343 agit continuellement de façon à décharger le condensateur 327.Dans ce mode de réalisation, la valeur de la résistance 344 est de préférence très inférieure à la valeur de la résistance 343, et par conséquent l'effet de décharge est disparaît sous l'effet de charge peu de temps après le passage du signal d'attaque à son niveau de tension haute. Lorsque le signal d'attaque reste au niveau haut, le condensateur 325 se charge au fur et à mesure qu'un courant circule à partir de la borne négative. La valeur du condensateur 325 est de préférence très supérieure à la valeur du condensateur 327, et dans cette configuration le condensateur 327 se charge à une tension haute beaucoup plus rapidement que le condensateur 325 ne se charge. Ensuite, au bout d'une durée appropriée pendant laquelle le signal d'attaque est resté au niveau haut, le signal d'attaque passe à son état de masse ou de tension basse.A ce point, toute charge qui a circulé à partir de la borne négative du condensateur 325 pendant la phase de charge apparaît sous la forme d'une tension inférieure sur la borne négative du condensateur 325. A ce moment, lorsque la tension du signal d'attaque tombe vers 0 volt, une diode 346 devient polarisée en direct, à cause de la charge sur le condensateur 325. A son tour, la diode 346 conduit rapidement un courant pour décharger le condensateur 325 à environ 0,2 volt. Après ceci, le signal d'attaque passe à nouveau à son état de tension haute. Cependant, pendant que le signal d'attaque est à son état de tension basse, la résistance 344 agit en parallèle avec la résistance 343 pour décharger le condensateur 327.
Comme indiqué ci-dessus, le transistor à effet de champ 360 est connecté au relais 50a, et comme représenté, ces éléments sont connectés à leur tour à une diode 341 et un condensateur 302. Dans cette configuration, des pointes de courant et de tension qui sont associées à la commutation de la charge inductive de la bobine de relais sont limitées.
Le signal de rétroaction qui est transmis par la ligne 45a à partir de l'élément d'attaque, est obtenu au moyen d'une résistance 342 et d'une diode
Zener 345. Lorsque le transistor à effet de champ 360 est inactif et ne conduit pas, la résistance de la bobine de relais 50a est en série avec la résistance 342. Dans cette configuration, du fait qu'une borne de la bobine de relais 50a est connectée à l'alimentation de système de 9 volts, comme repré- senté, un courant circule à travers chacun de ces deux éléments résistifs, de façon à élever la tension du signal de rétroaction. Cependant, la tension du signal de rétroaction est limitée à une valeur de sécurité par la diode Zener 345.La valeur de la résistance 342 est de préférence sélectionnée de façon que le courant normal soit limité à une valeur bien inférieure à toute valeur capable d'actionner le relais 50a. Dans des situations dans lesquelles le transistor à effet de champ 360 est actif et conducteur, la tension du signal de rétroaction est réduite au voisinage de 0 volt.
Dans le fonctionnement du premier moyen de détection 152, on élabore un signal en utilisant la faible résistance des bobines de contacteur internes de l'actionneur de vanne 160, en association avec les contacts des trois relais 50a-50c du moyen d'actionnement 122, et conjointement à la source d'alimentation alternative de 120 volts de l'équipement électromécanique, comme représenté. L'interconnexion entre ces éléments est accomplie par l'intermédiaire d'un circuit de pont de diodes qui est constitué par des diodes 323, 349 et 350. En fonctionnement, le circuit de pont de diode dirige à travers la diode d'entrée de l'opto-isolateur 370 un courant très faible, limité par une résistance 375. Cette configuration permet d'utiliser le circuit de détection dans des systèmes à tension élevée, du fait que 1' opto-isolateur et les diodes sont couramment disponibles avec des tensions nominales très élevées.
Le transistor de sortie de 1' opto-isolateur 370 est ramené au potentiel haut de l'alimentation du système numérique, au moyen d'une résistance 391, et les rebondissements présents sur ce transistor sont supprimés au moyen d'une résistance 389 et d'un condensateur 390.
Le quatrième élément d'attaque du moyen d'attaque 118 qui est illustré sur la figure 2, bien qu'il ne soit pas représenté sur la figure 3, a la même configuration que les trois autres éléments d'attaque. Dans le mode de réalisation présent, le quatrième élément d'attaque est monté de préférence sur une autre carte de circuit imprimé, et il est connecté au dispositif logique programmable 300 par les lignes 43d et 45d. De façon similaire, le relais d'alarme 50d identifié sur la figure 2 a la même configuration que les relais d'alarme 50a-50c qui sont représentés sur la figure 3, bien qu'il ne soit pas représenté pour abréger. Le signal du relais d'alarme 50d est émis à son tour vers le second moyen de détection 154 qui comprend un mécanisme d'alarme, comme indiqué en relation avec le second mode de réalisation de l'invention.De façon générale, comme indiqué précédemment, le mécanisme d'alarme peut avoir n'importe quelle structure appropriée pour produire une indication de sortie concernant l'état du système de commande numérique. Par exemple, dans certaines applications, le mécanisme d'alarme peut être une unité séparée, ou bien il peut faire partie d'un dispositif à microprocesseur.
Les composants restants qui sont illustrés sur la figure 3 sont familiers de l'homme de l'art et ils ne sont pas décrits en détail, pour abréger.
Il faut noter que l'explication précédente porte seulement sur un exemple des circuits électroniques de traitement convenant pour l'utilisation avec la présente invention. A la place, il est possible de réaliser les circuits électroniques de traitement de la présente invention en utilisant n'importe quels composants appropriés, comme des circuits intégrés disponibles dans le commerce.
Compte tenu de ce qui précède, on comprend que le système de vérification de la présente invention offre plusieurs avantages. Un avantage consiste à procurer un signal de commande sous la forme d'une forme d'onde complexe qui est reçue par le système de vérification à partir d'un moyen de commande.
Plus précisément, la configuration des formes d'onde provenant du moyen de commande doit obligatoirement être conforme à certaines spécifications pour maintenir un fonctionnement correct du système de commande numérique, ainsi que de l'équipement auquel le système de commande numérique est connecté. Comme indiqué précédemment, au moins une forme d'onde est générée à partir du moyen de commande, et on peut faire varier ce nombre pour appliquer un nombre quelconque de formes d'onde au système de vérification. Dans le mode de réalisation préféré de l'invention, on montre un exemple dans lequel quatre formes d'onde sont générées.Les formes d'onde qui sont transmises à travers le système de vérification sont contrôlées et changées en différents points dans le système, et si l'on détermine à l'un quelconque des points que les formes d'onde sont absentes ou sont invalides, une défaillance dans les commandes numériques s'est produite, et le système de vérification réagira de façon correspondante, de fa çon à empêcher tout fonctionnement ultérieur du système de commande numérique.
Le moyen de validation de signal de commande est une partie spécifique du système de vérification qui contrôle les formes d'onde. Comme indiqué précédemment, le moyen de validation de signal de commande comprend le moyen de contrôle de période et le moyen de contrôle de validité et de séquence, contrôlant chacun les signaux qui proviennent du moyen de commande, pour déterminer s'ils sont compris dans les plages de paramètres définis. En ce qui concerne le moyen de contrôle de période, celui-ci contrôle les périodes de niveau haut et de niveau bas des formes d'onde, et si les signaux restent trop longtemps au niveau haut ou au niveau bas, cette condi tion est détectée et un signal d'erreur est produit.
Un avantage particulier du moyen de contrôle de période consiste en ce qu'il assure la protection contre des fils de signal ouverts, des fils de signal court-circuités au niveau haut ou au niveau bas, des défaillances d'une puce d'attaque, et la majeure partie des modes de défaillance du moyen de commande, et le moyen de contrôle de période produira en réponse un signal d'erreur qui mettra fin au fonctionnement du système.
De façon similaire, le moyen de contrôle de validité et de séquence présente des avantages similaires. De façon générale, comme noté précédemment, le moyen de contrôle de validité et de séquence détermine si les formes d'onde se conforment à des configurations valides spécifiées, faisant intervenir la validité de forme d'onde et la séquence, et s'il y a un écart quelconque par rapport à ce qui est exigé, un signal d'erreur est également produit.
De plus, comme décrit en relation avec le mode de réalisation préféré de la présente invention, la spécification de formes d'onde admissibles exige que les formes d'onde des signaux de sens d'horloge, de sens inverse d'horloge et d'alarme aient des états différents sur les fronts montants et descendants du signal de battement de coeur. L'avantage ici consiste en ce que cette configuration assure la détection de fils qui sont court-circuités ensemble, et ceci est interprété comme une condition d'erreur. De plus, un autre avantage consiste en ce qu'une condition dans laquelle le fonctionnement s'échappe de la séquence normale, en association avec le moyen de commande, ne devrait pas occasionner un mouvement de l'actionneur.
Encore un autre avantage consiste dans la relation entre le moyen de génération de signal d'at taque, le moyen de validation d'attaque, le moyen d'attaque et le moyen d'actionnement. En particulier, le moyen de génération de signal d'attaque produit les signaux d'attaque, qui correspondent à l'état des signaux de commande vérifiés, provenant du moyen de contrôle de validité et de séquence, seulement lorsqu'il n'y a pas eu de signal d'erreur introduit à partir du moyen de détection d'erreur.
Ceci garantit que les ordres de signal d'attaque seront générés seulement lorsque aucune erreur précédente n'a été détectée dans le système. De façon similaire, les signaux d'actionnement provenant du moyen d'attaque sont transmis sous la forme de signaux de rétroaction au moyen de validation d'attaque, qui vérifie le fonctionnement du moyen d'attaque. Ces signaux de rétroaction sont vérifiés par comparaison avec des paramètres prédéfinis de ces signaux, et si une variation quelconque est détectée, cette condition occasionnera également 1' appli- cation d'un signal d'erreur au moyen de détection d'erreur, qui appliquera à son tour au moyen de génération de signal d'attaque, un signal indiquant qu'une erreur a été détectée. En outre, un autre avantage mentionné dans le mode de réalisation préféré de la présente invention, consiste en ce que dans la conception du moyen d'attaque, on impose que le signal d'actionnement qui est transmis au moyen d'actionnement sous la forme de signaux d'attaque de relais, soit une forme d'onde impulsionnelle ayant un rapport cyclique élevé spécifié. Cependant, si l'on détecte que le rapport cyclique tombe trop bas, ou si les formes d'onde s'arrêtent dans l'état haut ou bas pendant une durée spécifiée, le moyen d'attaque cessera de fonctionner. Par conséquent, toute condition d'état permanent du signal de forme d'onde provenant du moyen d'attaque, fera passer au repos le relais correspondant du moyen d'actionnement.
Comme noté ci-dessus, le fonctionnement du moyen d'attaque est régulé par le moyen de validation d'attaque, en contrôlant les signaux de rétroaction, et de tels défauts de fonctionnement quelconques appliqueront le signal d'erreur au moyen de génération de signal d'attaque qui fera cesser le fonctionnement du moyen d'attaque. De plus, cette fonction particulière est mise en oeuvre avec un nombre minimal de composants, ce qui assurera un fonctionnement correct même dans le cas de défaillances massives dans le système. Les avantages de ces parties spécifiques du système de vérification consistent donc en ce qu'une défaillance dans un composant, un relais ou une alimentation du moyen d'attaque, est détectée.
Un autre avantage est dû à la relation entre le moyen d'actionnement et la structure de détecteur de la présente invention En particulier, le premier moyen de détection de la structure de détecteur contrôle le moyen d'actionnement pour détecter toute défaillance. En particulier, comme décrit en relation avec le mode de réalisation préféré de la présence invention, le moyen de détection contrôle les trois relais de commande pour détecter une défaillance dans ces dispositifs. Comme indiqué sur la figure 3 de la présente invention, le premier moyen de détection est de préférence adapté pour contrôler les contacts des relais et il détectera si un contact de relais quelconque s'est soudé en courtcircuit sous l'effet de l'application d'un courant excessif.En outre, comme indiqué dans le mode de réalisation préféré de la présente invention, le moyen de détection peut être placé sur les bobines du contacteur de façon à contrôler également le bon fonctionnement des bobines de contacteur. En outre, encore un autre avantage consiste en ce que le second moyen de détection de la structure de détecteur peut également être incorporé et est en contact avec le relais d'alarme qui est adapté pour fournir à un opérateur du système une indication concernant l'état du système.
Compte tenu de ce qui est indiqué ci-dessus, on comprend qu'un avantage de la présente invention consiste en ce qu'elle procure divers niveaux de protection contre des défauts et des défaillances électriques, électroniques, de câblage et mécaniques, dans un actionneur. En particulier, des défaillances dans le moyen de commande qui génère les signaux de commande ou dans le câblage seront détectées, et elles ne permettront donc aucune action de l'actionneur. En outre, les dispositifs d'alimentation, les relais et le contacteur sont tous contrôlés pour détecter la présence de défaillances quelconques, de façon à ajouter un autre étage de protection. De plus, s'il y avait une détection quelconque d'une défaillance ou d'un défaut de composant, le moyen d'attaque agirait de façon inhérente pour empêcher l'actionnement de l'actionneur.De plus, toute détection par la présente invention de défaillances telles que les précédentes, entraînera le déclenchement d'une alarme qui fournira une indication immédiate de l'état du système.
Compte tenu de tout ce qui est indiqué cidessus, l'homme de l'art notera que des changements peuvent être apportés aux modes de réalisation de l'invention décrits ci-dessus, sans sortir de ses concepts inventifs généraux. Par exemple, on a indiqué que les signaux de commande générés par le moyen de commande avaient la configuration de formes d'onde qui sont contrôlées par le système de vérification. Cependant, bien qu'une forme d'onde soit un signal de commande préféré, on peut également utiliser dans le même but d'autres types de signaux.En particulier, la caractéristique principale ici consiste en ce que le système de vérification de la présente invention est adapté pour contrôler l'état des signaux de commande, par exemple par comparaison avec des signaux prédéfinis, de façon à assurer un fonctionnement suffisant du système. I1 faut en outre noter que chacune des parties qui sont décrites en relation avec les systèmes de vérification 10 et 110 ne doivent pas nécessairement être mises en oeuvre pour procurer un fonctionnement suffisant. En particulier, il n'est pas obligatoire qu'une indication d'état soit fournie au moyen de commande à partir du moyen de détection d'erreur. De façon similaire, il n' est pas obligatoire d'avoir le second moyen de détection de la structure de détecteur ou le relais d'alarme et l'élément d'attaque associé du moyen d'attaque, lorsque on ne désire pas signaler une alarme associée au fonctionnement de l'équipement. De façon similaire, d'autres parties du système de vérification de la présente invention ne doivent également pas être obligatoirement incorporées dans d'autres applications dans lesquelles ceci serait approprié. On comprend donc que l'invention n'est pas limitée aux modes de réalisation particuliers qui sont décrits, mais qu'elle couvre toutes les modifications qui entrent dans son cadre.

Claims (24)

REVENDICATIONS
1. Système de vérification prévu pour l'utilisation dans un système de commande numérique (26, 126), le système de commande numérique (26, 126) appliquant au moins un signal de commande au système de vérification, ce système de vérification étant caractérisé en ce qu'il comprend : un moyen de validation de signal de commande (12, 112) pour vérifier le signal de commande qui est reçu à partir du système de commande numérique (26, 126); un moyen d'attaque (18, 118) pour produire au moins un signal d'actionnement en réponse à au moins un signal d'attaque; un moyen de validation d'attaque (20, 120) pour vérifier une condition du moyen d'attaque (18, 118); un moyen d'actionnement (22, 122) qui réagit au signal d'actionnement en produisant au moins un signal de sortie du système de vérification; une structure de détecteur (24, 124) réagissant au signal de sortie en identifiant une condition correspondant à ce signal de sortie; un moyen de détection d'erreur (14, 114) fonctionnant sous la dépendance du moyen de validation de signal de commande (12, 112), du moyen de validation d'attaque (20, 120) et de la structure de détecteur (24, 124) de façon à produire au moins un signal d'erreur; et un moyen de génération de signal d'attaque (16, 116) fonctionnant sous la dépendance du moyen de validation de signal de commande (12, 112) et du moyen de détection d'erreur (14, 114) de façon à appliquer au moins un signal d'attaque au moyen d'attaque (18, 118).
2. Système de vérification selon la revendication 1, caractérisé en ce que le signal de commande définit une forme d'onde d'une configuration définie comprenant au moins une période de niveau haut et au moins une période de niveau bas.
3. Système de vérification selon la revendication 2, dans lequel le moyen de validation de signal de commande (12, 112) comprend un moyen de contrôle de période (30, 130) pour contrôler les périodes de niveau haut et les périodes de niveau bas du signal de commande, par comparaison avec les limites définies, et en ce que ce moyen de contrôle de période (30, 130) applique au moins un signal d'erreur au moyen de détection d'erreur (14, 114) lorsque les limites définies sont dépassées.
4. Système de vérification selon la revendication 3, caractérisé en ce que le moyen de validation de signal de commande (12, 112) comprend en outre un moyen de contrôle de validité et de séquence (32, 132) pour contrôler la configuration de la forme d'onde de façon à identifier la validité de la forme d'onde par comparaison avec des formes d'onde valides définies, et pour identifier une séquence de formes d'onde valides par comparaison avec des séquences admissibles définies, et en ce que le moyen de contrôle de validité et de séquence (32, 132) applique au moins un signal de commande vérifié au moyen de génération de signal d'attaque (16, 116) lorsque la configuration de la forme d'onde correspond aux formes d'onde valides définies et aux séquences admissibles définies, et il applique au moins un signal d'erreur au moyen de détection d'erreur (14, 114) lorsque la configuration de la forme d'onde s'écarte soit des formes d'onde valides définies, soit des séquences admissibles définies.
5. Système de vérification selon la revendication 1, caractérisé en ce que la structure de détecteur (24, 124) comprend un premier moyen de détection (52, 152) pour identifier une condition de fonctionnement du moyen d'actionnement (22, 122), et un second moyen de détection (54, 154) pour identi fier une condition de fonctionnement du système de commande numérique (26, 126), et en ce que le moyen de détection d'erreur (14, 114) réagit au premier moyen de détection (52, 152) de la structure de détecteur (24, 124).
6. Système de vérification selon la revendication 5, caractérisé en ce que le moyen d'actionnement (22, 122) comprend un ensemble de relais qui sont destinés à produire un ensemble de signaux de sortie, avec au moins un premier relais produisant au moins un signal de sortie appliqué au premier moyen de détection (52, 152), et au moins un second relais produisant au moins un signal de sortie appliqué au second moyen de détection (54, 154).
7. Système de vérification selon la revendication 6, caractérisé en ce que le moyen d'actionnement (22, 122) comprend quatre relais, avec trois relais en communication avec le premier moyen de détection (52, 152) et un relais en communication avec le second moyen de détection (54).
8. Système de vérification selon la revendication 3, caractérisé en ce que le moyen de contrôle de période (30, 130) comprend un moyen pour éliminer le rebondissement affectant le signal de commande.
9. Système de commande numérique pour un équipement électromécanique (60, 160), caractérisé en ce qu'il comprend un moyen de commande (26, 126) pour produire au moins un signal de commande; un moyen de validation de signal de commande (12, 112) qui reçoit le signal de commande pour vérifier ce signal de commande et pour produire en réponse au moins un signal de commande vérifié; un moyen d'attaque (18, 118) qui réagit à au moins un signal de commande en produisant au moins un signal d'actionnement; un moyen de validation d'attaque (20, 120) qui réagit au signal d'actionnement en vérifiant une condition du fonctionnement du moyen d'attaque (18, 118) et en produisant en réponse au moins un signal d'attaque vérifié; un moyen d'actionnement (22, 122) qui réagit au signal d'actionnement en produisant au moins un signal de sortie pour commander l'équipement électromécanique (60, 160) ; une structure de détecteur (24, 124) comprenant un premier moyen de détection (52, 152) qui réagit au signal de sortie en vérifiant une condition de fonctionnement du moyen d'actionnement (22, 122) et en produisant en réponse au moins un signal de sortie vérifié, cette structure de détecteur (24, 124) comprend en outre un second moyen de détection (54, 154) qui réagit au signal de sortie en identifiant une condition de fonctionnement de l'équipement électromécanique (60, 160) qui est associé au système de commande numérique; un moyen de détection d'erreur (14, 114) qui réagit au signal de commande vérifié du moyen de validation de signal de commande (12, 112), au signal d'attaque vérifié du moyen de validation d'attaque (20, 120) et au signal de sortie vérifié de la structure de détecteur (24, 124) , en produisant au moins un signal d'erreur; et un moyen de génération de signal d'attaque (16, 116) qui réagit au signal de commande vérifié du moyen de validation de signal de commande (12, 112) et au signal d'erreur provenant du moyen de détection d'erreur (14, 114), en appliquant le ou les signaux d'attaque au moyen d'attaque (18, 118).
10. Système de vérification selon la revendication 9, caractérisé en ce que le signal de commande définit une forme d'onde d'une configuration définie, comprenant au moins une période de niveau haut et au moins une période de niveau bas.
11. Système de vérification selon la revendication 10, caractérisé en ce que le moyen de valida tion de signal de commande (12, 112) comprend un moyen de contrôle de période (30, 130) pour contrôler les périodes de niveau haut et les périodes de niveau bas du signal de commande, par comparaison avec des limites définies, et en ce que ce moyen de contrôle de période (30, 130) applique au moins un signal d'erreur au moyen de détection d'erreur (14, 114) lorsque les limites définies sont dépassées.
12. Système de vérification selon la revendication 11, caractérisé en ce que le moyen de validation de signal de commande (12, 112) comprend en outre un moyen de contrôle de validité et de séquence (32, 132) pour contrôler la configuration de la forme d'onde de façon à identifier la validité de la forme d'onde par comparaison avec des formes d'onde valides définies, et pour identifier une séquence de formes d'onde valides, par comparaison avec des séquences admissibles définies, et en ce que le moyen de contrôle de validité et de séquence (32, 132) applique le signal de commande vérifié au moyen de génération de signal d'attaque (16, 116) lorsque la configuration de la forme d'onde correspond aux formes d'onde valides définies et aux séquences admissibles définies, et il applique au moins un signal d'erreur au moyen de détection d'erreur (14, 114) lorsque la configuration de la forme d'onde s'écarte soit des formes d'onde valides définies, soit des séquences admissibles définies.
13. Système de commande numérique selon la revendication 9, caractérisé en ce que le moyen d'actionnement (22, 122) comprend au moins un relais.
14. Système de commande numérique selon la revendication 13, caractérisé en ce que le moyen d'actionnement (22, 122) comprend un ensemble de relais destinés à produire un ensemble de signaux de sortie, avec au moins un premier relais appliquant au moins un signal de sortie au premier moyen de détection (52, 152), et au moins un second relais appliquant au moins un signal de sortie au second moyen de détection (54).
15. Système de commande numérique selon la revendication 14, caractérisé en ce que le signal de sortie du premier relais fournit une condition de fonctionnement de l'équipement électromécanique (60, 160).
16. Système de commande numérique selon la revendication 10, caractérisé en ce que le moyen de contrôle de période (30, 130) comprend un moyen pour supprimer les rebondissements qui affectent le signal de commande.
17. Système de commande numérique selon la revendication 9, caractérisé en ce que le moyen de commande (26, 126) reçoit le signal d'erreur provenant du moyen de détection d'erreur (14, 114), et ce moyen de commande (26, 126) comprend en outre un moyen pour identifier une condition du moyen de détection d'erreur (14, 114).
18. Procédé pour vérifier le fonctionnement d'un système de commande numérique pour un équipement électromécanique (60, 160) , caractérisé en ce qu'il comprend les étapes suivantes : on génère au moins un signal de commande; on vérifie ce signal de commande et on génère en réponse au moins un signal de commande vérifié; on génère au moins un signal d'actionnement en réponse à au moins un signal d'attaque; on vérifie le signal d'actionnement et on génère en réponse au moins un signal d'attaque vérifié; on génère au moins un signal de sortie en réponse au signal d'actionnement, pour commander l'équipement électromécanique (60, 160); on vérifie le signal de sortie et on génère en réponse au moins un signal de sortie vérifié; on génère au moins un signal d'erreur en réponse au signal de commande vérifié, au signal d'attaque vérifié et au signal de sortie vérifié;et on génère le ou les signaux d'attaque en réponse au signal de commande vérifié et au signal d'erreur.
19. Procédé selon la revendication 18, caractérisé en ce que l'étape de vérification du signal de sortie comprend en outre l'étape d'identification d'une conditionnement de fonctionnement de l'équipement électromécanique (60) associé au système de commande numérique.
20. Procédé selon la revendication 18, dans lequel le signal de commande définit une forme d'onde d'une configuration définie, comprenant au moins une période de niveau haut et au moins une période de niveau bas, caractérisé en ce qu'il comprend en outre les étapes qui consistent à contrôler les périodes de niveau haut et les périodes de niveau bas du signal de commande, par comparaison avec des limites définies, et à générer au moins un signal d'erreur lorsque ces limites définies sont dépassées.
21. Procédé selon la revendication 20, caractérisé en ce qu'il comprend en outre l'étape consistant à contrôler la configuration de la forme d'onde pour identifier la validité de la forme d'onde, par comparaison avec des formes d'onde valides définies, et pour identifier une séquence de formes d'onde valides par comparaison avec des séquences admissibles définies, ainsi que l'étape consistant à générer le signal de commande vérifié lorsque la configuration de la forme d'onde correspond aux formes d'ondes valides définies et aux séquences admissibles définies, et à générer au moins un signal d'erreur lorsque la configuration de la forme d'onde s'écarte des formes d'ondes valides définies ou des séquences admissibles définies.
22. Procédé selon la revendication 20, caractérisé en ce que l'étape de contrôle de la forme d'onde comprend en outre l'étape qui consiste à supprimer des rebondissements affectant le signal de commande.
23. Procédé selon la revendication 18, caractérisé en ce que l'étape de vérification du signal de sortie et de génération d'un signal de sortie vérifié comprend en outre l'étape d'identification d'une condition du signal de sortie vérifié.
24. Procédé selon la revendication 18, caractérisé en ce que l'étape de génération d'un signal d'erreur comprend en outre l'étape d'identification d'une condition de fonctionnement correspondant à ce signal d'erreur.
FR9607699A 1995-06-23 1996-06-20 Systeme et procede de verification d'un systeme de commande numerique Expired - Lifetime FR2735882B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US08/494,156 US5719559A (en) 1995-06-23 1995-06-23 System and method for the verification of a digital control system

Publications (2)

Publication Number Publication Date
FR2735882A1 true FR2735882A1 (fr) 1996-12-27
FR2735882B1 FR2735882B1 (fr) 1998-09-11

Family

ID=23963276

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9607699A Expired - Lifetime FR2735882B1 (fr) 1995-06-23 1996-06-20 Systeme et procede de verification d'un systeme de commande numerique

Country Status (9)

Country Link
US (1) US5719559A (fr)
EP (1) EP0861459B1 (fr)
JP (1) JP2923057B2 (fr)
AU (1) AU6282396A (fr)
DE (1) DE69623804T2 (fr)
FR (1) FR2735882B1 (fr)
IN (1) IN189891B (fr)
TW (1) TW300966B (fr)
WO (1) WO1997001080A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0905595A1 (fr) * 1997-09-26 1999-03-31 Valeo Securite Habitacle Systeme d'Asservissement d'actionneurs rotatifs pour une pluralite d'organes pilotes par un boitier central

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005068379A1 (fr) * 2004-01-13 2005-07-28 Itochu Forestry Corp. Systeme de nettoyage des eaux usees
US6845279B1 (en) 2004-02-06 2005-01-18 Integrated Technologies, Inc. Error proofing system for portable tools
US20090233254A1 (en) * 2004-07-02 2009-09-17 Robert Hayman Dental light devices having an improved heat sink
US8825189B2 (en) * 2007-11-13 2014-09-02 Fisher Rosemount Systems, Inc. Methods and apparatus to execute an auxiliary recipe and a batch recipe associated with a process control system
US8150541B2 (en) * 2007-11-13 2012-04-03 Fisher-Rosemount Systems, Inc. Methods and apparatus to modify a recipe process flow associated with a process control system during recipe execution
US8555206B2 (en) * 2007-12-21 2013-10-08 Fisher-Rosemount Systems, Inc. Methods and apparatus to present recipe progress status information
US20100005342A1 (en) * 2008-07-01 2010-01-07 Dambra Joseph J Redundant Error Detection in a Clinical Diagnostic Analyzer
EP2419801B1 (fr) * 2009-04-17 2015-10-28 Siemens Aktiengesellschaft Vues dynamiques dans une modélisation de système d'automatisation
WO2011086693A1 (fr) * 2010-01-15 2011-07-21 トヨタ自動車 株式会社 Système variable d'angle de travail de soupape
JP5751282B2 (ja) * 2013-05-29 2015-07-22 株式会社デンソー 制御装置
US20160062331A1 (en) * 2014-08-27 2016-03-03 Freescale Semiconductor, Inc. Apparatus and method for validating the integrity of control signals in timing domain
AU2020207816A1 (en) * 2019-08-22 2021-03-11 Carrier Corporation Shutdown of automatic ignition controls upon valve relay failures

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3720819A (en) * 1971-11-26 1973-03-13 Exxon Research Engineering Co Direct digital computer control error detector system
US4183462A (en) * 1977-02-25 1980-01-15 Hitachi, Ltd. Fault diagnosis apparatus and method for sequence control system
GB2139782A (en) * 1983-02-28 1984-11-14 Emerson Electric Co Direct ignition gas burner control system
US4706703A (en) * 1985-06-24 1987-11-17 Tokyo Keiki Company Limited Fluid control valve
US4725964A (en) * 1984-01-31 1988-02-16 Glaxo Group Limited Computer controlled adapter unit for fluid system control
FR2607274A1 (fr) * 1986-11-25 1988-05-27 Telemecanique Electrique Circuit de gestion d'entrees notamment pour automate programmable

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4001772A (en) * 1975-07-30 1977-01-04 Truman W. Powell Coded signaling and control system
US4085624A (en) * 1976-03-24 1978-04-25 Kitazawa Shoji Kabushiki Kaisha Electrically driven actuator
US4130787A (en) * 1977-03-10 1978-12-19 Mcdonnell Douglas Corporation Reliability monitoring system
US4274438A (en) * 1979-02-21 1981-06-23 Westinghouse Electric Corp. Method of diagnostic valve testing
US4361308A (en) * 1980-04-11 1982-11-30 Jack Buss Valve actuator
US4346728A (en) * 1980-07-28 1982-08-31 Anchor/Darling Industries, Inc. Automated dual mode valve actuator
US4443853A (en) * 1981-03-25 1984-04-17 United Technologies Corporation Optical digital servo control system
US4542649A (en) * 1983-07-19 1985-09-24 Charbonneau And Godfrey Associates Motor operated valve analysis and testing system
US4839475A (en) * 1988-04-29 1989-06-13 Limitorque Corporation Modular switch assembly having wiping contacts
US4940011A (en) * 1989-05-19 1990-07-10 Limitorque Corporation Valve actuator two rotor three position indicator
US5339404A (en) * 1991-05-28 1994-08-16 International Business Machines Corporation Asynchronous TMR processing system
US5176037A (en) * 1991-10-28 1993-01-05 Honeywell Inc. Linear actuator with controllable output force
US5363025A (en) * 1992-12-30 1994-11-08 Honeywell Inc. Actuator employing unidirectional motor for bidirectional rotational positioning
US5400360A (en) * 1993-03-23 1995-03-21 Limitorque Corporation Repeater for a digital control system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3720819A (en) * 1971-11-26 1973-03-13 Exxon Research Engineering Co Direct digital computer control error detector system
US4183462A (en) * 1977-02-25 1980-01-15 Hitachi, Ltd. Fault diagnosis apparatus and method for sequence control system
GB2139782A (en) * 1983-02-28 1984-11-14 Emerson Electric Co Direct ignition gas burner control system
US4725964A (en) * 1984-01-31 1988-02-16 Glaxo Group Limited Computer controlled adapter unit for fluid system control
US4706703A (en) * 1985-06-24 1987-11-17 Tokyo Keiki Company Limited Fluid control valve
FR2607274A1 (fr) * 1986-11-25 1988-05-27 Telemecanique Electrique Circuit de gestion d'entrees notamment pour automate programmable

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0905595A1 (fr) * 1997-09-26 1999-03-31 Valeo Securite Habitacle Systeme d'Asservissement d'actionneurs rotatifs pour une pluralite d'organes pilotes par un boitier central
FR2769102A1 (fr) * 1997-09-26 1999-04-02 Valeo Systemes De Fermetures Systeme d'asservissement d'actionneurs rotatifs pour une pluralite d'organes pilotes par un boitier central

Also Published As

Publication number Publication date
EP0861459A4 (fr) 1998-09-02
DE69623804T2 (de) 2003-05-15
JPH10512077A (ja) 1998-11-17
TW300966B (fr) 1997-03-21
EP0861459A1 (fr) 1998-09-02
AU6282396A (en) 1997-01-22
EP0861459B1 (fr) 2002-09-18
DE69623804D1 (de) 2002-10-24
WO1997001080A1 (fr) 1997-01-09
JP2923057B2 (ja) 1999-07-26
IN189891B (fr) 2003-05-03
FR2735882B1 (fr) 1998-09-11
US5719559A (en) 1998-02-17

Similar Documents

Publication Publication Date Title
FR2735882A1 (fr) Systeme et procede de verification d'un systeme de commande numerique
EP2517347B1 (fr) Onduleur reconfigurable, a tolerance de pannes, pour l'alimentation d'un moteur polyphase synchrone a aimants permanents, et ensemble desdits onduleur et moteur
EP2063278B1 (fr) Procédé de vérification d'un module de sorties numériques d'un automate programmable et module mettant en oeuvre ce procédé
FR2651890A1 (fr) Dispositif de detection et de discrimination de defauts de fonctionnement d'un circuit d'alimentation electrique.
FR2724026A1 (fr) Procede et dispositif pour l'identification de pannes dans un systeme complexe
FR2658463A1 (fr) Montage pour un systeme de freinage a commande d'antiblocage.
FR2713843A1 (fr) Dispositif de commande à microprocesseur et circuits associés de commande et de détection pour un démarreur/générateur.
FR2723560A1 (fr) Dispositif de commande electrique de direction assistee
FR2808589A1 (fr) Procede de detection de defauts dans l'exploitation de signaux de capteur
FR3013919A1 (fr) Detection de court-circuit dans une structure de commutation
FR3017958A1 (fr) Detection de circuit ouvert dans une structure de commutation
EP0977098B1 (fr) Système redondant de contrôle de procédé
CA2315896C (fr) Circuit electronique de surveillance de tension electrique
FR2715738A1 (fr) Interrupteur composite de sécurité.
CA1296059C (fr) Dispositif pour detecter les coupures et les court-circuits dansau moins une portion de circuit electrique
FR2681302A1 (fr) Dispositif de direction assistee.
FR2872915A1 (fr) Circuit de diagnostic de mauvais fonctionnement de resolveur
EP0053082B1 (fr) Système logique de sécurité pour déclencher l'action de protection d'un actionneur de sûreté
EP0115994A1 (fr) Interface pour relier un système informatique à un dispositif actionneur
FR2715747A1 (fr) Procédé et dispositif pour rechercher des messages de maintenance intempestifs.
EP3590121B1 (fr) Système de surveillance redondant et dissimilaire de l'état de contacteurs de commande d'une poignée de commande d'un aéronef
EP3159704B1 (fr) Chaîne de mesure pour un circuit électronique de signalisation
FR2870996A1 (fr) Protection de circuit electrique en mode veille pour vehicule
FR2918760A1 (fr) Procede et dispositif de diagnostic d'une grandeur de sortie fournie par un moteur a courant continu
FR2827676A1 (fr) Procede de diagnostic d'etage de puissance discret par des entrees numeriques

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20090228

D3 Ip right revived
PLFP Fee payment

Year of fee payment: 20