FR2749097A1 - Systeme de commande parallele multiplexe electroniquement verrouille - Google Patents

Systeme de commande parallele multiplexe electroniquement verrouille Download PDF

Info

Publication number
FR2749097A1
FR2749097A1 FR9614701A FR9614701A FR2749097A1 FR 2749097 A1 FR2749097 A1 FR 2749097A1 FR 9614701 A FR9614701 A FR 9614701A FR 9614701 A FR9614701 A FR 9614701A FR 2749097 A1 FR2749097 A1 FR 2749097A1
Authority
FR
France
Prior art keywords
commissioning
data
backup
input data
locked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR9614701A
Other languages
English (en)
Other versions
FR2749097B1 (fr
Inventor
Atsushi Mukai
Toshio Okajima
Hajime Sekimoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of FR2749097A1 publication Critical patent/FR2749097A1/fr
Application granted granted Critical
Publication of FR2749097B1 publication Critical patent/FR2749097B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B7/00Arrangements for obtaining smooth engagement or disengagement of automatic control
    • G05B7/02Arrangements for obtaining smooth engagement or disengagement of automatic control electric
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1637Error detection by comparing the output of redundant processing systems using additional compare functionality in one or some but not all of the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1695Error detection or correction of the data by redundancy in hardware which are operating with time diversity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1675Temporal synchronisation or re-synchronisation of redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

La présente invention concerne un système de commande parallèle multiplexé électroniquement verrouillé. Le système est caractérisé en ce qu'il comprend notamment un moyen d'inversion (3) répondant à un signal de défaut (5b) produit par un moyen de production de signal de défaut (2a) pour empêcher un système de secours (2) d'être inversé à un mode de fonctionnement de service même lorsqu'une anomalie se produit dans un système de mise en service (1). L'invention trouve application dans des systèmes parallèles duplexés électroniquement verrouillés.

Description

1 2749097
La présente invention concerne d'une manière générale un système de commande parallèle multiplexé électroniquement verrouillé qui comprend un système de mise en service ou de service normalement mis en service ou en fonctionnement et au moins un système de secours normalement placé dans un état de veille pour être prêt à faire face à l'apparition d'un défaut dans le système de mise en service, o le système de mise en service et le système de secours sont tous les deux mis en service constamment d'une manière multiplexée ou duplexée en parallèle et interverrouillés électroniquement de sorte que lors de l'apparition d'un défaut dans le système de mise en service, le système de secours est inversé à un fonctionnement en service pour servir comme le système de service. Plus particulièrement, l'invention concerne le système de commande parallèle multiplexé électroniquement verrouillé du type mentionné ci-dessus dans lequel une facilité ou commodité est prévue pour inhiber ou désactiver l'inversion du système de secours au mode de fonctionnement en service à la place du système de mise en service lorsqu'un défaut ou une anomalie est détectée dans le système de secours. Dans le système duplexé en parallèle électroniquement verrouillé connu jusqu'à maintenant, des données sont fournies en parallèle à la fois au système de mise en service et au système de secours tout en établissant un synchronisme de fonctionnement entre les deux systèmes de sorte que les mêmes données de sortie sont produites en conséquence des opérations arithmétiques accomplies dans les deux systèmes pour réaliser une fonction telle qu'une fonction de commande imposée au système parallèle duplexé électroniquement verrouillé. Pour avoir une meilleure compréhension de l'invention, l'arrière plan technique de celle-ci sera tout d'abord revu en référence à la figure 15 qui représente un schéma-blocs d'un agencement d'une partie principale d'un système de commande parallèle duplexé électroniquement verrouillé connu jusqu'à maintenant, tel que décrit, par exemple, dans la
2 2749097
Publication de la Demande de Brevet Japonais non examinée
N 292257/1991 (JP-A-3-292257).
En figure 15, le chiffre de référence 1 désigne un premier système verrouillé (c'est-à-dire, un système dénommé de service), la désigne une unité de commande constituée par une unité de traitement centrale ou CPU pour exécuter un programme ou des programmes pour réaliser, par exemple, une fonction ou des fonctions de commande imposées au système de commande parallèle duplexé électroniquement verrouillé. De plus, le chiffre de référence lb désigne une interface externe pour interconnecter l'unité de commande la et un dispositif commandé 6 (par exemple, un appareil, une unité, une machine ou analogue, c'est-à-dire, un objet placé sous le contrôle du système de commande parallèle duplexé électroniquement verrouillé), lc désigne une ligne de signal de sortie de commande pour transmettre un signal de commande produit par l'unité de commande la au dispositif contrôlé 6 au moyen d'un réseau informatique local ou LAN et d'une interface pour celui- ci, ld désigne une ligne pour transmettre des données inverses ou informations du dispositif contrôlé 6 à l'unité de commande la et le chiffre de référence le désigne une temporisation de cycle de fonctionnement pour établir un synchronisme entre les unités de commande du premier système verrouillé 1 (système de service) et le second système verrouillé 2 (système de
secours) pour des exécutions de programmes respectifs.
De plus, le chiffre de référence 2 désigne un second système verrouillé (système de secours) qui est constitué d'une unité de commande 2a, d'une interface externe 2b, d'une ligne de signal de sortie de commande 2c, d'une ligne de signal de supervision 2d et d'une temporisation de cycle de fonctionnement 2e. Ces composants servent aux mêmes fonctions que celles des composants correspondant du premier système
verrouillé mentionné ci-dessus.
De plus, le chiffre de référence 3 désigne une unité d'inversion. Dépendant de l'état qu'occupe l'unité d'inversion 3, l'une ou l'autre des interfaces externes lb et
3 2749097
2b du premier système verrouillé 1 et du second système verrouillé 2 peut fonctionner tandis que la sortie de l'autre système est désactivée ou inhibée. Le chiffre de référence 4a désigne un signal d'état de système interconnectant l'unité d'inversion 3 et l'unité de commande la l'une à l'autre pour transmettre un état du système à l'unité de commande la, et 4b désigne une ligne de signal de défaut du système reliée entre l'unité de commande la et l'unité d'inversion 3 pour indiquer un état de défaut du premier système verrouillé 1 (système de service) lors de l'apparition de celui-ci. De façon similaire, le chiffre de référence 5a désigne une ligne de signal d'état de système et 5b désigne une ligne de signal de défaut de système prévues en association avec le second
système verrouillé 2 (système de secours).
Dans le système de commande parallèle duplexé électroniquement verrouillé de la configuration ci-dessus décrite, le signal de supervision portant l'information concernant le dispositif commandé 6 (objet sous contrôle) est appliqué à la fois au premier système verrouillé 1 (système de mise en service) et au second système verrouillé 2 (système de secours) en parallèle au moyen du réseau informatique local ou LAN pour court-circuit, des interfaces respectives du LAN et des lignes de signaux de supervision ld et 2d, respectivement, o les unités de commande la et 2a accomplissent des traitements de données respectifs en synchronisme sur l'information ou les données d'entrée, en conséquence de quoi une information de commande de contrôle est transmise au dispositif commandé 6 au moyen de l'une des lignes de données de sortie de commande lc et 2c et du
système LAN.
A cet égard, il doit être apprécié que la sortie du second système verrouillé 2 (système de secours) est normalement désactivée. De ce fait, ce qui est efficace normalement est seulement la sortie du premier système verrouillé 1 (système de mise en service). En d'autres termes, le second système verrouillé 2 (système de secours) reçoit les informations ou les données du dispositif commandé
4 2749097
6 et fonctionne d'une même manière ou de manière équivalente au premier système verrouillé 1 (système de mise en service) de sorte que le second système verrouillé est toujours prêt pour traiter une anomalie se produisant éventuellement dans le premier système verrouillé 1 (système de mise en service)
en remplaçant ce dernier.
En liaison avec la synchronisation des traitements exécutés dans le premier système verrouillé 1 (système de mise en service) et le second système verrouillé 2 (système de secours), il est à noter qu'aussi longtemps que le système de mise en service fonctionne normalement, le cycle ou période de fonctionnement auquel fonctionne le système de mise en service est considéré pour être correct, de la sorte la temporisation de cycle de fonctionnement 2e du système de secours est établie afin de se conformer avec la temporisation le du système de mise en service. De cette manière, un synchronisme est établi entre le système de mise
en service et le système de secours.
Ensuite, une description sera donnée sur une procédure
pour inverser le système de secours au mode opératoire de mise en service (par exemple mode pour commander/contrôler ou
superviser le dispositif commandé 6).
Dans à la fois le premier système verrouillé 1 (système de mise en service) et le second système verrouillé 2 (système de secours), l'apparition d'une anomalie dans ces systèmes est constamment contrôlée respectivement par les unités de commande la et 2a. Lorsqu'un défaut ou une anomalie est détecté, un signal de défaut de système 4b ou 5b est fourni par l'unité de commande la ou 2a. Ainsi, en réponse au signal de défaut de système 4b, l'unité d'inversion 3 active ou invalide la sortie de commande du premier système verrouillé 1 (système de mise en service) et en même temps met le second système verrouillé 2 (système de secours) en mode de fonctionnement de service. Ainsi, le second système verrouillé 2 peut maintenant servir comme système de mise en
service à la place du premier système verrouillé.
2749097
Dans le cas du système de commande parallèle duplexé électroniquement verrouillé conventionnel décrit ci-dessus, le système de mise en service et le système de secours accomplissent les opérations arithmétiques dans le but de la commande sur la base de données de supervision retransmises par le dispositif commandé (objet sous contrôle) et appliquées en parallèle au système de mise en service et au système de secours, respectivement, sur la supposition que les données d'entrée sont identiques pour & la fois le système de mise en service et le système de secours. Ainsi, les deux systèmes peuvent produire les données de commande respectives qui doivent être identiques les unes avec les autres. Cependant, le système de commande parallèle duplexé électronique verrouillé conventionnel n'est pas pourvu de facilité ou commodité pour confirmer si ou non les contenus des données de commande produites par le système de mise en service et le système de secours sont identiques les unes avec les autres. En conséquence, il peut apparaître une situation à ce que le système de secours est inversé au mode de fonctionnement en service lors de l'apparition d'un défaut dans le système de mise en service même lorsque les données de commande de sortie produites par le système de secours diffèrent de celles du système de mise en service, impliquant un problème qu'une continuité de la commande ne peut pas être maintenue avant et après l'inversion du système de secours au mode de fonctionnement de service, ce qui bien entendu implique une perturbation ou incommodité au dispositif
commandé 6.
A la lumière de l'état de la technique antérieure décrit ci-dessus, c'est un objet de la présente invention de proposer un système de commande parallèle multiplexé électroniquement verrouillé qui peut assurer une continuité de sortie de commande avant et après inversion d'un système de secours au mode de fonctionnement de service pour protéger de la sorte le dispositif commandé d'une perturbation qui pourrait être autrement amenée lors d'une inversion de
6 2749097
l'opération de commande du système de mise en service au
système de secours.
Au vu de ce qui précède et d'autres objets qui
deviendront apparents au fur et à mesure de la description
qui suit, on prévoit selon un aspect de la présente invention un système de commande parallèle multiplexé électroniquement verrouillé qui comprend un système de mise en service normalement mis en fonctionnement dans un mode de fonctionnement de service pour commander/superviser un objet d'intérêt, et au moins un système de secours normalement placé dans un mode de veille pour le préparer à faire face à l'apparition d'un défaut dans le système de mise en service, o le système de mise en service et le système de secours sont tous les deux activés constamment d'une manière parallèle duplexée ou multiplexée et interverrouillés électroniquement de sorte que lors de l'apparition d'un défaut dans le système de mise en service, le système de secours est inversé au mode de fonctionnement de service en remplaçant le système de mise en service. Le système comprend un moyen d'entrée pour recevoir des données de l'objet d'intérêt comme données d'entrée dans le système de mise en service, un premier moyen de traitement prévu dans le système de mise en service pour traiter les données d'entrée pour produire de la sorte des données de commande de sortie à transmettre à l'objet d'intérêt sur la base des données d'entrée, un moyen de mémoire prévu en association avec le système de mise en service et le système de secours, respectivement, pour transférer les données d'entrée reçues dans le système de mise en service au système de secours, un second moyen de traitement prévu dans le système de secours pour traiter les données d'entrée transférées par le système de mise en service pour produire de la sorte des données de commande de sortie, un moyen de calcul prévu dans le système de mise en service et le système de secours pour calculer des valeurs de vérification des données de commande de sortie produites respectivement par les premier et second moyens de traitement, un moyen de comparaison prévu dans le système de
7 2749097
secours pour comparer les valeurs de vérification les unes aux autres, un moyen de production d'un signal de défaut pour produire un signal de défaut indiquant l'apparition d'une anomalie dans le système de secours à moins que le résultat de la comparaison indique une coïncidence entre les valeurs de vérification produites par le moyen de calcul, respectivement, et un moyen d'inversion répondant au signal de défaut pour empêcher de la sorte le système de secours d'être inversé au mode de fonctionnement de service même lorsqu'une anomalie se produit dans le système de mise en service. En vertu d'un tel agencement o à la fois le système de mise en service et de secours sont constamment mis en service et des valeurs de vérification des données de commande de sortie des deux systèmes sont calculées pour être comparées les unes aux autres, o l'inversion du système de secours au mode de fonctionnement de service est empêchée lorsque la comparaison ci-dessus mentionnée résulte en un désaccord, il est possible de protéger la sortie de commande pour qu'elle ne devienne pas discontinue, ce qui peut autrement se
produire autour du point d'instant d'inversion.
Dans un mode préféré de mise en oeuvre de l'invention, la valeur de vérification peut être calculée en termes d'un
code de redondance cyclique.
En vérifiant les données de commande de sortie par calcul des valeurs CRC comme mentionné ci-dessus, la vérification des données de commande de sortie peut être
réalisée avec une fiabilité élevée.
Dans un autre mode préféré de mise en oeuvre de l'invention, la valeur de vérification peut être calculée en
termes d'une valeur somme de vérification.
En utilisant la valeur somme de vérification pour vérifier la validité des données de commande de sortie, le traitement de vérification peut être exécuté à une vitesse
élevée.
Dans encore un autre mode préféré de mise en oeuvre de l'invention, le système de commande parallèle multiplexé
8 2749097
électroniquement verrouillé peut de plus comprendre un moyen pour additionner une valeur d'un compteur d'une temporisation de cycle de fonctionnement aux données d'entrée à transférer du système de mise en service au système de secours, la valeur du compteur étant incrémentée lors de chaque transfert des données d'entrée. Le moyen de comparaison est alors agencé afin de comparer les valeurs de vérification ajoutées
chacune à la valeur du compteur.
En additionnant la valeur du compteur aux données lors du transfert de celles-ci du système de mise en service au système de secours au moyen des mémoires miroir et en vérifiant la valeur du compteur en plus des données de commande de sortie, comme décrit ci-dessus, il est possible de détecter un désaccord des données du à un écart dans le cycle de fonctionnement entre le système de mise en service
et le système de secours, à un autre avantage.
Dans un autre mode préféré de mise en oeuvre de l'invention, le système de commande parallèle multiplexé électroniquement verrouillé peut de plus comprendre un moyen pour additionner une valeur de vérification des données d'entrée en transférant la valeur de vérification des données de commande de sortie du système de mise en service au système de secours. Le moyen de comparaison prévu dans le système de secours peut alors comparer la valeur de vérification des données d'entrée pour le système de mise en service à celle des données d'entrée transférées au système de secours l'une avec l'autre en plus de la comparaison entre
les valeurs du compteur des données de sortie.
A cause de cet agencement o lors du transfert de la valeur de vérification pour des données de commande de sortie du système de mise en service au système de secours au moyen des mémoires miroir, la valeur de vérification des données d'entrée sur la base de laquelle les données de commande de sortie ont été dérivées est additionnée de sorte que non seulement les données de commande de sortie mais également les données d'entrée peuvent être vérifiées, il est possible de prendre une décision en cas de l'apparition d'un défaut ou
9 2749097
d'une anomalie dans le système de secours, ce qui a pour
avantage d'aboutir à une stabilité davantage améliorée.
Dans encore un autre mode préféré de mise en oeuvre de l'invention, une file d'attente peut être prévue dans chacun des moyens mémoire miroir pour transfert de données du système de mise en service au système de secours, de la sorte la file est mise en file d'attente dans le système de mise en service, tandis que la file est défaite dans le système de secours. En utilisant les files d'attente dans les mémoires miroir, respectivement, comme décrit ci-dessus, un désaccord entre les données écrites par le système de mise en service et les données extraites par le système de secours peut
positivement être exclu.
Dans encore un autre mode préféré de mise en oeuvre de l'invention, un tel agencement peut être adopté o une interruption est fournie par le système de mise en service au système de secours après avoir écrit les données d'entrée lorsque les données sont transférées du système de mise en service au système de secours, o l'interruption est utilisée comme une temporisation pour permettre aux données d'entrée
d'être extraites dans le système de secours.
A cause de l'agencement pour informer le système de secours de la période d'écriture des mémoires miroir du système de mise en service en fournissant une interruption, comme décrit ci-dessus, une synchronisation peut être réalisée dans le transfert des données entre les deux systèmes. Dans encore un autre mode préféré de mise en oeuvre de l'invention, un agencement peut être également adopté o lors que des données sont transférées du système de mise en service au système de secours, un état des mémoires est remis à jour dans le système de mise en service après avoir écrit les données d'entrée dans celles-ci. Par ailleurs, dans le système de secours, l'état des mémoires est contrôlé périodiquement à chaque intervalle prédéterminé pour
2749097
déterminer de la sorte la temporisation d'extraction des
données d'entrée.
A cause de l'agencement pour informer le système de secours de la période d'écriture des mémoires miroir à partir du système de mise en service en mettant à jour les informations d'état, comme décrit ci-dessus, une synchronisation peut être réalisée dans le transfert de
données entre les deux systèmes.
L'invention sera mieux comprise et d'autres buts, caractéristiques, détails et avantages de celle-ci
apparaîtront plus clairement dans la description explicative
qui va suivre faite en référence aux dessins schématiques annexés donnés uniquement à titre d'exemple illustrant plusieurs modes de réalisation de l'invention et dans lesquels: - la figure 1 est un schéma-blocs représentant une partie principale d'un système de commande parallèle duplexé électroniquement verrouillé selon un premier mode de réalisation de la présente invention; - la figure 2 est un organigramme pour illustrer le fonctionnement ou d'un premier système verrouillé
fonctionnant comme un système de mise en service (c'est-à-
dire, dans un mode de mise en service) dans le système de commande parallèle duplexé electroniquement verrouillé selon le premier mode de réalisation de l'invention; - la figure 3 est un organigramme pour illustrer le fonctionnement d'un second système verrouillé fonctionnant comme un système de secours (c'est-à-dire, dans un mode de secours), selon le premier mode de réalisation de l'invention; - la figure 4 est une organigramme pour illustrer une procédure de traitement exécutée par un premier système verrouillé (système de mise en service) dans le système de commande parallèle duplexé électroniquement verrouillé selon un second mode de réalisation de l'invention; - la figure 5 est un organigramme pour illustrer une procédure de traitement exécutée par un second système 1il 2749097 verrouillé (système de secours) selon un second mode de réalisation de l'invention; - la figure 6 est un organigramme pour illustrer une procédure de traitement exécutée par un premier système verrouillé (système de mise en service) dans le système de commande parallèle duplexé électroniquement verrouillé selon un troisième mode de réalisation de l'invention; - la figure 7 est un organigramme pour illustrer une procédure de traitement exécutée par un second système verrouillé (système de secours) selon le troisième mode de réalisation de l'invention; - la figure 8 est un organigramme pour illustrer une procédure de traitement exécutée par un premier système verrouillé (système de mise en service) dans le système de commande parallèle duplexé électroniquement verrouillé selon un quatrième mode de réalisation de l'invention; - la figure 9 est un organigramme pour illustrer une procédure de traitement exécutée par un second système verrouillé (système de secours) selon le quatrième mode de réalisation de l'invention; - la figure 10 est un schéma-blocs représentant une partie principale d'un système de commande parallèle duplexé électroniquement verrouillé selon un cinquième mode de réalisation de la présente invention; - la figure 11 est un organigramme pour illustrer une procédure de traitement exécutée par un premier système verrouillé (système de mise en service) dans le système de commande parallèle duplexé électroniquement verrouillé selon le cinquième mode de réalisation de l'invention; - la figure 12 est un organigramme pour illustrer une procédure de traitement exécutée par un second système verrouillé (système de secours) selon le cinquième mode de réalisation de l'invention; - la figure 13 est un organigramme pour illustrer le fonctionnement d'un système de mise en service dans le système de commande parallèle duplexé électroniquement
12 2749097
verrouillé selon un sixième mode de réalisation de l'invention; - la figure 14 est un organigramme pour illustrer une procédure de traitement exécutée par un second système verrouillé (système de secours) selon le sixième mode de réalisation de l'invention; et - la figure 15 est un schéma-blocs représentant une partie principale d'un système de commande parallèle duplexé
électroniquement verrouillé connu jusqu'à maintenant.
La présente invention sera maintenant décrite en détail en liaison avec ce qui est actuellement considéré comme des modes de réalisation préférés ou typiques de celle-ci en
référence aux dessins. Dans la description suivante, des
chiffres de référence identiques désignent des parties analogues ou équivalentes tout le long des diverses vues. De
plus, dans la description qui suit, on suppose que
l'invention est appliquée à un système de commande parallèle duplexé électroniquement verrouillé comprenant un système de mise en service et un système de secours. Cependant, on appréciera que l'invention peut trouver une application en général à un système de commande parallèle multiplexé électroniquement verrouillé comprenant un système de mise en
service et un ou plusieurs systèmes de secours.
Premier mode de réalisation La figure 1 est un schéma-blocs représentant une partie principale d'un système de commande parallèle duplexé électroniquement verrouillé selon un premier mode de
réalisation de la présente invention.
A cette figure, les chiffres de référence 1 à 6 désignent des composants identiques ou équivalents à ceux du système de commande parallèle duplexé électroniquement verrouillé conventionnel mentionné précédemment en référence à la figure 15 et utilisant les chiffres de référence analogues. De plus, le chiffre de référence 7a désigne une mémoire miroir incorporée dans un premier système verrouillé
13 2749097
(système de mise en service) généralement désigné par 1, tandis que 7b désigne une mémoire miroir incorporée dans un second système verrouillé (système de secours) généralement désigné par 2. De plus, les chiffres de référence 8a et 8b désignent des cables d'interconnexion pour relier les
mémoires miroir 7a et 7b l'une à l'autre.
Chacune des mémoires miroir 7a et 7b peut être réalisée dans une même structure qu'une plaque de mémoire qui peut être écrite ou lue par l'unité de commande associée la ou 2a d'une manière essentiellement identique à une RAM conventionnelle (mémoire vive). Par l'agencement représenté en figure 1, des données écrites dans la mémoire miroir 7a par l'unité de commande la sont simultanément copiées à la mémoire miroir 7b au moyen du câble de connexion 8a pour être de la sorte écrites dans une zone prédéterminée de la mémoire miroir 7b de sorte que les données peuvent être extraites par l'unité de commande 2a. De facon similaire, des données écrites dans la mémoire miroir 7b par l'unité de commande 2a sont simultanément copiées à la mémoire miroir 7a au moyen du câble de connexion 8b pour être écrites dans une zone prédéterminée de la mémoire miroir 7a de sorte que les données peuvent être extraites par l'unité de commande la. A cet égard, une telle attribution de zones de mémoires est adaptée en ce que la zone prédéterminée de la mémoire miroir 7b à laquelle les données sont copiées à partir de la mémoire miroir 7a lors de l'écriture de celles-ci par l'unité de commande la ne recouvrent pas ou ne chevauchent pas une zone de mémoire de la mémoire miroir 7b dans laquelle des données sont écrites par l'unité de commande 2a et en ce que la zone prédéterminée de la mémoire miroir 7a à laquelle les données sont copiées à partir de la mémoire miroir 7b lors de l'écriture de celles-ci par l'unité de commande 2a ne chevauchent pas ou ne recouvrent pas une zone de mémoire de la mémoire miroir 7a dans laquelle les données sont écrites par l'unité de commande la, de sorte que les zones prédéterminées peuvent être utilisées comme facilité ou commodité pour interfacer le premier système verrouillé 1
14 2749097
(système de mise en service) et le second système verrouillé
2 (système de secours) l'un à l'autre.
Ici, il doit être noté que la CPU la accomplit les fonctions d'un premier moyen de traitement et d'un moyen de calcul de la présente invention et que la CPU 2a accomplit les fonctions d'un second moyen de traitement, d'un moyen de calcul et d'un moyen de production de signal de défaut de la
présente invention.
La figure 2 est un organigramme pour illustrer le fonctionnement du premier système verrouillé 1 fonctionnant dans le mode de fonctionnement de service dans le système de commande parallèle duplexé électroniquementverrouillé implanté dans la configuration décrite ci- dessus, tandis que la figure 3 est un organigramme pour illustrer le fonctionnement du second système verrouillé 2 (système de
secours) fonctionnant dans le mode de secours.
Tout d'abord, le fonctionnement du premier système verrouillé 1 (système de mise en service) sera élucidé en référence à l'organigramme de la figure 2. A la suite d'une étape d'initialisation Sl, les données ou informations de supervision sont fournies par le dispositif contrôlé 6 (c'est-à-dire, l'objet sous contrôle) au moyen du système LAN et de la ligne de signal de supervision ld pour être mémorisées dans une RAM interne (mémoire vive) incorporée dans le premier système verrouillé 1 (étape S2). La RAM juste
mentionnée ci-dessus est omise de l'illustration en figure 1.
Les informations des données telles qu'entrées sont écrites dans la mémoire miroir 7a et copiées à l'autre mémoire miroir 7b. Ainsi, les données entrées au système de commande parallèle duplexé électroniquement verrouillé sont transférées également au second système verrouillé 2 (système
de secours) (étape S3).
Subséquemment, dans le premier système verrouillé 1 (système de mise en service), une opération arithmétique dans le but d'une commande est accomplie sur la base des données ou des informations d'entrée (étape S4), sur ce une valeur d'un code de redondance cyclique (ci-après référé comme la
2749097
valeur CRC) de données de commande de sortie à appliquer au dispositif contrôlé 6 est calculée (étape S5). Entre parenthèses, la valeur CRC peut être déterminée en multipliant les données de commande de sortie par un terme d'ordre le plus élevé d'un polynome générateur donné et divisant ensuite le produit résultant de la multiplication par le polynome générateur. Le restant de la division représente alors la valeur CRC des données de commande de sortie. A titre d'exemple, supposons que les données de commande de sortie soient représentées par P(X) avec le polynome générateur étant donné par G(X) = X16 + X12 + X5 + 1. Alors, la valeur CRC est déterminée comme le restant
résultant de la division exprimée par X16' P(X)/G(X).
Incidemment, un calcul de la valeur CRC pour vérifier les données de commande de sortie est largement adopté dans l'art antérieur car la vérification d'erreur peut être réalisée avec une fiabilité élevée. En réalité, par la vérification CRC, il est même possible de détecter le bit souffrant d'erreur. La valeur CRC telle que calculée est écrite dans la mémoire miroir 7a, étant simultanément copiée à la mémoire miroir 7b (étape S6). Ainsi, la valeur CRC est rendue
disponible aussi bien par le système de secours.
Finalement, dans une étape S7, les données de commande sont appliquées au dispositif contrôlé 6 par l'intermédiaire
de la ligne de signal de sortie de commande lc.
Subséquemment, la routine de traitement constituée des étapes S2 à S7 est exécutée de façon répétée périodiquement à un cycle ou une période prédéterminé établie à la
temporisation de cycle de fonctionnement le.
Ensuite, une description sera faite du fonctionnement
du second système verrouillé 2 (système de secours) en référence à la figure 3. Apres l'étape d'initialisation T1, l'entrée ou information de données écrite par le système de mise en service 1 est extraite de la mémoire miroir 7b pour être mémorisée dans une RAM interne (mémoire vive) incorporée dans le second système verrouillé 2 (système de secours)
16 2749097
(étape T2). La RAM interne juste mentionnée ci-dessus est
omise de l'illustration en figure 1.
Subséquemment, une opération arithmétique dans le but de la commande est accomplie sur la base de l'information ou des données d'entrée (étape T3) et la valeur CRC des données de commande de sortie est calculée (étape T4) de la même manière que décrit ci-dessus en liaison avec le système de mise en service. Ensuite, la valeur CRC écrite par le système de mise en service est extraite de la mémoire miroir 7b (étape T5), sur quoi la valeur CRC calculée dans l'étape T4 par le second système verrouillé 2 (système de secours) est comparée à la valeur CRC extraite de la mémoire miroir 7b (étape T6). Lorsque la comparaison résulte en désaccord entre les deux valeurs CRC (c'est-à-dire, lorsque la réponse de l'étape de comparaison T6 est négative "NON"), ceci signifie qu'une continuité dans la commande pour l'objet sous contrôle ne peut pas être soutenue lorsque le second système verrouillé 2 (système de secours) fonctionnant actuellement comme le système de secours est inversé au mode de fonctionnement de service. De ce fait, lorsque l'étape de comparaison T6 résulte en une négation (NON), on décide que le système de secours (second système verrouillé) souffre d'une anomalie ou d'un défaut. Ainsi, le signal de défaut du système 5b est fourni à l'unité d'inversion 3 (étape S7). En conséquence, une exécution du programme par le système de secours est arrêtée (étape S8), de la sorte une discontinuité dans la commande qui pourrait autrement être apportée concernant l'inversion du système de secours au mode de
fonctionnement de service peut être empêchée.
Par ailleurs, lorsqu'une coïncidence est trouvée entre les deux valeurs CRC dans l'étape T6 (c'est-à-dire, lorsque la réponse de l'étape de comparaison T6 est affirmative "OUI"), la routine de traitement constituée des étapes T2 à T6 est exécutée de façon répétée périodiquement à un cycle établi à la temporisation de cycle de fonctionnement 2e qui fonctionne en synchronisme avec la temporisation de cycle de
fonctionnement le.
17 2749097
Comme on l'appréciera maintenant de ce qui précède, lorsqu'un défaut ou une anomalie se produit dans le premier système verrouillé 1 (système de mise en service) fonctionnant en mode de service, le second système verrouillé 2 (système de secours) fonctionnant dans le mode de veille est empêché d'être inversé au mode de service ou de fonctionnement aussi longtemps qu'aucune coïncidence n'est détectée dans les données de commande de sortie entre le premier système verrouillé 1 (système de mise en service) et le second système verrouillé 2 (système de secours), de la sorte une discontinuité dans la commande peut être
positivement empêchée.
Deuxième mode de réalisation Dans le système de commande parallèle duplexé électroniquement verrouillé selon le premier mode de réalisation de l'invention décrit ci-dessus, le système de mise en service et le système de secours peuvent être échangés aussi longtemps que les sorties de commande des deux systèmes coïncident l'une avec l'autre. A cet égard, il est cependant à noter qu'à cause d'une différence entre les deux systèmes au regard des caractéristiques matérielles ou analogues, il peut apparaître une situation en ce qu'avant que des données transférées à partir du système de mise en service soient mémorisées dans la mémoire miroir 7b du système de secours en succession à l'établissement de la temporisation du cycle de fonctionnement, l'unité de commande du système de secours lit les données. En d'autres termes, les données pour le cycle de fonctionnement précédent l'établissement de la temporisation sont appliquées pour être traitées pour donner lieu arithmétiquement à un problème. Par un second mode de réalisation de l'invention, en envisage de s'attaquer à une solution à cet inconvénient. Ainsi, selon les enseignements de l'invention incarnés dans le présent mode de réalisation, on propose de détecter une différence ou un écart dans le cycle de fonctinnement pour l'opération
18 2749097
arithmétique entre les deux systèmes de mise en service et de secours, pour de la sorte inhiber ou empêcher l'inversion du système de secours au système de mise en service lorsqu'un écart dans le cycle de fonctionnement est détecté entre les deux systèmes même lorsqu'une coïncidence est trouvée dans
les données de commande telles que produites.
La figure 4 est un organigramme pour illustrer une procédure de traitement exécutée par le premier système verrouillé fonctionnant comme le système de mise en service 1 selon le second mode de réalisation de l'invention, tandis que la figure 5 est un organigramme pour illustrer une procédure de traitement exécutée par le second système
verrouillé fonctionnant comme le système de secours 2.
Une description sera tout d'abord effectuée des
traitements exécutés dans le système de mise en service en référence à la figure 4. Après l'étape d'initialisation S1, des informations ou données fournies par le dispositif contrôlé 6 sont écrites dans la mémoire miroir 7a, étant concurremment copiées à la mémoire miroir 7b du système de secours, comme cela est effectué dans le cas du premier mode de réalisation. Ainsi, les informations sont transférées aussi bien au second système verrouillé 2 (système de
secours) (étapes Si à S3).
Simultanément, le compteur de temporisation de cycle de fonctionnement le est incrémenté, ce à quoi la valeur du compteur remise à jour est transférée au système de secours en écrivant la valeur du compteur dans les mémoires miroir 7a
et 7b (étape Ul).
Subséquemment, dans le premier système verrouillé fonctionnant comme dans le système de mise en service 1, une opération arithmétique pour produire les données de commande est accomplie sur la base des données d'entrée, sur ce le code de redondance cyclique (CRC) pour les données de commande de sortie est calculé et écrit dans les mémoires miroir 7a et 7b. Ainsi, la valeur CRC est transférée aussi au
système de secours (étapes S4 à S6).
19 2749097
Dans ce cas, la même valeur de compteur que celle transférée au système de secours dans l'étape susmentionnée U1 est écrite dans les mémoires miroir 7a et 7b comme la
valeur de compteur de sortie (étape U2).
Finalement, les données de commande sont fournies au dispositif commandé 6 (objet sous contrôle) par l'intermédiaire de la ligne du signal de sortie de commande
lc et du système LAN (étape S7).
Ensuite, une description sera faite du fonctionnement
du second système verrouillé fonctionnant comme le système de secours 2 en référence à la figure 5. Après l'étape d'initialisation T1, les données d'entrée copiées à la mémoire miroir 7b à partir de la mémoire 7a du système de mise en service sont extraites de la première 7b (étapes T1 et T2). Simultanément, la valeur de compteur transférée du système de mise en service dans l'étape U2 (figure 4) est
extraite de la mémoire miroir 7b dans une étape U3.
Subséquemment, une opération arithmétique pour produire les données de commande est accomplie sur la base des données d'entrée pour calculer de la sorte la valeur CRC des données
de commande (étape T4) de la même manière que décrit ci-
dessus en liaison avec le premier mode de réalisation de l'invention, sur quoi la valeur CRC calculée par le second système verrouillé 2 (système de secours) est comparée à la
valeur CRC extraite de la mémoire miroir 7b (étapes T3 à T6).
Lorsque la comparaison résulte en désaccord ou écart entre les deux valeurs CRC (c'est-à-dire, lorsque la réponse de l'étape de comparaison T6 est négative "NON"), un signal de défaut de système 5b est délivré. En conséquence, une exécution du programme par le système de secours est arrêtée
(étapes T7 et T8).
Par ailleurs, lorsqu'on trouve une coïncidence entre à la fois la valeur CRC calculée et celle qui est extraite (c'est-à-dire, lorsque l'étape de comparaison T6 résulte en "OUI"), la valeur de compteur écrite dans la mémoire miroir 7b par le système de mise en service dans l'étape U2 (figure 4) est extraite par le système de secours dans une étape U4,
2749097
sur ce une décision est effectuée dans une étape U5 quant à savoir si la valeur de compteur telle qu'extraite de la mémoire miroir 7b coïncide avec la valeur de compteur cherchée dans l'étape susmentionnée U3. Lorsqu'on ne trouve aucune coïncidence entre les deux valeurs de compteur (c'està-dire, lorsque l'étape de décision U5 résulte en négation "NON"), alors on détermine que les cycles de fonctionnement
des deux systèmes sont déviés ou écartés l'un de l'autre.
Ainsi, le système de secours produit un signal de défaut 5b
et arrête l'exécution du programme (étapes T7 et T8).
Par ailleurs, lorsqu'on détecte une coïncidence entre la valeur de compteur d'entrée extraite de la mémoire miroir 7b et la valeur de compteur de sortie (c'est-à-dire, lorsque l'étape de décision U5 résulte en affirmation "OUI"), la routine de traitement comprenant les étapes T2 à U5 est exécutée de façon répétée sous la cadence de la temporisation de cycle de fonctionnement 2e qui fonctionne en synchronisme avec la temporisation de cycle de fonctionnement le
incorporée dans le système de mise en service.
De cette manière, un écart entre les sorties des deux systèmes dû à un écart dans le cyle ou la temporisation de
fonctionnement peut être détecté.
Troisième mode de réalisation Dans le cas du système de commande parallèle duplexé électroniquement verrouillé selon le premier mode de réalisation de l'invention décrit ci-dessus, le système de secours peut être inversé au mode de fonctionnement de service aussi longtemps que les sorties de commande des deux systèmes coïncident l'une avec l'autre. Par les enseignements de l'invention incarnés dans un troisième mode de réalisation de celle-ci, on envisage de vérifier les données d'entrée pour les deux systèmes comme pour coïncider en vue d'assurer
une sécurité plus élevée.
La figure 6 est un organigramme pour illustrer un fonctionnement du premier système verrouillé 1 (système de
21 2749097
mise en service) selon le troisième mode de réalisation de l'invention, tandis que la figure 7 est un organigramme pour illustrer un fonctionnement du second système verrouillé 2
fonctionnant comme le système de secours.
Une description sera tout d'abord dirigée au
fonctionnement du système de mise en service en référence à la figure 6. Après l'étape d'initialisation Si, des informations ou données reçues par le dispositif commandé 6 sont écrites dans la mémoire miroir 7a, étant simultanément copiées à la mémoire 7b, comme décrit précédemment en liaison avec les premier et second modes de réalisation. Ainsi, les données d'entrée ou reçues sont transférées au second système verrouillé 2 (système de secours) (étapes Si à S3). Ensuite, une opération arithmétique pour produire les données de commande est accomplie sur la base des données d'entrée, sur ce le code de redondance cyclique (CRC) des données de commande est calculé et écrit dans la mémoire 7a et de ce fait aussi bien dans la mémoire 7b. Ainsi, la valeur CRC est
transférée au système de secours (étapes S4 à S6).
Subséquemment, la CRC des données d'entrée reçues par le dispositif commandé 6 est calculée, sur ce la valeur CRC comme obtenue est écrite dans la mémoire miroir 7a, étant simultanément copiée à la mémoire miroir 7b (étape V2). De cette manière, la valeur CRC des données d'entrée reçues par le dispositif commandé 6 est transférée au système de secours. Finalement, les données de commande sont fournies au dispositif commandé 6 par l'intermédiaire de la ligne de
signal de sortie de commande lc (étape S7) et du LAN.
Ensuite, une description sera effectuée du
fonctionnement du second système verrouillé 2 (système de secours) en référence à la figure 7. Apres l'étape d'initialisation T1, une opération arithmétique pour produire les données de commande est accomplie sur la base des données d'entrée extraites de la mémoire miroir 7b pour calculer de la sorte la valeur CRC des données de commande, comme décrit ci-dessus en liaison avec le premier mode de réalisation, sur
22 2749097
quoi la valeur CRC calculée par le second système verrouillé 2 (système de secours) est comparée à la valeur CRC extraite
de la mémoire miroir 7b (étapes T3 à T6).
Lorsque la comparaison résulte en désaccord ou écart entre les deux valeurs CRC (c'est-à-dire lorsque la réponse de l'étape de comparaions T6 est négative "NON"), un signal de défaut de système 5b est délivré (étape T7) et une exécution du programme par le système de secours est arrêtée
(étape T8).
Par ailleurs, lorsqu'on ne trouve aucune coïncidence
entre les deux valeurs CRC mentionnées ci-dessus (c'est-à-
dire, lorsque l'étape de comparaison T6 résulte en "OUI"), la valeur CRC des données d'entrée extraites de la mémoire miroir 7b est calculée dans une étape V3 et la valeur CRC correspondante transférée du système de mise en service est extraite de la mémoire miroir 7b dans une étape V4. Après cela, la valeur CRC des données d'entrée comme calculée dans l'étapte susmentionnée V3 est comparée à la valeur CRC des données d'entrée transférée du système de mise en service et maintenue dans la mémoire miroir 7b. Lorsqu'on ne trouve aucune coïncidence entre les deux valeurs CRC (c'est-à-dire, lorsque l'étape de décision V5 résulte en négation "NON"), le système de secours produit un signal de défaut 5b et arrête l'exécution du programme (étapes T7 et T8). Au contraire, lorsqu'une coïncidence est trouvée entre les valeurs CRC (c'est-à-dire, lorsque la réponse de l'étape de décision V5 est affirmative "OUI"), alors la routine de traitement comprenant les étapes T2 à V5 est exécutée de façon répétée sous cadence de la temporisation du cycle de fonctionnement 2e qui fonctionne en synchronisme avec la temporisation de
cycle de fonctionnement le du système de mise en service.
De cette manière, en vérifiant une coïncidence des données d'entrée reçues par le dispositif commandé 6 en plus des données de commande de sortie à fournir au dispositif commandé, une sécurité élevée ou une opération de sécurité positive du système de commande parallèle duplexé
électroniquement verrouillé peut être assurée.
23 2749097
Quatrième mode de réalisation Comme mentionné préalablement, il peut apparaître une situation due à une différence en caractéristiques de matériel entre le système de mise en service et le système de secours o avant que les données d'entrée reçues par le dispositif commandé 6 aient été écrites dans la mémoire miroir associée 7a du système de mise en service et copiées simultanément à la mémoire miroir 7b du système de secours, cette dernière extrait les mêmes données, impliquant éventuellement un problème en ce que les données écrites ne coïncident pas avec les données extraites. Par l'invention incarnée dans un quatrième mode de réalisation de celle-ci, on envisage de remédier à un tel inconvénient. Plus spécifiquement, on propose de réaliser des files d'attente dans les deux mémoires miroir, o l'écriture de données dans la mémoire miroir est réalisée en réalisant la file d'attente tandis que la lecture de données de la mémoire miroir est
réalisée en défaisant la file d'attente.
La figure 8 est un organigramme pour illustrer le fonctionnement du premier système verrouillé 1 (système de mise en service) selon le quatrième mode de réalisation de l'invention, tandis que la figure 9 est un organigramme pour illustrer le fonctionnement du second système verrouillé 2
(système de secours).
Tout d'abord, une description est dirigée aux
traitements exécutés par le système de mise en service en référence à la figure 8. Après l'étape d'initialisation S1, des informations ou données reçues du dispositif commandé 6 par l'intermédiaire du LAN sont mises en file d'attente ou enregistrées dans une file d'attente prévue dans la mémoire miroir 7a, étant simultanément cartographiées ou mises en correspondance dans la mémoire miroir 7b. Ainsi, les données d'entrée telles que reçues sont transférées au second système verrouillé 2 (système de secours) (étapes Si à Wl). Ensuite, une opération arithmétique pour la commande est accomplie sur la base des informations d'entrée, sur ce le code de
24 2749097
redondance cyclique (CRC) pour les données de commande de sortie est calculé et mis en file d'attente dans les mémoires miroir 7a et 7b. Ainsi, la valeur CRC est aussi bien
transférée au système de secours (étapes S4 à W2).
Finalement, les données de commande sont produites au dispositif commandé 6 par l'intermédiaire de la ligne de
signal de sortie de commande et du LAN (étape S7).
Ensuite, une description sera faite du fonctionnement
du second système verrouillé 2 (système de secours) en référence à la figure 9. Après l'étape d'initialisation T1, les données d'entrée transférées du système de mise en service ont leur file défaite de la mémoire miroir 7b dans une étape W3. Subséquemment, une opération arithmétique pour la commande est accomplie sur la base des données d'entrée pour calculer de la sorte la valeur CRC des données de commande (étapes T3 et T4), sur quoi la valeur de sortie de commande CRC dans le système de mise en service a la file défaite de la mémoire miroir 7b (étape W4) et est comparée à la valeur CRC du système de secours calculée dans l'étape
susmentionnée T4 (étape T6).
Lorsque la comparaison résulte en désaccord ou écart entre les deux valeurs CRC (c'est-à-dire, lorsque la réponse de l'étape de comparaison T6 est négative "NON"), un signal de défaut de système 5b est délivré. En conséquence, une exécution du programme par le système de secours est arrêtée
(étapes T7 et T8).
Par ailleurs, lorsqu'une coïncidence est trouvée entre les deux valeurs CRC (c'est-à-dire, lorsque l'étape de comparaison T6 résulte en "OUI"), la routine de traitement comprenant des étapes W3 à T6 est exécutée répétitivement sous la cadence de la temporisation du cycle de fonctionnement 2e qui fonctionne en synchronisme avec la temporisation de cycle de fonctionnement le incorporée dans
le système de mise en service.
En vertu de l'agencement décrit ci-dessus, les données d'entrée écrites dans la mémoire miroir du système de mise en service et les données extraites par le système de secours
2749097
peuvent concorder sans défaut, de la sorte un désaccord dans les données de sortie qui sont imputables au défaut d'adaptation dans les données d'entrée peut être positivement exclu. Cinquième mode de réalisation Comme décrit ci-dessus, il peut apparaître une situation o au cours de l'écriture des données transférées du système de mise en service, le système de secours extrait les données, ce qui rend impossible d'établir correctement un synchronisme entre les deux systèmes. Pour éviter une telle situation, on envisage par l'invention incarnée dans un cinquième mode de réalisation de celle-ci d'agencer le système de commande de sorte que le système de mise en service fournisse une interruption lors de l'achèvement d'écriture des données dans la mémoire miroir tandis que le système de secours peut extraire les données de la mémoire miroir seulement lors de l'apparition de l'interruption, pour
établir de la sorte un synchronisme entre les deux systèmes.
La figure 10 est un schéma-blocs représentant schématiquement une configuration de système général du système de commande parallèle duplexé électroniquement verrouillé selon le cinquième mode de réalisation de l'invention, dans lequel les mêmes composants que ceux représentés en figure 1 ou fonctionnellement équivalents à ceux-ci sont désignés par des caractères de référence analogues. On doit cependant mentionner que chacune des mémoires miroir 7a et 7b est impartie d'une fonction pour produire un signal d'interruption. De plus, en figure 10, le chiffre de référence 9a désigne une ligne d'interruption s'étendant de la mémoire miroir 7a à l'unité de commande la et 9b désigne une ligne d'interruption s'étendant de la mémoire miroir 7b à l'unité de commande 2a. Lorsque l'unité de commande la écrit des données dans la mémoire miroir 7a à une zone prédéterminée de celle-ci, l'unité de commande la effectue concurremment un accès à une zone d'interruption de
26 2749097
la mémoire miroir 7b, en conséquence de quoi la mémoire miroir 7b fournit un signal d'interruption à l'unité de commande 2a par l'intermédiaire de la ligne d'interruption 9b. Le signal d'interruption pour l'unité de commande la est fourni par la mémoire miroir 7a par la procédure similaire. La figure 11 est un organigramme pour illustrer le fonctionnement du système de mise en service du système de commande parallèle duplexé électroniquement verrouillé selon le cinquième mode de réalisation de l'invention et la figure 12 est un organigramme pour illustrer le fonctionnement du système de secours. Comme on peut le voir dans la figure, les deux organigrammes de traitement en général sont similaires à la routine de traitement constituée des étapes S1 à S7 représentées en figure 2 et l'écoulement de traitement comprenant les étapes T1 à T8 représentées en figure 3, respectivement. Cependant, dans le traitement accompli par le système de mise en service, on prévoit additionnellement des étapes Xl et X2 pour produire des interruptions pour le système de secours suivant immédiatement les étapes de traitement d'écriture des mémoires miroir S3 et S6, respectivement, pour communiquer les extrémités des étapes de traitement d'écriture au système de secours. Par ailleurs, le système de secours attend l'interruption du système de secours aux étapes X3 et X4, respectivement, et extrait les données et la valeur CRC de la mémoire miroir 7b à des points d'instant o les interruptions pour communiquer l'extrémité des opérations d'écriture sont fournies, respectivement, au
système de mise en service (étapes T2 et T5).
Par la procédure décrite ci-dessus, il est possible d'établir un synchronisme entre le système de mise en service et le système de secours avec une fiabilité davantage améliorée. Sixième mode de réalisation Un sixième mode de réalisation de l'invention est axé à un système de commande parallèle duplexé électroniquement
27 2749097
verrouillé dans lequel un synchronisme dans le transfert de données entre le système de mise en service et le système de secours est établi en détectant un état remis à jour du système de mise en service par le système de secours par une procédure d'interrogation. Dans ce cas, au point d'instant o le système de mise en service remet à jour l'information d'état mémorisée dans les mémoires miroir 7a et 7b, le système de secours accomplit un traitement pour établir un synchronisme dans le transfert des données avec le système de mise en service en contrôlant la remise à jour de
l'information d'état dans la mémoire miroir associée 7b.
La figure 13 est un organigramme du système de commande parallèle duplexé électroniquement verrouillé selon le sixième mode de réalisation de l'invention et la figure 14 est un organigramme pour illustrer le fonctionnement du système de secours. Comme on peut le voir dans ces figures, les écoulements de traitement en général sont similaires à la routine de traitement constituée des étapes S1 à S7 représentées en figure2 et l'écoulement de traitement comprenant les étapes T1 à T8 représentées en figure 3, respectivement. Cependant, dans le traitement accompli par le système de mise en service, on prévoit additionnelement des étapes Y1 et Y2 pour attendre des remises à jour des états des mémoires miroir 7a et 7b, suivant immédiatement les étapes de traitement d'écriture S3 et S6 des mémoires miroir, respectivement, pour communiquer la fin du traitement d'écriture au système de secours. Par ailleurs, le système de secours attend la remise à jour de la mémoire miroir 7a (étapes Y3 et Y4) et extrait les données de la mémoire miroir 7b à un point d'instant o des informations de l'état remis à jour de la mémoire miroir 7a comprenant la fin de l'opération
d'écriture sont reçues du système de mise en service.
Par la procédure décrite ci-dessus, il est possible d'établir un synchronisme de fonctionnement entre le système de mise en service et le système de secours, comme cela l'est
dans le cas du cinquième mode de réalisation de l'invention.
28 2749097
* Septième mode de réalisation Dans le cas du système de commande parallèle duplexé électroniquement verrouillé décrit ci-dessus en liaison avec les premier à sixième modes de réalisation, la valeur CRC est calculée comme la valeur de vérification pour confirmer une
coïncidence des données de sortie des deux systèmes.
Cependant, au lieu de déterminer la valeur CRC, une valeur somme de vérification peut être utilisée pour sensiblement le même effet. Le procédé de calcul de la valeur somme de vérification qui vérifie la sortie de l'erreur est adopté conventionnellement comme avec le cas de la valeur CRC. En général, la valeur somme de vérification peut être obtenue simplement en ayant recours à l'addition des données de sortie. En conséquence, lorsque comparées par calcul de la valeur CRC qui comprend la multiplication, les données de sortie peuvent être vérifiées à une vitesse plus élevée en utilisant la valeur somme de vérification, ce qui est favorable pour maintenir une continuité dans la sortie de commande malgré l'inversion du système de mise en service et
du système de secours.
De nombreuses caractéristiques et avantages de la
présente invention sont apparents à partir de la description
détaillée et ainsi on a l'intention par les revendications
annexées de couvrir toutes les caractéristiques et tous les avantages du système qui tombent dans l'esprit réel de la portée de l'invention. De plus, puisque de nombreuses modifications et combinaisons sont aisément apparentes à ceux de l'art, on n'a pas l'intention de limiter l'invention à la construction et au fonctionnement exacts illustrés et décrits. A titre d'exemple, bien que l'invention ait été décrite en liaison avec le système de commande parallèle duplexé électroniquement verrouillé dans lequel deux systèmes d'une même configuration fonctionnent en synchronisme en parallèle avec une sortie d'un système étant validée, on doit comprendre que la présente invention peut également trouver
29 2749097
une application à un système de commande dans lequel trois ou plus systèmes sont agencés pour fonctionner en parallèle et verrouillé électroniquement de sorte que lorsqu'une anomalie se produit dans le système de mise en service, un autre système de secours est mis en fonctionnement. De plus, on envisage qu'un support de stockage ou d'enregistrement sur lequel les enseignements de l'invention sont enregistrés sous la forme de programmes pouvant être exécutés par des ordinateurs qui comprennent un microprocesseur doit être
couvert par l'invention.
De ce fait, toutes les modifications et équivalents convenables peuvent être envisagés, tombant dans l'esprit et
la portée de l'invention.
2749097

Claims (8)

REVENDICATIONS
1. Système de commande parallèle multiplexé électroniquement verrouillé comprenant un système de mise en service normalement mis en fonctionnement dans un mode de fonctionnement de service pour contrôler/superviser un objet d'intérêt et au moins un système de secours normalement placé dans un mode de veille pour le préparer à faire face à l'apparition d'un défaut dans ledit système de mise en service, o ledit système de mise en service et ledit système de secours sont tous les deux activés constamment d'une manière multiplexée en parallèle et électroniquement verrouillés de sorte que lors de l'apparition d'un défaut dans ledit système de mise en service, ledit système de secours est inversé audit mode de fonctionnement de service en remplaçant ledit système de mise en service, caractérisé en ce qu'il comprend: un moyen d'entrée pour recevoir des données dudit objet d'intérêt comme données d'entrée dans ledit système de mise en service (1); un premier moyen de traitement (la) prévu dans ledit système de mise en service (1) pour traiter lesdites données d'entrée pour produire de la sorte des données de commande de sortie à transmettre audit objet d'intérêt sur la base desdites données d'entrée; des moyens mémoire (7a, 7b) prévus en association respectivement avec ledit système de mise en service (1) et ledit système de secours (2) pour transférer lesdites données d'entrée reçues dans ledit système de mise en service (1) audit système de secours (2); un second moyen de traitement (2a) prévu dans ledit système de secours (2) pour traiter lesdites données d'entrée transfères dudit système de mise en service (1) pour produire de la sorte des données de commande de sortie; un moyen de calcul (2a) prévu dans ledit système de mise en service (1) et ledit système de secours (2) pour
31 2749097
calculer des valeurs de vérification desdites données de commande de sortie produites respectivement par lesdits premier et second moyens de traitement (la, 2a); un moyen de comparaison prévu dans ledit système de secours (2) pour comparer lesdites valeurs de vérification les unes avec les autres; un moyen de production de signal de défaut (4a) pour produire un signal de défaut indiquant l'apparition d'une anomalie dans ledit système de secours (2) à moins qu'un résultat de ladite comparaison indique une coïncidence entre lesdites valeurs de vérification produites par ledit moyen de calcul, respectivement; et un moyen d'inversion (3) répondant audit signal de défaut pour empêcher de la sorte ledit système de secours (2) d'être inversé audit mode de fonctionnement de service même lorsqu'une anomalie se produit dans ledit système de mise en
service (1).
2. Système selon la revendication 1, caractérisé en ce que la valeur de vérification précitée est calculée en terme
d'un code de redondance cyclique (CRC).
3. Système selon la revendication 1, caractérisé en ce que la valeur de vérification précitée est calculée en terme
d'une valeur somme de vérification.
4. Système selon l'une quelconque des revendications 1
à 3, caractérisé en ce qu'il comprend de plus: un moyen pour additionner une valeur de compteur d'une temporisation de cycle de fonctionnement (2e) aux données d'entrée à transférer du système de mise en service précité (1) au système de secours précité (2), ladite valeur de compteur étant incrémentée lors de chaque transfert desdites données d'entrée; en ce que le moyen de comparaison précité compare les valeurs de vérification précitées chacune additionnée de
ladite valeur de compteur.
5. Système selon l'une quelconque des revendications 1
à 4, caractérisé en ce qu'il comprend de plus:
32 2749097
un moyen pour additionner une valeur de vérification des données d'entrée précitées lors du transfert de ladite valeur de vérification des données de commande de sortie précitées du système de mise en service (1) précité au système de secours (2) précité; et en ce que le moyen de comparaison précité prévu dans ledit système de secours (2) compare la valeur de vérification des données d'entrée pour ledit système de mise en service (1) à celles des données d'entrée transférées audit système de secours (2) l'une avec l'autre en plus de la comparaison entre les valeurs de
compteur desdites données de sortie.
6. Système selon l'une quelconque des revendications 1
à 5, caractérisé en ce qu'une file d'attente est prévue dans chacun des moyens mémoire précités (7a, 7b) pour transfert de données du système de mise en service précité (1) au système de secours précité (2), lesdites files étant formées dans ledit système de mise en service (1) tandis que ladite file
est défaite dans ledit système de secours (2).
7. Système selon l'une quelconque des revendications 1
à 5, caractérisé en ce qu'une interruption est fournie du système de mise en service (1) précité au système de secours (2) précité après avoir écrit les données d'entrée lorsque lesdites données sont transférées du système de mise en service (1) au système de secours (2), ladite interruption étant utilisée comme une temporisation pour permettre auxdites données d'entrée d'être extraites dans ledit système
de secours (2).
8. Système selon l'une quelconque des revendications 1
à 5, caractérisé en ce que lors du transfert de données du système de mise en service précité (1) au système de secours (2), un état de mémoire est remis à jour dans ledit système de mise en service (1) après avoir écrit les données d'entrée sur celui-ci, tandis que dans ledit système de secours (2), ledit état des mémoire est contrôlé périodiquement à chaque intervalle prédéterminé dans ledit système de secours (2) pour déterminer la période d'extraction desdites données d'entrée.
FR9614701A 1996-05-27 1996-11-29 Systeme de commande parallele multiplexe electroniquement verrouille Expired - Fee Related FR2749097B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP13201496A JP3208060B2 (ja) 1996-05-27 1996-05-27 並列二重系電子連動装置

Publications (2)

Publication Number Publication Date
FR2749097A1 true FR2749097A1 (fr) 1997-11-28
FR2749097B1 FR2749097B1 (fr) 1998-07-24

Family

ID=15071521

Family Applications (1)

Application Number Title Priority Date Filing Date
FR9614701A Expired - Fee Related FR2749097B1 (fr) 1996-05-27 1996-11-29 Systeme de commande parallele multiplexe electroniquement verrouille

Country Status (3)

Country Link
JP (1) JP3208060B2 (fr)
FR (1) FR2749097B1 (fr)
GB (1) GB2313678B (fr)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2345153A (en) * 1998-12-23 2000-06-28 Motorola Ltd Fault-tolerant microcontroller arrangement, eg for a vehicle braking system
DE10057782C1 (de) * 2000-11-22 2002-06-20 Siemens Ag Verfahren und Vorrichtung zum Überführen einer Prozesssteuerung von einem Solobetrieb in einen redundanten Steuerungsbetrieb
US6938124B2 (en) * 2002-07-19 2005-08-30 Hewlett-Packard Development Company, L.P. Hardware assisted communication between processors
JP3897046B2 (ja) 2005-01-28 2007-03-22 横河電機株式会社 情報処理装置および情報処理方法
JP5067965B2 (ja) * 2007-07-06 2012-11-07 日本信号株式会社 地上子、書込器及び地上装置
JP2010102565A (ja) * 2008-10-24 2010-05-06 Mitsubishi Electric Corp 二重化制御装置
DE102009019087A1 (de) * 2009-04-20 2010-11-11 Pilz Gmbh & Co. Kg Sicherheitssteuerung und Verfahren zum Steuern einer automatisierten Anlage
JP4954249B2 (ja) * 2009-07-22 2012-06-13 株式会社京三製作所 電子端末装置及び電子連動装置
JP2015194971A (ja) 2014-03-31 2015-11-05 日本信号株式会社 冗長系制御装置
JP7023726B2 (ja) * 2018-01-25 2022-02-22 株式会社日立ハイテクソリューションズ 二重化制御システム
KR102171638B1 (ko) * 2018-10-05 2020-10-30 현대로템 주식회사 열차종합제어장치 및 그의 데이터 분산 처리 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0518630A2 (fr) * 1991-06-12 1992-12-16 Aeci Limited Système de commande redondant

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS573101A (en) * 1980-06-09 1982-01-08 Hitachi Ltd Multiple control device
JPH0729749B2 (ja) * 1989-07-21 1995-04-05 株式会社日立製作所 乗客コンベアの制御装置

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0518630A2 (fr) * 1991-06-12 1992-12-16 Aeci Limited Système de commande redondant

Also Published As

Publication number Publication date
GB2313678B (en) 1998-09-09
JPH09319401A (ja) 1997-12-12
GB9700644D0 (en) 1997-03-05
JP3208060B2 (ja) 2001-09-10
FR2749097B1 (fr) 1998-07-24
GB2313678A (en) 1997-12-03

Similar Documents

Publication Publication Date Title
EP1764694B1 (fr) Procédé et système de contrôle redondant de calculateurs sécurisés
FR2749097A1 (fr) Systeme de commande parallele multiplexe electroniquement verrouille
FR2972545A1 (fr) Controle de flux d'instruction commande par des instructions de programme
CN105607972B (zh) 一种异常修复的方法及装置
WO2017001746A1 (fr) Entité électronique et procédé mis en oeuvre dans une telle entité électronique
CN110673867A (zh) Cpld在线升级方法、装置及系统
CN108228789A (zh) 从节点触发的同步异常恢复方法及装置
EP0423663A1 (fr) Horloge synchronisée
CN108897646B (zh) 一种bios芯片的切换方法及基板管理控制器
WO2016086635A1 (fr) Procédé et appareil de gestion de mise à niveau d'élément de réseau
FR2512978A1 (fr) Circuit de rythme controleur de sequence
EP3460664B1 (fr) Procédé de gestion de modules logiciels embarqués pour un calculateur électronique d'un appareil électrique de coupure
FR2819598A1 (fr) Dispositif de synchronisation tolerant aux pannes pour reseau informatique temps reel
EP2704010A1 (fr) Procédé et dispositif de traitement de commandes dans un ensemble d'éléments informatiques
FR2508257A1 (fr) Procede de transmission de messages entre modules emetteurs recepteurs autonomes possedant des horloges et des dispositifs de synchronisation internes independants
FR2490366A1 (fr) Circuit apte a relever la presence de mauvais fonctionnements dans un systeme d'elaboration de donnees gouverne par un microprocesseur de type commercial applique dans des systemes telephoniques
EP2693339B1 (fr) Procédé de surveillance de l'exécution coordonnée de taches séquencées par une carte électronique comportant au moins deux processeurs synchronisés sur deux horloges différentes
EP1603042A2 (fr) Procédé et système de vérification de l'atomicité de commandes exécutées par un microprocesseur
EP2693338B1 (fr) Procédé de surveillance de l'exécution coordonnée de taches séquencées par une carte électronique comportant au moins deux processeurs synchronisés sur une même horloge
EP0557142B1 (fr) Procédé et dispositif pour la surveillance temporelle du fonctionnement d'un processeur
CN109542522A (zh) 一种fpga启动方法及装置
FR2894694A1 (fr) Procede et dispositif de mise au point d'un programme execute par un processeur multitache
CN116340957B (zh) 程序启动方法、装置、服务器及非易失性存储介质
WO2017001770A1 (fr) Procédé de gestion de profils dans un élément sécurisé
CN113220358B (zh) 一种多平台bios信息存储方法、系统及介质

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20130731