ITTO980696A1 - Dispositivo e metodo di telecomando. - Google Patents
Dispositivo e metodo di telecomando. Download PDFInfo
- Publication number
- ITTO980696A1 ITTO980696A1 IT98TO000696A ITTO980696A ITTO980696A1 IT TO980696 A1 ITTO980696 A1 IT TO980696A1 IT 98TO000696 A IT98TO000696 A IT 98TO000696A IT TO980696 A ITTO980696 A IT TO980696A IT TO980696 A1 ITTO980696 A1 IT TO980696A1
- Authority
- IT
- Italy
- Prior art keywords
- primary
- state
- activation
- network
- sequential
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 29
- 230000004913 activation Effects 0.000 claims abstract description 105
- 230000002093 peripheral effect Effects 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims abstract description 14
- 230000007704 transition Effects 0.000 claims description 65
- 238000012360 testing method Methods 0.000 claims description 36
- 238000012790 confirmation Methods 0.000 claims description 24
- 230000005284 excitation Effects 0.000 claims description 15
- 230000009849 deactivation Effects 0.000 claims description 9
- 230000007257 malfunction Effects 0.000 claims description 7
- 230000003213 activating effect Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 claims 3
- 230000000694 effects Effects 0.000 claims 2
- 230000001419 dependent effect Effects 0.000 claims 1
- 108091006146 Channels Proteins 0.000 description 53
- 230000006870 function Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 1
- 238000006073 displacement reaction Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0428—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/21—Pc I-O input output
- G05B2219/21053—Each unit, module has unique identification code, set during manufacturing, fMAC address
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23043—Remote and local control panel, programming unit, switch
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24024—Safety, surveillance
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/24—Pc safety
- G05B2219/24119—Compare control states to allowed and forbidden combination of states
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Selective Calling Equipment (AREA)
- Container Filling Or Packaging Operations (AREA)
- Motorcycle And Bicycle Frame (AREA)
- Safety Devices In Control Systems (AREA)
- Closed-Circuit Television Systems (AREA)
Description
D E S C R I Z I O N E
del brevetto per invenzione industriale
La presente invenzione è relativa ad un dispositivo e ad un metodo di telecomando.
Sono noti dispositivi di telecomando in cui una unità centrale (ad esempio un calcolatore) invia attraverso un canale di trasmissione (ad esempio una linea telefonica, una linea a fibre ottiche, un ponte radio, ecc.) messaggi di telecomando verso una (o più) unità periferica (ad esempio realizzata mediante un calcolatore) la quale è atta a realizzare, in base al messaggio ricevuto, il comando di un dispositivo fisico.
L'uso di tali dispositivi di telecomando è ampiamente noto nel campo ferroviario in cui una unità centrale controlla una pluralità di unità periferiche atte a realizzare il controllo di dispositivi fisici -(ad esempio dispositivi di segnalazione, scambi, passaggi a livello, ecc.) utilizzati per regolare la circolazione dei treni.
Il requisito essenziale richiesto ai dispositivi di telecomando è la realizzazione di una elevata sicurezza in modo tale che il controllo realmente realizzato sul dispositivo fisico corrisponda esattamente a quanto richiesto dall'unità centrale.
A tale proposito si deve notare come i dispositivi di telecomando noti non realizzano generalmente sistemi a sicurezza intrinseca, cioè sistemi che in caso di guasto e/o malfunzionamento si portano necessariamente verso una condizione in cui il comando del dispositivo fisico anche effettuato erroneamente garantisce una situazione di sicurezza.
Al contrario, nei dispositivi di telecomando di tipo noto si possono creare dei guasti e/o degli errori che compromettono il funzionamento in sicurezza del dispositivo di telecomando. A tale proposito si può notare che un.guasto e/o un errore in un dispositivo di telecomando di tipo noto può verificarsi:
• nella struttura hardware e/o software dell'unità centrale;
• nel canale di trasmissione; e
• nella struttura hardware e/o software dell'unità periferica.
Per risolvere gli inconvenienti dei dispositivi dì telecomando noti, relativamente ai guasti e/o errori nella struttura hardware o software dell'unità periferica, sono stati proposti sistemi ridondanti nei quali una attivazione del dispositivo fisico nell'unità periferica viene svolto solamente in presenza di due (o più) segnali di controllo concordi tra di loro.
Sono anche stati proposti sistemi in cui l'unità periferica è provvista di un circuito supervisore ( watch dog) che controlla in continuazione il buon funzionamento dell'unità periferica stessa e che, in presenza di un guasto e/o malfunzionamento rilevato, interrompe l'alimentazione dell'unità periferica rendendo di fatto impossibile qualsiasi attivazione del dispositivo fisico.
Tali dispositivi di telecomando non soddisfano comunque del tutto gli stringenti requisiti di sicurezza richiesti in alcuni campi tecnici (ad esempio in ambito ferroviario) in quanto guasti, ad esempio del software o dell'hardware dell'unità periferica, possono rendere inefficienti le precauzioni predisposte a garantire la sicurezza.
•Scopo della presente invenzione è quello di realizzare un dispositivo di telecomando il quale superi gli inconvenienti dei dispositivi di telecomando noti garantendo, per ogni situazione di utilizzo, una elevata sicurezza.
Il precedente scopo è raggiunto dalla presente invenzione in quanto esso è relativo ad un dispositivo di telecomando del tipo descritto nella rivendicazione 1 .
La presente invenzione è inoltre relativa ad un metodo di telecomando del tipo descritto nella rivendicazione 26. L'invenzione verrà ora descritta con riferimento ai disegni annessi, che ne illustrano un esempio di attuazione non limitativo, in cui:
• la figura 1 illustra, in modo schematico, un dispositivo di telecomando realizzato secondo i dettami della presente invenzione;
• le figure 2a, 2b illustrano un diagramma logico di funzionamento di una unità di calcolo del dispositivo della figura 1;
• la figura 3 dettaglia un primo blocco delle figure 2a, 2b;
• la figura 4 dettaglia un secondo blocco delle figure 2a, 2b; e
• la figura 5 illustra una variante al dispositivo illustrato nella figura 4.
Nella figura 1 è indicato con 1, nel suo insieme, un dispositivo di telecomando in cui una unità centrale di comando 2 controlla una (o più) unità periferiche 4.
In particolare, ciiascuna unità periferica 4 comprende un circuito elettromeccanico o elettronico 10 il quale realizza, nel suo complesso, una rete sequenziale che coopera con un calcolatore locale 12 dell'unità periferica.
La rete sequenziale 10 presenta primi ingressi x0, xl, x2 detti elementi primari i quali sono atti a ricevere rispettivi segnali di ingresso X0, XI, X2 provenienti dal calcolatore locale 12 e detti segnali di ingresso primari o più semplicemente ingressi primari. Nell'esempio di realizzazione illustrato sono indicati tre ingressi primari; risulta comunque chiaro che il numero di ingressi primari può essere qualsiasi.
La rete sequenziale 10 presenta prime uscite z0, zi, z2 sulle quali sono rilevabili rispettivi segnali di uscita Z0, Z1,' Z2 detti segnali di uscita primari o più semplicemente uscite primarie. Nell'esempio di realizzazione,., illustrato sono indicate tre uscite primarie; risulta comunque chiaro che il numero di uscite primarie può essere qualsiasi.
La rete sequenziale 10 presenta inoltre una pluralità di seconde uscite eO, el, e2, e3 su cui sono presenti rispettivi segnali E0, El, E2, E3 i quali vengono trasferiti, mediante anelli di reazione 13 (illustrati schematicamente) contenenti eventualmente circuiti di ritardo (non illustrati) e circuiti amplificatori (non illustrati) , verso rispettivi secondi ingressi del circuito 10 sui quali sono presenti segnali di ingresso secondari, Y0, Yl, Y2, Y3 detti anche semplicemente ingressi secondari.
Gli anelli di reazione 13 presentano la proprietà secondo la quale occorre un intervallo di tempo tra il presentarsi di una eccitazione, cioè una variazione di stato su una uscita secondaria eO, el, e2, e3, ed il cambiamento di stato degli ingressi secondari Y0, Yl, Y2, Y3.
Per tale motivo i segnali presenti sulle uscite secondarie, detti anche eccitazioni, sono indicati con E0, El, E2, E3 mentre gli ingressi secondari sono indicati con Y0, Yl, Y2, Y3.
In particolare, allorché l'eccitazione Eh di un generico h-esimo ingresso secondario Yh ha lo stesso valore del suo stato attuale (Yh = Eh) il valore successivo dello ingresso secondario sarà uguale a quello attuale ed il suo stato è detto stabile.
Quando invece l'eccitazione Eh di un generico hesimo ingresso secondario Yh ha valore diverso del suo stato attuale (Yh diverso Eh) il valore successivo dell'ingresso secondario sarà diverso da quello attuale ed il suo stato è detto instabile.
Come è noto, in una rete sequenziale, i valori delle uscite primarie in un determinato istante To sono funzione dei valori degli ingressi primari allo stesso istante To e della sequenza dei segnali di ingresso primari che si è presentata al circuito 10 precedentemente a tale istante To.
La rete 10 può infatti disporsi, in risposta ad una sequenza di ingressi primari provenienti dal calcolatore locale 12, in un certo numero di configurazioni interne, dette stati interni della rete sequenziale .
La rete 10 si dispone pertanto, in seguito ad una sequenza di ingressi primari, in un determinato stato interno; per tale motivo si suole dire che la rete 10 è dotata di "memoria" in quanto "ricorda" una sequenza di ingressi primari e si dispone in un determinato stato interno in base a tale sequenza.
Si rilega inoltre, come gli ingressi primari, gli ingressi secondari, le uscite primarie e le eccitazioni assumano valore binario (zero o uno).
Come è noto una rete sequenziale può essere descritta mediante una tabella di flusso TF che presenta una pluralità di caselle ciascuna delle quali corrisponde ad uno stato interno della rete; tale tabella di flusso esprime inoltre la relazione che lega gli ingressi primari X0, XI, X2, gli ingressi secondari Y0, Yl, Y2, Y3 e le uscite primarie Z0, ZI, Z2.
In particolare, nella tabella di flusso TF si può notare che:
• gli stati interni della rete si individuano mediante numeri - ad ogni casella della tabella TF corrisponde uno stato interno indicato da un rispettivo numero intero;
gli stati interni sono suddivisibili in stati interni stabili indicati da numeri racchiusi tra parentesi (ad esempio (7) = settimo stato stabile) e stati interni instabili indicati da numeri non racchiusi da parentesi (ad esempio 3 = terzo stato instabile). Uno stato interno della rete è detto stabile quando, per tale stato, le eccitazioni sono uguali agli ingressi secondari. Uno stato interno della rete è detto invece instabile quando, per tale stato, le eccitazioni,,differiscono dagli ingressi secondari. • in seguito al raggiungimento di uno stato interno instabile la rete 10 si porta automaticamente al corrispondente stato interno stabile;
• la tabella di flusso TF presenta tante colonne quante sono le possibili configurazioni binarie degli ingressi primari (nel presente caso numero degli ingressi primari 3, numero di colonne 23=8).
• la tabella di flusso TF presenta una pluralità di righe ciascuna delle quali comprende almeno uno stato interno stabile;
• se in una colonna appare un certo stato in forma instabile nella stessa colonna deve apparire lo stesso stato in forma stabile;
• si ammette inoltre che gli ingressi primari possano cambiare solo uno alla volta;
• un cambiamento nella configurazione degli ingressi primari corrisponde ad uno spostamento in orizzontale sulla tabella TF;
• uno spostamento in verticale sulla tabella TF corrisponde invece ad un cambiamento di stato degli ingressi secondari.
A puro titolo di esempio non limitativo viene illustrata una tabella TF realizzabile dalla rete sequenziale 10; è ovviamente chiaro che tabelle aventi diverse disposizioni e/o diverse dimensioni (righe e colonne) sono possibili.
E' noto al tecnico del ramo, data la tabella TF, realizzare un circuito fisico (ad esempio realizzato mediante relais) che realizza la tabella TF.
Il calcolatore locale 12 riceve inoltre in ingresso: • gli ingressi primari XO, XI, X2 prelevati mediante un trasduttore 14 (rappresentato schematicamente) e trasportati al calcolatore 12 mediante una linea dati 16;
• gli ingressi secondari Y0, Yl, Y2, Y3 prelevati mediante un trasduttore 17 (rappresentato schematicamente) e trasportati al calcolatore 12 mediante una linea dati 18; e
• le uscite primarie Z0, ZI, Z2, prelevate mediante trasduttori 20 (rappresentati schematicamente) e trasportati al calcolatore mediante un linee dati 22.
Le uscite primarie Z0, ZI, Z2 sono atte a comandare rispettivi dispositivi interruttori 25, 26 e 27 (rappresentati schematicamente) del tipo normalmente aperto convenientemente realizzati mediante relais; in particolare, quando il valore dell'uscita primaria è pari ad uno "0" logico il dispositivo interruttore ad esso associato è aperto mentre quando il valore dell'uscita primaria è pari ad uno "1" logico il dispositivo interruttore ad esso associato è chiuso.
Convenientemente i trasduttori 20 sono realizzati da secondi contatti dei relais 25, 26 e 27 ciascuno dei quali è un relais a più contatti a guide forzate (o di sicurezza) comprendente un primo contatto mobile (non illustrato) che realizza, in base alla sua posizione, la apertura/chiusura dell'interruttore 25, 26 e 27 ed un secondo contatto mobile (non illustrato), meccanicamente solidale al primo contatto, la cui posizione definisce lo stato (zero o uno) di una uscita Z0, ZI e Z2.
L'interruttore 25 presenta un primo terminale comunicante con una sorgente di tensione Val ed un secondo terminale comunicante con un primo terminale del dispositivo interruttore 26 attraverso una linea elettrica 30. Il dispositivo interruttore 26 presenta un secondo terminale comunicante con un ingresso di alimentazione e/o attivazione 33a di un dispositivo di selezione modulo 33 la cui funzione sarà chiarita in seguito.
Il dispositivo interruttore 27 presenta un primo terminale comunicante con la linea 30 ed un secondo terminale comunicante con un ingresso di alimentazione e/o attivazione 35a di un dispositivo di selezione canale 35.
Il dispositivo di selezione canale 35 presenta una pluralità di ingressi (in numero n) atti a ricevere rispettivi segnali CHI, CH2 , CH3, .... CHn per la selezione di rispettivi primi, secondi, terzi ... ed nesimi canali.
Preferibilmente, ma non esclusivamente, il segnale di selezione canale presenta valore binario ed in corrispondenza di uno "0" logico la selezione del rispettivo canale viene disinibita mentre in corrispondenza di uno "1" logico la selezione del rispettivo canale viene attivata.
Quando il dispositivo di selezione canale 35 è attivato o alimentato, in corrispondenza di un i-esimo segnale di selezione canale CHi in ingresso, viene prodotto un corrispondente segnale CHUi in uscita che assume valore logico conforme al valore logico del segnale di selezione canale in ingresso.
Quando il dispositivo di selezione canale 35 non è attivato né alimentato, in corrispondenza di un segnale di selezione canale CHi in ingresso, non viene prodotto alcun segnale in uscita.
In questo modo, il dispositivo di selezione canale 35 presenta una pluralità di uscite (in numero n) sulle quali si possono presentare rispettivi segnali di uscita CHU1, CHU2, CHU3, .... CHUn che sono inviati verso una pluralità di moduli di alimentazione M1, M2, Mi, ....Mk per il controllo dei moduli stessi.
Ciascun modulo M riceve così in ingresso gli n segnali di controllo CHU1, CHU2, CHU3 , .... CHUn provenienti dal dispositivo di selezióne canale 35.
Ciascun modulo,M, quando attivo e/o alimentato, è inoltre atto a controllare una pluralità di n dispositivi fisici DI, D2,... Dn ciascuno dei quali è associato ad un rispettivo segnale di controllo CHU1, CHU2, CHU3, .... CHUn proveniente dal dispositivo di selezione canale 35.
In particolare, ciascun dispositivo DI, D2,... Dn assume un primo stato, in particolare uno stato di attivazione, qualora il rispettivo segnale di controllo CHU1, CHU2, CHU3, .... CHUn ad esso associato sia pari ad uno "1" logico, mentre assume un secondo stato, in particolare uno stato di disattivazione, qualora il rispettivo segnale di controllo CHU1, CHU2, CHU3, CHUn ad esso associato sia pari ad uno "0" logico.
In questo modo, nel caso in cui un i-esimo dispositivo Di di un i-esimo modulo Mi alimentato e/o attivo sia costituito da un segnalatore luminoso, tale segnalatore luminoso è acceso quando il relativo segnale di controllo CHUi assume il valore "1" {in corrispondenza di un segnale di selezione canale CHi pari ad un "1" logico), mentre il segnalatore luminoso è spento quando il relativo segnale di controllo CHUi assume il valore "0" (in corrispondenza di un segnale di selezione canale CHi pari ad un "0" logico).
Il dispositivo di selezione modulo 33 presenta una pluralità di ingressi (in numero k) atti a ricevere rispettivi segnali MI, M2, Mi, .... Mk per la attivazione di rispettivi primi, secondi, i-esimi ... e k-esimi moduli MI, M2, Mi,...Mk.
Preferibilmente, ma non esclusivamente, ciascun segnale di attivazione modulo presenta valore binario ed in corrispondenza di uno "0" logico l'attivazione e/o l'alimentazione del rispettivo modulo viene disinibita mentre in corrispondenza di uno "1" logico l'attivazione e/o alimentazione del rispettivo modulo viene effettuata.
Quando il dispositivo di selezione modulo 33 è attivato e/o alimentato, in corrispondenza di un iesirno segnale di selezione modulo Mi in ingresso, viene prodotto un corrispondente segnale MUi in uscita che assume valore logico conforme al valore logico del segnale di selezione modulo di ingresso.
Quando il dispositivo di selezione modulo 33 non è attivato né alimentato, in corrispondenza di un segnale di selezione modulo Mi in ingresso, non viene prodotto alcun segnale in uscita.
In questo modo, per attivare un i-esimo dispositivo Di appartenente ad un i-esimo modulo Mi e ad un i-esimo canale è necessario:
• attivare e/o alimentare il dispositivo di selezione modulo 33;
• applicare un segnale di selezione modulo Mi pari ad un "1" logi-co;
• attivare e/o alimentare il dispositivo di selezione canale 35; e
• applicare un segnale di selezione canale CHi pari ad un "1" logico.
Qualora uno tra il dispositivo di selezione modulo 33 ed il dispositivo di selezione canale 35 sia disattivato e/o disalimentato non è possibile l'attivazione di alcun dispositivo fisico D di alcun modulo M.
Con riferimento alle figure 2a, 2b è illustrato il diagramma logico di funzionamento del calcolatore locale 12 cooperante con la rete sequenziale 10.
Inizialmente si perviene ad un blocco 100 nel quale si attende un messaggio di avvio proveniente dalla unità centrale 2. Il messaggio di avvio è associato ad una porzione codificata msg identificativa di uno specifico dispositivo Di (contraddistinto da un rispettivo modulo e da un rispettivo canale) telecomandato da attuare.
In seguito al ricevimento di tale messaggio di avvio, il blocco 100 è seguito da un blocco 110 che verifica se la rete sequenziale 10 è in uno stato di riposo; lo stato di riposo viene riconosciuto quando tutte le uscite primarie sono tutte nulle, cioè:
Z0 = 0;
ZI = 0; e
Z2 = 0;
e contemporaneamente tutte le eccitazioni sono anche nulle cioè:
E0 = 0;
E1 = 0;
E2 = 0; e
E3 = 0.
Qualsiasi disposizione delle uscite primarie o delle eccitazioni diversa da quella sopra detta corrisponde ad uno stato diverso da quello di riposo.
Qualora venga rilevato lo stato di riposo, il blocco 110 è seguito da un blocco 120, altrimenti (stato di riposo non rilevato) il blocco 110 è seguito da un blocco 130 (dettagliato in seguito).
Il blocco 120 (dettagliato in seguito) effettua un test per verificare il buon funzionamento della rete sequenziale 10 ed è seguito da un blocco 140 che esamina l'esito di tale test; in caso di esito negativo (rete sequenziale 10 non funzionante correttamente) il blocco 140 è seguito dal blocco 130, altrimenti (rete sequenziale 10 riconosciuta come funzionante correttamente) il blocco 140 è seguito da un blocco 150.
Il blocco 150 (dettagliato in seguito) effettua un test per verificare il buon funzionamento del dispositivo di selezione canale 35 e del dispositivo di selezione modulo 33 ed è seguito da un blocco 160 che esamina l'esito del test; in caso di esito negativo (dispositivo di selezione modulo 33 e/o dispositivo di selezione canale 35 non funzionante correttamente) il blocco 160 è seguito dal blocco 130, altrimenti (dispositivo di selezione modulo 33 e dispositivo di selezione canale 35 riconosciuti entrambi come funzionanti correttamente) il blocco 160 è seguito da un blocco 170.
Come sarà chiarito in seguito, durante l'effettuazione del test del blocco 150, il calcolatore locale 12 genera una sequenza di ingressi primari in modo tale che la rete sequenziale 10 si dispone in uno stato interno diverso dallo stato di riposo.
Il blocco 170 genera un numero casuale Nrand ed associa (in modo noto) tale numero casuale al messaggio msg ricevuto generando così un messaggio di richiesta conferma msg-conf.
Il blocco 170 è seguito da un blocco 180 che trasmette il messaggio di richiesta conferma msg-conf versò l'unità centrale 2.
Il blocco 180 è seguito da un blocco 190 che si dispone in attesa dì un messaggio di risposta proveniente dall'unità centrale 2 in risposta al messaggio di richiesta conferma msg-conf precedentemente trasmesso.
In seguito al ricevimento di un messaggio di risposta msg-risp proveniente dall'unita centrale 2 entro un tempo massimo prefissato dall'emissione del messaggio di richiesta conferma, il blocco 190 è seguito da un blocco 200 che decodifica il messaggio di risposta msg-risp estraendo da esso un numero Nrisp(l) che è stato introdotto manualmente da un operatore che controlla l'unità centrale 2 ed è stato associato ad messaggio di risposta.
Il blocco 200 è seguito da un blocco 210 che verifica se esiste una relazione, ad esempio di uguaglianza, tra il numero casuale Nrand generato dal blocco 170 ed il numero Nrisp(l) che è stato introdotto dall'operatore in risposta del messaggio di richiesta conferma proveniente dall'unità periferica 4.
Preferibilmente, ma non esclusivamente, il blocco 210 verifica se Nrand - Nrisp(l); in caso negativo (Nrand ≠ Nrisp(l)), cioè numero casuale generato nell'unità periferica 4 diverso dal numero introdotto manualmente dall'operatore nella unità centrale 2) viene selezionato il blocco 130, altrimenti (Nrand = Nrisp, cioè.. numero casuale generato nell'unità periferica 4 uguale al numero introdotto manualmente dall'operatore nella unità centrale 2) viene selezionato un blocco 220.
Il blocco 220, il cui significato sarà chiarito in seguito, porta la rete sequenziale 10 in uno stato di pre-attivazione (stato interno (7)) prossimo ad uno stato di attivazione (stato interno (8)) in corrispondenza dal quale tutte le uscite primarie assumono valore logico 1 (Z0 = 1; ZI = 1; Z2 = 1) e può essere attivato almeno un dispositivo fisico D.
Il blocco 220 è seguito da un blocco 230 che verifica se la rete 10 si è disposta nello stato di pre-attivazione al seguito del ricevimento di una corretta sequenza di ingressi primari generati dal calcolatore locale 12; in caso negativo (sequenza di ingressi primari errata e/o rete non disposta nello stato di pre-attivazione) il blocco 230 è seguito dal blocco 130, altrimenti (rete nello stato di preattivazione in seguito a corretta sequenza di ingressi primari ricevuta) il blocco 230 è seguito da un blocco 240.
Il blocco 240, analogamente a quanto fatto dal blocco 180, rinvia,il messaggio di richiesta conferma msg-conf verso l'unità centrale 2.
Il blocco 240 è seguito da un blocco 250 (analogo al blocco 190) che si dispone in attesa di un messaggio proveniente dall'unità centrale 2 in risposta al messaggio di richiesta conferma msg-conf precedentemente trasmesso dal blocco 240.
In seguito al ricevimento di un messaggio di risposta msg-risp proveniente dall'unita centrale 2, il blocco 250 è seguito da un blocco 260.
Il blocco 260 verifica se è il messaggio di risposta è stato ricevuto in un tempo prefissato; in caso negativo viene selezionato il blocco 130, altrimenti (messaggio di risposta ricevuto entro un tempo prefissato) viene selezionato un blocco 270.
Il blocco 270, il cui significato sarà chiarito in seguito, porta la rete sequenziale 10 dallo stato di pre-attivazione (stato interno (7)) allo stato di attivazione (stato interno (8)) in corrispondenza dal quale tutte le uscite primarie assumono valore logico 1 (Z0 = 1; ZI = 1; Z2 = 1) e può essere attivato almeno un dispositivo fisico D.
In seguito al passaggio della rete nello stato di attivazione il blocco 270 è seguito da un blocco 280 che attende che sia attivato almeno un dispositivo fisico D.
In seguito all'attivazione ed alla successiva disattivazione di un dispositivo fisico D, il blocco 280 è seguito da un blocco 290 che forza la rete 10 nello stato di riposo. Le operazioni descritte hanno così fine.
Analogamente, anche il blocco 130 forza la rete nello stato di riposo in modo tale che tutte le uscite primarie siano nulle ( Z0 = 0; ZI = 0; Z2 = 0) e contemporaneamente tutte le eccitazioni siano anche nulle (E0 = 0; E1 = 0; E2 = 0; E3 = 0).
Il blocco 130 è quindi seguito da un blocco 135 che invia verso l'unità centrale 2 un messaggio di errore; tale messaggio di errore viene visualizzato in modo tale che l'operatore si rende immediatamente conto di un incorretto funzionamento del dispositivo di telecomando 1. Le operazioni descritte hanno quindi termine .
Con particolare riferimento alla figura 3 è illustrato il dettaglio del blocco 120 che effettua un test per verificare il buon funzionamento della rete sequenziale 10.
In particolare, il blocco 120 comprende un iniziale blocco 121 che comanda una transizione degli ingressi primari portando gli ingressi primari da X2 = 0; XI = 0; X0 = 0 a X2 = 0; XI =0; X0 = 1. Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella.TF con passaggio dallo stato (1) stabile allo stato 2 instabile; dallo stato 2 instabile si passa quindi allo stato (2) stabile con movimento verticale sulla seconda colonna. Allo stato (2) stabile devono corrispondere ingressi secondari pari a Y0 =0; Y1 = 0; Y2 = 1; Y3 = 0 (si veda la tabella allegata).
Il blocco 121 è seguito da un blocco 122 di ritardo che a sua volta è seguito da un blocco 123 che verifica se gli ingressi secondari si sono portati effettivamente ai valori YO =0; Y1 = 0; Y2 = 1; Y3 = 0 come descritto dalla tabella; in caso positivo il blocco 123 è seguito da un blocco 124, altrimenti dal blocco 123 si passa ad un blocco 125.
Il blocco 124 comanda una ulteriore transizione degli ingressi primari portando gli ingressi primari da X2 = 0; XI = 0; X0 = 1 a X2 = 0; XI =0; X0 = 0. Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo stato (2) stabile allo stato 15 instabile; dallo stato 15 instabile si passa quindi allo stato (15) stabile con movimento verticale sulla prima colonna. Allo stato (15) stabile devono corrispondere ingressi secondari pari a Y0 =1; Y1 = 0; Y2 = 1; Y3 = 0 (si veda la tabella allegata).
Il blocco 124 è seguito da un blocco 126 di ritardo che a sua volta è seguito da un blocco 127 che verifica se gli ingressi secondari si sono portati effettivamente ai valori Y0 =1; Y1 - 0; Y2 = 1; Y3 = 0 come descritto dalla tabella; in caso positivo il blocco 127 è seguito da un blocco 128, altrimenti dal blocco 127 si passa al blocco 125.
Il blocco 128 comanda una ulteriore transizione degli ingressi primari riportando gli ingressi primari da X2 = 0; XI = 0; X0 = 0 a X2 = 0; XI = 0; X0 = 1. Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo stato (15) stabile allo stato 16 instabile; dallo stato 16 instabile si passa quindi allo stato (16) stabile con movimento verticale sulla seconda colonna. Allo stato (16) stabile devono corrispondere ingressi secondari pari a YO =1; Yl = 0; Y2 = 0; Y3 = 0 (si veda la tabella allegata).
Il blocco 128 è seguito da un blocco 129 di ritardo che a sua volta è seguito da un blocco 130a che verifica se gli ingressi secondari si sono portati effettivamente ai valori Y0 =1; Yl = 0; Y2 = 0; Y3 = 0 come descritto dalla tabella; in caso positivo il blocco 130a è seguito da un blocco 131, altrimenti dal blocco 130a si passa al blocco 125.
Il blocco 131 comanda una ulteriore transizione degli ingressi primari portando gli ingressi primari da X2 = 0; XI = 0; X0 = 1 a X2 = 0; XI =0; X0 = 0. Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo stato (16) stabile allo stato 1 instabile; dallo stato 1 instabile si passa quindi allo stato (1) stabile con movimento verticale sulla prima colonna. Allo stato (1) stabile devono corrispondere ingressi secondari pari a Y0 =0; Y1 = 0; Y2 = 0; Y3 = 0 (si veda la tabella allegata). Il blocco 131 è seguito da un blocco 132 di ritardo che a sua volta è seguito da un blocco 133 che verifica se gli ingressi secondari si sono portati effettivamente ai valori Y0 =0; Y1 = 0; Y2 = 0; Y3 = 0 come descritto dalla tabella; in caso positivo il blocco 133 è seguito da un blocco 134, altrimenti dal blocco 133 si passa al blocco 125.
Il blocco 134 rileva e registra un corretto funzionamento della rete sequenziale 10 mentre il blocco 125 rileva un guasto e/o un funzionamento difettoso della rete sequenziale 10. I dati rilevati dai blocchi 134 e 125 sono analizzati dal blocco 140 (figure 2a, 2b).
In questo modo mediante le operazioni del blocco 120, la rete sequenziale 10 viene forzata dal calcolatore locale 12 a "rispondere" ad una sequenza di ingressi primari, ed in seguito a ciascuna variazione degli ingressi primari si verifica se la rete 10 raggiunge lo stato interno desiderato ed i valori degli ingressi secondari sono congruenti alla transizione di stato svolta. In altre parole, si verifica se la rete si comporta secondo quanto previsto dalla tabella TF, cioè funziona correttamente.
Tale test viene inoltre realizzato senza attivare le uscite, cioè durante l'effettuazione del test nessuna uscita assume valore primario pari ad un 1 logico (si vedano i valori delle uscite primarie relative alla prima, seconda, nona e decima riga della tabella TF).
Con particolare riferimento alla figura 4 è illustrato il dettaglio del blocco 150 che effettua, sotto il comando del calcolatore locale 12, un test per verificare il buon funzionamento del dispositivo di selezione canale 35 e del dispositivo di selezione modulo 33.
Il blocco 150 comprende un iniziale blocco 151 che forza gli ingressi primari da X2 = 0; XI = 0; X0 = 0 a X2 = 0; XI =0; X0 = 1.
Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo stato (1) stabile allo stato 2 instabile; dallo stato 2 instabile si passa quindi allo stato (2) stabile con movimento verticale sulla seconda colonna.
Il blocco 151 comanda inoltre una transizione degli ingressi primari da X2 = 0; XI = 0; X0 = 1 a X2 = 0; XI =1; X0 = 1.
Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo stato (2) stabile allo stato 3 instabile; dallo stato 3 instabile si passa quindi allo stato (3) stabile con movimento verticale sulla terza colonna.
Allo stato (3) stabile corrispondono le uscite primarie aventi valore logico pari a:
Z2 = 0;
ZI = 1; e
Z0 = 1.
L'uscita Z2 = 0 è inoltre applicata al dispositivo interruttore 27, l'uscita ZI = 1 è applicata al dispositivo interruttore 26 e l'uscita Z0 = 1 è applicata al dispositivo interruttore 25.
In questo modo, il dispositivo interruttore 27 rimane aperto ed i dispositivi interruttori 26 e 25 vengono chiusi consentendo l'alimentazione e/o l'attivazione del dispositivo di selezione modulo 33.
Contemporaneamente, poiché il dispositivo interruttore 27 è aperto, il dispositivo di selezione canale 35 è non alimentato e/o è inattivo. Non può pertanto essere attivato alcun dispositivo fisico D ma il dispositivo di selezione modulo 33 che è alimentato e/o attivo può essere testato.
A tale scopo il blocco 151 è seguito da un blocco 153 che invia in ingresso al dispositivo 33, in una modalità di test, segnali MI, M2, M3, .... Mk per la attivazione di rispettivi primi, secondi, terzi ... e k-esimi moduli MI, M2, M3,...Mk.
Il blocco 153 è seguito da un blocco 154 che verifica se per ciascun segnale MI, M2, M3, .... Mk di test in ingresso, l'attivazione del relativo modulo ha veramente avuto luogo, cioè se il modulo funziona correttamente per il comando dei dispositivi Di.
In particolare, tale operazione di verifica può essere svolta verificando la chiusura di dispositivi interruttori finali (non illustrati) disposti nei vari moduli; ciascun dispositivo interruttore finale essendo atto a chiudersi qualora il modulo a cui è associato sia attivo ed essendo atti ad alimentare un dispositivo Di qualora il canale relativo a tale dispositivo sia anche-attivo .
Nel caso in cui venga rilevato un errore in almeno un modulo, cioè .un modulo attivato mediante un rispettivo segnale di test in ingresso al dispositivo 33 in realtà,.non si attiva, il blocco 154 è seguito da un blocco 155, altrimenti (ciascun modulo attivato mediante un rispettivo segnale di test in ingresso al dispositivo 33 - nessun errore rilevato nell'attivazione dei moduli) il blocco 154 è seguito da un blocco 156 che disattiva la modalità di test dei moduli sopra detta.
Il blocco 156 è seguito da un blocco 157 che comanda una transizione degli ingressi primari da X2 = 0; XI = 1; X0 = 1 a X2 = 0; XI =1; X0 = 0.
Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo,stato (3) stabile allo stato 4 instabile; dallo stato 4 instabile si passa quindi allo stato (4) stabile con movimento verticale sulla quarta colonna.
Il blocco 157 inoltre comanda una transizione degli ingressi primari da X2 = 0; XI = 1; X0 = 0 a X2 = 1; XI =1; X0 = 0.
Tale transizione corrisponde ad uno spostamento orizzontale sulla tabella TF con passaggio dallo stato (4) stabile allo stato 5 instabile; dallo stato 5 instabile si passa quindi allo stato (5) stabile con movimento verticale sulla quinta colonna.
Allo stato (5) stabile corrispondono le uscite primarie aventi valore logico pari a:
Z2 = 1;
ZI = 0; e
Z0 = 1.
L'uscita Z2 = 1 è inoltre applicata al dispositivo interruttore 27, l'uscita ZI = 0 è applicata al dispositivo interruttore 26 e l'uscita Z0 = 1 è applicata al dispositivo interruttore 25.
In questo modo, il dispositivo interruttore 27 è chiuso, il dispositivo interruttore 25 è chiuso ed il dispositivo interruttore 26 è aperto.
Gli interruttori 25 e 27 (chiusi) consentono l'alimentazione e/o l'attivazione del dispositivo di selezione canale 35 mentre il dispositivo di selezione modulo 33 è disalimentato e/o disattivato.
Non può pertanto essere attivato alcun dispositivo fisico D ma il dispositivo di selezione canale 35 che è alimentato e/o attivo può essere testato.
A tale scopo il blocco 157 è seguito da un blocco 158 che invia, in una modalità di test, segnali CHI, CH2, CH3, .... CHn per la attivazione di rispettivi primi, secondi, terzi ... e n-esimi canali.
Il blocco 158 è seguito da un blocco 159 che verifica se per ciascun segnale di attivazione canale CHI, CH2, CH3 , .... CHn di test in ingresso, un corrispondente segnale di uscita CHU1, CHU2, CHUn raggiunge ciascun modulo, cioè se tutti i canali sono attivi e funzionanti.
Nel caso in cui venga rilevato un errore su almeno un canale, cioè almeno un segnale di uscita CHUi non sia prodotto in modo congruente in risposta di un rispettivo segnale di ingresso al dispositivo di selezione canale 35, il blocco 159 è seguito dal blocco 155, altrimenti (per ciascun segnale di ingresso il dispositivo di selezione canale 35 produce in uscita un rispettivo segnale CHU congruente che raggiunge, per quel canale, tutti i moduli - tutti i canali sono funzionanti) il blocco 159 è seguito da un blocco 159a che disattiva la modalità di test sui canali sopra detta .
Il blocco 159a è seguito da un blocco 159b che rileva il buon esito delle operazioni del blocco 150 (dispositivo di selezione modulo 33 e dispositivo di selezione canale 35 funzionante entrambi).
Il blocco 155 rileva un esito negativo delle operazioni del blocco 150 (dispositivo di selezione modulo 33 e/o dispositivo di selezione canale 35 non funzionante ο difettoso).
I blocchi 159b e 155 sono quindi seguiti dalO blocco 160 che esamina l'esito del test del blocco 150.
In uso, in seguito a comando da parte dell'unità centrale 2, viene verificata la disposizione della rete sequenziale nello stato di riposo (blocco 110) e viene svolta la fase (blocco 120) di verifica del corretto funzionamento della rete sequenziale stessa.
Come illustrato precedentemente con riferimento alla figura 3, la fase di verifica del corretto funzionamento comprende l'effettuazione di un pluralità di transizioni sotto il comando del calcolatore locale 12, che partendo dallo stato (1) porta la rete allo stato (2), allo stato (15), allo stato (16) e quindi nuovamente allo stato (1).
Qualora le transizioni sopra dette siano effettuate nella sequenza prevista in base alla variazione degli ingressi primari e la rete sequenziale sia conseguentemente riconosciuta come correttamente funzionante viene svolto il test sul corretto funzionamento del dispositivo di selezione canale 35 e del dispositivo di selezione modulo 33.
A tale scopo, come illustrato con riferimento alla figura 3, la rete sequenziale viene portata, in seguito a comando proveniente dal calcolatore locale 12, allo stato (2) e da quest'ultimo allo stato (3) in corrispondenza del quale due uscite primarie (Z0 e ZI) assumono il valore logico 1 ed una uscita primaria (Z2) assume il valore logico zero. Il dispositivo di selezione modulo 33 può pertanto essere testato (blocchi 153 e 154) senza che nessun dispositivo fisico D sia attivato in quanto il dispositivo di selezione canale 35 è disattivo.
Successivamente, la rete sequenziale viene portata, allo stato (4) e da quest'ultimo allo stato (5) in corrispondenza del quale due uscite primarie (Z2 e Z0) assumono il valore logico 1 ed una uscita primaria (Z1) assume il valore logico zero. Il dispositivo di selezione canale 35 può pertanto essere testato (blocchi 157 e 158).
Il dispositivo di selezione canale 35 può pertanto essere testato (blocchi 158 e 159) senza che nessun dispositivo fisico D sia attivato in quanto il dispositivo di selezione modulo 33 è disattivo.
Al termine delle operazioni del blocco 150 la rete sequenziale si trova pertanto nello stato interno stabile (5).
Viene quindi inviato il messaggio di richiesta conferma msg-conf verso l'unità centrale 2 ed in seguito al ricevimento di un corretto messaggio di risposta msg-risp le operazioni del telecomando continuano. In questo modo, il proseguimento delle operazioni del telecomando 1 possono avere luogo solamente quando l'operatore dell'unità centrale risponde correttamente all'unità periferica 4; viene così introdotta una certa supervisione manuale da parte dell'operatore dell'unità centrale nel funzionamento del telecomando 1.
Successivamente (blocco 220) la rete sequenziale 10 viene portata dal calcolatore locale 12, dallo stato stabile (5) allo stato stabile (6); questa transizione è ottenuta facendo commutare gli ingressi primari da X2 = 1, XI = 1, X0 = 0 a X2 = 1, XI = 0, X0 =0.
Nel blocco 220 la rete sequenziale 10 viene inoltre portata, dallo stato stabile (6) allo stato stabile (7); questa transizione è ottenuta facendo commutare gli ingressi primari da X2 = 1, XI = 0, X0 0 a X2 = 1, XI = 0, X0 =1.
Viene quindi nuovamente inviato il messaggio di richiesta conferma msg-conf verso l'unità centrale 2 ed in seguito al ricevimento di un messaggio di risposta msg-risp entro un tempo prefissato le operazioni del telecomando continuano.
Successivamente (blocco 270) la rete sequenziale 10 riceve dal calcolatore locale 12 ingressi primari che portano la rete 10 dallo stato stabile (7) allo stato stabile (8); questa transizione è ottenuta facendo commutare gli ingressi primari da X2 = 1, XI = 0, X0 = 1 a X2 = 1, XI = 1, X0 =1.
Nello stato stabile 8 tutte le uscite primarie assumono valore logico pari a 1, cioè:
Z2 = 1;
ZI = 1; e
Z0 = 1.
L'uscita Z2 = 1 è inoltre applicata al dispositivo interruttore 27, l'uscita ZI = 1 è applicata al dispositivo interruttore 26 e l'uscita Z0 = 1 è applicata al dispositivo interruttore 25.
In questo modo, tutti i dispositivi interruttori 25, 26 e 27 sono chiusi, il dispositivo di selezione canale 35 è attivato e/o alimentato ed anche il dispositivo di selezione modulo 33 è alimentato e/o attivato .
In questo modo, per attivare un i-esimo dispositivo fisico Di appartenente ad un i-esimo modulo e ad un i-esimo canale è solamente necessario:
• applicare un segnale di selezione modulo Mi pari ad un "1" logico;
• applicare un segnale di selezione canale CHi pari ad un "1" logico.
Il dispositivo di selezione canale 35 ed il dispositivo selezione modulo 33 sono infatti già stati attivati dalla rete.sequenziale 10.
Da quanto sopra detto risultano chiari i vantaggi del telecomando secondo la presente invenzione in quanto viene realizzato un dispositivo di telecomando in cui l'unità centrale 2 comunica con almeno una unità periferica 4 provvista della rete sequenziale 10 ed atta a controllare (mediante i dispositivi 33, 35) almeno un dispositivo fisico Di.
La rete sequenziale 10 è atta a disporsi, in risposta ad una prefissata sequenza di segnali di ingresso primari generati dal calcolatore locale 12 attivato dal messaggio proveniente dall'unità centrale 2, in uno stato interno di attivazione (lo stato (8)) in corrispondenza del quale vengono generati segnali di uscita primari (Z2 = 1 ZI = 1, Z0 = 1) rendendo possibile l'attivazione di almeno un dispositivo Di.
Si può rilevare che solamente per lo stato interno di attivazione (8) vengono prodotti segnali di uscita primari tutti pari ad un "1" logico rendendo possibile la chiusura di tutti i dispositivi interruttori 25, 26, 27, l'attivazione di entrambi i dispositivi di selezione modulo 33 e di selezione canale 35 e quindi l'attivazione di almeno un dispositivo D.
La rete sequenziale 10 è atta a disporsi, in risposta ad una sequenza di segnali di ingresso primari diversa dalla sequenza prefissata, in uno stato interno in corrispondenza del quale i segnali di uscita primari rendono impossibile l'attivazione dei dispositivi Di in quanto viene raggiunto uno stato interno diverso dallo stato interno di attivazione (8).
Si può rilevare che per ciascun stato interno diverso dallo stato interno di attivazione (8) vengono prodotti segnali di uscita primari che comprendono almeno uno zero logico rendendo impossibile la chiusura di tutti i dispositivi interruttori 25, 26, 27 con la conseguente disattivazione di almeno uno tra i dispositivi di selezione modulo 33 e di selezione canale 35 e quindi rendendo impossibile l'attivazione dei dispositivi D.
In questo modo, l'attivazione di un qualsiasi dispositivo D avviene soltanto in corrispondenza di una sequenza corretta di ingressi primari emessa dal calcolatore locale 12 (nell'esempio di realizzazione la sequenza X2, XI, X0 = 0,0,0 -> 0,0,1 -> 0,1,1 -> 0,1,0 -> 1,1,0 -> 1,0,0 -> 1,0,1 -> 1,1,1 precedentemente descritta) che portano la rete sequenziale 10 dallo stato di riposo, allo stato di pre-attivazione e quindi allo stato di attivazione (nell'esempio di realizzazione con transizione dagli stati interni: (1) — > (2)— > (3)— > (4)--> (5)--> (6)— > (7)--> (8)) con la possibilità di comandare i dispositivi Di.
Una sequenza incorretta di ingressi primari, cioè diversa dall'unica sequenza corretta che porta la rete sequenziale dallo stato di riposo a quello di attivazione, dovuta ad errori hardware e/o software del calcolatore locale 12, non viene riconosciuta in quanto porta la rete sequenziale in uno stato interno diverso dallo stato di attivazione impedendo di fatto l'attivazione di qualsiasi dispositivo D. In tale modo la sicurezza del dispositivo di telecomando viene grandemente incrementata in quanto i guasti, hardware o software, dell'unità 4 impediscono l'attivazione del dispositivo D.
La rete sequenziale viene comunque testata al fine di verificarne il corretto funzionamento (blocco 120) e sono controllati i dispositivi di selezione canale 35 e di selezione modulo 33 che concorrono al comando del dispositivo fisico D.
Il dispositivo di telecomando secondo la presente invenzione svolge inoltre una pluralità di funzioni di sicurezza ausiliare atte ad aumentare la sicurezza complessiva del dispositivo stesso.
A tale proposito il calcolatore locale 12 è provvisto di rispettivi circuiti (non illustrati) atti a :
- rilevare le -.transizioni di stato degli ingressi primari (X0, XI, X2);
- rilevare le transizioni di stato delle uscite primarie (Z0, ZI, Z2);
- considerare come accettabili le transizioni di stato delle uscite primarie avvenute in seguito a transizioni di stato degli ingressi primari;
rilevare una situazione di malfunzionamento della rete qualora una transizione di stato delle uscite primarie (Z0, ZI, Z2) avvenga senza una precedente transizione di stato degli ingressi primari (X0, XI, X2).
La situazione di malfunzionamento della rete sopra detta, in cui la rete cambia stato senza una variazione degli ingressi primari, si presenta tipicamente in casi di guasti dei componenti interni della rete stessa, ad esempio malfunzionamento dei relais che costituiscono la rete sequenziale 10.
In corrispondenza della situazione di malfunzionamento della rete sopra detta il calcolatore locale 12 provoca la disalimentazione di tutta l'unità periferica 4 con la conseguente impossibilità di attivazione dei dispositivi fisici Di.
Il calcolatore 12 è inoltre provvisto di circuiti, in particolare reti combinatorie (non illustrate), atti a :
- rilevare gli ingressi primari di attivazione per cui è previsto che la rete sequenziale 10 (in base a quanto stabilito dalla tabella TF) si porti nello stato stabile di attivazione - nell'esempio di realizzazione descritto tale operazione corrisponde a rilevare gli ingressi primari X2=l; Xl=l; e X0=1 atti a portare la rete 10 nello stato stabile (8) di attivazione;
- rilevare se in presenza di tali ingressi primari di attivazione (X2=l; Xl=l; e X0=1) gli ingressi secondari assumono un primo valore prefissato (nell'esempio di realizzazione descritto Y3=l; Y2=l; Yl=l; Y0=1), corrispondente ad uno stato di attivazione instabile della rete (stato 8 instabile), oppure un secondo valore prefissato (nell'esempio di realizzazione descritto Y3=0; Y2=l; Yl=l; Y0=1), corrispondente allo stato di attivazione stabile della rete (stato 8 stabile); e
rilevare una situazione di errore fatale qualora, in corrispondenza di ingressi primari di attivazione rilevati, vengano rilevati ingressi secondari aventi valore diverso dal primo valore prefissato e dal secondo valore prefissato.
In altre parole viene verificato se lo stato di attivazione stabile (8) viene raggiunto attraverso lo stato di attivazione instabile 8 e conseguentemente qualsiasi transizione che pervenga allo stato (8) stabile provenendo da uno stato diverso dallo stato 8 instabile viene considerata come rappresentativa dell'errore fatale.
In corrispondenza dell'errore fatale sopra detto il calcolatore locale 12 provoca la disalimentazione di tutta l'unità periferica 4 con la conseguente impossibilità di attivazione dei dispositivi fisici Di.
L'alimentazione della l'unità periferica 4 è pertanto possibile solamente in seguito a riarmo manuale della unità periferica 4 stessa.
Il calcolatore 12 è inoltre provvisto di circuiti, ad esempio reti combinatorie (non illustrate), atti a:
- rilevare le uscite primarie di attivazione per cui è comandata l'attivazione dei dispositivi Di nell'esempio di realizzazione descritto tale operazione corrisponde a rilevare le uscite primarie con Z2=l; Zl=l; e Z0=1 corrispondenti allo stato (8) stabile di attivazione in corrispondenza del quale è possibile attivare i dispositivi Di;
- rilevare se in presenza di tali uscite primarie di attivazione (Z2=l; Zl=l; e ZQ=1) gli ingressi primari assumono un corrispondente valore prefissato previsto per l'attivazione (nell'esempio di realizzazione descritto X2=l; Xl-1; X0=1); e
- rilevare una situazione di errore qualora, in corrispondenza di uscite primarie di attivazione rilevate, vengano rilevati ingressi primari aventi valore diverso dal valore prefissato previsto per l'attivazione .
In altre parole viene verificato se la configurazione (Z2=l; Zl=l; Z0=1) delle uscite primarie che consente l'attivazione dei dispositivi Di viene raggiunta in corrispondenza di una unica configurazione (X2=l; X1=1; X0=1) di ingressi primari.
In corrispondenza dell'errore sopra detto il calcolatore locale 12 provoca la disalimentazione dell'unità periferica 4 al fine di impedire il comando dei dispositivi fisici Di.
Il blocco della unità periferica, a differenza dell'errore fatale sopra detto, non è, in questo caso, completo ed irreversibile; si può infatti notare che la condizione di errore sopra detta viene raggiunta, per un breve istante, quando la rete sequenziale 10 transita dallo stato stabile (15) verso lo stato stabile (1). La seconda transizione dallo stato stabile (15) è infatti relativa allo stato 1 instabile per cui (si veda l'ottava riga della tabella TF) Z2=1; Z1=1; Z0=1 ma X2=0; X1=0; X0=0 diverso da X2=1; X1=1; X0=1.
Come è noto una rete sequenziale 10 è descrivibile, oltre alla rappresentazione mediante tabella TF sopra detta, mediante un sistema di equazioni che legano tra di loro gli ingressi primari (X2, XI, X0), le uscite primarie (Z2, Z1, Z0), le eccitazioni (E3, E2, E1, E0) e gli ingressi secondari (Y3, Y2, Y1, Y0).
Secondo una preferita forma di realizzazione della presente invenzione, il sistema di equazioni sopra detto, descrivente la rete sequenziale 10, viene scelto in modo tale che le eccitazioni (E3, E2, E1, EO) siano funzioni solamente degli ingressi primari (X2, X1, XO) e degli ingressi secondari (Y3, Y2, Yl, YO) mentre le uscite primarie (Z2, Z1, Z0), siano funzioni solamente degli ingressi secondari (Y3, Y2, Yl, YO), cioè:
(primo sistema di equazioni)
(secondo sistema di equazioni)
Tale rappresentazione della rete sequenziale permette di realizzare la rete 10 mediante (figura 5) una porzione strettamente sequenziale IOa che realizza il primo sistema di equazioni ed una porzione combinatoria 10b che coopera con la porzione sequenziale 10a e realizza il secondo sistema di equazioni.
In particolare, la porzione sequenziale 10a presenta :
primi ingressi x2, x1, x0 sui quali sono presenti i segnali di ingresso primari X2, X1, X0 (ingressi primari) provenienti dal calcolatore locale 12; ed
- una pluralità di seconde uscite e0, el, e2, e3 su cui sono presenti i rispettivi segnali E0, E1, E2, E3 i quali vengono trasferiti, mediante gli anelli di reazione 13 verso rispettivi secondi ingressi della porzione sequenziale 10a sui quali sono presenti i segnali di ingresso secondari, Y0, Y1, Y2, Y3 (ingressi secondari) .
Le seconde uscite e0, e1, e2, e3 della porzione sequenziale 10a comunicano con ingressi della porzione combinatoria 10b per alimentare i segnali di uscita secondari E0, E1, E2, E3 all'ingresso della porzione combinatoria,·10b che alimenta in uscita i segnali di uscita primari realizzando il secondo sistema di equazioni sopra detto:
in quanto (a meno il ritardo della reazione 13)\ E0 = YO, E1 = Yl, E2 = Y2, E3 = Y3.
La forma di realizzazione descritta con riferimento alla figura 5 presenta un notevole vantaggio derivante dal fatto che la porzione sequenziale 10a e la porzione combinatoria 10b descritte rispettivamente dal primo e dal secondo sistema di equazioni sono semplici, cioè con meno incognite, rispetto alla rete sequenziale 10 descritta dal sistema di equazioni che, come detto precedentemente, lega tra di loro gli ingressi primari (X2, X1, X0), le uscite primarie (Z2, Z1, Z0), le eccitazioni (E3, E2, El, E0) e gli ingressi secondari (Y3, Y2, Y1, Y0).
Ciò comporta, realizzando la porzione sequenziale IOa e/o la porzione combinatoria 10b mediante componenti discreti in particolare relais, nella realizzazione.· di circuiti composti da un numero inferiore di componenti presentanti, ciascuno, minore complessità .
E' infatti noto che qualora una rete sequenziale sia realizzata mediante relais è necessario impiegare almeno un relais per ciascun ingresso primario X2, X1, X0 ed almeno un relais per ciascun ingresso secondario Y3, Y2, Y1, Y0. Nell'esempio di realizzazione illustrato devono pertanto essere utilizzati almeno sette relais per la rete sequenziale 10.
Ciascun relais associato ad una variabile (ingresso primario oppure ingresso secondario) deve inoltre avere un numero di contatti mobili almeno pari al numero di volte che quella variabile compare nel sistema di equazioni che descrive la rete sequenziale.
Da quanto sopra detto si capisce che più complessa è la rete e più relais devono essere impiegati con la conseguente complicazione di relais che devono aver un elevato numero di contatti mobili (relais multi-contatto).
E' inoltre noto utilizzare, per motivi di sicurezza, relais di sicurezza a guide forzate aventi più contatti mobili meccanicamente collegati tra di loro .
Può inoltre capitare che siano necessari relais aventi un numero molto elevato di contatti mobili e che tali relais non siano disponibili sul mercato.
In tale caso i relais vengono realizzati disponendo in parallelo più relais singoli multicontatto .
Tale fatto è estremamente svantaggioso poiché provoca la perdita del collegamento fisico tra i contatti dei relais disposti in parallelo e vanifica l'uso dei relais di sicurezza.
La vantaggiosa forma di realizzazione sopra descritta risolve gli inconvenienti sopra detti, in quanto la porzione combinatoria 10b, avendo struttura più semplice, può essere realizzata mediante relais di sicurezza a guide forzate aventi contatti mobili meccanicamente collegati tra di loro.
Non è infatti richiesto l'uso di relais di sicurezza aventi un grande numero di contatti e non è pertanto necessario disporre in parallelo relais multicontatto .
L'uso dei relais a guide forzate comporta infatti un ulteriore vantaggio derivante dal fatto che un contatto mobile del relais viene utilizzato per rileggere lo stato binario della variabile realizzata dal relais stesso; .in questo modo, utilizzando relais a guide forzate, si ha che lo stato letto della variabile corrisponde ..sempre allo stato reale della variabile realizzata dal relais.
Il questo modo, le uscite secondarie Z2, Z1, Z0 della porzione combinatoria 10b che, come detto precedentemente, utilizza solamente relais a guide forzate vengono rilevate utilizzando contatti mobili dei relais in modo tale che lo stato delle uscite primarie lette corrisponde sempre allo stato effettivamente realizzato.
Le altre parti del telecomando 1 cooperanti con la porzione sequenziale 10a e la rete porzione 10b sono uguali a quelle descritte in precedenza e sono pertanto contraddistinte con gli stessi numeri e non vengono ulteriormente descritte ed illustrate. La modalità di funzionamento del telecomando descritto con l'ausilio delle figure 2, 3 e 4 si applica anche al telecomando della figura 5. In particolare, le funzioni di sicurezza ausiliaria sono svolte anche dal telecomando di figura 5 il quale, utilizzando solamente relais a guide forzate con un contatto del relais utilizzato per prelevare lo stato binario della variabile associata al relais stesso, utilizza valori rilevati degli ingressi primari, degli ingressi secondari e delle uscite primarie che corrispondono sicuramente a quelli implementati. Viene così ulteriormente migliorata la sicurezza del,.,dispositivo di telecomando 1.
Risulta infine chiaro che modifiche e varianti possono essere apportate al dispositivo ed al metodo di telecomando descritto senza per questo uscire dall'ambito di tutela della presente invenzione.
Claims (1)
- R I V E N D I C A Z I O N I 1.- Dispositivo di telecomando in cui una unità centrale (2) comunica con almeno una unità periferica (4); detta unità periferica (4) essendo atta a controllare (33,35) almeno un dispositivo fisico (Di), caratterizzato dal fatto che la detta unità periferica comprende almeno una unità locale di elaborazione (12) ed almeno una rete sequenziale (10) presentante primi ingressi (x0, x1, x2) atti a ricevere segnali di ingresso primari (X2, X1, X0) generati dalla detta unità locale di elaborazione (12); detta rete sequenziale (10) presentando prime uscite (z0, z1, z2) atte a fornire segnali di uscita primari (Z2, Z1, Z0) per il controllo (33,35) del detto dispositivo (D1); detta rete sequenziale (10) essendo atta a disporsi, in risposta ad una prefissata sequenza di segnali di ingresso primari (X2, X1, X0) , in uno stato interno di attivazione ((8)) in corrispondenza del quale vengono generati segnali di uscita primari (Z2, Z1, Z0) per l'attivazione (33,35) del detto dispositivo (D1). 2. ~ Dispositivo secondo la rivendicazione 1, caratterizzato dal fatto che la detta rete sequenziale è atta a disporsi, in risposta ad una sequenza di segnali di ingresso primari (X2, X1, X0) diversa dalla detta sequenza prefissata, in uno stato interno in corrispondenza del quale i segnali di uscita primari (Z2, Z1, Z0) rendono impossibile l'attivazione (33,35) del detto dispositivo (Di). 3.- Dispositivo secondo la rivendicazione 1 o 2, caratterizzato dal fatto di comprendere primi mezzi di test (120,140) atti a rilevare un corretto funzionamento (134) della detta rete sequenziale (10) ed un funzionamento difettoso (125) della rete sequenziale (10) stessa. 4.- Dispositivo secondo la rivendicazione 3, caratterizzato dal fatto che i detti primi mezzi di test (120, 140) comprendono: - mezzi di forzatura (121, 124, 128, 131) ciascuno dei quali è atto a realizzare una transizione dei segnali di ingresso -.primari della detta rete (10); mezzi di controllo (123, 127, 130a, 133) ciascuno dei- quali è attivabile in seguito al completamento della transizione effettuata da un rispettivo mezzo di forzatura ed è atto a verificare se la transizione effettuata ha realizzato, nella detta rete (10), una prefissata variazione di stato interno. 5.- Dispositivo secondo la rivendicazione 4, in cui detta rete sequenziale (10) presenta una pluralità di ingressi secondari (y0, y1, y2, y3), caratterizzato dal fatto che ciascun mezzo di controllo (123, 127, 130a, 133) è atto a verificare se la transizione effettuata dal rispettivo mezzo di forzatura ha realizzato una prefissata variazione dei segnali di ingresso secondari (Y0, Yl, Y2, Y3) presenti sui detti ingessi secondari. 6.- Dispositivo secondo la rivendicazione 4 o 5, caratterizzato dal fatto di comprendere una pluralità di mezzi di ritardo (122,126,129,132) ciascuno dei quali è interposto tra un rispettivo mezzo di forzatura ed un mezzo di controllo ed è attivabile in seguito al completamento della transizione degli ingressi primari della detta rete (10) effettuata dal detto mezzo di forzatura . 7.- Dispositivo secondo una qualsiasi delle rivendicazioni da 3 a 6, caratterizzato dal fatto, di comprendere mezzi di verifica (110) selezionabili in seguito all ' attivazione (100) del detto telecomando (1) ed atti a verificare uno stato di riposo della detta rete sequenziale (10) in cui le uscite primarie sono tutte nulle (Z0 - 0; Z1 = 0; Z2 = 0;) e contemporaneamente tutti i segnali di eccitazione presenti su seconde uscite della detta rete sequenziale (10) sono anche nulle (E0 = 0; E1 = 0; E2 0; E3 0); detti mezzi di verifica (110) essendo atti ad attivare detti primi mezzi di test (120) al rilevamento del detto stato di riposo ed essendo altresì atti a rilevare una condizione di errore (135) qualora detto stato di riposo non sia rilevato in seguito all'attivazione del detto dispositivo di telecomando. 8.- Dispositivo secondo la rivendicazione 7, caratterizzato dal fatto di comprendere mezzi di azzeramento (130) selezionabili dai detti mezzi di verifica (110) qualora detto stato di riposo non sia rilevato; detti mezzi di azzeramento (130) essendo atti -a forzare la detta rete in detto stato di riposo. 9.- Dispositivo secondo una qualsiasi, delle rivendicazioni precedenti, in cui sono previsti mezzi di pilotaggio (33, 35) del detto dispositivo fisico (Di) interposti tra la detta rete sequenziale (10) ed il dispositivo fisico stesso, caratterizzato dal fatto di comprendere secondi mezzi di test (150, 160) atti a rilavare un coretto funzionamento (159b) dei detti mezzi di pilotaggio (33,35) ed un funzionamento difettoso (155) dei mezzi di pilotaggio (33,35) stessi. 10.- Dispositivo secondo la rivendicazione 9, caratterizzato dal fatto che i detti secondi mezzi di test (150, 160) comprendono: - mezzi di controllo transizione (151, 157) atti a portare la detta rete sequenziale (10) in uno stato interno di test in cui vengono forniti segnali di uscita primari atti a portare detti mezzi di pilotaggio (33,35) in uno stato di funzionamento in cui è possibile realizzare una operazione di controllo (154, 159) dei mezzi di pilotaggio stessi (33,35) senza realizzare l'attivazione del detto dispositivo (D). 11.- Dispositivo secondo la rivendicazione 10, caratterizzato dal fatto che i detti mezzi di pilotaggio comprendono: - almeno due moduli (M1, M2) ciascuno dei quali è associato ad almeno due dispositivi fisici (D1, D2) ciascuno dei quali è relativo ad un rispettivo canale (CHI, CH2); - un dispositivo di selezione modulo (33) per la selezione di almeno.uno tra i detti almeno due moduli; - un dispositivo di selezione canale (35) per la selezione di almeno uno tra i detti almeno due canali (CH1, CH2); detti mezzi di controllo transizione (151, 157) comprendendo : - primi mezzi di controllo transizione (151) atti a portare la detta rete sequenziale (10) in un primo stato interno di test ((3)) in cui vengono forniti segnali di uscita primari atti ad attivare solamente il detto dispositivo di selezione modulo (33) rendendo possibile una operazione di controllo (153, 154) del dispositivo di selezione modulo stesso (33); e secondi mezzi di controllo transizione (157) atti a portare la detta rete sequenziale (10) in un secondo stato interno di test ((5)) in cui vengono forniti segnali di uscita primari atti ad attivare solamente detto dispositivo di selezione canale (35) rendendo possibile una operazione di controllo (158, 159) del dispositivo di selezione canale stesso (35). 12.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto di comprendere mezzi di richiesta conferma (170, 180) atti a creare (170) un messaggio di richiesta conferma (msgconf) ed atti ad inviare (180) detto messaggio di richiesta conferma , verso detta unità centrale (2); detti mezzi di richiesta conferma (170, 180) cooperando con mezzi di.,ascolto (190, 200, 210) per rilevare un messaggio di risposta (msg-risp) al detto messaggio di richiesta conferma proveniente della detta unità centrale (2); detti mezzi di ascolto (190, 200, 210) essendo atti a consentire le operazioni del detto dispositivo di telecomando qualora detto messaggio di riposta stia in una relazione prefissata con detto messaggio di richiesta conferma ed a inibire le operazioni del detto dispositivo telecomando (1) qualora detto messaggio di riposta non soddisfi la detta relazione prefissata. 13.- Dispositivo secondo la rivendicazione 12 dipendente dalla rivendicazione 9, caratterizzato del fatto che detti mezzi di mezzi di richiesta conferma (170, 180) sono selezionati qualora detti secondi mezzi di test (150) rilevino un coretto funzionamento (159b) dei detti mezzi di pilotaggio (33,35). 14.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto di comprendere mezzi di pre-attivazione (220) atti a portare la detta rete sequenziale (10) in uno stato interno di pre-attivazione {(7)); detta rete sequenziale (10) essendo atta ad effettuare una unica transizione (270) dal detto stato di pre-attivazione ((7)) al detto stato di attivazione ((8)) in seguito ad una variazione prefissata degli ingressi primari. 15.- Dispositivo secondo la rivendicazione 14, caratterizzato dal fatto che detti mezzi di preattivazione (220) sono associati ad ulteriori mezzi di richiesta conferma (240, 250) atti a inviare (240) un ulteriore messaggio di richiesta conferma verso detta unità centrale (2); detti ulteriori mezzi di richiesta conferma (240, 250) cooperando con ulteriori mezzi di ascolto (260) per rilevare un ulteriore messaggio di risposta al detto ulteriore messaggio di richiesta conferma proveniente della detta unità centrale (2); detti ulteriori mezzi di ascolto (260) essendo atti a consentire una successiva transizione della detta rete sequenziale (10) dal detto stato di preattivazione al detto stato di attivazione qualora detto ulteriore messaggio di riposta sia almeno ricevuto. 16.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che ciascuna prima uscita (z2, z1, z0) della detta rete sequenziale (10) è associata ad un rispettivo dispositivo interruttore (27, 26, 25) atto ad essere mantenuto aperto per un primo valore logico ("0") del segnale di uscita primario presente su una rispettiva prima uscita ed atto ad essere commutato in chiusura per un secondo valore logico ("1") del segnale di uscita primario presente sulla prima uscita; detta rete sequenziale producendo, in corrispondenza del suo stato interno di attivazione (8), segnali di uscita primari tutti pari al secondo valore logico ("1") per la chiusura di tutti i detti dispositivi interruttori (25, 26, 27); detta rete sequenziale producendo, in corrispondenza di uno stato interno diverso dallo stato interno di attivazione (8), almeno un segnale di uscita primario pari al primo valore logico ("0") per mantenere aperto almeno un dispositivo interruttore (25, 26, 27); detti dispositivi interruttori (25, 26, 27) cooperando con detto almeno uno dispositivo fisico (D) per rendere impossibile l'attivazione del dispositivo fisico stesso qualora almeno un detto interruttore sia aperto . 17.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto di comprendere primi mezzi ausiliari di sicurezza (12) atti a: - rilevare le transizioni di stato dei segnali di ingresso primari (X0, X1, X2); - rilevare le .transizioni di stato dei segnali di uscita primari (Z0, Z1, Z2); - considerare come accettabili le transizioni di stato dei segnali di uscita primari avvenute in seguito a transizioni di stato dei segnali di ingresso primari; rilevare una situazione di malfunzionamento della rete qualora una transizione di stato dei segnali di uscita primari (Z0, Z1, Z2) avvenga senza una precedente transizione di stato dei segnali di ingresso primari (X0, X1, X2). 18.- Dispositivo secondo la rivendicazione 17, caratterizzato dal fatto di comprendere mezzi (12) atti a provocare la disattivazione della detta unità periferica (4) con la conseguente impossibilità di attivazione del detto dispositivo (Di) in corrispondenza di una situazione di malfunzionamento della rete rilevata. 19.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto di comprendere secondi mezzi ausiliari di sicurezza (12) atti a: rilevare segnali di ingresso primari di attivazione (X2=1; X1=1; e X0=1) per cui è previsto che la detta rete sequenziale (10) sia disposta nello stato di attivazione; rilevare se in presenza di tali segnali di ingresso primari di attivazione (X2=1; X1=1; e X0=1) i segnali di ingresso secondari assumono un primo valore prefissato (Y3=1; Y2=1; Yl=1; Y0=1), corrispondente ad uno stato di attivazione instabile della rete (8), oppure un secondo valore prefissato (Y3=0; Y2=1; Y11l; Y0=1), corrispondente ad allo stato di attivazione stabile della rete ((8)); e rilevare una situazione di errore fatale qualora, in corrispondenza di tali segnali di ingresso primari di attivazione rilevati, vengano rilevati segnali di ingresso secondari aventi valore diverso dal primo valore prefissato e dal secondo valore prefissato. 20.- Dispositivo secondo la rivendicazione 19, caratterizzato dal fatto di comprendere mezzi (12) atti a provocare la disattivazione della detta unità periferica (4) con la conseguente impossibilità di attivazione del detto dispositivo (Di) in corrispondenza del detto errore fatale rilevato. 21.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto di comprendere terzi mezzi ausiliari di sicurezza (12) atti a: rilevare segnali di uscita primari di attivazione (Z2=1; ..Z1=1; 20=1) per cui è comandata l'attivazione del dispositivo (Di); rilevare se in presenza di tali segnali di uscita primari di attivazione (Z2=1; Z1=1; Z0=1) i segnali di ingresso primari assumono un valore prefissato previsto per l'attivazione (X2=1; X1=1; X0=1); e - rilevare una situazione di errore qualora, in corrispondenza di tali segnali di uscita primari di attivazione rilevati, vengano rilevati segnali di ingresso primari aventi valore diverso dal valore prefissato previsto per l'attivazione. 22.- Dispositivo secondo la rivendicazione 21, caratterizzato dal fatto di comprendere mezzi (12) atti a provocare la disattivazione del comando al detto dispositivo (Di) in corrispondenza del detto errore rilevato . 23.- Dispositivo secondo una qualsiasi delle rivendicazioni precedenti, caratterizzato dal fatto che la detta rete sequenziale (10) comprende una porzione strettamente sequenziale (10a) ed una porzione combinatoria (10b) che coopera con la porzione sequenziale (10a). 24.- Dispositivo secondo la rivendicazione 23, caratterizzato dal fatto che la detta porzione sequenziale (IOa) presenta: - primi ingressi (x2, x1, x0) sui quali sono presenti i d,etti segnali di ingresso primari (X2, XI, XO) provenienti dalla detta unità locale di elaborazione (12); ed - una pluralità di seconde uscite (e0, e1, e2, e3) su cui sono presenti rispettivi di segnali di uscita secondari (E0, E1, E2, E3) trasferiti, mediante anelli di reazione (13), verso rispettivi secondi ingressi della detta porzione sequenziale (10a) sui quali sono presenti segnali di ingresso secondari (Y0, Y1, Y2, Y3); le dette seconde uscite (e0, e1, e2, e3) della detta porzione sequenziale (10a) comunicando con ingressi della porzione combinatoria (10b) per alimentare i segnali di uscita secondari (E0, E1, E2, E3) all'ingresso della porzione combinatoria (10b) che alimenta in uscita i detti segnali di uscita primari (Z2, Z1, Z0). 25.- Dispositivo secondo la rivendicazione 24, caratterizzato dal fatto che la detta porzione combinatoria (10b) comprende una pluralità di relais a guide forzate ciascuno dei quali comprende una pluralità di contatti mobili meccanicamente collegati tra di loro. 26.- Metodo di telecomando in cui una unità centrale (2) comunica con almeno una unità periferica (4 ) ; detta ...unità periferica (4) essendo atta a controllare (33,35) almeno un dispositivo fisico (Di), caratterizzato dal fatto di comprendere le seguenti fasi: - alimentare (12) a primi ingressi (x0, x1, x2) di una rete sequenziale (10) segnali di ingresso primari (X2, X1, X0); - prelevare su prime uscite (z0, z1, z2) della detta rete sequenziale segnali di uscita primari (Z2, Z1, Z0) per il controllo (33,35) del detto dispositivo (Di); detta rete sequenziale (10) essendo atta a disporsi, in risposta ad una prefissata sequenza di segnali di ingresso primari (X2, X1, X0), in uno stato interno di attivazione ((8)) in corrispondenza del quale vengono generati segnali di uscita primari (Z2, Z1, Z0) per l'attivazione (33,35) del detto dispositivo (Di). 27.- Metodo secondo la rivendicazione 26, caratterizzato dal fatto che la detta rete sequenziale è atta a disporsi, in risposta ad una sequenza di segnali di ingresso primari (X2, X1, X0) diversa dallaz detta sequenza prefissata, in uno stato interno in corrispondenza del quale i segnali di uscita primari (Z2, Z1, Z0) rendono impossibile l'attivazione (33,35) del detto dispositivo (Di). 28.- Metodo secondo la rivendicazione 26 o 27, caratterizzato dal fatto di comprendere una fase di test (120,140) per a rilevare un corretto funzionamento (134) della detta rete sequenziale (10) ed un funzionamento difettoso (125) della rete sequenziale (10) stessa. 29.- Metodo secondo la rivendicazione 28, caratterizzato dal fatto che detta fase di test (120, 140) comprende le fasi di: - forzare una transizione (121, 124, 128, 131) dei segnali di ingresso primari della detta rete (10); - verificare (123, 127, 130a, 133), in seguito al completamento della detta transizione, se la transizione effettuata ha realizzato, nella detta rete (10), una prefissata variazione di stato interno. 30.- Metodo secondo la rivendicazione 29, in cui detta rete sequenziale (10) presenta una pluralità di ingressi secondari (y0, y1, y2, y3), caratterizzato dal fatto che durante detta fase di verifica (123, 127, 130a, 133) viene controllato se la transizione effettuata ha realizzato una prefissata variazione dei segnali di ingresso secondari (Y0, Y1, Y2, Y3) presenti sui detti ingessi secondari. 31.- Metodo secondo la rivendicazione 29 o 30, caratterizzatp dal fatto di comprendere una pluralità di fasi di ritardo (122,126,129,132) ciascuna delle quali è svolta tra una rispettiva fase di forzatura ed una fase di verifica. 32.- Metodo secondo una qualsiasi delle rivendicazioni da 28 a 31, caratterizzato dal fatto di comprendere una fase di iniziale controllo riposo (110) per riconoscere uno stato di riposo della detta rete sequenziale (10) in cui le uscite primarie sono tutte nulle (Z0 = 0; Z1 = 0; Z2 = 0;) e contemporaneamente tutte i segnali di eccitazione presenti su seconde uscite della detta rete sequenziale (10) sono anche nulli (E0 = 0; E1 = 0; E2 = 0; E3 = 0); detta fase di test (120) essendo svolta qualora detta fase di controllo riposo (110) rilevi detto stato di riposo; detto metodo comprendendo inoltre la fase di rilevare una condizione di errore (135) qualora detto stato di riposo non sia rilevato. 33.- Metodo secondo la rivendicazione 32, caratterizzato dal fatto di comprendere la fase di forzare la detta rete in detto stato di riposo qualora detto stato di riposo non sia rilevato. 34.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 33, in cui sono previsti mezzi di pilotaggio (33, 35) del detto dispositivo fisico (Di) interposti tra la detta rete sequenziale (10) ed il dispositivo fisico stesso, caratterizzato dal fatto di comprendere una seconda fase di test (150, 160) per rilevare un coretto funzionamento (159b) dei detti mezzi di pilotaggio (33,35) ed un funzionamento difettoso (155) dei mezzi di pilotaggio (33,35) stessi. 35.- Metodo secondo la rivendicazione 34, caratterizzato dal fatto che detta seconda fase di test (150, 160) comprende la fase di portare (151, 157) la detta rete sequenziale (10) in uno stato interno di test in cui vengono forniti segnali di uscita primari atti a portare detti mezzi di pilotaggio (33,35) in uno stato di funzionamento in cui è possibile realizzare una operazione di controllo (154, 159) dei mezzi di pilotaggio stessi (33,35) senza realizzare l'attivazione del detto dispositivo (D). 36.- Metodo secondo la rivendicazione 35, caratterizzato dal fatto che i detti mezzi di pilotaggio comprendono: - almeno due moduli (M1, M2) ciascuno dei quali è associato ad almeno due dispositivi fisici (D1, D2) ciascuno dei quali è relativo ad un rispettivo canale (CH1, CH2); - un dispositivo di selezione modulo (33) per la selezione di almeno uno tra i detti almeno due moduli; - un dispositivo di selezione canale (35) per la selezione di almeno uno tra i detti almeno due canali (CH1, CH2); detto metodo comprendendo le fasi di: - portare (151) la detta rete sequenziale (10) in un primo stato interno di test ((3)) in cui vengono forniti segnali di uscita primari atti ad attivare solamente il detto dispositivo di selezione modulo (33) rendendo possibile una operazione di controllo (153, 154) del dispositivo di selezione modulo stesso (33); e - portare (157) la detta rete sequenziale (10) in un secondo stato interno di test ((5)) in cui vengono forniti segnali di uscita primari atti ad attivare solamente detto dispositivo di selezione canale (35) rendendo possibile una operazione di controllo (158, 159) del dispositivo di selezione canale stesso (35). 37.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 36, caratterizzato dal fatto di comprendere una fase di richiesta conferma (170, 180) per creare (170) un messaggio di richiesta conferma (msg-conf) inviato (180) verso detta unità centrale (2); detto metodo comprendendo una fase di ascolto (190, 200, 210) per rilevare un messaggio di risposta (msg-risp) al detto messaggio di richiesta conferma proveniente della detta unità centrale (2); detta fase di ascolto (190, 200, 210) essendo atta a consentire le operazioni di telecomando qualora detto messaggio di riposta stia in una relazione prefissata con detto messaggio di richiesta conferma ed a inibire le operazioni di telecomando (1) qualora detto messaggio di riposta non soddisfi la detta relazione prefissata. 38.- metodo secondo una qualsiasi delle rivendicazioni da 26 a 37, caratterizzato dal fatto di comprendere una fase di pre-attivazione (220) per portare la detta rete sequenziale (10) in uno stato interno di pre-attivazione ((7)); detta rete sequenziale (10) essendo atta ad effettuare una unica transizione (270) dal detto stato di pre-attivazione ((7)) al detto stato di attivazione ((8)) in seguito ad una variazione prefissata degli ingressi primari. 39.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 38, caratterizzato dal fatto che ciascuna prima uscita (z2, zi, zO) della detta rete sequenziale (10) è associata ad un rispettivo dispositivo interruttore (27, 26, 25) atto ad essere mantenuto aperto per un primo valore logico ("0") del segnale di uscita primario presente su una rispettiva prima uscita ed atto ad essere commutato in chiusura per un secondo valore logico ("1") del segnale di uscita primario presente sulla prima uscita; detta rete sequenziale producendo, in corrispondenza del suo stato interno di attivazione (8), segnali di uscita primari tutti pari al secondo valore logico ("1") per la chiusura di tutti i detti dispositivi interruttori (25, 26, 27); detta rete sequenziale producendo, m corrispondenza di uno stato interno diverso dallo stato interno di attivazione (8), almeno un segnale di uscita primario pari al primo valore logico ("0") per mantenere aperto almeno un dispositivo interruttore (25, 26, 27); detti dispositivi interruttori (25, 26, 27) cooperando con detto almeno uno dispositivo fisico (D) per rendere impossibile l'attivazione del dispositivo fisico stesso qualora almeno un detto interruttore sia aperto . 40.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 39, caratterizzato dal fatto di comprendere una prima fase di sicurezza (12) comprendente le sottofasi di: - rilevare le transizioni di stato dei segnali di ingresso primari (X0, X1, X2); - rilevare le transizioni di stato dei segnali di uscita primari (Z0, Z1, Z2); - considerare come accettabili le transizioni di stato dei segnali di uscita primari avvenute in seguito a transizioni di stato dei segnali di ingresso primari; rilevare una situazione di malfunzionamento della rete qualora una transizione di stato dei segnali di uscita primari (Z0, Z1, Z2) avvenga senza una precedente transizione di stato dei segnali di ingresso primari (X0, X1, X2). 41.- Metodo secondo la rivendicazione 40, caratterizzato dal fatto di comprendere la fase di provocare la disattivazione della detta unità periferica (4) con la conseguente impossibilità di attivazione del detto dispositivo (Di) in corrispondenza di una situazione di malfunzionamento della rete rilevata. 42.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 41, caratterizzato dal fatto di comprendere una seconda fase di sicurezza (12) comprendente le sotto fasi di: rilevare segnali di ingresso primari di attivazione (X2=1; X1=1; e X0=1) per cui è previsto che la detta rete sequenziale (10) si porti nello stato di attivazione; rilevare se in presenza di tali segnali di ingresso primari di attivazione (X2=1; X1=1; e X0=1) i segnali di ingresso secondari assumono un primo valore prefissato (Y3=1; Y2=1; Y1=1; Y0=1), corrispondente ad uno stato di attivazione instabile della rete (8), oppure un secondo valore prefissato (Y3=0; Y2=1; Y1=1; Y0=1), corrispondente ad allo stato di attivazione stabile della rete ((8)); e rilevare una situazione di errore fatale qualora, in corrispondenza di tali segnali di ingresso primari di attivazione rilevati, vengano rilevati segnali di ingresso secondari aventi valore diverso dal primo valore prefissato e dal secondo valore prefissato . 43.- Metodo secondo la rivendicazione 42, caratterizzato dal fatto di comprendere una fase di disattivazione della detta unità periferica (4) con la conseguente impossibilità di attivazione del detto dispositivo (Di) qualora detto errore fatale sia rilevato . 44.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 43, caratterizzato dal fatto di comprendere una terza fase di sicurezza (12) comprendente le sotto fasi di: rilevare ..segnali di uscita primari di attivazione (Z2=1; Z1=1; Z0=1) per cui è comandata l'attivazione.,del dispositivo (Di); - rilevare se in presenza di tali segnali di uscita primari di attivazione (Z2=1; z1=1; Z0=1) i segnali di ingresso primari assumono un valore prefissato previsto per l'attivazione (X2=1; X1=1; X0=1); e - rilevare una situazione di errore qualora, in corrispondenza di tali segnali di uscita di attivazione rilevati, vengano rilevati segnali di ingresso primari aventi valore diverso dal valore per cui è comandato l'attivazione . 45.- Metodo secondo la rivendicazione 44, caratterizzato dal fatto di comprendere la fase di provocare la disattivazione del comando al detto dispositivo (Di) qualora detto errore sia rilevato. 46.- Metodo secondo una qualsiasi delle rivendicazioni da 26 a 45, caratterizzato dal fatto che la detta rete sequenziale (10) comprende una porzione strettamente sequenziale (10a) ed una porzione combinatoria (10b) che coopera con la porzione sequenziale (10a). 47.- Dispositivo e metodo di telecomando sostanzialmente come descritti ed illustrati con riferimento alle figure allegate.
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT1998TO000696A IT1303240B1 (it) | 1998-08-07 | 1998-08-07 | Dispositivo e metodo di telecomando. |
| ES99115356T ES2230775T3 (es) | 1998-08-07 | 1999-08-03 | Dispositivo y metodo de telecontrol. |
| AT99115356T ATE280401T1 (de) | 1998-08-07 | 1999-08-03 | Vorrichtung und verfahren zur fernsteuerung |
| EP99115356A EP0978771B1 (en) | 1998-08-07 | 1999-08-03 | Telecontrol device and method |
| DE69921246T DE69921246T2 (de) | 1998-08-07 | 1999-08-03 | Vorrichtung und Verfahren zur Fernsteuerung |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IT1998TO000696A IT1303240B1 (it) | 1998-08-07 | 1998-08-07 | Dispositivo e metodo di telecomando. |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| ITTO980696A0 ITTO980696A0 (it) | 1998-08-07 |
| ITTO980696A1 true ITTO980696A1 (it) | 2000-02-07 |
| IT1303240B1 IT1303240B1 (it) | 2000-11-02 |
Family
ID=11416986
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| IT1998TO000696A IT1303240B1 (it) | 1998-08-07 | 1998-08-07 | Dispositivo e metodo di telecomando. |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP0978771B1 (it) |
| AT (1) | ATE280401T1 (it) |
| DE (1) | DE69921246T2 (it) |
| ES (1) | ES2230775T3 (it) |
| IT (1) | IT1303240B1 (it) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8849427B2 (en) | 2011-05-23 | 2014-09-30 | Rockwell Automation Technologies, Inc. | Jog push button |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4560936A (en) * | 1984-12-24 | 1985-12-24 | Westinghouse Electric Corp. | Programmable controller system with failure indicator |
| US4747048A (en) * | 1986-03-21 | 1988-05-24 | Hewlett-Packard Company | Method and apparatus for preventing performance of a critical operation unless selected control conditions are satisfied |
| JPH03260739A (ja) * | 1990-03-09 | 1991-11-20 | Advantest Corp | 順序動作型論理回路 |
| DE4343191C2 (de) * | 1993-12-17 | 1996-04-25 | Dorma Gmbh & Co Kg | Automatische Tür |
| US5485620A (en) * | 1994-02-25 | 1996-01-16 | Automation System And Products, Inc. | Integrated control system for industrial automation applications |
| JP3197785B2 (ja) * | 1995-05-15 | 2001-08-13 | 三洋電機株式会社 | 遠隔管理システム |
| JP3447432B2 (ja) * | 1995-06-07 | 2003-09-16 | 三菱電機株式会社 | ネットワークデータサーバ装置およびプログラマブルロジックコントローラシステム |
| CN1196129A (zh) * | 1995-09-19 | 1998-10-14 | 西门子公司 | 控制和调整塑料工业的机器和设备的自动化系统 |
| JP3200565B2 (ja) * | 1996-12-10 | 2001-08-20 | 松下電器産業株式会社 | マイクロプロセッサおよびその検査方法 |
-
1998
- 1998-08-07 IT IT1998TO000696A patent/IT1303240B1/it active IP Right Grant
-
1999
- 1999-08-03 ES ES99115356T patent/ES2230775T3/es not_active Expired - Lifetime
- 1999-08-03 AT AT99115356T patent/ATE280401T1/de not_active IP Right Cessation
- 1999-08-03 DE DE69921246T patent/DE69921246T2/de not_active Expired - Lifetime
- 1999-08-03 EP EP99115356A patent/EP0978771B1/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| DE69921246D1 (de) | 2004-11-25 |
| IT1303240B1 (it) | 2000-11-02 |
| EP0978771A2 (en) | 2000-02-09 |
| ATE280401T1 (de) | 2004-11-15 |
| DE69921246T2 (de) | 2005-10-27 |
| EP0978771B1 (en) | 2004-10-20 |
| ITTO980696A0 (it) | 1998-08-07 |
| EP0978771A3 (en) | 2001-03-07 |
| ES2230775T3 (es) | 2005-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7672109B2 (en) | Safety switching apparatus for safe disconnection of an electrical load | |
| JP4729561B2 (ja) | 安全回路及びそれに適用される安全スイッチ | |
| JP4903779B2 (ja) | 電気負荷部の安全な切断用の安全スイッチング装置 | |
| US6957115B1 (en) | Security-related bus automation system | |
| CN108877974B (zh) | 原子能发电站数字保护系统 | |
| US4270715A (en) | Railway control signal interlocking systems | |
| KR101270288B1 (ko) | 무대기기 제어 시스템 | |
| KR20010089261A (ko) | 엔지니어링 안전 특성 구성 요소 제어 시스템 및 그 구현방법 | |
| US20090091330A1 (en) | Device and method for actuator monitoring of a safety-related load circuit connected with two channels | |
| US20040078715A1 (en) | Peripheral component with high error protection for stored programmable controls | |
| US11814088B2 (en) | Vehicle host interface module (vHIM) based braking solutions | |
| US5613064A (en) | Output network for a fault tolerant control system | |
| US10386832B2 (en) | Redundant control system for an actuator and method for redundant control thereof | |
| CN109565250B (zh) | 软启动器、运行方法和开关系统 | |
| ITTO980696A1 (it) | Dispositivo e metodo di telecomando. | |
| CN109947078A (zh) | 故障注入单元及其板卡、实时故障注入方法、装置和设备 | |
| KR20020058084A (ko) | 통전-작동형 공학적 안전 설비 작동 시스템 및 이를 위한테스팅 방법 | |
| US11409255B2 (en) | Output control apparatus | |
| WO2019006546A1 (en) | VALVE BENCH COMMUNICATION MODULE WITH SECURITY INPUT / OUTPUT | |
| EP2885866B1 (en) | Improved diagnostics for multi-level medium voltage drive using mechanical bypass | |
| US10937283B2 (en) | Switching device for selectively switching an electrical load, in particular for shutting down a dangerous machine installation | |
| JP7135211B2 (ja) | 車載制御装置 | |
| JPWO2016042803A1 (ja) | 開閉器 | |
| JP6885559B2 (ja) | リレーのセルフチェックを行う制御装置 | |
| JP2017220842A (ja) | 二重化切替システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 0001 | Granted |