Table des Matières
Publicité
Chapitre 5 : Références
Sécurités et détection de défaillances
Sécurités du matériel
Les sécurités principales du matériel comprennent le circuit de l'horloge de
surveillance, les circuits d'entraînement et de l'horloge de surveillance du
moteur et le circuit détecteur de tension. Chaque circuit de sécurité remplit
une tâche spécifique pour assurer la sécurité d'ensemble du dispositif.
Circuit de l'horloge de surveillance
Le microprocesseur doit envoyer un signal approprié au circuit de
l'horloge de surveillance au moins une fois par seconde. Si ce n'est pas
le cas, le circuit de l'horloge de surveillance s'arrête au bout d'un certain
temps et arrête le contrôleur de la pompe.
Le circuit de l'horloge de surveillance sert à surveiller l'état du
microprocesseur, à désactiver le moteur et à déclencher l'alarme sonore si
le microprocesseur ne fonctionne pas correctement. Le microprocesseur
doit échantillonner le circuit de l'horloge de surveillance au moins
une fois toutes les secondes afin d'empêcher que l'horloge n'exécute
sa fonction de remise à zéro. La sortie de remise à zéro du circuit de
l'horloge de surveillance est une sortie pulsée. Elle sert à faire démarrer
brusquement le microprocesseur. Cette fonction originale permet au
microprocesseur de tester le circuit de l'horloge de surveillance à chaque
mise sous tension.
En définissant un indicateur en mémoire et en n'échantillonnant pas
l'horloge de surveillance, le microprocesseur peut forcer la désacti va -
tion de l'horloge. Après une remise à zéro, le microprocesseur vérifie
l'indicateur d'état pour voir s'il s'agissait d'un test de désacti vation. Dans
ce cas, le microprocesseur continue normalement ses activités de mise
sous tension. Si la remise à zéro s'est produite lorsque le microprocesseur
ne s'y attendait pas, le microprocesseur « piège » évènement, déclenche
l'alarme sonore et affiche un message d'erreur sur l'écran.
Circuit d'entraînement/de l'horloge de surveillance du moteur
Le circuit d'entraînement du moteur se compose d'une série de
transistors de puissance à effet de champ, de composants passifs et de
2 comparateurs de tension. Une minuterie avec capacité et résistance,
intégrée au circuit d'entraînement du moteur, mesure la durée de
fonctionnement du moteur à chaque mise sous tension. Si le moteur
tourne pendant plus de 3 secondes en moyenne, le circuit atteint son
72
délai de désactivation et arrête le moteur. L'originalité de ce circuit
tient à ce que des lignes de commandes vers et depuis le circuit du
microprocesseur permettent à ce dernier d'effectuer un test fonctionnel
complet du circuit d'entraînement sans faire marcher le moteur. Le
microprocesseur effectue ce test à des intervalles de quelques minutes
pour assurer sa fonctionnalité continue. Une entrée du circuit de
l'horloge de surveillance empêche le fonctionnement du moteur si
l'horloge arrive à expiration. Le logiciel vérifie cette fonction durant le
test de l'horloge de surveillance décrit ci-dessus.
Circuit du détecteur de tension
La détection de basse tension est assurée par une partie du circuit de
l'horloge de surveillance et par le microprocesseur via le logiciel. Trois
niveaux de basse tension sont détectés. Les 2 premiers niveaux sont
détectés par le logiciel et le troisième par le matériel. Le premier niveau
à atteindre est le seuil d'avertissement de Pile faible, qui se produit
lorsque la tension de la pile chute à une valeur nominale de 2,4 V avec
le moteur à l'arrêt ou 1,8 V avec le moteur en marche. Un convertisseur
analogique-numérique (ADC) intégré au microprocesseur permet à ce
dernier, par l'intermédiaire du logiciel, de surveiller la tension des piles.
Au seuil d'avertissement de Pile faible, le microprocesseur déclenche une
série périodique de bips sonores et affiche un message d'avertissement
de Pile faible sur l'écran à cristaux liquides. Tandis que la tension
des piles atteint une valeur nominale de 4,75 V, le logiciel désactive
la perfusion, envoie un message de Pile déchargée sur l'affichage et
déclenche une alarme sonore continue à deux tonalités. Lorsque la
tension des piles chute à une valeur nominale de 1,0 V, un circuit de
réarmement du matériel se déclenche et réarme le microprocesseur.
Ainsi, tout fonctionnement ambigu du microprocesseur est évité, lorsque
la tension des piles continue de chuter. Le réarmement du matériel
continue jusqu'au déchargement complet des piles ou de son retrait. Une
fois que le contrôleur de la pompe s'arrête du fait d'une pile faible, seul le
remplacement de la pile usagée par une pile neuve peut corriger cet état.
Chapitre 5 : Références
73
Publicité
Table des Matières
