В этом примере показано, как модель sf_aircraft использует диаграмму Mode Logic обнаружение неисправностей системы и восстановление из режимов отказов системы управления элеватором самолета. Дополнительные сведения об этой модели см. в разделе Обнаружение неисправностей в системе управления самолетным лифтом.
В системе имеется два лифта, каждый с внешним и внутренним приводом. Actuators состояние имеет соответствующее подсостояние для каждого из четырех исполнительных механизмов. Исполнительный механизм имеет пять режимов: Passive, Active, Standby, Off, и Isolated. По умолчанию внешние приводы включены, а внутренние находятся в резерве. Если во внешних приводах обнаружена неисправность, система реагирует на поддержание стабильности, выключая внешние приводы и активируя внутренние приводы.
Каждый исполнительный механизм содержит Off состояние и Isolated состояние. Когда логика обнаружения отказа в одной из таблиц истинности обнаруживает отказ, она передает событие в широковещательном режиме go_off или go_isolated к отказавшему приводу. Дополнительные сведения см. в разделе Сопоставление условий отказа с действиями с помощью таблиц истинности.
go_off событие предписывает отказавшему исполнительному механизму перейти к Off состояние до разрешения условия. Событие go_isolated приводит к переходу неисправного исполнительного механизма в Isolated. Переходы в Isolated состояние из сверхгосударства L1, который содержит все остальные режимы работы. В этом состоянии отсутствуют исходящие переходы, так что после входа исполнительного механизма Isolated он остается там. Прерывистые отказы, которые приводят к отказу привода 5 или более раз, также приводят к переходу на Isolated. Переменная fails регистрирует количество отказов для исполнительного механизма, увеличивая каждый раз, когда происходит переход из Off.
Переходы в подстанциях для каждого привода учитывают требования к восстановлению лифтовой системы. Эти требования вытекают из правил симметрии и безопасности лифтов, таких как:
Одновременно должен быть активен только один привод лифта.
Внешние исполнительные механизмы имеют приоритет над внутренними исполнительными механизмами.
По возможности, активность привода должна быть симметричной.
Переключение между исполнительными механизмами должно быть сведено к минимуму.
Например, одно требование системы состоит в том, что если один внешний исполнительный механизм выходит из строя, то другой внешний исполнительный механизм должен перейти в режим ожидания, а внутренние исполнительные механизмы принять на себя управление. Следовательно, происходит переход от каждого Active состояние для Standbyи наоборот.
Для внутреннего левого привода (LI ), переход к Active внутри L1 сверхгосударство условно основано на [!LO_act()|RI_act()]. Это приводит к включению левого внутреннего привода (LO) отказал или правый внутренний привод (RI) включен.
Другое последствие, если LO выходит из строя и выходит из Active - переход, происходящий в правом внешнем приводе (RO). RO переходы состояний внутри L1 сверхгосударство из Active кому Standby. Это удовлетворяет требованиям, предъявляемым к работе внешних и внутренних приводов в симметрии.