Архитектура 2оо2 

Архитектура 2оо2

Рис. 3.10

Следует обратить внимание на то обстоятельство, что наличие диагностических цепей и межпроцессорного взаимодействия не превращает архитектуру 2оо2 в архитектуру 2oo2D, поскольку данное обстоятельство только повышает уровень самодиагностики, но никак не меняет принцип действия системы. Именно по этой причине архитектуру 1oo1D часто не выделяют особо из семейства 1oo1, и если это не вызывает недоразумений, помечают просто как систему 1oo1. Вот что просто, доходчиво, русским языком по-английски говорит об архитектуре 2оо2 стандарт IEC 61508 (Part 6, Annex В, пункт В.2.2.3, стр. 55):

"This architecture consists of two channels connected in parallel so that both channels need to demand the safety function before it can take place. It is assumed that any diagnostic testing would only report the faults found and would not change any output states or change the output voting".

"Эта архитектура состоит из двух каналов, соединенных параллельно, так что оба канала должны выполнить функцию безопасности, чтобы она смогла иметь место. Предполагается, что любое диагностическое тестирование будет только извещать об обнаруженных сбоях и не будет изменять состояния выходов или изменять выходное голосование".

Чтобы произвести аварийный останов, оба канала должны дать команду на аварийный останов. Для того чтобы произошел ложный останов, оба канала должны осуществить ложный останов одновременно. Чтобы произошел опасный отказ - несрабатывание в нужный момент, - достаточно, чтобы отказал любой из каналов.

Соответственно, вероятность опасного отказа системы 2оо2 в два раза выше, чем у системы 1oo1.

По этой причине в чистом виде системы 2оо2 для защиты технологических объектов не применяются. Однако, как мы увидим далее при рассмотрении архитектуры 1oo2D, резкое снижение вероятности ложных остановов архитектуры 2оо2 использовано в архитектуре 1oo2D остроумным сочетанием преимуществ систем 1оо2 и 2оо2.

Все системы с архитектурой 2оо2 аттестуются по классу RC4 и уровню SIL2.

Важно понимать, что количество процессоров на одном управляющем модуле никак не может изменить архитектуру системы. В представленной ниже схеме (рис. 3.11) на каждом управляющем модуле РЕ А и РЕ В размещено по два процессора, - PSU А1 и PSU А2, PSU В1 и PSU В2. Кроме того, добавлены диагностические цепи и межпроцессорное взаимодействие, однако архитектура системы остается неизменной -2оо2.

Источник информации рис. 3.11:
"Comparison of Programmable Electronic Safety-Related System Architectures", 10 January, 2003. Anton A. Frederickson, Dr. Independent Consultant, Member of Safety Users Group Network. Авторская графика намеренно сохранена в неприкосновенности.

Рис. 3.11