Архитектура 1оо2

Важно понимать разницу между системами 1оо2 и 1oo2D.
Чтобы сразу внести определенность, приведем схему системы 1оо2 (рис. 3.12), которая часто помечается как система с архитектурой 1oo2D, однако таковой не является.
В очередной раз необходимо обратить внимание, что, несмотря на то, что в представленной на рис. 3.12 схеме на каждом управляющем модуле РЕ А и РЕ В размещено по два процессора - PSU А1 и PSU А2, PSU В1 и PSU В2, и, кроме того, добавлены диагностические цепи и межпроцессорное взаимодействие, -

Архитектура системы остается неизменной - 1оо2.

Несмотря на то, что система имеет по два процессора и сторожевой таймер на каждом из двух управляющих модулей, а также может осуществлять межпроцессорное взаимодействие, тем не менее, эта схема классифицируется как система с архитектурой 1оо2.

Вот что простым и доходчивым русским языком, по-английски говорит об архитектуре 1оо2 стандарт IEC 61508 (Part 6, Annex В, пункт В.2.2.2, стр. 53):

"This architecture consists of two channels connected in parallel, such that either channel can process the safety Junction. Thus there would have to be a dangerous failure in both channels before a safety function failed on demand. It is assumed that any diagnostic testing would only report the faults found and would not change any output states or change the output voting". И означает это буквально следующее:

"Архитектура состоит из двух каналов, соединенных параллельно, так что любой из каналов может обработать функцию безопасности. Таким образом, должен произойти опасный отказ в обоих каналах, чтобы система не смогла осуществить функцию защиты. Предполагается, что любое диагностическое тестирование будет только извещать об обнаруженных сбоях, и не будет изменять состояния выходов, или изменять выходное голосование".

Таким образом, ни количество процессоров на одном управляющем модуле, ни наличие диагностических цепей, ни межпроцессорное взаимодействие НЕ ЯВЛЯЕТСЯ отличительным признаком системы 1oo2D, и не переводит автоматически систему 1оо2 в систему 1oo2D: В случае отказа любого из каналов питание с выходных реле снимается, и процесс останавливается. Поэтому все без исключения модификации систем с архитектурой 1оо2 аттестуются по RC4 и SIL2.

Наша цель состоит в том, чтобы построить такую архитектуру, которая позволяла бы блокировать ошибочные действия соседнего канала, и давала бы возможность производить восстановление исходной конфигурации системы в реальном времени. Для превращения архитектуры 1оо2 в архитектуру 1oo2D должна измениться логика управления выходом системы. Для архитектуры 1oo2D в случае отказа одного из каналов должен быть выбор:

1. Осуществить восстановление системы в течение предопределенного интервала времени, или
2. Произвести программно-управляемый останов.

В конце концов, было найдено решение, которое позволяет сочетать устойчивость архитектуры 2оо2 по отношению к ложным остановам, и устойчивость архитектуры 1оо2 по отношению к опасным отказам (несрабатыванию в нужный момент). Решение проблемы состоит в той специфической организации взаимодействия управляющих, входных, выходных модулей, и, главное, диагностических цепей обоих каналов, которая получила название четырехполюсной архитектуры 1oo2D. Несколько позже будет представлена система с архитектурой 2ооЗ, для которой в случае отказа одного из трех управляющих модулей также существует возможность восстановления в реальном времени. А теперь - 1oo2D.