Архитектура 1oo1D - "горячее" резервирование

Рис. 3.9

В эту архитектуру добавлен дополнительный электронный ключ, управляемый диагностическими цепями управляющих модулей.
В качестве средства диагностики каждого канала выступает обычный сторожевой таймер. Ключ периодически переключается в соседнее положение - так подтверждается функциональность резервного канала.
Дополнительно может использоваться сравнение процессоров. Если на момент переключения резервный канал оказывается неработоспособен, то и вся система считается неспособной к выполнению функций защиты.
В случае какого-либо отклонения от штатной работы питание с выходных цепей снимается, и происходит незапланированный останов процесса.

Все без исключения модификации систем с архитектурой 1oo1D включая и последнюю, аттестуются по RC4 и SIL2.

Social

  • Twitter
  • Facebook