Архитектура 1oo1D - "горячее" резервирование
Рис. 3.9
В эту архитектуру добавлен дополнительный электронный ключ, управляемый диагностическими цепями управляющих модулей.
В качестве средства диагностики каждого канала выступает обычный сторожевой таймер. Ключ периодически переключается в соседнее положение - так подтверждается функциональность резервного канала.
Дополнительно может использоваться сравнение процессоров. Если на момент переключения резервный канал оказывается неработоспособен, то и вся система считается неспособной к выполнению функций защиты.
В случае какого-либо отклонения от штатной работы питание с выходных цепей снимается, и происходит незапланированный останов процесса.
Все без исключения модификации систем с архитектурой 1oo1D включая и последнюю, аттестуются по RC4 и SIL2.