Produkte

Produktübersicht des Trusted TMR-Prozessors

Der Trusted®-Prozessor ist die zentrale Verarbeitungskomponente eines Trusted Systems. Es handelt sich um ein leistungsstarkes, benutzerkonfigurierbares Modul, das umfassende Systemsteuerungs- und Überwachungsfunktionen bietet und Ein- und Ausgabedaten verschiedener analoger und digitaler E/A-Module über einen Trusted TMR Inter-Module Communications Bus verarbeitet. Die Anwendungsbereiche des Trusted TMR-Prozessors variieren je nach Integritätsstufe und umfassen Brand- und Gaskontrolle, Notabschaltung, Überwachung und Steuerung sowie Turbinensteuerung.

Merkmale:

• Dreifach modular redundant (TMR), fehlertoleranter (3-2-0) Betrieb. • Hardwareimplementierte fehlertolerante (HIFT) Architektur. • Spezielle Hardware- und Software-Testverfahren für sehr schnelle Fehlererkennung und Reaktionszeiten. • Automatische Fehlerbehandlung ohne Fehlalarme. • Fehlerhistorie mit Zeitstempel. • Hot-Replacement (kein erneutes Laden von Programmen erforderlich). • Vollständige Palette an IEC 61131-3-Programmiersprachen. • Anzeigen auf der Vorderseite zeigen Funktionstüchtigkeit und Status des Moduls an. • Serieller RS232-Diagnoseanschluss auf der Vorderseite für Systemüberwachung, Konfiguration und Programmierung. • IRIG-B002- und 122-Zeitsynchronisationssignale (nur bei T8110B verfügbar). • Fehler- und Ausfallkontakte für aktiven und Standby-Prozessor. • Zwei konfigurierbare 2- oder 4-adrige RS422/485-Anschlüsse (nur bei T8110B verfügbar). • Ein 2-adriger RS485-Anschluss (nur bei T8110B verfügbar). • TÜV-zertifiziert nach IEC 61508 SIL 3.

1.1. Übersicht

Der Trusted TMR-Prozessor ist ein fehlertolerantes Design, das auf einer dreifach modularen Redundanzarchitektur (TMR) basiert und im Lock-Step-Betrieb arbeitet. Abbildung 1 zeigt vereinfacht die Grundstruktur des Trusted TMR-Prozessormoduls. Das Modul enthält drei Prozessor-Fehlerbegrenzungsbereiche (FCR), die jeweils einen Prozessor der Motorola Power PC-Serie und den zugehörigen Speicher (EPROM, DRAM, Flash-ROM und NVRAM), speicherabgebildete E/A, Voter- und Verbindungslogikschaltungen enthalten. Jeder Prozessor-FCR verfügt über zwei von drei (2oo3) Lesezugriffe auf die Speichersysteme der anderen beiden Prozessoren, um divergierende Vorgänge zu vermeiden. Die drei Prozessoren des Moduls speichern und führen das Anwendungsprogramm aus, scannen und aktualisieren die E/A-Module und erkennen Systemfehler. Jeder Prozessor führt das Anwendungsprogramm unabhängig, aber im Lock-Step-Betrieb mit den beiden anderen aus. Sollte einer der Prozessoren divergieren, ermöglichen zusätzliche Mechanismen dem ausgefallenen Prozessor die Resynchronisierung mit den beiden anderen. Jeder Prozessor verfügt über eine Schnittstelle, die aus einem Eingangswähler, einer Diskrepanzerkennungslogik, einem Speicher und einer Ausgangstreiberbusschnittstelle zum Inter-Module-Bus besteht. Der Ausgang jedes Prozessors ist über den Modulanschluss mit einem anderen Kanal des dreifachen Inter-Module-Busses verbunden.

3. Anwendung

3.1. Modulkonfiguration Der Trusted TMR-Prozessor erfordert keine Hardwarekonfiguration. Jedes Trusted System benötigt eine System.INI-Konfigurationsdatei. Details zur Gestaltung finden Sie in PD-T8082 (Trusted Toolset Suite). Die Konfiguration sieht standardmäßig einen Prozessor im linken Steckplatz des Prozessorgehäuses vor. Der Systemkonfigurator ermöglicht die Auswahl von Optionen für Ports, IRIG und Systemfunktionen. Die Verwendung des Systemkonfigurators ist in PD-T8082 beschrieben. Die Optionen werden unten beschrieben.

3.1.1. Abschnitt „Updater“ Wenn „Netzwerkvariablen automatisch schützen“ ausgewählt ist, wird das vertrauenswürdige System so konfiguriert, dass es eine reduzierte Modbus-Protokollzuordnung verwendet. Weitere Einzelheiten finden Sie in der Produktbeschreibung PD-8151B (Trusted Communication Interface Module). Die Verzögerung zwischen Gruppen entspricht dem Modbus-Aktualisierungszyklus. Dies ist die Mindestzeit zwischen aufeinanderfolgenden Modbus-Aktualisierungsnachrichten, die an die einzelnen Kommunikationsschnittstellenmodule gesendet werden. Der Standardwert (wie angezeigt) beträgt 50 ms und bietet einen Kompromiss zwischen Latenz und Leistung. Die Anpassung erfolgt in 32-ms-Schritten, d. h. ein Wert von 33 entspricht 64 ms, ebenso wie 64. Dieser Wert kann nach Bedarf erhöht oder verringert werden. Da jedoch nur eine Aktualisierungsnachricht pro Anwendungsscan gesendet wird und ein Anwendungsscan oft mehr als 50 ms dauert, bringt die Anpassung dieser Variable wenig Nutzen.

3.1.2. Sicherheitsbereich Die obige Anzeige dient auch zur Konfiguration eines Passworts, mit dem der Benutzer ein vertrauenswürdiges System über das Windows-basierte HyperTerminal oder ein ähnliches Terminalprogramm abfragen kann. Das Passwort wird konfiguriert, indem Sie die Schaltfläche „Neues Passwort“ auswählen und das neue Passwort zweimal in das angezeigte Dialogfeld eingeben.

3.1.3. ICS2000-Abschnitt Dieser Abschnitt gilt nur für Trusted-Systeme, die über einen Trusted-ICS2000-Schnittstellenadapter an ein ICS2000-System angeschlossen sind. Dadurch können die Datenquellen für die drei Mimiktabellen ausgewählt werden. Weitere Informationen erhalten Sie von Ihrem Trusted-Anbieter.