Produkte

I/O-Architekturen

Das Trusted System verfügt über umfassende interne Diagnosefunktionen, die sowohl verdeckte als auch offensichtliche Fehler aufdecken. Die Hardware-Implementierung vieler Fehlertoleranz- und Fehlererkennungsmechanismen ermöglicht eine schnelle Fehlererkennung für die meisten Systemelemente. Um eine optimale Sicherheitsverfügbarkeit zu gewährleisten, sind Selbsttesteinrichtungen zur Diagnose von Fehlern im restlichen System definiert. Diese Selbsttesteinrichtungen erfordern möglicherweise kurze Offline-Betriebszeiten, um Bedingungen einzuführen, z. B. Alarm- oder Fehlertestbedingungen, die effektiv dazu führen, dass der Punkt innerhalb dieses redundanten Kanals offline ist. In TMR-Konfigurationen wirkt sich dieser Zeitraum des Offline-Betriebs nur auf die Fähigkeit des Systems aus, unter mehreren Fehlerbedingungen zu reagieren. Die Trusted TMR-Prozessoren, Schnittstellen, Expander-Schnittstellen und Expander-Prozessoren sind alle von Natur aus redundant und wurden so konzipiert, dass sie mehreren Fehlern standhalten und eine feste Online-Reparaturkonfiguration in benachbarten Steckplätzen unterstützen und daher kaum weitere Überlegungen erfordern. Die Eingabe- und Ausgabemodule unterstützen eine Reihe von Architekturoptionen. Die Auswirkungen der gewählten Architektur sollten anhand der system- und anwendungsspezifischen Anforderungen bewertet werden. FTA-Module und andere Zusatzgeräte sind für den Einsatz im Rahmen des Trusted-Sicherheitssystems geeignet, auch wenn sie möglicherweise nicht ausdrücklich über ein TÜV-Zeichen verfügen.

Trusted High-Density I/O Die Trusted High-Density I/O-Module sind entweder inhärent dreifach oder doppelt redundant und verfügen über umfassende Selbsttest- und Diagnosefunktionen. Selbsttests werden so koordiniert, dass auch bei Bedarf während der Durchführung der Tests ein Großteil absolviert werden kann. Diskrepanz- und Abweichungsüberwachung verbessern die Verifizierung und Fehlererkennung zusätzlich. Der TMR-Prozessor testet interne Schnittstellen zum Controller. Das Ergebnis dieser Maßnahmen ist ein hohes Maß an Fehlererkennung und -toleranz, was letztendlich zu einem ausfallsicheren Betrieb führt, wenn mehrere Fehlerbedingungen vorliegen. Die Fehlererkennungszeiten im schlimmsten Fall im Systemspeicher für vertrauenswürdige Module sind wie folgt:

In jedem Fall ist das System auch dann weiterhin reaktionsfähig, wenn in diesem Zeitraum ein Fehler vorliegt. Unter mehreren Fehlerbedingungen muss möglicherweise die zweite Fehlererkennungsperiode innerhalb der Reparaturzeit berücksichtigt werden, wenn das System in Sicherheitsanwendungen mit hohem oder kontinuierlichem Bedarf verwendet wird. Alle High-Density-I/O-Module verfügen über Leitungsüberwachungsfunktionen; Es wird empfohlen, diese Einrichtungen für sicherheitsrelevante E/A zu aktivieren. Für „Energize to Trip I/O“ müssen diese Funktionen aktiviert sein, siehe Energize to Trip-Konfigurationen auf Seite 42

Das System unterstützt eine einzelne High-Density-TMR-I/O-Modularchitektur, bei der es akzeptabel ist, entweder das System zu stoppen oder zuzulassen, dass die diesem Modul entsprechenden Signale entweder in ihren Standardzustand oder in ihre Aktiv-Standby-Konfiguration wechseln. Die erste Aktiv-Standby-Konfiguration besteht darin, die aktiven und Ersatzmodule in benachbarten Steckplatzpositionen unterzubringen; Die zweite besteht darin, die SmartSlot-Konfiguration zu verwenden, bei der eine einzelne Modulposition als Ersatz für mehrere aktive Module verwendet werden kann. Alle Konfigurationen sind für sicherheitsrelevante Anwendungen einsetzbar; Die Wahl zwischen den Konfigurationen, die eine Live-Online-Reparatur unterstützen, hängt von den Vorlieben des Endbenutzers und der Anzahl der gleichzeitig zu reparierenden fehlerhaften Module ab