prodotti

Panoramica del prodotto Trusted TMR Processor

Il Trusted® Processor è il componente di elaborazione principale di un Trusted System. Si tratta di un modulo potente e configurabile dall'utente che fornisce funzionalità di controllo e monitoraggio dell'intero sistema ed elabora i dati di input e output ricevuti da una varietà di moduli di Input/Output (I/O) analogici e digitali attraverso un bus di comunicazione intermodulo Trusted TMR. La gamma di applicazioni del Trusted TMR Processor varia in base al livello di integrità e include il controllo di incendi e gas, l'arresto di emergenza, il monitoraggio e il controllo e il controllo di turbine.

Caratteristiche:

• Funzionamento a tripla ridondanza modulare (TMR), tollerante ai guasti (3-2-0). • Architettura Hardware Implemented Fault Tolerant (HIFT). • Regimi di test hardware e software dedicati che forniscono tempi di risposta e riconoscimento dei guasti molto rapidi. • Gestione automatica dei guasti senza allarmi indesiderati. • Storico dei guasti con timestamp. • Sostituzione a caldo (non è necessario ricaricare i programmi). • Suite completa di linguaggi di programmazione IEC 61131-3. • Indicatori sul pannello frontale che mostrano lo stato e lo stato del modulo. • Porta di diagnostica seriale RS232 sul pannello frontale per il monitoraggio, la configurazione e la programmazione del sistema. • Segnali di sincronizzazione temporale IRIG-B002 e 122 (disponibili solo su T8110B). • Contatti di guasto e malfunzionamento del processore attivo e in standby. • Due connessioni RS422 / 485 configurabili a 2 o 4 fili (disponibili solo su T8110B). • Una connessione RS485 a 2 fili (disponibile solo su T8110B). • Certificato TϋV IEC 61508 SIL 3.

1.1. Panoramica

Il processore Trusted TMR è un progetto fault tolerant basato su un'architettura a tripla ridondanza modulare (TMR) operante in una configurazione lock-step. La Figura 1 mostra, in termini semplificati, la struttura di base del modulo processore Trusted TMR. Il modulo contiene tre regioni di contenimento guasti (FCR) per i processori, ciascuna contenente un processore Motorola Power PC e la relativa memoria (EPROM, DRAM, Flash ROM e NVRAM), I/O mappati in memoria, circuiti logici voter e glue. Ogni FCR per i processori ha un accesso in lettura votato due su tre (2oo3) ai sistemi di memoria FCR degli altri due processori per eliminare operazioni divergenti. I tre processori del modulo memorizzano ed eseguono il programma applicativo, scansionano e aggiornano i moduli I/O e rilevano guasti di sistema. Ogni processore esegue il programma applicativo in modo indipendente, ma in sincronizzazione lock-step con gli altri due. In caso di divergenza di uno dei processori, meccanismi aggiuntivi consentono al processore guasto di risincronizzarsi con gli altri due. Ogni processore ha un'interfaccia composta da un voter di ingresso, una logica di rilevamento delle discrepanze, memoria e un'interfaccia bus driver di uscita verso il bus intermodulo. L'uscita di ciascun processore è collegata tramite il connettore del modulo a un canale diverso del bus intermodulo triplicato.

3. Applicazione

3.1. Configurazione del modulo Il processore TMR affidabile non richiede alcuna configurazione hardware. Ogni sistema affidabile richiede un file di configurazione System.INI. I dettagli su come progettarlo sono forniti in PD-T8082 (Trusted Toolset Suite). La configurazione prevede un processore assegnato di default allo slot sinistro dello chassis del processore. Il configuratore di sistema consente la selezione di opzioni su porte, IRIG e funzioni di sistema. L'utilizzo del configuratore di sistema è descritto in PD-T8082. Le opzioni sono descritte di seguito.

3.1.1. Sezione Updater Se è selezionata l'opzione Auto Protect Network Variables, il sistema attendibile viene configurato per utilizzare una mappa ridotta del protocollo Modbus. Per ulteriori dettagli, consultare la descrizione del prodotto PD-8151B (Trusted Communication Interface Module). Il ritardo tra gruppi equivale al ciclo di aggiornamento Modbus. Si tratta del periodo minimo tra i messaggi di aggiornamento Modbus successivi inviati a ciascuno dei moduli di interfaccia di comunicazione. Il valore predefinito (come mostrato) è 50 ms, che rappresenta un compromesso tra latenza e prestazioni. La regolazione avviene con incrementi di 32 ms interi, ovvero un valore di 33 equivale a 64 ms, così come 64. Questo valore può essere aumentato o diminuito in base alle esigenze, tuttavia, poiché viene inviato un solo messaggio di aggiornamento per scansione dell'applicazione e una scansione dell'applicazione può spesso durare più di 50 ms, la regolazione di questa variabile non è particolarmente vantaggiosa.

3.1.2. Sezione Sicurezza La schermata soprastante viene utilizzata anche per configurare una password che consente all'utente di interrogare un sistema attendibile tramite la funzionalità HyperTerminal basata su Windows o un programma terminale simile. La password viene configurata selezionando il pulsante Nuova password e inserendola due volte nella finestra di dialogo visualizzata.

3.1.3. Sezione ICS2000 Questa sezione si applica solo ai sistemi attendibili connessi tramite un adattatore di interfaccia Trusted-ICS2000 a un sistema ICS2000. Ciò consente di selezionare le origini dati per le tre tabelle sinottici. Per ulteriori informazioni, rivolgersi al fornitore del sistema attendibile.