一个故障安全可编程序逻辑控制器.doc

一个故障安全可编程序逻辑控制器文摘架构上支持安全相关控制应用程序的编程功能框图和图形语言此类软件的确认会议的要求安全完整性水平SIL 3、专用、低复杂性执行平台提出了。其硬件故障检测立即启动紧急停机故障。与他们的低加工速度,目前故障安全比较器构成的瓶颈,在故障的情况下,并不区分比较错误和比较器错误。要解决这些问题,一个新颖的故障安全比较器的两个二进制输入,这不仅显示结果,而且它的状态。建于修改CMOS技术,它可以匹配数字计算机的执行速度。与此形成鲜明对比的是早期的故障安全比较器的设计,采用三元逻辑它提供了三种不同的输出值,允许区分三个指标之间的“输入相等和比较器正常工作,”“输入不平等和比较器正常工作”“比较器故障。“通过设计,编程和机器之间不存在语义鸿沟的执行水平的控制器,使应用软件的安全许可极其简单,但严格的方法,即,不同的翻译和检查。严格周期性的方式操作,平台展品完全可预测的实时行为。2003爱思唯尔有限公司保留所有权利。关键词:安全相关控制;安全完整性级别3;功能块图;软件验证;可编程序逻辑控制器,不安全比较器;三元逻辑;结果和状态指示1。介绍一个可行的可编程电子系统使用提出了工业自动化,可以授权更高的安全完整性水平3,即不是只有它的硬件,而且它的软件,更多重要的软件可靠性还需要迎头赶上一个已经通过硬件来实现。领先的想法随后在其设计和创意的方法,就是选择编程和验证最简单的方法,因此,可信度最高,和customtailor执行平台他们。因此,软件需求之间的语义鸿沟和硬件功能关闭,放弃不安全的必要性可获许可的编译器和操作系统。2。功能块图软件的编程范式允许容易掌握,并验证源和目标代码可以在形式的图形语言功能块图(增)中定义的标准IEC 61131 - 3(IEC,61131)。传统的控制工程、图形化编程的函数形式方框图如在图1中已经建立在自动化技术。功能块图由四种不同的语言结构元素,只有:(1)功能和功能块实例,即矩形符号,(2)数据流,即连接线路,(3)名称,即标识符,和(4)点(外部)连接。高度applicationdependent功能和功能块和可重用的应用程序的基本单位编程在更高的抽象层次。原则上他们是任意的子程序有输入和输出数据类型,并且能够执行任意处理功能。功能没有任何内部状态。后执行结果,他们产生一个数据元素这可能是多值的。多个命名实例,如副本,可以创建功能块。每个实例具有一个关联的指示器和一个数据结构,它包含其输出和内部变量可能它的输入变量。所有输出变量的值在这样的一个数据结构和内部变量坚持从一个功能块实例的执行下一个。因此,调用的功能块相同的参数不一定产生相同的输出值。这是必要的,能够表达和反馈内部存储行为。唯一的输入和输出值功能块实例都可以访问外部,即一个函数块的内部变量隐藏从外面,因此,严格保护。连接的线在一个功能块图代表一个数据流。图形、系统独立程序开发形式的功能块图很容易,和需要在两个步骤:(1)只有一次构建图书馆的功能和功能块,(2)应用程序特定的功能和互连功能块实例。多自动化程序包括安全相关的有顺序的形式控制步骤和组成的转换。在一个步骤,一个相关的项目,行动,表示为一个函数框图被执行。为了安全相关应用,线性序列步骤和可选分支的序列如图所示在图2中是被允许的,。在sequen并行分支多弧离子镀功能图表必须是由硬件实现应用程序员并行或已经解决在显式形式连载。同时,清晰至于容易理解和验证只有店铺可以使用的行为。中定义的所有其他类型的操作IEC 61131 - 3的店铺可以表达的和新配方顺序控制逻辑。3。一个执行平台当设计一个执行平台紧密匹配和支持软件中表示的函数形式块和顺序功能图的图表,它不是目的为了节省硬件成本,而是促进可理解性对象的程序和执行过程。这导致了建筑图3中所示,从概念上讲,两个不同的处理器:控制流处理器(主)和功能块处理器(奴隶)。这两个由单独的物理单位处理器实现。因此,一个清晰的和物理实现关注点分离:执行功能块的奴隶处理器,和所有其他的任务,即执行控制、顺序功能图处理,和功能块调用,分配给主。这个概念意味着应用程序代码也受到限制的控制流处理器,项目具体安全许可可以集中。使检测硬件故障,一个双通道配置选择如它是强调结果和内部状态存储大师的记忆。奴隶的记忆,如果需要的话,只是暂时在说明使用功能块。因此,可能被视为无记忆的奴隶协同处理器或专用计算器功能。一个数量故障安全比较器在硬件中实现的检查输出从主处理器在他们到达之前奴隶,反之亦然完成故障检测双通道配置。任何不平等这些比较器检测到生成一个错误信号停止整个(见下文)系统和输出设置为安全状态。为了防止任何修改的故障,没有程序内存,但所有程序是通过外部故障安全硬件。正常情况下,然而,部分执行终止前的瞬间下一步的周期信号。然后,处理器等目前的循环周期的结束。当时钟信号最后,step-clock-occurred寄存器设置。过渡状态寄存器的内容决定,是否执行一次一步段更多的,还是逻辑上后续的执行步骤开始,即程序计数器是否从step-initial-address重负载寄存器,或如果另一个段的初始加载程序地址指令的操作数称为next-step-address。自是一个只有一个步骤时间可预测性实现如下。输入数据读的司机在每个周期的开始和全体存储在两个独立的内存缓冲区分配各自的奴隶。周期开始暗示的step-clock-occurred登记。只有在那之后,数据用于进一步的处理,从而提供可预测性在时机。输出数据生成的奴隶每一个周期的结束之前锁定在寄存器中。当step-clock-occurred寄存器设置,数据首先检查平等的安全比较器和失败,随后,他们转移到输出端口成为有效的吗环境。然而,如果输出字节并不相同,一个误差信号生成导致系统停止。提到的fifo队列中和输出比较器上面是一个全球的组件比较器单元,也收到操作监控信号处理器呢看门狗定时器和一些正确的信号其他单位。基于所有这些,全球正确信号,换句话说,一个否定全球错误,生成和美联储可编程电子系统的所有单位。自然,每个人可以操作,如果这个信号表明“没有错误。“否则,系统将停止和输出安全的国家。全球误差信号也输出,允许引发一些外部硬件。4。先进的工业故障安全模块是从汤姆斯计算机技术不能提供充分的应用程序发现匹配的解决方案。为主,这是由于古典控制的事实组件开关、继电器、温度调节器等高概率的假设某种“自然”切换在失败的情况下,即断开的状态。这允许设计控制器执行安全相关任务,这样组件故障整个控制器承担个人和国家安全过程控制(“故障安全原则”)。半导体设备,另一方面,几乎被使用无处不在的这些天,承担不可预知的状态等短路或中断情况下完整的缺陷。因此,它是不可能把一个明确的联系在一起错误状态与半导体组件。的一种方法解决这个问题是使用冗余控制器结构。在技术应用中这意味着控制组件复制完成相同的任务。此外,开关除了一个安全状态监测与多数或一致投票。控制设备或过程是把安全状态的分歧。一个模块是一个单元,能够实现确定的,主要是简单,逻辑功能(或者没有)。故障安全模块特别开发的技术保证可预测吗输出的行为在任何情况下失败。通常,这种行为相当于落入关闭状态。的输入和输出的电隔离是一种常见的功能。存在一些的家庭故障安全操作的模块应用不同的原则。应当HIMA平面逻辑(希玛族、1991、1992)和GTI MagLog24(GTI,1993)建立在市场。目前故障安全逻辑的家庭,比较器电路可以建造,表现出太长时间反应次,即几毫秒。在给出的控制器然而,在这里,一个比较器必须对应的反应时间主人和之间数据传输的速度奴隶,即每单比较几微秒。这从考虑,应当消除希玛族或MagLog模块创建需要设计和构建一个足够快比较器。此外,在他们的输出,仅比较器可用提供两个值表示(1)输入相等和比较器正常工作,或(2)输入不平等或比较器故障,即它不是错误和差异化之间的比较比较器错误。如果这些替代品是杰出的,他们可能在更具体的处理方法。解决这些两个问题的不足和不加选择的输出速度信息,一种新型故障安全两个二进制的比较器投入开发,这不仅显示结