AT96DDMR二乘二取二硬件安全冗余信号控制平台.pdfVIP

AT96DDMR二乘二取二硬件安全冗余信号控制平台 韩安平 摘要：AT96DDMR平台是具有安全硬件冗余结构的二乘二取二信号控制平台，其结构可分为操作显示层、 逻辑运算层、输入输出层三个层次，关键的逻辑运算层、输入输出层达到安全完整性SIL-4级要求。对其结 构、安全性设计方法以及开发流程的独立评估内容做了描述，并对逻辑运算层的状态转换关系给出了详细阐 述。 关键词：AT96DDMR平台 ;结构 ;安全完整性 比较板为系统硬件比较器，实时检查比较主从CPU的输出命令，比较不一致时，比较板做出安全 反应，切断输出子系统的电源。还可以根据用户程序发来的严重故障报警信息执行安全处理反应。 图1 系统安全冗余原理图 IO接NB Io接口B 图2逻辑运算子系统结构图 2 3．2系统工作状态及转换 A、B系m有三种稳定工作状态：主控、备用、离线。还包括两种过渡状态：初始化和联机状态。 状态的转换可以通过一三位切换手柄人工控制，还可以通过系统的运行情况自动转换。 单系IL正常工作时处于主控或备用状态：当有故障检出时转为离线状态。任何时刻，A、B两系 IL中，最多只有一套系统处于主控状态，当检测到两系同时为主控状态，系统做出安全处理。当两系 都处于离线状态时，系统处于失效状态，不能正常使用。 主控状态：将从本系输入子系统获得的采集信息与从备用系送来的采集信息相‘或’后，做为运算 使用的采集信息，操作命令信息从MMI获得，对输出子系统发送驱动命令。 备用状态：和同步有关的用户程序的逻辑运算结果与主控系完全一致，其操作命令信息从主控系获 得，采集信息将主控系和本系的采集信息相‘或’而得，对受控对象的输出结果与主控系完全一致，并 对输出子系统发送驱动命令。 离线状态：与主控系不交换任何信息，采集信息从本系的输入子系统获得，命令信息从MM【获得， 对输出子系统不发送驱动命令。系统关机状态也视为离线状态。 初始化状态：系统上电或复位后进行内部初始化的状态，此时尚未进入稳定工作状态。 联机状态：由离线状态转为备用状态的中间过程。从主控系获得用户程序的中间变量，其操作命令 信息从主控系获得，采集信息将主控系和本系的采集信息相‘或’而得，对输出子系统不发送驱动命令。 两系的工作状态组合情况如表1所示： 表l两系工作状态组合矩阵 ＼≮系 主控 备用 离线 初始化 联机 11秉＼ 主控 不允许 允许 允许 允许 允许 各用 不允许 不允许 不允许 不允许 离线 允许 允许 不允许 初始化 允许 不允许 联机 不允许 两系几的工作状态转换关系如图3所示： T1：本系自检通过，手柄在自动位置，另一系离线；或自检通 过，手柄指向本系 T2：本系自检通过，手柄指向另一系；或本系自检未通过且手柄 未指向本系 T3：本系自检通过，手柄在自动位置且另一系主控 T4：本系故障且手柄在自动位置；或手柄转换到另一系