ГОСТ Р МЭК 61511-2-2011 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1

Приложение E
(справочное)

     
Пример разработки внешне конфигурируемых диагностик для безопасно конфигурируемого программируемого электронного логического устройства

Программируемые электронные (ПЭ) логические устройства, проверенные на практике, должны обладать заложенными в них при проектировании значительными диагностическими возможностями. Диагностические операции могут быть реализованы как программными, так и аппаратными средствами и охватывать логическое устройство целиком, включая входные модули, центральный процессор, выходные модули и коммуникации [17].

Ниже приведен план, который может быть использован при реализации диагностирования конфигурируемых ПЭ логических устройств безопасности.

E.1 Диагностирование ПЭ логического устройства внутренними средствами

Внутри ПЭ логических устройств, применяемых для промышленных процессов, имеются средства диагностики. В данном приложении они называются внутренними контрольными таймерами (ВКТ). В состав таких ВКТ входят поставляемые изготовителем программные, аппаратные, а также коммуникационные диагностические подсистемы, встроенные в ПЭ логическое устройство.

В ПЭ логических устройствах, применяемых для выполнения функции безопасности ПСБ, следует обеспечивать диагностику всех их элементов. Комплекс ВКТ может предоставлять выбираемые пользователем опции от отключения отдельной платы ввода или вывода до общей остановки системы. Диагностика, выполняемая ВКТ, проверяет те позиции логического устройства, которые изготовитель считает наиболее важными. Ограничения для применения ВКТ могут включать в себя следующие случаи:

- возможность отказа общего типа, при котором ВКТ выходит из строя по той же причине, что и логическое устройство, что приводит к неспособности ВКТ выполнять свои диагностические функции;

- реализация не может обеспечить пользователя диагностической информацией, связанной с типом сбоя логического устройства;

- невозможность контролировать внутренние состояния ПЭ логического устройства, включая устройства ввода/вывода, центральный процессор и коммуникации;

- невозможность контролировать модули ППО и их выполнение.

E.2 Диагностирование ПЭ логического устройства внешними средствами

В ПЭ логических устройствах, выполняющих функции безопасности ПСБ, из-за ограничений, присущих ВКТ, может потребоваться применение наружных контрольных таймеров (НКТ). Использование НКТ ни в коей мере не снижает необходимости применения ВКТ для функции безопасности ПСБ.

Примерами часто используемых НКТ являются устройства контроля сигнала синхронизации логического устройства. Такой НКТ представляет собой устройство, непрерывно получающее импульсные сигналы в процессе выполнения ППО ПЭ логического устройства, и обычно работает следующим образом. В электронном логическом устройстве программно с помощью нескольких групп команд (раздельно хранящихся в специальных ячейках памяти) генерируется прямоугольный импульсный сигнал с заданным периодом. Этот прямоугольный сигнал подается на вход НКТ. На рисунке Е.1 представлена временная диаграмма, на которой показаны импульсный выходной сигнал ПЭ логического устройства и выходной сигнал НКТ.

1 - включение синхронизирующего сигнала логического устройства; 2 - выключение и повторное включение синхронизирующего сигнала выполнены до окончания заданного в НКТ интервала времени (принята настройка 1 с), что обеспечивает высокий уровень сигнала на выходе НКТ. Высокий уровень сигнала на выходе НКТ остается до тех пор, пока управляющий импульсный сигнал меняет свое значение по крайней мере один раз в течение заданного интервала времени; 3 - если управляющий синхронизирующий сигнал остается включенным дольше предварительно заданного времени, то на выходе НКТ появляется низкий уровень сигнала (НКТ выключается); 4 - если управляющий синхронизирующий сигнал остается выключенным дольше предварительно заданного времени, то на выходе НКТ появляется низкий уровень сигнала (НКТ выключается)

     
Рисунок Е.1 - Временная диаграмма выхода НКТ

Если указанный прямоугольный импульсный сигнал, который управляет ПЭ логическим устройством, включается и отключается в заданной временной последовательности, то он обеспечивает высокий уровень сигнала на выходе (включение) НКТ. Встроенные в НКТ таймеры обычно реализуют функции временной задержки включения и временной задержки отключения. Настройки таймеров включения и отключения выбираются такими, чтобы ни одна задержка не выходила за пределы заданных временных параметров импульсного сигнала. Если это условие работы НКТ нарушается, то на выходе НКТ появляется низкий уровень сигнала (НКТ выключается) и функция безопасности ПСБ может быть отключена и/или дан аварийный сигнал. Длительность импульсов в этом импульсном сигнале может варьироваться путем изменений в соответствующей прикладной программе генератора колебаний.

Если в проекте применяется НКТ, то необходимо рассмотреть следующие его дополнительные особенности:

- для генерации синхронизирующего сигнала в ПЭ логическом устройстве используется тот же набор команд, что и в ППО функции безопасности ПСБ;

- цифровые входы ПЭ логического устройства могут использоваться для контроля состояния его входных шин при выявлении нештатного функционирования;

- размещение программ НКТ по различным областям памяти ПЭ логического устройства улучшает контроль функционирования памяти;

- передача сгенерированного синхронизирующего сигнала через систему коммуникации ПЭ логического устройства позволяет улучшить диагностику этой системы;

- возможная необходимость кнопок перезапуска. Такая кнопка требуется, если НКТ блокируется при пуске или останове. При разработке цепи перезапуска следует использовать как ВКТ, так и НКТ;

- возможная необходимость кнопок проверки. Такая кнопка может быть желательной при верификации функций НКТ;

- цифровые выходы ПЭ логического устройства могут использоваться для контроля состояния его выходных шин при выявлении нештатного функционирования;

- средства подавления скачков от контактов любых электромеханических реле для ослабления индуктивных наводок на электронику. Анализ использования дополнительной шины питания, удовлетворяющей требованиям: