Introduction

Les UC BME•58•040S et le coprocesseur BMEP58CPROS3, qui agissent comme une paire de processeurs, sont certifiés par TÜV Rheinland Group pour l'utilisation dans des solutions de sécurité M580 de niveau SIL3 (Safety Integrity Level).

L'UC et le coprocesseur assurent conjointement les fonctions de sécurité de niveau SIL3 suivantes :

  • Double exécution indépendante du code des tâches de sécurité.

  • Comparaison des résultats de la double exécution du code.

  • Autotests périodiques.

  • Prise en charge d'une architecture a 1oo2D ("un sur deux") avec diagnostic.

NOTE : Outre la fonctionnalité de sécurité, les UC BMEP58•040S offrent des fonctionnalités comparables à celles des UC M580 autonomes non liées à la sécurité équivalentes, et les UC BMEH58•040S offrent des fonctionnalités comparables à celles des UC M580 redondantes non liées à la sécurité équivalentes. Reportez-vous aux documents Modicon M580 - Matériel, Manuel de référence et Modicon M580 - Redondance d''UC, Guide de planification du système pour architectures courantes pour plus d'informations sur les fonctionnalités non liées à la sécurité de ces UC de sécurité.

Description de l'architecture interne de l'UC et du coprocesseur

L'UC et le coprocesseur de sécurité M580 contiennent chacun un processeur SPEAr 1300. Chaque processeur exécute la logique de sécurité dans sa propre zone mémoire et compare les résultats de cette exécution à la fin de la tâche de sécurité.

Les figures suivantes illustrent l'architecture interne de l'UC M580 Safety dans des configurations simple et redondante :

Génération et exécution de code en double

Les deux processeurs du PAC de sécurité M580 assurent la génération et l'exécution de code en double. Cette diversité offre les avantages suivants en matière de détection des erreurs :

  • Deux programmes exécutables sont générés indépendamment. L'utilisation de deux compilateurs de code distincts favorise la détection des erreurs systémiques dans la génération du code.

  • Les deux programmes générés sont exécutés par deux processeurs distincts. Ainsi, l'UC peut détecter à la fois les erreurs systématiques lors de l'exécution du code et les erreurs aléatoires du PAC.

  • Chacun des deux processeurs utilise sa propre zone de mémoire indépendante. Le PAC peut ainsi détecter les erreurs aléatoires de la RAM et il n'est pas nécessaire de tester entièrement la RAM à chaque scrutation.

Architecture 1oo2D

L'architecture 1oo2D ("un sur deux avec diagnostic") veut dire que deux canaux indépendants exécutent la logique de sécurité et que, si une erreur est détectée sur l'un ou l'autre canal, le système passe dans son état de sécurité.

Architecture simple

L'architecture de PAC M580 Safety simple repose sur un système 1oo2D constitué de processeurs doubles qui assurent le niveau de sécurité SIL3 même dans une architecture non redondante.

Architecture redondante

L'architecture de PAC M580 Safety redondante offre un maximum de disponibilité du système et de temps de traitement en apportant une redondance totale (quadruple structure, soit quatre UC) du contrôle, de l'alimentation et de la communication.

Une des UC (paire de processeurs) agit en tant qu'UC principale et fait tourner l'application en exécutant la logique de programme et en contrôlant les E/S. L'UC (paire de processeurs) principale met à jour l'UC secondaire pour qu'elle soit prête à prendre le contrôle des E/S.

Le système se surveille lui-même continuellement. En cas de défaillance de l'UC principale, il bascule le contrôle vers l'UC secondaire. Dans ce mode dégradé, le système reste au niveau SIL3. Si les deux UC primaire et secondaire sont inopérantes, le système passe dans un état de sécurité intégrée (fail safe).

Le PAC M580 Safety redondant, grâce à son architecture quadruple (4 processeurs), permet d'augmenter la disponibilité du système et assure la conformité au niveau SIL3.

Chien de garde

Un matériel et un micrologiciel de chien de garde vérifient l'activité du PAC et le temps requis pour exécuter la logique du programme de sécurité.

NOTE : Configurez le chien de garde logiciel (dans la boîte de dialogue Propriétés de la tâche SAFE) pour définir les aspects suivants :

  • temps d'exécution de l'application

  • filtrage des erreurs de communication des E/S

  • délai de sécurité du processus.

Pour plus d'informations, reportez-vous à la section Délai de sécurité du processus.

Vérification de la mémoire

L'intégrité du contenu de la mémoire statique est testée via un contrôle de redondance cyclique (CRC) et via la double exécution de code. L'intégrité du contenu de la mémoire dynamique est testée par la double exécution de code, par un test de mémoire périodique et par un mécanisme de correction d'erreur (ECC) qui détecte et corrige les exemples les plus courants de corruption de données internes. Lors du démarrage à froid, ces tests sont réinitialisés et intégralement exécutés avant le passage de l'UC en mode STOP ou RUN.

Surveillance des surtensions

L'UC reçoit son alimentation du module de sécurité M580 dédié via l'embase. Ce module d'alimentation fournit une tension régulée de 24 V avec une tension maximum absolue comprise entre 0 et 36 V.

L'UC comprend une fonction intégrée qui vérifie les alimentations internes. Si une condition de tension insuffisante ou excessive est détectée, le PAC s'arrête.