Description du délai de sécurité de processus
Le délai de sécurité de processus (PST) est une mesure importante pour un processus exécuté par une boucle de sécurité. Il est défini comme étant la période entre l'occurrence d'une défaillance sur un équipement sous contrôle (EUC) et l'occurrence d'un événement dangereux si la fonction de sécurité n'est pas exécutée (autrement dit, si l'état de sécurité n'est pas appliqué).
Description du temps de réaction du système
Le temps de réaction du système est la somme du temps de réaction du PAC et des temps de réaction du capteur sélectionné (TS) et de l'actionneur sélectionné (TA).
Pour chaque boucle de sécurité, vérifiez que le temps de réaction du système est inférieur au délai de sécurité du processus.
Le temps de réaction du système est illustré ci-après :
Le temps de réaction du système peut inclure les composants suivants :
Composant |
Description |
Valeur estimée du pire cas |
|---|---|---|
TS |
Temps nécessaire au capteur sélectionné pour réagir à un événement de processus. |
Spécifique à l'équipement. |
TI |
Temps nécessaire au module d'entrée pour échantillonner et vérifier un événement de capteur. Il comprend:
|
6 ms |
TCOMM_IN |
Délai de communication d'entrée. Ses composants sont décrits dans la rubrique Temps d'exécution de l'application dans le document Modicon M580 Autonome - Guide de planification du système pour architectures courantes, et sont les suivants (numéros correspondant au calcul de l’ART dans la rubrique référencée) :
|
– |
TCPU |
Le temps de réaction de la CPU et du coprocesseur, qui est égal à la somme du retard dû à des tâches prioritaires en attente (la tâche FAST) plus deux temps de scrutation de la tâche SAFE (dont le premier est une scrutation manquée et le second, une scrutation réussie) : TMULTITASK_JITTER + 2* TSAFE. |
|
TMULTITASK_JITTER |
Retard maximum dû à l’exécution des tâches prioritaires en attente. En l’occurrence, la tâche FAST. TMULTITASK_JITTER = TFAST. |
– |
TSAFE |
Période de la tâche SAFE configurée. |
– |
TFAST |
Cette valeur est incluse car l’exécution de la tâche FAST est prioritaire sur la tâche SAFE. NOTE : Pour simplifier la formule, l'hypothèse est qu'aucune
tâche système n'est en condition de dépassement (overrun).
Cette valeur est donc égale à la période de la tâche
FAST configurée ou à 0 si la tâche FAST n'est pas configurée.
|
– |
TCOMM_OUT |
Délai de communication des sorties. Ses composants sont décrits dans la rubrique Temps d'exécution de l'application dans le document Modicon M580 - Guide de planification de système autonome pour architectures courantes, et sont les suivants (numéros correspondant au calcul de l’ART dans la rubrique référencée) :
|
– |
TO |
Egal à la somme des temps suivants :
|
6 ms |
TA |
Temps de réaction de l'actionneur sélectionné. |
Spécifique à l'équipement. |
Description du temps de réaction du PAC
Pour les E/S situées dans le rack principal local (avec l'UC), le temps de réaction du PAC est la somme des temps de réaction du module d'entrée sélectionné (TI) et du module de sortie sélectionné (TO), augmentée du temps de réaction de l'UC et du coprocesseur (TCPU) :
Temps de réaction du PAC (local) = TCPU + TI + TO
Si les E/S sont situées dans un rack distant, le temps de réaction du PAC inclut également le délai de communication d'entrée (TCOMM_IN) et le délai de communication de sortie (TCOMM_OUT) :
Temps de réaction du PAC (distant) = TCPU + TCOMM_IN + TI + TCOMM_OUT +TO
Description du temps de réaction de l'UC et du coprocesseur
Le temps de réaction de l'UC et du coprocesseur est directement affecté par la période de la tâche SAFE et la période de la tâche FAST. Vérifiez que la logique de sécurité sera exécutée dans la période de la tâche SAFE.
Dans la mesure où un signal peut apparaître juste au début du cycle d'exécution alors que les signaux ont déjà été traités, deux cycles de la tâche SAFE sont parfois nécessaires pour réagir au signal.
La tâche FAST étant prioritaire sur la tâche SAFE, vous devez aussi tenir compte du temps nécessaire pour exécuter la tâche FAST dans votre estimation de la jigue.
D'où l'équation suivante pour le temps de réaction maximum (pire cas) :
Temps de réaction UC & coproc. = 2 x TSAFE + TFAST
Description du temps nécessaire aux modules d'entrée
Le temps maximum (pire cas) TI nécessaire au module d'entrée numérique de sécurité et au module d'entrée analogique de sécurité est de 6 ms..
Description du temps nécessaire aux modules de sortie
Le temps maximum TO nécessaire au module de sortie numérique de sécurité est estimé à 6 ms.
Un timeout de sécurité de repli S_TO doit être configuré pour le module de sorties numériques et le module de sorties relais numériques. Selon la période de tâche SAFE configurée (TSAFE), la valeur de S_TO doit être configurée comme suit :
Si (2,5 * TSAFE) ≤ 40 ms, réglez S_TO sur une valeur minimum de 40 ms.
Si (2,5 * TSAFE) > 40 ms, réglez S_TO sur une valeur minimum de (2,5 * TSAFE) ms.
| AVIS | |
|---|---|
RISQUE DE COMPORTEMENT INATTENDU DE L'EQUIPEMENT Réglez le timeout de sécurité de repli
(S_TO) pour un module de sorties de sécurité sur une valeur
au moins supérieure à 40 ms ou (2,5 * TSAFE),
où TSAFE est égal à la période de la
tâche SAFE configurée. Le non-respect de ces instructions peut provoquer des dommages matériels. | |
Pour les applications redondantes, considérez l’impact sur le paramètre S_TO du temps supplémentaire (TSWAP) requis par une permutation, et du temps supplémentaire TSWITCH requis par un basculement.
Calcul du temps de réaction du système
Connaissant le délai de sécurité du processus (PST) et le temps de réaction maximum des capteurs et actionneurs, vous pouvez calculer le temps de réaction du système (SRT) maximum tolérable dans votre processus.
Le temps de réaction maximum (pire cas) du système peut être calculé comme suit :
Pour les systèmes dont les E/S se trouvent dans des stations distantes :
SRT max. = TS + TI + 2 x TCRA + TRPI + 2 x TSAFE + TFAST + TO +TA.
ou
SRT max. = 16 ms + TS + 2,5 x TSAFE + TFAST + TA.
Pour les systèmes à E/S locales :
SRT max. = TS + TI + 2,5 x TSAFE + TFAST + TO +TA.
ou
SRT max. = 15 ms + TS + 2,5 x TSAFE + TFAST + TA.
En cas d'événement inattendu et un basculement, le temps de réaction de sécurité maximum peut augmenter en ajoutant le composant TSWITCH aux calculs ci-dessus.
Lorsque l’opérateur du système effectue une permutation, le temps de réaction de sécurité maximum peut augmenter en ajoutant un composant TSWAP aux calculs ci-dessus.
Temps de réaction du système pendant une permutation
Une permutation désigne l'action déclenchée par l'opérateur sur un système redondant et qui échange les rôles du PAC principal et du PAC redondant. Une permutation consomme du temps supplémentaire, car aucune information ne peut être perdue et toutes les sorties du système doivent se voient appliquer un timeout de sécurité.
Le temps de permutation supplémentaire est ajouté au temps TCPU après le composant TJITTER normal, comme ci-dessous :
Le temps TSWAP est ajouté au temps TCPU après le composant TJITTER normal. Cette séquence est affichée ci-dessous. Sauf en cas d’inclusion du composant de permutation, le temps de réaction du système est identique à celui décrit ci-dessus :
Le temps TSWAP est la somme des éléments suivants :
TADDITIONAL_JITTER + TTRANSFER
Les composants propres à la permutation sont décrits ci-après :
Composant |
Description |
Valeur estimée du pire cas |
|---|---|---|
TADDITIONAL_JITTER |
Jigue introduite par le système multitâche pour redémarrer la tâche sur le nouveau PAC. D’où, TADDITIONAL_JITTER = TSAFE. |
– |
TTRANSFER |
Pendant le diagnostic de la tâche MAST, le PAC accepte la commande de permutation et débute le transfert de toutes les dernières données de chaque tâche. |
Reportez-vous à la formule ci-dessous. |
TTRANSFER peut se calculer comme suit :
K3 x (MASTKB + 2 x SAFEKB + FASTKB) + K4 x (MASTDFB + 2 x SAFEDFB + FASTDFB) / 1000
Où :
TASKKB = Taille des données (en Ko) échangées pour la tâche entre le PAC principal et le PAC redondant.
MASTDFB = Nombre de DFB déclarés dans la tâche.
K3 et K4 sont des constantes dont les valeurs sont déterminées par le module d’UC utilisé dans l’application :
Coefficient |
BMEH582040S |
BMEH584040S ou BMEH586040S |
|---|---|---|
K3 |
46,4 μs/ko |
14,8 μs/ko |
K4 |
34,5 μs/instance de DFB |
11,0 μs/instance de DFB |
Si l’opérateur du système souhaite effectuer une permutation sans que les sorties du module de sécurité ne prennent leur état de repli, réglez le paramètre Timeout de sécurité de repli des modules de sortie de sécurité (S_TO) sur, au minimum, une valeur supérieure à : TMULTITASK_JITTER + TSWAP + TSAFE.
Temps de réaction du système pendant un basculement
Un basculement survient lorsque le PAC redondant d’un système redondant devient le PAC principal suite à un événement inattendu, par exemple lorsque le matériel du PAC principal devient subitement inopérationnel. L’objectif du basculement pour le nouveau PAC principal est de remplacer l’ancien de manière transparente, puis de lancer les opérations au point où l’ancien PAC principal a cessé de fonctionner. Pourtant, le dernier cycle peut être réexécuté. L’objectif du système est d'atteindre la reprise le plus rapidement possible.
Le temps TSWTCH est ajouté au temps TCPU après le composant TJITTER normal. Cette séquence est affichée ci-dessous. Sauf en cas d’inclusion du composant de basculement, le temps de réaction du système est identique à celui décrit ci-dessus :
Le temps TSWITCH est la somme des éléments suivants :
TDETECT + TADDITIONAL_JITTER
Les composants propres au basculement sont décrits ci-après :
Composant |
Description |
Valeur estimée du pire cas |
|---|---|---|
TDETECT |
Temps utilisés par le PAC redondant pour détecter et vérifier que le PAC principal est devenu inopérationnel. |
15 ms |
TADDITIONAL_JITTER |
Jigue introduite par le système multitâche pour redémarrer la tâche sur le nouveau PAC. D’où, TADDITIONAL_JITTER = TSAFE. |
– |
Contrairement à une permutation, aucun temps supplémentaire n’est nécessaire pour effectuer un transfert de données.
Pour autoriser le système à répondre à un événement inattendu et effectuer un basculement sans que les sorties du module de sécurité ne prennent leur état de repli, réglez le paramètre Timeout de sécurité de repli des modules de sortie de sécurité (S_TO) sur, au minimum, une valeur supérieure à : TJITTER + TSWITCH + TSAFE.
Configuration des périodes maximum des tâches SAFE et FAST de l'UC
Le PAC de sécurité M580 ne peut effectuer qu'une exécution périodique des tâches SAFE et TAST (l'exécution cyclique n'est pas prise en charge pour ces tâches).
La de la tâche SAFE et le maximum de l'UC sont configurés dans l'onglet de la boîte de dialogue de cette tâche. La valeur des modules de sortie numérique de sécurité est configurée dans l'onglet du module de sortie.
De la même manière, la de la tâche FAST et le maximum de l'UC sont configurés dans l'onglet de la boîte de dialogue de cette tâche.
La plage de valeurs de période admissibles pour la tache SAFE va de 10 à 255 ms, avec une valeur par défaut de 20 ms.
La plage de valeurs de période admissibles pour la tache FAST va de 1 à 255 ms, avec une valeur par défaut de 5 ms.
La plage de valeurs admissibles pour le chien de garde va de 10 à 500 ms, avec une valeur par défaut de 250 ms.
La plage de valeurs admissibles pour le timeout de repli des modules de sortie numérique va de 0 à 65535 ms, avec une valeur par défaut de 500 ms.
Assurez-vous que la valeur du chien de garde est supérieure à la période de la tâche SAFE.
Vérifiez la période de la tâche SAFE de l'UC lors de la mise en service de votre projet. A ce moment, Control Expert Safety fournit les valeurs en temps réel émanant du PAC.
Vous trouverez ces informations dans Control Expert Safety en ouvrant l'onglet et en utilisant le menu .
| AVERTISSEMENT | |
|---|---|
RISQUE DE DEPASSEMENT DU DELAI DE SECURITE DU PROCESSUS Définissez la période maximum de la tâche
SAFE de l'UC en tenant compte du délai de sécurité
de votre processus. La période de la tâche SAFE de l'UC
doit être inférieure au délai de sécurité
de processus de votre projet. Le non-respect de ces instructions peut provoquer la mort, des blessures graves ou des dommages matériels. | |
La figure suivante illustre l'exécution de chaque tâche dans un système multitâche et décrit la préemption des ressources de l'UC en fonction de la priorité de la tâche :
Calcul de l'impact des périodes d'exécution des tâches sur la bande passante de l'UC
Chaque tâche configurée consomme une portion du temps de traitement (ou bande passante) de l'UC. Le pourcentage estimé de bande passante de l'UC qui est consommé par une tâche est le résultat (quotient) du temps d'exécution estimé de la tâche (ETASK) divisé par la période d'exécution configurée pour cette tâche (TTASK), d'où la formule suivante :
Bande passante de la tâche = ETASK / TTASK.
Par conséquent, le pourcentage total de bande passante de l'UC consommé par une application est la somme des pourcentages de bande passante consommés par toutes les tâches.
Le tableau suivant présente deux applications et indique l'impact de tâches à haute priorité (FAST et SAFE) sur la consommation totale de la bande passante de l'UC :
# |
FAST |
SAFE |
MAST |
AUX0 |
Total |
||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Per. |
Exec. |
% BP |
Per. |
Exec. |
% BP |
Per. |
Exec. |
% BP |
Per. |
Exec. |
% BP |
||
1 |
5 ms |
1 ms |
20 % |
20 ms |
5 ms |
25 % |
50 ms |
18 ms |
35 % |
200 ms |
30 ms |
15 % |
96 % |
2 |
7 ms |
1 ms |
14 % |
25 ms |
5 ms |
20 % |
60 ms |
18 ms |
30 % |
200 ms |
30 ms |
15 % |
79 % |
Per. = période de la tâche (TTASK) Exec. = temps d'exécution de la tâche (ETASK) % BP = bande passante consommée par la tâche |
|||||||||||||