IS420UCSBS1A to sterownik bezpieczeństwa z serii Mark VIeS, zaprojektowany specjalnie dla przemysłowych funkcjonalnych pętli bezpieczeństwa wymagających możliwości SIL 2 i SIL 3 (poziom integralności bezpieczeństwa). Zaprojektowany jako samodzielna, solidna jednostka obliczeniowa, sterownik ten ma kluczowe znaczenie w krytycznych zastosowaniach związanych z bezpieczeństwem w branżach takich jak wytwarzanie energii, ropa i gaz oraz przetwarzanie chemiczne, gdzie niezawodność operacyjna i ograniczanie ryzyka są najważniejsze.
Certyfikowany zgodnie z normą IEC 61508, IS420UCSBS1A, wraz z dedykowanymi modułami we/wy bezpieczeństwa, stanowi certyfikowaną platformę do wdrażania systemów przyrządowych bezpieczeństwa (SIS), skutecznie zmniejszając ryzyko w krytycznych funkcjach bezpieczeństwa.
2. Architektura systemu i projektowanie sprzętu
2.1 Samodzielna konstrukcja modułowa
IS420UCSBS1A charakteryzuje się samodzielną, modułową architekturą. W odróżnieniu od tradycyjnych sterowników, w których wejścia/wyjścia są umieszczone na płycie montażowej, komunikuje się on z rozproszonymi pakietami wejść/wyjść wyłącznie za pośrednictwem prywatnej, specjalnego przeznaczenia sieci Ethernet zwanej IONet. Taka konstrukcja eliminuje pojedynczy punkt awarii danych wejściowych aplikacji. Jeśli zasilanie sterownika zostanie wyłączone w celu konserwacji lub naprawy, architektura systemu gwarantuje, że żadne pojedyncze wejście nie zostanie utracone, zapewniając ciągłą pracę pętli bezpieczeństwa.
2.2 Procesor i pamięć
2.3 Konstrukcja bez wentylatora i zasilanie
Chłodzenie: IS420UCSBS1A to moduł bez wentylatora, wykorzystujący chłodzenie pasywne za pomocą zintegrowanych żeberek grzewczych. Eliminuje to typowy punkt awarii, poprawia niezawodność i ogranicza konserwację.
Wejście zasilania: Akceptuje wejście 28 V DC.
Wewnętrzna konwersja mocy: Przychodzące napięcie 28 V DC jest konwertowane na regulowane wewnętrzne zasilanie 5 V DC, z którego pochodzą wszystkie pozostałe wewnętrzne płaszczyzny zasilania.
Pobór mocy: Szczytowy pobór mocy wynosi 26,7 W, przy nominalnym zużyciu operacyjnym 15,6 W.
2.4 Odporność na środowisko
3. Możliwości komunikacyjne i sieciowe
3.1 Sieć IONet
Kontroler łączy się z modułami wejść/wyjść poprzez trzy niezależne porty IONet.
Typ sieci: Prywatna sieć Ethernet przeznaczona wyłącznie dla urządzeń sterujących Mark*.
Protokół: wykorzystuje protokół TCP/IP do niezawodnej komunikacji pomiędzy sterownikami i modułami we/wy.
Redundancja: Redundancja IONet jest równa redundancji kontrolera. W systemach redundantnych wiele niezależnych ścieżek IONet zapewnia integralność komunikacji.
3.2 Podstawowy i wtórny interfejs Ethernet
ENET1 (podstawowy):
Zazwyczaj skonfigurowane jako połączenie UDH (Unit Data Highway).
Używany do komunikacji z HMI, historykami i innymi sterownikami.
Obsługuje protokoły takie jak EGD (Ethernet Global Data), Modbus i OPC-UA.
ENET2 (wtórny):
3.3 Precyzyjna synchronizacja zegara
System wykorzystuje protokół precyzyjnego czasu (PTP) IEEE 1588 w sieciach R, S i T IONet w celu synchronizacji zegarów wszystkich pakietów we/wy i kontrolerów z dokładnością do ±100 mikrosekund, zapewniając spójne czasowo gromadzenie danych i wykonywanie sterowania.
4. System oprogramowania i programowanie
4.1 System operacyjny
IS420UCSBS1A działa na QNX Neutrino, sprawdzonym systemie operacyjnym czasu rzeczywistego (RTOS) przeznaczonym do szybkich i niezawodnych zastosowań przemysłowych. Jego deterministyczne zachowanie ma kluczowe znaczenie dla spełnienia wymagań dotyczących czasu odpowiedzi funkcji bezpieczeństwa.
4.2 Języki programowania
Sterownik obsługuje wiele paradygmatów programowania, aby dopasować się do różnych preferencji inżynierskich:
Język bloku sterującego: Dla złożonych analogowych i dyskretnych pętli sterowania wykorzystujących bloki funkcyjne.
Schemat drabinkowy przekaźników (RLD): Do implementacji logiki logicznej w znanym formacie drabinkowym.
Obsługiwane typy danych: kompleksowy zestaw obejmujący wartości logiczne, 16/32-bitowe liczby całkowite ze znakiem/bez znaku i 32/64-bitowe liczby zmiennoprzecinkowe.
4.3 Modyfikacje online
Niewielkie modyfikacje oprogramowania sterującego można wprowadzać online bez konieczności ponownego uruchamiania sterownika, co zwiększa dostępność systemu i upraszcza rozwiązywanie problemów.
4.4 Znakowanie oprogramowania zabezpieczającego
Cecha kluczowa dla bezpieczeństwa funkcjonalnego. Znakowanie jest obowiązkowym procesem wymaganym przy każdej zmianie i pobraniu kodu aplikacji w sterowniku bezpieczeństwa Mark VIeS Safety. Proces ten kryptograficznie „oznacza” nowy kod, zapewniając jego autentyczność i integralność. Każda nieautoryzowana zmiana powoduje niezgodność marki, ostrzegając operatorów o potencjalnym problemie z integralnością bezpieczeństwa. Jest to podstawowy wymóg utrzymania certyfikatu SIL 2/3.
5. Funkcje bezpieczeństwa i certyfikaty
5.1 Poziom bezpieczeństwa funkcjonalnego
Sterownik IS420UCSBS1A i powiązane z nim moduły we/wy bezpieczeństwa zostały specjalnie zaprojektowane i certyfikowane do stosowania w pętlach bezpieczeństwa SIL 2 i SIL 3 zgodnie z definicją w normie IEC 61508.
5.2 Certyfikacja sprzętu i oprogramowania
Specyficzny sprzęt sterujący i oprogramowanie składające się na system Mark VIeS otrzymały certyfikat IEC 61508 od niezależnej osoby oceniającej, zapewniającej niezależną walidację ich przydatności do zastosowań o krytycznym znaczeniu dla bezpieczeństwa.
5.3 Redundancja i tolerancja błędów
Sterownik jest zaprojektowany do pracy w konfiguracjach z podwójną lub potrójną redundancją modułową (TMR). W tych konfiguracjach synchronizuje się z kontrolerami równorzędnymi, wymieniając:
Wewnętrzne wartości stanu do głosowania i inicjalizacji.
Informacje o stanie i synchronizacji.
Taka architektura gwarantuje, że awaria pojedynczego sterownika nie doprowadzi do niebezpiecznej awarii funkcji bezpieczeństwa.
6. Instalacja i konserwacja
6.1 Instalacja fizyczna
Sterownik jest pojedynczym modułem, który montowany jest bezpośrednio do blachy panelu za pomocą otworu na klucz. Należy go zainstalować tak, aby zapewnić pionowy przepływ powietrza przez żeberka chłodzące, aby zapewnić odpowiednie zarządzanie temperaturą.
6.2 Wskaźniki stanu (diody LED)
Na panelu przednim znajduje się kompleksowy zestaw diod LED umożliwiających natychmiastową ocenę stanu:
Łącze: Świeci na zielono oznacza ustanowione łącze Ethernet IONet.
Działanie: Stałe lub migające zielone światło wskazuje ruch pakietowy IONet.
Zasilanie: Świeci na zielono oznacza, że wewnętrzne zasilanie 5 V działa.
OnLine: Świeci na zielono oznacza, że kontroler jest w trybie online i wykonuje kod aplikacji.
DC: Stałe zielone oznacza, że ten kontroler jest wyznaczonym kontrolerem w zestawie nadmiarowym.
OT (Nadmierna temperatura): Kolor żółty oznacza stan alarmowy; Kolor czerwony wskazuje, że nastąpiło wyłączenie.
7. Kopia zapasowa, przywracanie i wymiana
7.1 Procedura tworzenia kopii zapasowych i przywracania
Dedykowany przycisk na kontrolerze umożliwia tworzenie kopii zapasowych i przywracanie konfiguracji i oprogramowania sprzętowego kontrolera na dysk USB.
Wymagania dotyczące napędu USB: musi być zgodny ze standardem USB 2.0, niezaszyfrowany, o minimalnej pojemności 4 GB i sformatowany jako FAT32.
Proces: Stan tworzenia kopii zapasowej/przywracania jest wskazywany przez diodę LED USB On. Stałe światło podczas procesu wskazuje aktywność i gaśnie po pomyślnym zakończeniu. Miganie oznacza awarię.
7.2 Wymiana sterownika
Określono ustrukturyzowaną procedurę wymiany wadliwego sterownika, kładąc nacisk na bezpieczeństwo i integralność danych:
Kopia zapasowa: Jeśli to możliwe, wykonaj kopię zapasową pamięci flash NAND uszkodzonego kontrolera.
Wyłączanie zasilania: Odłącz określoną wtyczkę zasilania (JCR, JCS lub JCT) na powiązanym JPDC.
Odłącz kable: Odłącz kable IONet i VLAN.
Demontaż fizyczny: Poluzuj śruby i wyjmij sterownik, korzystając z mocowania w kształcie dziurki od klucza.
Instalacja: Odwróć proces, aby zainstalować nowy kontroler.
Przywróć i skonfiguruj: przywróć kopię zapasową nowego sterownika lub skonfiguruj jego adres IP za pomocą narzędzia inżynierskiego ToolboxST poprzez port COM1.
