DUAGON SAFE CONTROL (D-SC) SOFTWARE-ARCHITEKTUR

Trennung zwischen sicheren und nicht-vitalen Bereichen

Die d-SC Software unterscheidet zwischen dem sicheren und dem nicht-vitalen Bereich, um Kosten und Zeit bei der Anwendungsentwicklung und Zertifizierung zu sparen. Diese Trennung ermöglicht die Entwicklung von nicht-vitalen Anwendungen getrennt von sicheren Anwendungen. Nicht-vitale Anwendungen können sichere Anwendungen nicht beeinflussen, da sie auf einem separaten Prozessor ausgeführt werden.

DUAGON SAFE CONTROL HOCHVERFÜGBARKEITS-SOFTWARELÖSUNG

Die Hochverfügbarkeits-Softwareerweiterung erhöht die Verfügbarkeit des Systems durch Unterstützung der Controller-Redundanz, so dass der Ausfall eines einzelnen Controllers ausgeglichen werden kann. Bei dieser Konfiguration ist ein Controller aktiv, während sich der andere im Standby-Modus befindet.  Fällt der aktive Controller aus, so übernimmt der Standby-Controller nahtlos den Status des aktiven Controllers.  Dadurch wird sichergestellt, dass der Ausfall eines Controllers nicht zu einem Totalausfall des Systems führt und die Anwendung weiter funktionieren kann.  Die defekte Hardware kann dann repariert oder neu gestartet werden, ohne dass das System selbst neu gestartet werden muss.  Nach der Reparatur wird der reparierte Controller vom System neu synchronisiert, woraufhin er zum Standby-Controller wird und für die nächste Umschaltung bereit ist.

Das einzigartige Merkmal und der Haupteinsatzbereich von d-SC besteht darin, dass die beiden redundanten Steuerungen an ein gemeinsames I/O-Set angeschlossen werden können.  Der große Vorteil der Verwendung gemeinsam genutzter I/Os im Vergleich zu Controllern mit eigenständigen I/Os besteht darin, dass ein Ausfall des Controllers nicht zu einem Verlust von I/Os führt (Fehlerdomänen sind unabhängig).

VORTEILE
  • Der Ausfall eines einzelnen Controllers kann ausgeglichen werden.
  • Der Ausfall eines Controllers führt nicht zum Verlust der I/Os
  • Unterbrechungsfreie Leistung
  • 99%ige Verfügbarkeit
  • Schnelle Umschaltzeit
  • Hot-Standby-Einrichtung
  • Re-Synchronisation der reparierten Hardware
  • Einfache Integration
  • Verwendbar mit PACY-I/O, Y-COM I/O oder jedem anderen I/O Framework
  • Kunden können zwischen verschiedenen Hardware-Architekturen wählen

SICHERE BETRIEBSSYSTEME

Ohne Beeinflussung von nicht vitalen Anwendungen werden die sicheren Anwendungen auf zwei getrennten, redundanten Steuerprozessoren ausgeführt. Integritätstests, die den sicheren Betrieb jedes sicheren Prozessors gewährleisten, werden durch das sichere Betriebssystem bereitgestellt.

Diese Architektur ermöglicht die Entwicklung von sicheren Anwendungen auf einer d-SC-Plattform in Kombination mit allen auf dem Markt relevanten sicheren Betriebssystemen. Die Standardversion wird mit QNX ausgeliefert. PikeOS, VxWorks oder Integrity sind ebenfalls möglich, müssen aber individuell für den Kunden entwickelt werden.

Zusammen mit QNX werden die d-SC CPU- und I/O-Komponenten mit vorzertifizierten SIL 4-Hardware/Software-Paketen geliefert, was die Markteinführung noch weiter beschleunigt. Der QNX "Neutrino" Mikrokernel bietet wichtige sicherheitsrelevante Funktionen wie Speicherschutz, Interprozesskommunikation oder deterministisches Zeitmanagement. Er schützt Benutzerprozesse voreinander, sodass einzelne Prozesse auch unterschiedliche SIL-Stufen haben können.

PACY I/O Framework

Pacy ist ein Prozessdaten-Anwendungsrahmen, der die d-SC-Hardware für die Anwendung transparent macht. Es übernimmt die Kommunikation zwischen der CPU zusammen mit der kundenspezifischen Anwendungssoftware und den sicheren I/O-Karten.

Als transparente Abstraktionsschicht kümmert sich PACY um die Ausführung der Anwendungsbefehle und bietet eine API für die Programmiersprache "C". Entwickler können die I/O über "C" Variablen steuern, unabhängig von der Art der I/Os, die gesteuert werden müssen.

Als modulbasiertes Framework bietet PACY offene Schnittstellen, die eine flexible Erweiterung durch individuelle, kundenspezifische Module ermöglichen.

Das in PACY integrierte FSoE-Protokoll (Fail Safe over EtherCAT) ist für die sichere Datenübertragung und den Schutz des so genannten Black Channels verantwortlich.

Eine SIL-4-Zertifizierung nach EN 50128 wird es auch für PACY geben, inklusive der entsprechenden Dokumente.

PACY wird mit einem Tool konfiguriert, um die I/O-Konfiguration und das Mapping der Anwendungsvariablen auf die I/O-Schnittstellen zu definieren. Es ist auch möglich, dieselbe Anwendung mit verschiedenen I/O-Konfigurationen auszuführen.

FUNKTIONEN DES SYNCHRONISATIONSDIENSTES

Die Funktionen des Synchronisationsdienstes sind Teil der zertifizierten Plattformsoftware und haben SIL 4 Qualität nach EN 50128. Die Funktion des Synchronisations- und Vergleichsdienstes stellt sicher, dass beide sicheren Prozessoren die gleichen Eingangsdaten verwenden und prüft, ob die berechneten Ausgangsdaten gleich sind. Zusätzlich kann die Anwendung diesen Dienst zur zeitlichen logischen Überwachung des Anwendungsprogramms nutzen, wie es die EN 50129 für SIL 3- oder 4-Anwendungen fordert.

Die folgende Abbildung zeigt eine repräsentative Sicherheitsanwendung, die Synch-Dienste verwendet, um die Ausführung der redundanten Architektur der beiden Steuerungsprozessoren zu synchronisieren.

FUNKTIONEN DES SYNCHRONISIERTEN KOMMUNIKATIONSDIENSTES

Externe Systeme, die mit den sicheren d-SC-Steuerungen über Ethernet mittels UDP oder TCP kommunizieren, sehen beide Prozessoren als "eine Instanz", aufgrund der Y-COM-Servicefunktionen von duagon. Eingehende Frames werden durch den Y-COM-Server, der auf dem nicht-vitalen Prozessor läuft, an beide sicheren Domänenprozessoren verteilt, während ausgehende Frames zwischen beiden sicheren Domänenprozessoren synchronisiert werden. Die Nutzlast ist gemischt, d. h. jede sichere CPU erzeugt einen Teil des ausgehenden Übertragungsrahmens, und der Y-COM-Server auf den nicht-vitalen Prozessoren sendet diesen Rahmen an das externe System.

LINUX-BETRIEBSSYSTEM

Während die sicheren Anwendungen auf zwei getrennten redundanten Steuerprozessoren ausgeführt werden, steuert ein dritter Prozessor alle nicht vitalen Anwendungen. Das Betriebssystem, das auf diesem dritten Prozessor läuft, kann sowohl Linux als auch ein anderes der bekannten Echtzeitbetriebssysteme sein. Da es sich bei d-SC um eine offene Standard-Hardware-Plattform handelt, wird idealerweise Linux als Betriebssystem verwendet, das vollständig auf Open-Source-Technologie basiert. Linux ist kostenlos und wird durch ein breites, von der Community getragenes Produktangebot unterstützt. Die Installation von Anwendungen ist einfach, ebenso wie das Ändern von Optionen, und es verfügt über Sicherheitsfunktionen.

KONTAKTIEREN SIE UNSER VERTRIEBSTEAM

Unser internationales Team von Ingenieuren und Verkaufsberatern ist für Sie da - egal, wo auf der Welt Sie sich befinden.

Wir bei duagon verfügen über eine breite Palette an Standardprodukten, die für den Einsatz in einer spezifischen Anwendungsumgebung angepasst werden können. Unser Vertriebsteam informiert Sie gerne über unser Standard-Hardware-Angebot, unsere Software-Technologie, die erforderlichen Normen und Zertifizierungen und entwickelt gemeinsam mit unseren Ingenieuren die optimale Lösung für Ihre spezifischen Anwendungsbedingungen.

Kontaktieren Sie uns