- •Глава 8. Микропроцессорная централизация ebilock- 950
- •8.1.Этапы развития систем Ebilock- 950
- •8.2.Эксплуатационно-технические характеристики системы.
- •8.3. Структура системы
- •8.4. Процессорный модуль централизации
- •8.4.1.Аппаратные средства пмц
- •8.4.2.Структура аппаратных средств процессорного модуля
- •8.5. Система объектных контроллеров
- •8.5.1. Общее описание
- •8.5. 2. Конструктивное исполнение сок
- •8.5. 3. Функции объектных контроллеров.
- •8.5.4. Методы обеспечения безопасности в сок
- •8.5.4.1.Передача данных между системой централизации и контроллером устройств сцб
- •8.5.4.2. Безопасность процесса управления.
- •8.5.4.3. Определение состояния контактов реле.
- •8.5.4.4 Принципы идентификации
- •8.6. Программное обеспечение системы Ebilock-950
- •8.7. Электропитание системы мпц Ebilock-950
- •8.8.Устройства заземлении, грозозащиты и защиты от перенапряжений.
8.5.4. Методы обеспечения безопасности в сок
8.5.4.1.Передача данных между системой централизации и контроллером устройств сцб
Одной из предпосылок безопасного функционирования системы является то, что любое искажение в потоке данных между ПМЦ и контроллерами диагностируется и влияние этого искажения на выполнение системой своих функций немедленно исключается.
Реализация этого свойства системы достигается использованием помехозащитного кодирования содержательной части телеграммы, которое предохраняет информационное сообщение или команду от искажений в канале связи. На рис.8.8 приведён пример информационной структуры телеграммы, содержащей команду, передаваемую контроллеру.
Организация передачи данных по кольцу основана на очень ограниченном наборе команд протокола HDLC в соответствии с ISO 4335.
Команда (а также информационное сообщение) передаётся в виде двух копий - A и B . И копия А и копия В включают, помимо содержательной части, такое количество дополнительных битов помехозащитного кодирования кодом Хэмминга, при котором расстояние Хэмминга равно четырём. Это означает, ошибочное сообщение может быть принято за истинное, если в 127 информационных битах сообщения при передаче по каналу связи окажется 4 ошибочных бита и при этом порядок их следования не позволит обнаружить факт ошибки проверкой на избыточность (CRC-8).
Более того, команды и информационные сообщения дублируются и для каждой копии используется свой собственный порядок кодирования. Копия А и копия В упаковываются каждая в свой собственный пакет, включающий:
- уникальный адрес,
- вид сообщения и метку длины,
- метку времени для исключения использования в системе устаревшей информации,
- содержательную информацию,
- биты кодирования.
Контроллер проверяет идентичность и синхронность копий А и В команды, переданной ПМЦ. Эта проверка выполняется независимо двумя различными программами А и В контроллера, программа А сравнивает содержимое копии А с содержимым копии В, программа В сравнивает содержимое копии В с содержимым копии А. Если при этом какая-либо из программ обнаруживает различие в содержимом принятых копий, то обработка и исполнение принятой телеграммы прекращаются.
8.5.4.2. Безопасность процесса управления.
Требования по безопасности при реализации процесса управления удовлетворяются применением принципа, который широко используется в системах, ответственных за безопасность, это принцип диверситета (вариабельности) программирования. В соответствии с этим принципом одна и та же функция системы программируется двумя различными коллективами программистов. Способы программной реализации функциональных требований в обоих случаях полностью различны. Окончательное изделие содержит в себе разработки обоих групп программистов и эти разработки определены, как программа А и программа В. Обе эти программы в соответствии со своими спецификациями участвуют в процессах управления и контроля.
Основу схем управления объектами централизации составляет безопасный компаратор рис 8.9, 8.10, который формирует сигналы на безопасный прерыватель только при условии присутствия соответствующей директивы в телеграммах А и В. При обнаружении отказа в контроллере или в устройстве СЦБ в соответствии с требованиями по безопасности обесточиваются соответствующие электрические цепи. В схемах коммутации используется две ступени функционального преобразования сигналов.
На первой ступени осуществляется выработка управляющего напряжения безопасным компаратором, причём, в том и только в том случае, когда от каждой из программ А и В поступают последовательности импульсов, соответствующие правильному порядку и времени следования. Для этого используются данные измерения и контроля и результаты выполненного контроллером сравнения ожидаемых и фактических значений.
Безопасность в этом режиме обеспечивается диверситетом программ А и В, генерирующих последовательности импульсов, которые проверяются компаратором. Компаратором на аппаратном уровне осуществляется пересчёт импульсов и при обнаружении отсутствия импульса или ошибки в последовательности импульсов блок прекращает выработку управляющего напряжения.
Второй ступенью является обработка управляющего напряжения безопасным прерывателем. На вход прерывателя поступает высокочастотный сигнал от генератора, который управляется постоянным напряжением, поступающим от компаратора. Частота с генератора через изолирующий трансформатор поступает на вход преобразователя, положительный и отрицательный выходы которого формируют исходное постоянное напряжение для коммутационного элемента.