ГОСТ Р МЭК 61784-3-3—2016
Другие временные ограничения перечислены ниже:
Запуск
(Синхронизация)
Цикл F-лротокола
Устройство
контроля (монитор)
времени
(Сторожевой таймер)
Контроль
порядкового номера
Повторение PDU
безопасности
Устройство
контроля УПБ
Синхронизацию после запуска системы, драйвер F-хоста начинает с порядкового
номера «OFFFFFOh». Затем. F-хост увеличивает виртуальный порядковый номер
после каждого подтвержденного получения соответствующего виртуального по
рядкового номера модуля «OFFFFFFh» F-устройства данного хоста, пропуская
значение «0» и продолжая с «1». В последний момент перед истечением вре
мени контроля Б-ввод/Б-вывод ожидает сообщение, содержащее виртуальный
порядковый номер, увеличенный на 1. F-вывод предоставляет отказоустойчи
вые значения (FVo) после того, как получает виртуальный порядковый номер
равный «0».
F-ввод/Б-вывад возвращает PDU безопасности F-хосту, содержащее тот же вир
туальный порядковый номер (цикл F-протокола) для подтверждения принятия
PDU безопасности.
Время цикла F-хоста не должно превышать время цикла F-протокола (но оно
может быть короче).
Поступление на F-устройство нового корректного PDU безопасности в рамках
времени сторожевого таймера контролируется. Подобная верификация может
быть выполнена так часто, как это необходимо, но как минимум однажды в конце
интервала времени, предназначенного для контроля. Когда время сторожевого
таймера истекает, связанный с ним получатель переключается на безопасное
состояние.
Самый медленный цикл CP 3/RTE не должен превышать половины времени
сторожевого таймера. Время цикла F-хоста может быть короче, чем время
сторожевого таймера.
Новый корректный PDU безопасности характеризуется фактом того, что хотя бы
виртуальный порядковый номер был увеличен на 1 и что либо вся остальная
часть PDU безопасности целиком не претерпела изменений, либо изменения
не привели к сбоям. Это означает, что неверное изменение виртуального
порядкового номера прибавлением 1 прямо распознается посредством CRC2.
Что в свою очередь приведет к реакции на сбой.
Повторение полноценного PDU безопасности в случае, когда новый корректный
PDU безопасности не был получен за время сторожевого таймера, не
поддерживается.
Каждое искаженное сообщение (сбоем CRC и виртуального порядкового номера)
будет подсчитано за временной период конфигурируемого устройства контроля
УПБ (Т). Отказоустойчивые значения устанавливаются каждый раз, когда прои
зошло более одного такого сбоя. т.е. одно обнаруженное искаженное сообщение
может допускаться (вариант А). Случаи, когда целый PDU телеграммы = «0»
(например, при запуске), не должны учитываться.
На практике может быть продемонстрировано, что в действительности подсчет
всегда остается нулевым. Это служит причиной для оптимизации сложности,
приводящей к варианту В, в котором время контроля УПБ (Т) установлено
как бесконечное. В таком случае, упрощенная диаграмма состояний F-хоста
на рисунке 28 должна учитываться там. где любое искаженное обнаруженное
сообщение не допускается и всегда ведет к состоянию безопасности.
Каждый раз. когда подобное маловероятное событие обнаруженного искаженного
сообщениядолжно произойти во время сдвига производства или операции, то на
роль УПБ-устройства контроля (монитора) назначается ответственный оператор,
который может допустить индикацию такого события и подтвердить ее. Тем не
менее, при любой последующей индикации в рамках того же сдвига, следует
предполагать серьезную причину этой индикации, требующую немедленной
починки или устранения.
Реализация варианта А лежит на производителе F-хоста. Тем но менее, под
робная реализация не рассматривается в настоящем стандарте, ради пользы
индивидуальных адаптаций этого варианта под определенные системные среды.
Устройство контроля УПБ должно реализовываться только в F-хосте.
51