HFC-6000三重冗余系统(TMR)与T(U)V SIL3认证过程

摘要

HFC-6000三重冗余(TMR)安全控制系统(SCS)是用以提供高可靠性的控制功能.通过与T(U)V Rhineland—起合作,HFC-6000 TMR系统符合并遵循IEC功能安全标准,并分别于2009年与2013年成功取得多类控制器的SIL3级认证.rn 在本论文中，描述HFC-6000 TMR系统的体系结构。系统的体系结构是基于三组相同的控制器和I/O模块，并通过同步链接而通信。同时也开发了一个主燃料跳闸(MFT)应用，并用2选3(2003)的逻辑来验证TMR系统。对主燃料跳闸(MFT)应用也进行了相应的描述。除了对系统体系结构的描述外，本论文也描述了SIL3级的认证过程。当完成了认证过程的概念评估后，需要开发一套故障注入的测试程序，用以验证软件与硬件在应对故障与异常条件下的可用性。认证过程的最后阶段即是按照T(U)V的资格对系统设备的审查。最后，本论文提供了HFC-6000 TMR系统的亮点，以及在SIL3认证过程中吸取的经验教训。