我阅读了设计指南、工作思想很清楚;有一个带自检和单个故障电阻的双通道;这应该符合 SIL3/PLL 要求。 然而,我没有真正的工作 SILs ,但只与 pls ,所以有一件事我不得到。
如果测试路径和软件仅为 SIL1 (外部 MCU、建议作为 C2000器件)、该方法如何被评为 SIL3/PLD。 如果用于第3类子系统的控制路径中(STO 功能)、MCU 本质上是一个具有60%诊断覆盖率的第1类系统(由于自检)。 这是否会损害整个子系统级别?
或者、解释为:当未检测到监视器中的故障(可作为类别3接受、但不是类别4)时、监视器始终检测到其中一个工作通道中的故障(并且安全功能由另一个通道和/或强制脉冲确保) 但是安全是由工作通道确保的(因为假定只有一个故障、它们都被视为正常工作)。
我漏掉了什么东西吗?
