Главная страница

Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия


Скачать 6.47 Mb.
НазваниеСправочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия
Дата16.11.2022
Размер6.47 Mb.
Формат файлаpdf
Имя файлаСправочник инженера по АСУТП Проектирование и разработка 2008.pdf
ТипСправочник
#792442
страница15 из 68
1   ...   11   12   13   14   15   16   17   18   ...   68

Системы, предназначенные для выполнения задач управ-
ления и защиты технологических процессов, - это детер-
минированные системы, то есть такие системы, которые
должны обеспечивать реакцию на событие в течение
известного предопределенного интервала времени при лю-
бых обстоятельствах.
Все элементы системы - от сенсора до исполнительного механизма - должны обеспечивать не абстрактное "математи- чески" ожидаемое, а точно известное время реакции.
Сказанное означает, что детерминированная система должна обладать значительной аппаратной и функциональной избыточностью по всем компонентам системы: процессоры, память, шины данных, количество каналов ввода-вывода, частота сканирования каналов и программ, и т. д.

/ )iaea 3. Архитектура систем управления и защиты
159
Промышленные сети также должны подчиняться этим требованиям: характеристикой промышленной сети должно быть гарантированное время реакции на событие, а не средняя скорость передачи.
Для недетерминированных систем собственные вычисли- тельные ресурсы и средства коммуникации могут внести не- предсказуемые задержки в силу различных внешних и внут- ренних причин:
• Обработка асинхронных прерываний извне.
• Отсутствие реальной многозадачности и неумение ра- ботать по приоритетам.
• Ожидание освобождения общего ресурса (процессор, память, драйвер...).
• Использование устройств с непредсказуемым време- нем реакции (позиционирование жесткого диска) и то- му подобное.
То, что недетерминированные системы не способны обеспечить заданное время реакции даже при отсутствии внешних причин, на своей шкуре испытано всеми пользовате- лями Windows. Вам остается только с изумлением наблюдать, как система - и модель, и воплощение абсолютной власти - живет своей внутренней и очень насыщенной жизнью, которая к вам не имеет абсолютно никакого отношения. А ваши дей- ствия ей только мешают, и воспринимаются не иначе, как до- садная необходимость чистить зубы. Воистину монумент бес- конечному снобизму и авантюризму ее создателей. Но ради мирового информационного захвата и не такое сделаешь.
Детерминированное, предсказуемое поведение системы неразрывно связано с понятием жесткого реального време-
ни. В жесткой системе:
• Опоздания не допускаются ни при каких обстоя-
тельствах.
• Опоздание считается катастрофическим сбоем.
• Цена опоздания очень велика.
Таким образом, системы безопасности в целом и безопас- ные ПЛК в частности, должны обеспечивать гарантирован-
ное время реакции на события. Это требование предполага- ет жесткий временной цикл работы системы, рассчитанный на самую неблагоприятную ситуацию по событиям.

160 Справочник инженера по А СУТП: Проектирование и разработка
Еще одним важным отличием безопасных ПЛК является
независимая сертификация этих систем третьими организа- циями на предмет их соответствия требованиям безопасности и надежности по международным стандартам.
Дополнительные требования предъявляются к проекти- рованию, изготовлению и тестированию данных ПЛК. Неза- висимые эксперты третьей стороны, такие как Exida, TUV или
Корпорация совместной инспекции производства, США (Fac-
tory Mutual Research Corporation - FM% обеспечивают про- верку качества разработки, конструкции и заводских процедур тестирования безопасных ПЛК. Тщательный анализ приме- няемых схемных решений и диагностического программного обеспечения, полное тестирование оборудования с искусст- венным внесением всех мыслимых отказов позволяет опреде- лить и выявить более 99% потенциально опасных отказов компонентов системы. Чтобы понять, каким образом может отказать каждый компонент системы, как система способна выявить эти отказы, и как система реагирует на отказы, при конструировании проводится анализ режимов отказов, эф- фектов и диагностики отказов (Failure Modes, Effects and Di-
agnostic Analysis - FMEDA). Эксперты FM, Exida или TUV
персонально выполняют процедуры тестирования отказов как часть процесса сертификации.
При испытаниях системного программного обеспечения проводится расширенный анализ и тестирование, включающее проверку операционных систем реального времени, многоза- дачного взаимодействия и прерываний. Все критические данные сохраняются в резервной памяти и проверяются перед использованием на соответствие спецификациям.
Для прикладного программного обеспечения ПЛК также разработаны международные стандарты (IEC 61131). Эти стандарты требуют использования специальных приемов и средств программирования для снижения сложности при реа- лизации алгоритмов. Во время разработки прикладного про- граммного обеспечения используются дополнительные сред- ства тестирования. Для проверки целостности данных при тес- тировании также используется внесение ошибок в исходные данные. Спроектированное программное обеспечение и про- веденное тестирование подробно документируются с тем, что- бы инспекторы могли понять работу системы.

/ )iaea 3. Архитектура систем управления и защиты
161
Безусловно, между обычными ПЛК и ПЛК, предназна- ченными для решения задач безопасности, есть много общего.
Например,
• И те, и другие могут опрашивать входы, производить вычисления и выдавать управляющие воздействия,
• И те, и другие имеют модули ввода-вывода, которые позволяют им интерпретировать ситуацию на процессе и воздействовать на исполнительные элементы,
• И те, и другие имеют интерфейсное и сетевое обору- дование.
Но существенным является другое:
• Обычные ПЛК изначально не спроектированы как от- казоустойчивые и безопасные системы.
• Обычные ПЛК не гарантируют детерминированного поведения системы.
И в этом состоит фундаментальная разница.
Появление международных стандартов безопасности, оп- ределяющих особые требования к проектированию, производ- ству и конкретной реализации безопасных ПЛК, связано с всё большим усложнением технологических процессов, и соот- ветствующим увеличением количества и масштабов аварий на производстве. Все, что способно снизить уровень этих требо- ваний, рассматривается как проявление легкомыслия и с про- фессиональной, и с социальной точки зрения, и с позиции коммерческих интересов.
3.2. Структура отказов базовых архитектур систем безо-
пасности
Системы безопасности по своей природе являются пас- сивными. Поэтому в режиме on-line выявить все виды отказов с помощью одной внутрисистемной диагностики невозможно.
Опасный отказ может существовать абсолютно необнаружен- ным до тех пор, пока система неактивна. Система безопасно- сти может отказать одним из двух способов:
Во-первых, она может вызвать или инициировать лож- ный, немотивированный останов, и остановить производство, в то время как фактически ничего опасного не произошло.
Если выходные цепи спроектированы таким образом, что в нормальных рабочих условиях реле находятся под напряже-
6-3110

162 Справочник инженера по А СУТП: Проектирование и разработка
нием и контакты замкнуты, то в случае отказа системы защи- ты электропитание с контактов снимается, и они размыкают- ся, вызывая останов процесса. Некоторые люди называют по- добную ситуацию "безопасным" отказом.
Во-вторых, система защиты может отказать прямо проти- воположным способом, то есть НЕ выполнить функцию защи- ты, в то время как это действительно требуется со стороны процесса. Примером подобной ситуации являются реле с за- липшими контактами, которые не могут разомкнуться для правильного срабатывания блокировки, либо заклинивший исполнительный механизм отсекателя. Подобные отказы на- зывают опасными отказами.
3.3. Архитектура lool
(рис. 3.1)
о—
l o o l
Рис. 3.1
Резервирование отсутствует, поэтому система lool имеет присущую ей проблему общего порядка:
Если какой-либо из единичных элементов в цепи отказы- вает, то и вся система перестает работать. Питание с реле снимается, вызывая размыкание контактов, и происходит же- сткий, программно-неконтролируемый, физический ("безо- пасный") останов.
Прежде чем рассмотреть разницу между показателями надежности и безопасности одноканальной системы и систе- мами более высокого порядка, введем два определения:
1. Если входной сигнал не подвергается никакому анали- зу, то любой дребезг контакта приводит к ложному сигналу на срабатывание блокировки. Обозначим ве- роятность ложного срабатывания для одноканальной системы в течение 1 года как р
$
:
РГ = Ps

/ )iaea 3. Архитектура систем управления и защиты
163 2. Если выходные контакты залипли, возникает опасный отказ, который можно выявить только после деблоки- ровки и последующего тестирования. Либо, что самое неприятное, после того, как блокировка в нужный мо- мент не сработала.
Обозначим вероятность опасного отказа в течение од- ного года как p
D
:
Р Г = Ро •
Примечание:
Во всех последующих примерах предполагается, что
реле под нагрузкой имеют замкнутые контакты.
3.4. Архитектура 1оо2
(рис. 3.2)
1оо2
Рис. 3.2
Данная конфигурация означает, что ложный останов
произойдет в том случае, если контакты любого из двух по- следовательных реле разомкнуться.
Поскольку по сравнению с системой lool данная система имеет удвоенное количество оборудования, вероятность
ложного срабатывания удваивается, и составляет
Р Т
2
= 2 p s
Опасный отказ произойдет только в том случае, если оба канала откажут одноврёменно. Для независимых событий ве- роятность отказа обоих каналов одноврёменно будет опреде- ляться как квадрат вероятности опасного отказа одноканаль- ной системы:

164 Справочник инженера по А СУТП: Проектирование и разработка
рГ = Р
2
о
Поскольку данная вероятность довольно мала, система 1оо2 обладает высокой степенью безопасности.
Однако частота ложных срабатываний по сравнению с
одноканальной системой удваивается.
3.5. Архитектура 2оо2
(рис. 3.3)
О—
^ ^ ® 1
Система 2оо2 имеет два набора контактов, установленных параллельно. Для того чтобы произошел ложный останов,
оба канала должны осуществить ложный останов одноврёменно. Поэтому для независимых событий вероят- ность одновременного ложного срабатывания обоих каналов определяется произведением вероятностей:
Ps
002
=Ps'Ps=P
2
s
Эта вероятность чрезвычайно мала, но вероятность несра- батывания оказывается очень высокой:
Для опасного отказа достаточно, чтобы отказал один из двух каналов. И поскольку данная система имеет удвоенное количество оборудования, то вероятность опасного отказа
(несрабатывания) удваивается:
р Г
2
= 2
Р о
Таким образом, как это ни парадоксально, но система
2оо2 уступает по безопасности одноканальной системе lool в два раза.

/ лава 3. Архитектура систем управления и защиты
165 3.6. Архитектура 2ооЗ
(рис. 3.4)
О
а
о
2ооЗ
Рис. 3.4
Система со специфической архитектурой на базе трех попарно
"голосующих" в порядке 1-2, 1-3, 2-3 элементов. Система счи- тается работоспособной, если результаты работы любых двух элементов совпадают. В чистом виде (без общих отказов -
Common Cause Failures, IEC 61508) вероятность всех типов отказа архитектуры 2ооЗ в ТРИ РАЗА ВЫШЕ, чем для систе- мы 1оо2. Это обстоятельство объясняется довольно просто:
Без учета перестановок существует только одно сочетание для отказа системы 1оо2 - это комбинация (1-2).
Для системы 2ооЗ таких сочетаний три:
(1-2), (1-3), (2-3)
С учетом перестановок оба набора сочетаний синхронно уд- ваиваются, соответственно удваивается и частота отказов, со- храняя общее соотношение вероятностей отказа
Р1оо2 / Р2003
=
1 / 3
Расчеты показывают, что и в целом, то есть с учетом
плия ни я отказов общего порядка конфигурация 2ооЗ имеет
меньшую надежность в сравнении с архитектурой loo2D (см.
I КС 61508, Part 6).

1 6 6 Справочник инженера по А СУТП: Проектирование и разработка
3.7. Основные архитектуры промышленных систем
безопасности. Архитектура loolD
(рис. 3.5, рис. 3.6)
Входной Управляющий Выходной
модуль модуль модуль
В простейшем варианте в эту архитектуру добавляется дополнительный электронный ключ, управляемый диагности- ческой цепью.
В качестве средства диагностики выступает обычный сто- рожевой таймер (Watchdog). В том случае, когда диагностика обнаруживает опасный отказ, ключ может снять питание с выхода, преобразуя опасный отказ в почти "безопасный".
Суффикс "D" в данном случае отражает расширенные воз- можности самодиагностики, внесенные в канал.
В стандартной конфигурации данная архитектура имеет дополнительные диагностические цепи и на модулях ввода- вывода:
Входной Управляющий Выходной
модуль модуль модуль
1оо1Р
Рис. 3.6

/ )iaea 3. Архитектура систем управления и защиты
167
3.8. Архитектура loolD - расширенный вариант
(рис. 3.7, рис. 3.8)
О
L
Рис. 3.7
Стандартная архитектура loolD дополняется вводом еще одного процессора в основной канал системы. Расширенный вариант конфигурации loolD предоставляет недорогую воз- можность увеличения уровня самодиагностики.
Тонкость состоит в том, что это - воистину одноканаль- иая система, поскольку оба процессора находятся на одном модуле, и восстановлению в режиме on-line по отдельности не подлежат.
Степень диагностического охвата по сравнению с преды- дущим вариантом (рис. 3.6) увеличивается, однако после об- наружения отказа одного из процессоров не остается ничего другого, как снять питание с выходных реле, и совершить не- запланированный останов.
Существует более продуманный и гибкий вариант одно- канальной системы, когда центральные процессоры и диагно- егические цепи полностью дублируются, и размещаются на отдельных управляющих модулях (рис. 3.8).
Входной Управляющий Выходной
модуль модуль модуль
1oo1D

168 Справочник инженера по А СУТП: Проектирование и разработка
Управляющий
модуль
Рис. 3.8
Примечание
Это может быть, например, один из вариантов архи-
тектуры системы противоаварийной защиты Quadlog, ко-
торый использует фирма Siemens Energy & Automation.
В отличие от "чисто" одноканальной системы, данный расширенный вариант потенциально позволяет произвести замену отказавшего модуля управления в режиме on-line, либо провести программно-управляемый останов.
Но поскольку входная и выходная цепи не резервиро-
ваны, система по определению относится к классу loolD.
Таким образом, все без исключения модификации систем с
архитектурой loolD, включая и последнюю, аттестуются
по классу RC4 и уровню SIL2.

/ )iaea 3. Архитектура систем управления и защиты
169 3.9. Архитектура loolD - "горячее" резервирование
(рис. 3.9)
Управляющий
модуль
Рис. 3.9
В эту архитектуру добавлен дополнительный электрон- ный ключ, управляемый диагностическими цепями управ- ляющих модулей.
В качестве средства диагностики каждого канала высту- пает обычный сторожевой таймер. Ключ периодически пере- ключается в соседнее положение - так подтверждается функ- циональность резервного канала.
Дополнительно может использоваться сравнение процес- соров. Если на момент переключения резервный канал оказы- вается неработоспособен, то и вся система считается неспо- собной к выполнению функций защиты.
В случае какого-либо отклонения от штатной работы пи- тание с выходных цепей снимается, и происходит незаплани- рованный останов процесса.
Все без исключения модификации систем с архитектурой
loolD включая и последнюю, аттестуются по RC4 и S1L2.

170 Справочник инженера по А СУТП: Проектирование и разработка
3.10. Архитектура 2оо2 (рис. 3.10, рис. 3.11)
Входной Управляющий Выходной
Рис. 3.10
Следует обратить внимание на то обстоятельство, что на- личие диагностических цепей и межпроцессорного взаимо- действия не превращает архитектуру 2оо2 в архитектуру
2oo2D, поскольку данное обстоятельство только повышает уровень самодиагностики, но никак не меняет принцип дейст- вия системы. Именно по этой причине архитектуру loolD часто не выделяют особо из семейства lool, и если это не вы- зывает недоразумений, помечают просто как систему lool.
Вот что просто, доходчиво, русским языком по-английски го- ворит об архитектуре 2оо2 стандарт IEC 61508 (Part 6, Annex
В, пункт В.2.2.3, стр. 55):
"This architecture consists of two channels connected in par-
allel so that both channels need to demand the safety function be-
fore it can take place. It is assumed that any diagnostic testing
would only report the faults found and would not change any out-
put states or change the output voting

/ )iaea 3. Архитектура систем управления и защиты
171
"Эта архитектура состоит из двух каналов, соединен-
ных параллельно, так что оба канала должны выполнить
функцию безопасности, чтобы она смогла иметь место.
Предполагается, что любое диагностическое тестирование
будет только извещать об обнаруженных сбоях и не будет
изменять состояния выходов или изменять выходное голосо-
вание
Чтобы произвести аварийный останов, оба канала долж- ны дать команду на аварийный останов. Для того чтобы про- изошел ложный останов, оба канала должны осуществить ложный останов одновременно. Чтобы произошел опасный
отказ - несрабатывание в нужный момент, - достаточно, что- бы отказал любой из каналов.
С оответственно, вероятность опасного отказа системы 2оо2
н два раза выше, чем у системы lool.
По этой причине в чистом виде системы 2оо2 для защиты технологических объектов не применяются. Однако, как мы увидим далее при рассмотрении архитектуры loo2D, резкое снижение вероятности ложных остановов архитектуры 2оо2 использовано в архитектуре loo2D остроумным сочетанием преимуществ систем 1оо2 и 2оо2.
Все системы с архитектурой 2оо2 аттестуются
но классу RC4 и уровню SIL2.
Важно понимать, что количество процессоров на одном управляющем модуле никак не может изменить архитектуру системы. В представленной ниже схеме (рис. 3.11) на каждом управляющем модуле РЕ А и РЕ В размещено по два процес- сора, - PSU А1 и PSU А2, PSU В1 и PSU В2. Кроме того, до- бавлены диагностические цепи и межпроцессорное взаимо- действие, однако архитектура системы остается неизменной -
2оо2.
Источник информации рис. 3.11:
"Comparison of Programmable Electronic Safety-Related
System Architectures10 January, 2003. Anton A. Frederickson,
Dr. Independent Consultant, Member of Safety Users Group Net-
work. Авторская графика намеренно сохранена в неприкосно-
венности.

172 Справочник инженера по А СУТП: Проектирование и разработка
PSU I
А1
PSU
А 2
Diagnostic*
1 р
1 р
1С 1 р
1 р
1 р
1 р
1 р
1С 1 р
1 р
1 р

А
I
t . .
PSU
61
PSU
В2 liilii
-
-
%
ОС
FIGURE 4-4 Dual PE with Dual I/O, External Watchdogs, Interprocessor Communication
and lool Shutdown Logic
Puc. 3.11
3.11. Архитектура 1оо2
Важно понимать разницу между системами 1оо2 и loo2D.
Чтобы сразу внести определенность, приведем схему сис- темы 1оо2 (рис. 3.12), которая часто помечается как система с архитектурой loo2D, однако таковой не является.
В очередной раз необходимо обратить внимание, что, не- смотря на то, что в представленной на рис. 3.12 схеме на каж- дом управляющем модуле РЕ А и РЕ В размещено по два про- цессора - PSU А1 и PSU А2, PSU В1 и PSU В2, и, кроме того, добавлены диагностические цепи и межпроцессорное взаимо- действие, -
Архитектура системы остается неизменной - 1оо2.
Примечание
Некоторые вообще умудряются отнести эту систему к
архитектуре 2оо4, и даже более того -к ни кому не ведомой
архитектуре 2oo4D.

/ )iaea 3. Архитектура систем управления и защиты
173 1 р
1 р
1С 1 р
1 р
1 р
1 р
1 р
1С 1 р
1 р
1 р

ОС
О
р
О
р
О
р ОС
О
р
О
р
Output
Termination

FIGURE 4-3 Dual РЕ with Dual I/O, Interprocessor Communication
and 1oo2 Shutdown Logic
Рис. 3.12
Источник информаиии рис. ЗА2:
"Comparison of Programmable Electronic Safety-Related System
Architectures", 10 January, 2003. Anton A. Frederickson, Dr. In-
dependent Consultant, Member of Safety Users Group Network.
Несмотря на то, что система имеет по два процессора и сторожевой таймер на каждом из двух управляющих модулей, а также может осуществлять межпроцессорное взаимодейст- вие, тем не менее, эта схема классифицируется как система с архитектурой 1оо2.
Вот что простым и доходчивым русским языком, по- английски говорит об архитектуре 1оо2 стандарт IEC 61508
(Part 6, Annex В, пункт В.2.2.2, стр. 53):
"This architecture consists of two channels connected in par-
allel, such that either channel can process the safety function. Thus
there would have to be a dangerous failure in both channels before
a safety function failed on demand. It is assumed that any diagnos-
tic testing would only report the faults found and would not change
any output states or change the output voting
И означает это буквально следующее:
"Архитектура состоит из двух каналов, соединенных па-
раллельно, так что любой из каналов может обработать

174 Справочник инженера по А СУТП: Проектирование и разработка
функцию безопасности. Таким образом, должен произойти
опасный отказ в обоих каналах, чтобы система не смогла
осуществить функцию защиты. Предполагается, чшо любое
диагностическое тестирование будет только извещать об
обнаруженных сбоях, и не будет изменять состояния выхо-
дов, или изменять выходное голосование
Таким образом, ни количество процессоров на одном
управляющем модуле, ни наличие диагностических цепей,
ни межпроцессорное взаимодействие НЕ ЯВЛЯЕТСЯ от-
личительным признаком системы loo2D, и не переводит
автоматически систему 1оо2 в систему loo2D:
В случае отказа любого из каналов питание с выходных
реле снимается, и процесс останавливается.
Поэтому все без исключения модификации систем с архи-
тектурой 1оо2 аттестуются по RC4 и SIL2.
Наша цель состоит в том, чтобы построить такую архи- тектуру, которая позволяла бы блокировать ошибочные дей- ствия соседнего канала, и давала бы возможность производить восстановление исходной конфигурации системы в реальном времени. Для превращения архитектуры 1оо2 в архитектуру loo2D должна измениться логика управления выходом систе- мы. Для архитектуры loo2D в случае отказа одного из каналов должен быть выбор:
1. Осуществить восстановление системы в течение пре- допределенного интервала времени, или
2. Произвести программно-управляемый останов.
В конце концов, было найдено решение, которое позволя- ет сочетать устойчивость архитектуры 2оо2 по отношению к ложным остановам, и устойчивость архитектуры 1оо2 по от- ношению к опасным отказам (несрабатыванию в нужный мо- мент). Решение проблемы состоит в той специфической орга- низации взаимодействия управляющих, входных, выходных модулей, и, главное, диагностических цепей обоих каналов, которая получила название четырехполюсной архитектуры
loo2D. Несколько позже будет представлена система с архи- тектурой 2ооЗ, для которой в случае отказа одного из трех управляющих модулей также существует возможность вос- становления в реальном времени.
А теперь - loo2D.

/ )iaea 3. Архитектура систем управления и защиты
175
3.12. Архитектура loo2D - Классический вариант
(рис. 3.13)
Входной Управляющий Выходной
модуль модуль модуль
1 о о 2 Р
Рис. 3.13
Данная архитектура построена на остроумном сочетании преимуществ систем 1оо2 и 2оо2. Система состоит из двух самостоятельных наборов оборудования (каналов). Каждый из каналов содержит:
• Входные модули
• Логическое устройство - управляющий модуль
• Выходные модули
• Диагностические цепи на каждом модуле.
Вот что говорит стандарт IEC 61508-6 об архитектуре loo2D (Annex В, пункт В.2.2.4, стр. 57):
"This architecture consists of two channels connected in par-
allel During normal operation, both channels need to demand the
safety function before it can take place. In addition, if the diagnos-
tic tests in either channel detect a fault then the output voting is
adapted so that the overall output state then follows that given by
the other channel

176 Справочник инженера по А СУТП: Проектирование и разработка
If the diagnostic tests find faults in both channels or a dis-
crepancy that cannot be allocated to either channel, then the out-
put goes to the safe state. In order to detect a discrepancy between
the channels, either channel can determine the state of the other
channel via a means independent of the other channel".
Итак:
"Эта архитектура состоит из двух каналов, соединен-
ных параллельно. Во время нормальной работы необходимо,
чтобы оба канала выдали команду на выполнение функции
безопасности, чтобы она смогла осуществиться. Кроме то-
го, если диагностическое тестирование обнаруживает сбой в
любом из каналов, процедура голосования строится таким
образом, что общее состояние выхода будет определяться
другим каналом.
Если диагностическое тестирование обнаруживает сбои
в обоих каналах, или обнаруживает расхождение, которое не
может быть приписано к какому-либо из каналов, то выход
системы переводится в состояние останова ("безопасное"
состояние). Для того чтобы расхождение между каналами
могло быть обнаружено, каждый из каналов должен иметь
возможность определять состояние другого канала с помо-
щью средств, независимых от проверяемого канала".
Однако в стандарте не поясняется:
Что же это за средства, независимые от другого канала?
В данном случае - это не просто "возможность опреде- лять состояние другого канала", а оригинальное сочетание архитектур 2оо2 и 1оо2, позволяющее использовать диагно- стические цепи в качестве дополнительной пары каналов, по- строенных на альтернативных элементах и совершенно иных схемных решениях. Оба диагностических канала работают таким образом, что без перекрестного подтверждения сосед- ний канал не сможет выдать команду на изменение выхода.
Поэтому символ "D" в архитектуре loo2D означает не про-
сто расширенные возможности диагностики, а особым об-
разом организованное взаимодействие управляющих и
диагностических цепей, позволяющее фактически реали-
зовать реальную квадро - систему, имея:
- Два канала обработки информации, и
- Два диагностических канала.

/ )iaea 3. Архитектура систем управления и защиты
177
3.13. Логика работы системы loo2D
В норме для минимизации ложных срабатываний система работает по схеме 2оо2. Если диагностика обнаруживает от- каз, то отключает выходную цепь данного канала, и система продолжает работу по схеме loolD. Система остается работо- способной, поскольку второй канал поддерживает общую на- грузку на выходе.
Каждый канал имеет сторожевой таймер, который служит вторичным средством отключения выходов. В данной архи- тектуре используется межпроцессорное взаимодействие кана- лов для сравнения входных данных, результатов вычислений, и выходных данных.
Все системы с архитектурой loo2D аттестуются по классу
RC6 и уровню SIL3.
Из всех рассмотренных до сих пор систем только системы с архитектурой loo2D имеют законное право на восстановле- ние в режиме on-line. Однако необходимо помнить, что для соответствия всего контура защиты требуемому классу необ- ходимо учитывать не только категорию PLC, но и надежность, и степень резервирования, и уровень диагностики полевого оборудования.
Системы loo2D предоставляют исключительно высокий
уровень диагностики. Это фактически означает, что в
применении дублированных процессоров на модулях
управления непосредственной необходимости нет.
Тем не менее, системы с дублированными процессорами на каждом управляющем модуле существуют (см. рис. 3.14).
Источник информации - тот же:
"Comparison of Programmable Electronic Safety-Related
System Architectures", 10 January, 2003. Anton A. Frederickson,
Dr. Independent Consultant, Member of Safety Users Group Net-
work. Авторская графика намеренно сохранена в неприкосно-
венности.

178 Справочник инженера по А СУТП: Проектирование и разработка
3.14. Важный пример архитектуры loo2D
(рис. 3.14)
FIGURE 4-5 Dual РЕ with Dual I/O, External Watchdogs, Interprocessor Communication
and 1oo2D Shutdown Logic
Puc. 3.14
В очередной раз необходимо обратить внимание на то об- стоятельство, что наличие двух процессоров на одном управ- ляющем модуле не меняет архитектуру системы.
Но вокруг систем с удвоенным количеством процессоров на каждом управляющем модуле образовано такое количество недоразумений и мистификаций, что необходимо подробно представить и логику работы, и место данной архитектуры в общем ряду систем безопасности.
Главное недоразумение, которое связано с системами это- го рода, и на котором необходимо остановиться, заключается в следующем:
Архитектуру loo2D с дублированными процессорами на модулях управления некоторые энтузиасты этих систем смело определяют как архитектуру 2оо4, и даже 2oo4D.

/ )iaea 3. Архитектура систем управления и защиты
179
3.15. Архитектура loo2D - модификация 2*2 ("2оо4")
Так же, как и для архитектур loolD, 2оо2 и 1оо2, сущест- вуют модификации архитектур loo2D с дублированными про- цессорами в каждом управляющем модуле (рис. 3.15).
Входной Управляющий Выходной
модуль модуль модуль
1оо2Р
Рис. 3.15
Центральная часть системы построена по принципу 2*2, то есть каждый из двух управляющих модулей содержит по 2 микропроцессора. В случае расхождения в работе какой-либо пары микропроцессоров, данный канал выключается из рабо- ты, и система продолжает работу по одноканальной схеме loolD.
Исходная конфигурация системы может быть восстанов- лена в течение предопределенного интервала в реальном вре- мени. Если по каким-либо причинам замена дефектного моду- ля не может быть произведена, то в течение предопределенно- го интервала времени система имеет возможность произвести программно-управляемый останов процесса.
Архитектуру loo2D с дублированными процессорами на модулях управления некоторые энтузиасты этих систем смело определяют как архитектуру 2оо4, и даже 2oo4D.

180 Справочник инженера по А СУТП: Проектирование и разработка
Замечание 1
Подобные рассуждения затрагивают только централь-
ную часть системы - модули управления. Степень резервиро-
вания модулей ввода-вывода и полевого оборудования обычно
даже не упоминается. А если и упоминается, то и шины вво-
да-вывода, и входные и выходные модули сами авторы кон-
цепции 2оо4 определяют все же как схемы с архитектурой
1оо2.
Внимательно посмотрим на схему рис.3.15. На самом де-
ле центральная часть этой системы работает по принципу
2*2жаждая пара процессоров находится на одном модуле, и
на выходы системы воздействует модуль, а не индивидуаль-
ный процессор.
Необходимо помнить, что по определению, под каналом понимается элемент, или группа элементов, способных само- стоятельно выполнять предопределенную функцию.
Поэтому даже если бы центральная часть этой системы действительно реализовала архитектуру 2оо4 (для чего требу- ется разместить процессоры на четырех модулях управления), общеизвестно, что итоговая конфигурация определяется наи- более слабым звеном, в том числе и в архитектурном отноше- нии, и даже в этом случае система определялась бы как систе- ма 1оо2.
Замечание 2
Четверка в коде архитектуры подразумевает существо-
вание не только схемы 2оо4, но и схем Зоо4, и 1оо4, но об
этом благоразумно не упоминается, поскольку архитектура
"2оо4" по схемам деградации Зоо4 и 1оо4 работать не мо-
жет.
Замечание 3
Работа центральной части системы "2оо4" в случае от-
каза одного из процессоров эквивалентна работе на одном
канале по схеме loolD, и в этом смысле полностью эквива-
лентна логике работы системы loo2D при отказе одного из
процессоров.
Сравнивая структуру отказов архитектур 2*2 ("2оо4"),
2ооЗ и loo2D, мы видим, что стандартно все они имеют
одинаковые схемы деградации:
• 4-2-0 (останов процесса после второго обнаруженно-
го отказа);

/ )iaea 3. Архитектура систем управления и защиты
181
• 3-2-0 (останов процесса после второго обнаруженно-
го отказа);
• 2-1-0 (останов процесса после второго обнаруженно-
го отказа).
Причем все три представленные архитектуры могут на-
ходиться в составе одной функции безопасности - едином
контуре защиты:
• Архитектура 2ооЗ - в конфигурации датчиков,
• Архитектура 1оо2 - в конфигурации модулей ввода-
вывода и исполнительных механизмов,
• Архитектура loo2D ("2оо4 ") - в конфигурации управ-
ляющих модулей.
Приведенные соображения не дают повода для сомнений:
Очевидно, что в конфигурации 2*2 реализована схема
loo2D.
Пара микропроцессоров используется только для самоди- агностики модуля управления, и только пара синхронно рабо- тающих микропроцессоров модуля управления формирует работоспособный канал. Каждый из каналов работает по схе- ме loolD:
Канал отключается после первой же обнаруженной ошиб- ки, и управление выходом системы полностью переходит к оставшемуся в работе каналу.
Поэтому необходимо интерпретировать данную схему как двухканальную схему loo2D, понимая под кодом D специфи- ческий способ взаимной диагностики каналов и управления выходом системы.
Системы loo2D по определению имеют лучшую архи- тектуру из всех существующих, и не нуждаются ни в каких дополнительных рекламных трюках:
Все модификации архитектуры loo2D аттестуются
по классу RC6 и уровню SIL3.

182 Справочник инженера по А СУТП: Проектирование и разработка
3.16. Внимание к деталям
Даже у самых известных исследователей и специалистов по промышленной безопасности случаются нелепые ошибки и совершенно курьезные случаи при определении типа архитек- туры. В своей в целом содержательной статье
"How Diagnostic Coverage Improves Safety in Programmable
Electronic Systems", ISA Transactions, Vol 36, No. 4, The Nether-
lands: Amsterdam, Elsevier Science В. V. 1998.
William M. Goble, Eindhoven University of Technology,
Eindhoven, the Netherlands.
Julia V. Bukowski, Department of Electrical and Computer Engi-
neering Villanova University, Villanova, PA.
Prof. Dr. Ir. A. C. Brombacher, Faculty of Mechanical Engineer-
ing Eindhoven University of Technology, Eindhoven, the Nether-
lands,
под сопроводительным текстом:
"Когда оба набора электроники компонуются вместе, созда-
ется четырехканальная архитектура loo2D (Figure 4)",
эти крупнейшие западные специалисты приводят следующую схему:
Input Circuit ^
Logic Sofrei ^ Output Circuit
* * J
• »
Diagnostic Circuit
1 Г
11

Input Circuit

l
Logic Solver
Logic Solver
Output Circuit
f
Diagnostic Ctrcuit
Г
Figure 4.1oo2D Architecture with Interprocessor
Communication.
Puc. 3.16
Удивительно, что авторы такого ранга допускают такие ошиб- ки, но вопреки подписи, на данной схеме представлена вовсе не архитектура loo2D, да к тому же еще и "четырехканаль-
ная", и даже не архитектура 1оо2, а архитектура 2оо2!
(сравните с рис. 3.10 и рис. 3.11).

/ )iaea 3. Архитектура систем управления и защиты
183
ЗЛ7. Классические архитектуры 2ооЗ
TMR - Triple Modular Redundancy - системы со специфи- ческой архитектурой на базе трех "голосующих" в порядке
А-В, А-С, В-С процессоров. Как сказано в стандарте IEC
61508 (Part 6, Annex В, пункт В.2.2.5, стр. 59):
"This architecture consists of three channels connected in
parallel with a majority voting arrangement for the output signals,
such that the output state is not changed if only one channel gives
a different result which disagrees with the other two channels. It is
assumed that any diagnostic testing would only report the faults
found and would not change any output states or change the out-
put voting". -
"Эта архитектура состоит из трех каналов, соединен-
ных параллельно, с голосованием по принципу большинства
таким образом, что состояние выхода не меняется, если
только один канал дает результат, отличный от двух других
каналов. Предполагается, что любое диагностическое тес-
тирование будет только извещать об обнаруженных сбо-
ях, и не будет изменять состояния выходов, или изменять
выходное голосование
Коротко и ясно. Но следует обратить внимание на по- следнюю сентенцию. Мы с ней уже встречались, когда приво- дили цитаты стандарта IEC 61508 для систем с архитектурами
2002 и 1оо2, также не имеющих признака диагностики D.
В отличие от архитектур 1оо2, 2оо2 и 2ооЗ, системы loo2D имеют принципиально иную логику взаимодействия диагностических и управляющих цепей, чем простое сравне- ние состояния процессоров. И даже оказавшись в одиночест- ве, одиночный канал системы loo2D имеет право контролиро- вать общий выход системы в течение предопределенного ин- тервала времени.
Как мы уже подробно исследовали в главе "Постановка
задач автоматизациидвухканальная работа архитектуры
2003 полностью эквивалентна одноканальной работе архитек- туры loo2D по схеме loolD.
Поэтому одноканальная работа голосующей архитек-
туры 2ооЗ по схеме lool на взрывоопасных производствах
невозможна - результат непредсказуем, ведь системе lool
просто не с кем и не за кого голосовать.

184 Справочник инженера по А СУТП: Проектирование и разработка
Примеры классических систем типа 2ооЗ - Tricon фирмы
Triconex (Invensys), и August (Triguard) фирмы ABB. Архитек- тура этих систем представлена на рис. 3.17. Расчеты показы- вают, что в целом эта конфигурация даже с учетом влияния отказов общего порядка имеет меньшую надежность в сравне- нии с конфигурацией loo2D. А без учета влияния общих отка- зов вероятность всех типов отказа архитектуры 2ооЗ в
ТРИ РАЗА ВЫШЕ, чем архитектуры loo2D (см. IEC 61508,
Part 6, Annex В, Tables В.2-В.5, В1 О-В. 13).
Рис. 5.77
Причем необходимо обратить самое пристальное внима- ние на то, что эти расчеты МЭК относятся только к цен-
тральной части системы, изображенной на рис. 3.17, дейст- вительно имеющей тройное модульное резервирование. Для модулей ввода-вывода ситуация серьезней - все три сегмента
(Legs А, В, С) находятся на ОДНОЙ плате. Более того, все мо- дули ввода-вывода используют мультиплексирование по 8, 16,
32 и даже 64 точкам ввода-вывода.
Существуют модификации систем с архитектурой 2ооЗ, которые имеют по 2 микропроцессора на каждом модуле управления, например, системы Tricon и Trident. Если в выра- жение вероятности отказа архитектуры 2ооЗ Р
2оо3
= (Л if под- ставить удвоенную частоту отказа канала, то вероятность отказа архитектуры 2ооЗ ("4оо6") составит:
Р
4оо
ь'А(2Л) t¥ = 4.(A t)
2
=4-P
2oo3y
то есть возрастет в четыре раза.

1   ...   11   12   13   14   15   16   17   18   ...   68


написать администратору сайта