Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

Системы, предназначенные для выполнения задач управ-
ления и защиты технологических процессов, - это детер-
минированные системы, то есть такие системы, которые
должны обеспечивать реакцию на событие в течение
известного предопределенного интервала времени при лю-
бых обстоятельствах.
Все элементы системы - от сенсора до исполнительного механизма - должны обеспечивать не абстрактное "математи- чески" ожидаемое, а точно известное время реакции.
Сказанное означает, что детерминированная система должна обладать значительной аппаратной и функциональной избыточностью по всем компонентам системы: процессоры, память, шины данных, количество каналов ввода-вывода, частота сканирования каналов и программ, и т. д.

/ )iaea 3. Архитектура систем управления и защиты
159
Промышленные сети также должны подчиняться этим требованиям: характеристикой промышленной сети должно быть гарантированное время реакции на событие, а не средняя скорость передачи.
Для недетерминированных систем собственные вычисли- тельные ресурсы и средства коммуникации могут внести не- предсказуемые задержки в силу различных внешних и внут- ренних причин:
• Обработка асинхронных прерываний извне.
• Отсутствие реальной многозадачности и неумение ра- ботать по приоритетам.
• Ожидание освобождения общего ресурса (процессор, память, драйвер...).
• Использование устройств с непредсказуемым време- нем реакции (позиционирование жесткого диска) и то- му подобное.
То, что недетерминированные системы не способны обеспечить заданное время реакции даже при отсутствии внешних причин, на своей шкуре испытано всеми пользовате- лями Windows. Вам остается только с изумлением наблюдать, как система - и модель, и воплощение абсолютной власти - живет своей внутренней и очень насыщенной жизнью, которая к вам не имеет абсолютно никакого отношения. А ваши дей- ствия ей только мешают, и воспринимаются не иначе, как до- садная необходимость чистить зубы. Воистину монумент бес- конечному снобизму и авантюризму ее создателей. Но ради мирового информационного захвата и не такое сделаешь.
Детерминированное, предсказуемое поведение системы неразрывно связано с понятием жесткого реального време-
ни. В жесткой системе:
• Опоздания не допускаются ни при каких обстоя-
тельствах.
• Опоздание считается катастрофическим сбоем.
• Цена опоздания очень велика.
Таким образом, системы безопасности в целом и безопас- ные ПЛК в частности, должны обеспечивать гарантирован-
ное время реакции на события. Это требование предполага- ет жесткий временной цикл работы системы, рассчитанный на самую неблагоприятную ситуацию по событиям.

160 Справочник инженера по А СУТП: Проектирование и разработка
Еще одним важным отличием безопасных ПЛК является
независимая сертификация этих систем третьими организа- циями на предмет их соответствия требованиям безопасности и надежности по международным стандартам.
Дополнительные требования предъявляются к проекти- рованию, изготовлению и тестированию данных ПЛК. Неза- висимые эксперты третьей стороны, такие как Exida, TUV или
Корпорация совместной инспекции производства, США (Fac-
tory Mutual Research Corporation - FM% обеспечивают про- верку качества разработки, конструкции и заводских процедур тестирования безопасных ПЛК. Тщательный анализ приме- няемых схемных решений и диагностического программного обеспечения, полное тестирование оборудования с искусст- венным внесением всех мыслимых отказов позволяет опреде- лить и выявить более 99% потенциально опасных отказов компонентов системы. Чтобы понять, каким образом может отказать каждый компонент системы, как система способна выявить эти отказы, и как система реагирует на отказы, при конструировании проводится анализ режимов отказов, эф- фектов и диагностики отказов (Failure Modes, Effects and Di-
agnostic Analysis - FMEDA). Эксперты FM, Exida или TUV
персонально выполняют процедуры тестирования отказов как часть процесса сертификации.
При испытаниях системного программного обеспечения проводится расширенный анализ и тестирование, включающее проверку операционных систем реального времени, многоза- дачного взаимодействия и прерываний. Все критические данные сохраняются в резервной памяти и проверяются перед использованием на соответствие спецификациям.
Для прикладного программного обеспечения ПЛК также разработаны международные стандарты (IEC 61131). Эти стандарты требуют использования специальных приемов и средств программирования для снижения сложности при реа- лизации алгоритмов. Во время разработки прикладного про- граммного обеспечения используются дополнительные сред- ства тестирования. Для проверки целостности данных при тес- тировании также используется внесение ошибок в исходные данные. Спроектированное программное обеспечение и про- веденное тестирование подробно документируются с тем, что- бы инспекторы могли понять работу системы.

/ )iaea 3. Архитектура систем управления и защиты
161
Безусловно, между обычными ПЛК и ПЛК, предназна- ченными для решения задач безопасности, есть много общего.
Например,
• И те, и другие могут опрашивать входы, производить вычисления и выдавать управляющие воздействия,
• И те, и другие имеют модули ввода-вывода, которые позволяют им интерпретировать ситуацию на процессе и воздействовать на исполнительные элементы,
• И те, и другие имеют интерфейсное и сетевое обору- дование.
Но существенным является другое:
• Обычные ПЛК изначально не спроектированы как от- казоустойчивые и безопасные системы.
• Обычные ПЛК не гарантируют детерминированного поведения системы.
И в этом состоит фундаментальная разница.
Появление международных стандартов безопасности, оп- ределяющих особые требования к проектированию, производ- ству и конкретной реализации безопасных ПЛК, связано с всё большим усложнением технологических процессов, и соот- ветствующим увеличением количества и масштабов аварий на производстве. Все, что способно снизить уровень этих требо- ваний, рассматривается как проявление легкомыслия и с про- фессиональной, и с социальной точки зрения, и с позиции коммерческих интересов.
3.2. Структура отказов базовых архитектур систем безо-
пасности
Системы безопасности по своей природе являются пас- сивными. Поэтому в режиме on-line выявить все виды отказов с помощью одной внутрисистемной диагностики невозможно.
Опасный отказ может существовать абсолютно необнаружен- ным до тех пор, пока система неактивна. Система безопасно- сти может отказать одним из двух способов:
Во-первых, она может вызвать или инициировать лож- ный, немотивированный останов, и остановить производство, в то время как фактически ничего опасного не произошло.
Если выходные цепи спроектированы таким образом, что в нормальных рабочих условиях реле находятся под напряже-
6-3110

162 Справочник инженера по А СУТП: Проектирование и разработка
нием и контакты замкнуты, то в случае отказа системы защи- ты электропитание с контактов снимается, и они размыкают- ся, вызывая останов процесса. Некоторые люди называют по- добную ситуацию "безопасным" отказом.
Во-вторых, система защиты может отказать прямо проти- воположным способом, то есть НЕ выполнить функцию защи- ты, в то время как это действительно требуется со стороны процесса. Примером подобной ситуации являются реле с за- липшими контактами, которые не могут разомкнуться для правильного срабатывания блокировки, либо заклинивший исполнительный механизм отсекателя. Подобные отказы на- зывают опасными отказами.
3.3. Архитектура lool
(рис. 3.1)
о—
l o o l
Рис. 3.1
Резервирование отсутствует, поэтому система lool имеет присущую ей проблему общего порядка:
Если какой-либо из единичных элементов в цепи отказы- вает, то и вся система перестает работать. Питание с реле снимается, вызывая размыкание контактов, и происходит же- сткий, программно-неконтролируемый, физический ("безо- пасный") останов.
Прежде чем рассмотреть разницу между показателями надежности и безопасности одноканальной системы и систе- мами более высокого порядка, введем два определения:
1. Если входной сигнал не подвергается никакому анали- зу, то любой дребезг контакта приводит к ложному сигналу на срабатывание блокировки. Обозначим ве- роятность ложного срабатывания для одноканальной системы в течение 1 года как р
$
:
РГ = Ps

/ )iaea 3. Архитектура систем управления и защиты
163 2. Если выходные контакты залипли, возникает опасный отказ, который можно выявить только после деблоки- ровки и последующего тестирования. Либо, что самое неприятное, после того, как блокировка в нужный мо- мент не сработала.
Обозначим вероятность опасного отказа в течение од- ного года как p
D
:
Р Г = Ро •
Примечание:
Во всех последующих примерах предполагается, что
реле под нагрузкой имеют замкнутые контакты.
3.4. Архитектура 1оо2
(рис. 3.2)
1оо2
Рис. 3.2
Данная конфигурация означает, что ложный останов
произойдет в том случае, если контакты любого из двух по- следовательных реле разомкнуться.
Поскольку по сравнению с системой lool данная система имеет удвоенное количество оборудования, вероятность
ложного срабатывания удваивается, и составляет
Р Т
2
= 2 p s
Опасный отказ произойдет только в том случае, если оба канала откажут одноврёменно. Для независимых событий ве- роятность отказа обоих каналов одноврёменно будет опреде- ляться как квадрат вероятности опасного отказа одноканаль- ной системы:

164 Справочник инженера по А СУТП: Проектирование и разработка
рГ = Р
2
о
Поскольку данная вероятность довольно мала, система 1оо2 обладает высокой степенью безопасности.
Однако частота ложных срабатываний по сравнению с
одноканальной системой удваивается.
3.5. Архитектура 2оо2
(рис. 3.3)
О—
^ ^ ® 1
Система 2оо2 имеет два набора контактов, установленных параллельно. Для того чтобы произошел ложный останов,
оба канала должны осуществить ложный останов одноврёменно. Поэтому для независимых событий вероят- ность одновременного ложного срабатывания обоих каналов определяется произведением вероятностей:
Ps
002
=Ps'Ps=P
2
s
Эта вероятность чрезвычайно мала, но вероятность несра- батывания оказывается очень высокой:
Для опасного отказа достаточно, чтобы отказал один из двух каналов. И поскольку данная система имеет удвоенное количество оборудования, то вероятность опасного отказа
(несрабатывания) удваивается:
р Г
2
= 2
Р о
Таким образом, как это ни парадоксально, но система
2оо2 уступает по безопасности одноканальной системе lool в два раза.

/ лава 3. Архитектура систем управления и защиты
165 3.6. Архитектура 2ооЗ
(рис. 3.4)
О
а
о
2ооЗ
Рис. 3.4
Система со специфической архитектурой на базе трех попарно
"голосующих" в порядке 1-2, 1-3, 2-3 элементов. Система счи- тается работоспособной, если результаты работы любых двух элементов совпадают. В чистом виде (без общих отказов -
Common Cause Failures, IEC 61508) вероятность всех типов отказа архитектуры 2ооЗ в ТРИ РАЗА ВЫШЕ, чем для систе- мы 1оо2. Это обстоятельство объясняется довольно просто:
Без учета перестановок существует только одно сочетание для отказа системы 1оо2 - это комбинация (1-2).
Для системы 2ооЗ таких сочетаний три:
(1-2), (1-3), (2-3)
С учетом перестановок оба набора сочетаний синхронно уд- ваиваются, соответственно удваивается и частота отказов, со- храняя общее соотношение вероятностей отказа
Р1оо2 / Р2003
=
1 / 3
Расчеты показывают, что и в целом, то есть с учетом
плия ни я отказов общего порядка конфигурация 2ооЗ имеет
меньшую надежность в сравнении с архитектурой loo2D (см.
I КС 61508, Part 6).

1 6 6 Справочник инженера по А СУТП: Проектирование и разработка
3.7. Основные архитектуры промышленных систем
безопасности. Архитектура loolD
(рис. 3.5, рис. 3.6)
Входной Управляющий Выходной
модуль модуль модуль
В простейшем варианте в эту архитектуру добавляется дополнительный электронный ключ, управляемый диагности- ческой цепью.
В качестве средства диагностики выступает обычный сто- рожевой таймер (Watchdog). В том случае, когда диагностика обнаруживает опасный отказ, ключ может снять питание с выхода, преобразуя опасный отказ в почти "безопасный".
Суффикс "D" в данном случае отражает расширенные воз- можности самодиагностики, внесенные в канал.
В стандартной конфигурации данная архитектура имеет дополнительные диагностические цепи и на модулях ввода- вывода:
Входной Управляющий Выходной
модуль модуль модуль
1оо1Р
Рис. 3.6

/ )iaea 3. Архитектура систем управления и защиты
167
3.8. Архитектура loolD - расширенный вариант
(рис. 3.7, рис. 3.8)
О
L
Рис. 3.7
Стандартная архитектура loolD дополняется вводом еще одного процессора в основной канал системы. Расширенный вариант конфигурации loolD предоставляет недорогую воз- можность увеличения уровня самодиагностики.
Тонкость состоит в том, что это - воистину одноканаль- иая система, поскольку оба процессора находятся на одном модуле, и восстановлению в режиме on-line по отдельности не подлежат.
Степень диагностического охвата по сравнению с преды- дущим вариантом (рис. 3.6) увеличивается, однако после об- наружения отказа одного из процессоров не остается ничего другого, как снять питание с выходных реле, и совершить не- запланированный останов.
Существует более продуманный и гибкий вариант одно- канальной системы, когда центральные процессоры и диагно- егические цепи полностью дублируются, и размещаются на отдельных управляющих модулях (рис. 3.8).
Входной Управляющий Выходной
модуль модуль модуль
1oo1D

168 Справочник инженера по А СУТП: Проектирование и разработка
Управляющий
модуль
Рис. 3.8
Примечание
Это может быть, например, один из вариантов архи-
тектуры системы противоаварийной защиты Quadlog, ко-
торый использует фирма Siemens Energy & Automation.
В отличие от "чисто" одноканальной системы, данный расширенный вариант потенциально позволяет произвести замену отказавшего модуля управления в режиме on-line, либо провести программно-управляемый останов.
Но поскольку входная и выходная цепи не резервиро-
ваны, система по определению относится к классу loolD.
Таким образом, все без исключения модификации систем с
архитектурой loolD, включая и последнюю, аттестуются
по классу RC4 и уровню SIL2.

/ )iaea 3. Архитектура систем управления и защиты
169 3.9. Архитектура loolD - "горячее" резервирование
(рис. 3.9)
Управляющий
модуль
Рис. 3.9
В эту архитектуру добавлен дополнительный электрон- ный ключ, управляемый диагностическими цепями управ- ляющих модулей.
В качестве средства диагностики каждого канала высту- пает обычный сторожевой таймер. Ключ периодически пере- ключается в соседнее положение - так подтверждается функ- циональность резервного канала.
Дополнительно может использоваться сравнение процес- соров. Если на момент переключения резервный канал оказы- вается неработоспособен, то и вся система считается неспо- собной к выполнению функций защиты.
В случае какого-либо отклонения от штатной работы пи- тание с выходных цепей снимается, и происходит незаплани- рованный останов процесса.
Все без исключения модификации систем с архитектурой
loolD включая и последнюю, аттестуются по RC4 и S1L2.

170 Справочник инженера по А СУТП: Проектирование и разработка
3.10. Архитектура 2оо2 (рис. 3.10, рис. 3.11)
Входной Управляющий Выходной
Рис. 3.10
Следует обратить внимание на то обстоятельство, что на- личие диагностических цепей и межпроцессорного взаимо- действия не превращает архитектуру 2оо2 в архитектуру
2oo2D, поскольку данное обстоятельство только повышает уровень самодиагностики, но никак не меняет принцип дейст- вия системы. Именно по этой причине архитектуру loolD часто не выделяют особо из семейства lool, и если это не вы- зывает недоразумений, помечают просто как систему lool.
Вот что просто, доходчиво, русским языком по-английски го- ворит об архитектуре 2оо2 стандарт IEC 61508 (Part 6, Annex
В, пункт В.2.2.3, стр. 55):
"This architecture consists of two channels connected in par-
allel so that both channels need to demand the safety function be-
fore it can take place. It is assumed that any diagnostic testing
would only report the faults found and would not change any out-
put states or change the output voting

/ )iaea 3. Архитектура систем управления и защиты
171
"Эта архитектура состоит из двух каналов, соединен-
ных параллельно, так что оба канала должны выполнить
функцию безопасности, чтобы она смогла иметь место.
Предполагается, что любое диагностическое тестирование
будет только извещать об обнаруженных сбоях и не будет
изменять состояния выходов или изменять выходное голосо-
вание
Чтобы произвести аварийный останов, оба канала долж- ны дать команду на аварийный останов. Для того чтобы про- изошел ложный останов, оба канала должны осуществить ложный останов одновременно. Чтобы произошел опасный
отказ - несрабатывание в нужный момент, - достаточно, что- бы отказал любой из каналов.
С оответственно, вероятность опасного отказа системы 2оо2
н два раза выше, чем у системы lool.
По этой причине в чистом виде системы 2оо2 для защиты технологических объектов не применяются. Однако, как мы увидим далее при рассмотрении архитектуры loo2D, резкое снижение вероятности ложных остановов архитектуры 2оо2 использовано в архитектуре loo2D остроумным сочетанием преимуществ систем 1оо2 и 2оо2.
Все системы с архитектурой 2оо2 аттестуются
но классу RC4 и уровню SIL2.
Важно понимать, что количество процессоров на одном управляющем модуле никак не может изменить архитектуру системы. В представленной ниже схеме (рис. 3.11) на каждом управляющем модуле РЕ А и РЕ В размещено по два процес- сора, - PSU А1 и PSU А2, PSU В1 и PSU В2. Кроме того, до- бавлены диагностические цепи и межпроцессорное взаимо- действие, однако архитектура системы остается неизменной -
2оо2.
Источник информации рис. 3.11:
"Comparison of Programmable Electronic Safety-Related
System Architectures10 January, 2003. Anton A. Frederickson,
Dr. Independent Consultant, Member of Safety Users Group Net-
work. Авторская графика намеренно сохранена в неприкосно-
венности.

172 Справочник инженера по А СУТП: Проектирование и разработка
PSU I
А1
PSU
А 2
Diagnostic*
1 р
1 р
1С 1 р
1 р
1 р
1 р
1 р
1С 1 р
1 р
1 р
-О
А
I
t . .
PSU
61
PSU
В2 liilii
-
-
%
ОС
FIGURE 4-4 Dual PE with Dual I/O, External Watchdogs, Interprocessor Communication
and lool Shutdown Logic
Puc. 3.11
3.11. Архитектура 1оо2
Важно понимать разницу между системами 1оо2 и loo2D.
Чтобы сразу внести определенность, приведем схему сис- темы 1оо2 (рис. 3.12), которая часто помечается как система с архитектурой loo2D, однако таковой не является.
В очередной раз необходимо обратить внимание, что, не- смотря на то, что в представленной на рис. 3.12 схеме на каж- дом управляющем модуле РЕ А и РЕ В размещено по два про- цессора - PSU А1 и PSU А2, PSU В1 и PSU В2, и, кроме того, добавлены диагностические цепи и межпроцессорное взаимо- действие, -
Архитектура системы остается неизменной - 1оо2.
Примечание
Некоторые вообще умудряются отнести эту систему к
архитектуре 2оо4, и даже более того -к ни кому не ведомой
архитектуре 2oo4D.

/ )iaea 3. Архитектура систем управления и защиты
173 1 р
1 р
1С 1 р
1 р
1 р
1 р
1 р
1С 1 р
1 р
1 р
-и
ОС
О
р
О
р
О
р ОС
О
р
О
р
Output
Termination
-о
FIGURE 4-3 Dual РЕ with Dual I/O, Interprocessor Communication
and 1oo2 Shutdown Logic
Рис. 3.12
Источник информаиии рис. ЗА2:
"Comparison of Programmable Electronic Safety-Related System
Architectures", 10 January, 2003. Anton A. Frederickson, Dr. In-
dependent Consultant, Member of Safety Users Group Network.
Несмотря на то, что система имеет по два процессора и сторожевой таймер на каждом из двух управляющих модулей, а также может осуществлять межпроцессорное взаимодейст- вие, тем не менее, эта схема классифицируется как система с архитектурой 1оо2.
Вот что простым и доходчивым русским языком, по- английски говорит об архитектуре 1оо2 стандарт IEC 61508
(Part 6, Annex В, пункт В.2.2.2, стр. 53):
"This architecture consists of two channels connected in par-
allel, such that either channel can process the safety function. Thus
there would have to be a dangerous failure in both channels before
a safety function failed on demand. It is assumed that any diagnos-
tic testing would only report the faults found and would not change
any output states or change the output voting
И означает это буквально следующее:
"Архитектура состоит из двух каналов, соединенных па-
раллельно, так что любой из каналов может обработать

174 Справочник инженера по А СУТП: Проектирование и разработка
функцию безопасности. Таким образом, должен произойти
опасный отказ в обоих каналах, чтобы система не смогла
осуществить функцию защиты. Предполагается, чшо любое
диагностическое тестирование будет только извещать об
обнаруженных сбоях, и не будет изменять состояния выхо-
дов, или изменять выходное голосование
Таким образом, ни количество процессоров на одном
управляющем модуле, ни наличие диагностических цепей,
ни межпроцессорное взаимодействие НЕ ЯВЛЯЕТСЯ от-
личительным признаком системы loo2D, и не переводит
автоматически систему 1оо2 в систему loo2D:
В случае отказа любого из каналов питание с выходных
реле снимается, и процесс останавливается.
Поэтому все без исключения модификации систем с архи-
тектурой 1оо2 аттестуются по RC4 и SIL2.
Наша цель состоит в том, чтобы построить такую архи- тектуру, которая позволяла бы блокировать ошибочные дей- ствия соседнего канала, и давала бы возможность производить восстановление исходной конфигурации системы в реальном времени. Для превращения архитектуры 1оо2 в архитектуру loo2D должна измениться логика управления выходом систе- мы. Для архитектуры loo2D в случае отказа одного из каналов должен быть выбор:
1. Осуществить восстановление системы в течение пре- допределенного интервала времени, или
2. Произвести программно-управляемый останов.
В конце концов, было найдено решение, которое позволя- ет сочетать устойчивость архитектуры 2оо2 по отношению к ложным остановам, и устойчивость архитектуры 1оо2 по от- ношению к опасным отказам (несрабатыванию в нужный мо- мент). Решение проблемы состоит в той специфической орга- низации взаимодействия управляющих, входных, выходных модулей, и, главное, диагностических цепей обоих каналов, которая получила название четырехполюсной архитектуры
loo2D. Несколько позже будет представлена система с архи- тектурой 2ооЗ, для которой в случае отказа одного из трех управляющих модулей также существует возможность вос- становления в реальном времени.
А теперь - loo2D.

/ )iaea 3. Архитектура систем управления и защиты
175
3.12. Архитектура loo2D - Классический вариант
(рис. 3.13)
Входной Управляющий Выходной
модуль модуль модуль
1 о о 2 Р
Рис. 3.13
Данная архитектура построена на остроумном сочетании преимуществ систем 1оо2 и 2оо2. Система состоит из двух самостоятельных наборов оборудования (каналов). Каждый из каналов содержит:
• Входные модули
• Логическое устройство - управляющий модуль
• Выходные модули
• Диагностические цепи на каждом модуле.
Вот что говорит стандарт IEC 61508-6 об архитектуре loo2D (Annex В, пункт В.2.2.4, стр. 57):
"This architecture consists of two channels connected in par-
allel During normal operation, both channels need to demand the
safety function before it can take place. In addition, if the diagnos-
tic tests in either channel detect a fault then the output voting is
adapted so that the overall output state then follows that given by
the other channel

176 Справочник инженера по А СУТП: Проектирование и разработка
If the diagnostic tests find faults in both channels or a dis-
crepancy that cannot be allocated to either channel, then the out-
put goes to the safe state. In order to detect a discrepancy between
the channels, either channel can determine the state of the other
channel via a means independent of the other channel".
Итак:
"Эта архитектура состоит из двух каналов, соединен-
ных параллельно. Во время нормальной работы необходимо,
чтобы оба канала выдали команду на выполнение функции
безопасности, чтобы она смогла осуществиться. Кроме то-
го, если диагностическое тестирование обнаруживает сбой в
любом из каналов, процедура голосования строится таким
образом, что общее состояние выхода будет определяться
другим каналом.
Если диагностическое тестирование обнаруживает сбои
в обоих каналах, или обнаруживает расхождение, которое не
может быть приписано к какому-либо из каналов, то выход
системы переводится в состояние останова ("безопасное"
состояние). Для того чтобы расхождение между каналами
могло быть обнаружено, каждый из каналов должен иметь
возможность определять состояние другого канала с помо-
щью средств, независимых от проверяемого канала".
Однако в стандарте не поясняется:
Что же это за средства, независимые от другого канала?
В данном случае - это не просто "возможность опреде- лять состояние другого канала", а оригинальное сочетание архитектур 2оо2 и 1оо2, позволяющее использовать диагно- стические цепи в качестве дополнительной пары каналов, по- строенных на альтернативных элементах и совершенно иных схемных решениях. Оба диагностических канала работают таким образом, что без перекрестного подтверждения сосед- ний канал не сможет выдать команду на изменение выхода.
Поэтому символ "D" в архитектуре loo2D означает не про-
сто расширенные возможности диагностики, а особым об-
разом организованное взаимодействие управляющих и
диагностических цепей, позволяющее фактически реали-
зовать реальную квадро - систему, имея:
- Два канала обработки информации, и
- Два диагностических канала.

/ )iaea 3. Архитектура систем управления и защиты
177
3.13. Логика работы системы loo2D
В норме для минимизации ложных срабатываний система работает по схеме 2оо2. Если диагностика обнаруживает от- каз, то отключает выходную цепь данного канала, и система продолжает работу по схеме loolD. Система остается работо- способной, поскольку второй канал поддерживает общую на- грузку на выходе.
Каждый канал имеет сторожевой таймер, который служит вторичным средством отключения выходов. В данной архи- тектуре используется межпроцессорное взаимодействие кана- лов для сравнения входных данных, результатов вычислений, и выходных данных.
Все системы с архитектурой loo2D аттестуются по классу
RC6 и уровню SIL3.
Из всех рассмотренных до сих пор систем только системы с архитектурой loo2D имеют законное право на восстановле- ние в режиме on-line. Однако необходимо помнить, что для соответствия всего контура защиты требуемому классу необ- ходимо учитывать не только категорию PLC, но и надежность, и степень резервирования, и уровень диагностики полевого оборудования.
Системы loo2D предоставляют исключительно высокий
уровень диагностики. Это фактически означает, что в
применении дублированных процессоров на модулях
управления непосредственной необходимости нет.
Тем не менее, системы с дублированными процессорами на каждом управляющем модуле существуют (см. рис. 3.14).
Источник информации - тот же:
"Comparison of Programmable Electronic Safety-Related
System Architectures", 10 January, 2003. Anton A. Frederickson,
Dr. Independent Consultant, Member of Safety Users Group Net-
work. Авторская графика намеренно сохранена в неприкосно-
венности.

178 Справочник инженера по А СУТП: Проектирование и разработка
3.14. Важный пример архитектуры loo2D
(рис. 3.14)
FIGURE 4-5 Dual РЕ with Dual I/O, External Watchdogs, Interprocessor Communication
and 1oo2D Shutdown Logic
Puc. 3.14
В очередной раз необходимо обратить внимание на то об- стоятельство, что наличие двух процессоров на одном управ- ляющем модуле не меняет архитектуру системы.
Но вокруг систем с удвоенным количеством процессоров на каждом управляющем модуле образовано такое количество недоразумений и мистификаций, что необходимо подробно представить и логику работы, и место данной архитектуры в общем ряду систем безопасности.
Главное недоразумение, которое связано с системами это- го рода, и на котором необходимо остановиться, заключается в следующем:
Архитектуру loo2D с дублированными процессорами на модулях управления некоторые энтузиасты этих систем смело определяют как архитектуру 2оо4, и даже 2oo4D.

/ )iaea 3. Архитектура систем управления и защиты
179
3.15. Архитектура loo2D - модификация 2*2 ("2оо4")
Так же, как и для архитектур loolD, 2оо2 и 1оо2, сущест- вуют модификации архитектур loo2D с дублированными про- цессорами в каждом управляющем модуле (рис. 3.15).
Входной Управляющий Выходной
модуль модуль модуль
1оо2Р
Рис. 3.15
Центральная часть системы построена по принципу 2*2, то есть каждый из двух управляющих модулей содержит по 2 микропроцессора. В случае расхождения в работе какой-либо пары микропроцессоров, данный канал выключается из рабо- ты, и система продолжает работу по одноканальной схеме loolD.
Исходная конфигурация системы может быть восстанов- лена в течение предопределенного интервала в реальном вре- мени. Если по каким-либо причинам замена дефектного моду- ля не может быть произведена, то в течение предопределенно- го интервала времени система имеет возможность произвести программно-управляемый останов процесса.
Архитектуру loo2D с дублированными процессорами на модулях управления некоторые энтузиасты этих систем смело определяют как архитектуру 2оо4, и даже 2oo4D.

180 Справочник инженера по А СУТП: Проектирование и разработка
Замечание 1
Подобные рассуждения затрагивают только централь-
ную часть системы - модули управления. Степень резервиро-
вания модулей ввода-вывода и полевого оборудования обычно
даже не упоминается. А если и упоминается, то и шины вво-
да-вывода, и входные и выходные модули сами авторы кон-
цепции 2оо4 определяют все же как схемы с архитектурой
1оо2.
Внимательно посмотрим на схему рис.3.15. На самом де-
ле центральная часть этой системы работает по принципу
2*2жаждая пара процессоров находится на одном модуле, и
на выходы системы воздействует модуль, а не индивидуаль-
ный процессор.
Необходимо помнить, что по определению, под каналом понимается элемент, или группа элементов, способных само- стоятельно выполнять предопределенную функцию.
Поэтому даже если бы центральная часть этой системы действительно реализовала архитектуру 2оо4 (для чего требу- ется разместить процессоры на четырех модулях управления), общеизвестно, что итоговая конфигурация определяется наи- более слабым звеном, в том числе и в архитектурном отноше- нии, и даже в этом случае система определялась бы как систе- ма 1оо2.
Замечание 2
Четверка в коде архитектуры подразумевает существо-
вание не только схемы 2оо4, но и схем Зоо4, и 1оо4, но об
этом благоразумно не упоминается, поскольку архитектура
"2оо4" по схемам деградации Зоо4 и 1оо4 работать не мо-
жет.
Замечание 3
Работа центральной части системы "2оо4" в случае от-
каза одного из процессоров эквивалентна работе на одном
канале по схеме loolD, и в этом смысле полностью эквива-
лентна логике работы системы loo2D при отказе одного из
процессоров.
Сравнивая структуру отказов архитектур 2*2 ("2оо4"),
2ооЗ и loo2D, мы видим, что стандартно все они имеют
одинаковые схемы деградации:
• 4-2-0 (останов процесса после второго обнаруженно-
го отказа);

/ )iaea 3. Архитектура систем управления и защиты
181
• 3-2-0 (останов процесса после второго обнаруженно-
го отказа);
• 2-1-0 (останов процесса после второго обнаруженно-
го отказа).
Причем все три представленные архитектуры могут на-
ходиться в составе одной функции безопасности - едином
контуре защиты:
• Архитектура 2ооЗ - в конфигурации датчиков,
• Архитектура 1оо2 - в конфигурации модулей ввода-
вывода и исполнительных механизмов,
• Архитектура loo2D ("2оо4 ") - в конфигурации управ-
ляющих модулей.
Приведенные соображения не дают повода для сомнений:
Очевидно, что в конфигурации 2*2 реализована схема
loo2D.
Пара микропроцессоров используется только для самоди- агностики модуля управления, и только пара синхронно рабо- тающих микропроцессоров модуля управления формирует работоспособный канал. Каждый из каналов работает по схе- ме loolD:
Канал отключается после первой же обнаруженной ошиб- ки, и управление выходом системы полностью переходит к оставшемуся в работе каналу.
Поэтому необходимо интерпретировать данную схему как двухканальную схему loo2D, понимая под кодом D специфи- ческий способ взаимной диагностики каналов и управления выходом системы.
Системы loo2D по определению имеют лучшую архи- тектуру из всех существующих, и не нуждаются ни в каких дополнительных рекламных трюках:
Все модификации архитектуры loo2D аттестуются
по классу RC6 и уровню SIL3.

182 Справочник инженера по А СУТП: Проектирование и разработка
3.16. Внимание к деталям
Даже у самых известных исследователей и специалистов по промышленной безопасности случаются нелепые ошибки и совершенно курьезные случаи при определении типа архитек- туры. В своей в целом содержательной статье
"How Diagnostic Coverage Improves Safety in Programmable
Electronic Systems", ISA Transactions, Vol 36, No. 4, The Nether-
lands: Amsterdam, Elsevier Science В. V. 1998.
William M. Goble, Eindhoven University of Technology,
Eindhoven, the Netherlands.
Julia V. Bukowski, Department of Electrical and Computer Engi-
neering Villanova University, Villanova, PA.
Prof. Dr. Ir. A. C. Brombacher, Faculty of Mechanical Engineer-
ing Eindhoven University of Technology, Eindhoven, the Nether-
lands,
под сопроводительным текстом:
"Когда оба набора электроники компонуются вместе, созда-
ется четырехканальная архитектура loo2D (Figure 4)",
эти крупнейшие западные специалисты приводят следующую схему:
Input Circuit ^
Logic Sofrei ^ Output Circuit
* * J
• »
Diagnostic Circuit
1 Г
11
,Г
Input Circuit