Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия
 Скачать 6.47 Mb.
|
|
Глава 3. Архитектура систем управления и защиты 199 Аварийное отключение. В случае возникновения неис- правностей установка должна быть переведена в безопасное состояние. Безопасное состояние комплекса определяется как состояние минимального энергетического уровня на всех вы- ходах. В зависимости от установленного типа реакции на неис- правность используются различные способы отключения. Если в связи с возникновением неисправности в системе H51q-HRS требуется централизованное выключение, отклю- чается сторожевой таймер контроля времени (WD) соответст- вующего центрального модуля. Ethernet. Как можно видеть, система строится на прото- коле Ethernet. Поэтому все замечания, высказанные ранее по отношению к этому недетерминированному протоколу, в рав- ной степени относятся и к системам данного семейства. Программный продукт SILense. Фирма HIMA обладает полным пакетом средств конфигурирования своих систем, таким как ELOP II. Но что действительно делает подход HIMA универсальным - это пакет SILense, позволяющий производить расчеты надежности проектируемой системы безопасности в конкретном применении. Это полностью со- ответствует рекомендациям МЭК, и находится в согласии с отечественным ГОСТом 34.602 на создание АС. Пакет первым получил сертификат TUV на право прове- дения расчетов надежности - как отдельных контуров защиты, так и системы безопасности в целом в полном соответствии со стандартом IEC 61508. И в полном соответствии с требова- ниями МЭК, расчеты проводятся не только для центральной части системы - контроллера, но для всего контура безопасно- сти, включая датчики и исполнительные устройства. Пакет имеет обширную библиотеку по параметрам надежности сер- тифицированного оборудования систем безопасности для по- давляющего большинства фирм-изготовителей полевого обо- рудования. При появлении нового оборудования библиотека может быть дополнена. Возможности пакета таковы, что для него требуется отдельное представление. Конкретные особенности пакета будут подробно рассмот- рены в главе "Проектная оценка надежности системы " 200 Справочник инженера по А СУТП: Проектирование и разработка 3.22. Система QMR FSC фирмы Honeywell Архитектуру, полностью аналогичную архитектуре кон- троллеров HIMA серий H41q и H51q, имеет система QMR FSC ("2oo4D") фирмы Honeywell (рис. 3.24): Central Part 1 Input Interfaces Central Part 2 Output Interfaces Puc. 3.24 3.23. Системы семейства ProSafe (Yokogawa Electric) ProSafe - это целое семейство систем автоматической противоаварийной защиты. Семейство реализует различные пути обеспечения безопасности как технически, так и органи- зационно. При необходимости может выполнять задачи, не относящиеся к критическим процессам и противоаварийной защите. Все это достигается как за счет использования совре- менных технологий программирования, так и за счет исполь- зования современных полупроводниковых технологий. На сегодняшний день определяются три платформы сис- тем противоаварийной защиты: / )iaea 3. Архитектура систем управления и защиты 201 • ProSafe-DSP • ProSafe-PLC • ProSafe-RS, которые отвечают международным нормам IEC 61508 и 61511, предъявляемым к системам требуемого класса. Система ProSafe-DSP применяется для самых опасных технологических процессов. Это один из немногих сущест- вующих контроллеров, аттестованных TUV по 6-7 классу DIN и 4 уровню SIL. Радикальным отличием ProSafe-DSP является отсутствие системного и диагностического программного обеспечения. Вместо этого используется уникальная аппаратная технология встроенного схемного самотестирования для всех элементов системы ПАЗ. Полупроводниковая технология, используемая в ProSafe-DSP, основывается на ферритовой логике, опреде- ляющей принцип встроенного самотестирования и отказо- устойчивости, Основным элементом ферритовой логики явля- ется кольцеобразный сердечник с обмоткой, который выпол- няет как логические функции (И, ИЛИ, НЕТ), так и выступает в роли гальванического изолятора. ProSafe-PLC -^это полный аналог системы Quadlog, вы- пускаемой фирмой Йокогава под своей торговой маркой. ProSafe-PLC отвечает наиболее широкому диапазону ин- тегрального уровня безопасности согласно международному стандарту IEC 61508 и критерию работоспособности: для сводного уровня безопасности. ProSafe-PLC обеспечивает диапазон SIL 1...3, и RC 1...6 по DIN. ProSafe-PLC состоит из ряда модулей, к которым относят- ся модули управления критическими технологическими про- цессами и модули ввода-вывода. В различных конфигурациях системы ProSafe-PLC эти устройства работают селективным и гибким образом. Даже в архитектуре loo ID система обеспе- чивает уникальную защиту выходных сигналов. Разнообразие маршрутов сдвоенных сигналов в ProSafe-PLC, объединенных с функциями сравнения между контроллерами, составляет основу конфигурации loolD в ProSafe-PLC. Символ D в дан- ном случае означает, что в системе ПАЗ используется про- грамма самодиагностики для каждого модуля ввода-вывода на основе эталонной информации, а также для аварийного оста- нова технологического процесса. 202 Справочник инженера по А СУТП: Проектирование и разработка Такая конфигурация loolD с одним или сдвоенным управляющим модулем соответствует RC4 и SIL2. Для создания полностью отказоустойчивой архитектуры системы ПАЗ за основу взята полностью резервированная конфигурация loolD. В резервированном варианте возникает четырехполюсная архитектура loo2D (рис. 3.25). Модуль ввода/ Управляющий Модуль ввода/ Рис. 3.25 Система loo2D ProSafe-PLC при обнаружении отказа пе- реходит в конфигурацию loolD, и продолжает свою работу без останова технологического процесса. Техническое обслу- живание для восстановления первоначальной архитектуры этой системы допускается в режиме on-line без останова тех- нологического процесса. Структура loo2D ProSafe-PLC требует минимального объема аппаратных средств, обеспечивая при этом параллель- ное объединение защищенных выходных сигналов. Конфигурация loo2D в соответствии с IEC61508 и ANSI/ISA 84.01-96 позволяет выполнить подключение резерв- ных датчиков и приводов исполнительных устройств эффек- тивным по стоимости способом без применения дополнитель- ных аппаратных средств. Полностью резервированная конфигурация loo2D соот- ветствует DIN RC 5-6 и SIL3. Рисунок 3.26 отображает место каждой из систем в классификациях SIL (ANSI/ISA/IEC) и RC (DIN). / )iaea 3. Архитектура систем управления и защиты 203 Рис. 3.26 В марте 2005 года фирма Yokogawa Electric Corporation получила сертификат TUV на соответствие стандартам IEC 61508 и IEC 61511 для своей новой системы ProSafe-RS, и на право ее применения в приложениях SIL3. ProSafe-RS реализует концепцию, которая уже давно ста- ла привычной: система управления и система защиты строится на едином программно-техническом и информационно- управляющем поле, включая промышленные сети и человеко- машинный интерфейс. Преимущества очевидны: • Однородная архитектура, • Единая среда разработки, • Интегрированная среда взаимодействия оператора с процессом. Примечание Аналогичный подход использует система DeltaV SIS: SIS information can be displayed and alarmed like any BPCS data DeltaV BPCS and SIS are configured and operated with common software Единственное, что нужно тщательно планировать и отслеживать, - это загрузку недетерминированного прото- кола Ethernet, на котором построено все семейство систем DeltaV. 204 Справочник инженера по АСУТП: Проектирование и разработка Унификация на базе проверенной на практике системы Centum CS 3000 с архитектурой "Дублирование + Резервиро- вание" (та самая 2*2 - "Pair & Spare ), первооткрывателем которой без всякого шума была именно Yokogawa, и открыла возможность универсального построения единой системы безопасности, поэтому дискуссии на уровне M loo2D?/"2oo4?", "TMR7/QMR?" - просто потеряли свою актуальность. С помощью этой знаменательной для всех автоматизиро- ванных систем управления архитектуры обеспечивается: • Реальная интеграция РСУ и ПАЗ; • Простая, очевидная архитектура, естественная конст- рукция системы; • Высокая готовность за счет резервирования; • Резервированные двухпроцессорные модули управле- ния и резервированные модули ввода-вывода • Резервированная связь модулей управления и ввода- • Резервированная детерминированная системная шина • Одновременное функционирование и техобслужива- вывода Vnet. ние. ышшшж ш СЭТЖСМ Операторская Станция (портируемая) PIMS MES Exaquantum HIS {Станция оператора) W f» FCS (Станции управления) I Контроллер ^ ^ н ^ В I | I Системы Ц Н | J ¥ \ Безопасности / L V •• / т OPC \ в е ш а н ЯНВВЯ ШШШШтт ENG = Станция инженера PRM = Менеджер ресурсов КИП GSGW = Шлюз Рис. 3.30 / )iaea 3. Архитектура систем управления и защиты 205 Важное замечание Еще раз: TUV и здесь утверждает, что уровень SIL3 достигается в нерезервированной модульной конфигурации. Необходимо твердо помнить и понимать, что это эффект- ное заявление не имеет под собой никаких практических осно- ваний. Для современных непрерывных крупнотоннажных про- изводств никак не может быть принято наивное понимание промышленной безопасности в духе IEC и TUV как способно- сти системы в ответ на любой чих остановить производст- во. Применение одноканальных систем на нефтегазодобы- вающих, химических, нефтехимических и нефтеперерабаты- вающих производствах строго исключается. Необходимо от- давать себе отчет, что высшая степень готовности дости- гается только в резервированной системе. Функция SOE (Регистрация Последовательности Собы- тий) имеет стандартное разрешение 1 миллисекунда. В перечень регистрируемых событий входит в том числе: • Стандартный контроль линии • Обнаружение короткого замыкания • Обнаружение обрыва линии. Реальная интеграция РСУ и ПАЗ. Для объединения РСУ и системы ПАЗ не требуется никаких вычурных компо- новок и специальных схем связи. СГГЯИЩИ» С$ 3000. Инм»МВРИ$Н е?анци« СЙОЙК*Ы I бЁ&й!Ш£И®С¥И V ii&t 1 Кригроетпвр бчполвсиостн CS ЗООО HIS (Станция оператора! • Sh CS3000 FCS (Станция управления) Рис. 3.28 Безопасный обмен данными между контроллерами Сис- темы безопасности (SCS), Станциями управления (FCS) и Станциями оператора (HIS) по детерминированной промыш- ленной шине Vnet системы Centum CS 3000. 206 Справочник инженера по АСУТП: Проектирование и разработка Безопасность связи по протоколу Vnet подтверждена TUV. Одно окно. Доступ (естественно, с учетом ограничений) к тэгам со станции оператора (HIS) открыт в обе стороны: • И к данным РСУ, • И к данным контролеров системы безопасности (SCS). Таким образом, со станции оператора обеспечивается ин- тегрированный контроль всей иерархии окошек системы: • Мнемосхемы; • Лицевые панели приборов (контуров); • Тренды-графики; • Состояние системы; • Предупредительная и предаварийная сигнализация; • SOE (последовательность событий) и т.д. Рис. 3.29 Все по системе CS3000 и ProSafe-RS ProSafe-RS Рис. 3.30 / )iaea 3. Архитектура систем управления и защиты 207 Инструментарий инжиниринга: • Функциональная блок-схема, лестничная (релейная) схема, структурированный текст; • Конфигурирование системы и ввода-вывода; • Тестирование (моделирующие программы для кон- троллера безопасности); • Самодокументирование; • Управление версиями системного и прикладного про- граммного обеспечения. Рис. 3.31 Техобслуживание. Инженерная Станция: • Отображение состояния логики • Отображение состояния системы и программа про- смотра диалога диагностики • Программа просмотра SOE (протокол последователь- ности событий) • Принудительные переменные (Вход, Выход, Логиче- ские переменные) • Оперативное изменение логики (утверждено TUV). 208 Справочник инженера по А СУТП: Проектирование и разработка Действия при отказах Fault location Cause Structure Actions Fault level CPU module Hardware failure CPU node fault Software fault Single CPU stops All output modules output the output value on fault detection (All output shutdown) Critical fault CPU module Hardware failure CPU node fault Software fault Dual- redundant CPU on fault side stops The control is continued by switching the control nght Minor fault Input module Hardware failure Single Input value on fad detection is set to all in- put channels of the modules and data status changed to BAD Major fault Input module Hardware failure Dual- redundant The control is continued by switching the control right Minor fault Input channel Failure of Hardware for individual channel Fault on field side Single (*2) Input value on fault detection is set to failed input channels and data status changed to BAD Major fault Input channel Failure of Hardware for individual channel Fault on field side Dual- redundant гз) When a fault is on the field side the same action as the single structure is performed Mapr fault Input channel Failure of Hardware for individual channel Fault on field side Dual- redundant гз) Others except for the above case, the control is continued by switching the control right Minor fault Output module Hardware failure Single Output of all output channels on the module be- comes 0 and is put in output disable state, and data status changes into BAD state Major fault Output module Hardware failure Dual- redundant ГЗ) The control is continued by switching the control nght Minor fault Output channel Failure of Hardware for individual channel Fault on field side Single When output shutoff switch works (*1) Output of ail output channels on the module becomes 0 and is put in output disable state, and data status changes into BAD state Major fault Output channel Failure of Hardware for individual channel Fault on field side Single Others except for the above case Output value on fault detection is set to physical data of this channel and is put in output disable state, and data status changes into BAD state Major fault Output channel Failure of Hardware for individual channel Fault on field side Dual- redundant When a fault is on a field side the same actions as the single structure are performed Major fault Output channel Failure of Hardware for individual channel Fault on field side Dual- redundant When faults other than the above case the con- trol is continued by switching the control nght Minor fault *1 The following faults are shown which against shutdown of at! output of the modules is performed with Output Shutoff Switch A dangerous fault like the inside of module ts fixed at ON and faults which requires the protection of modules including an over air rent caused by a short circuit on the field However, whether the output shutoff switch is operated against dangerous faults like the fixing at ON is specified with 1Ю Parameter Builder as the setting of channels of the output modules °2 When the modules have a single structure *3 When the modules have a dual-redundant structure Уникальные особенности создания приложений: • Унифицированная архитектура (одно общее окно); • Полностью дублированная и резервированная ("pair & spare" - 2*2) архитектура; • Автоматическая доступность сигнализаций процесса и системных сигнализаций на станции оператора (HIS); • Автономное тестирование; • Оперативное внесение изменений (утверждено TUV). Глава 3. Архитектура систем управления и защиты 209 Единый поставщик. Соответственно, • Ограниченное количество запасных модулей; • Меньшая стоимость техобслуживания; • Менее продолжительное обучение операторов; • Унифицированная архитектура упрощает построение единой системы РСУ + ПАЗ. Цикл контроллера системы безопасности (SCS): От 50 мс до 1 сек, с шагом 10 мс Период опроса для функции исполнения прикладной логики 1) Сбор входных данных + Диагностика 2) Безопасная связь от других SCS 3) Исполнение программы 4) Безопасная связь с другими SCS 5) Запись выходных данных + Диагностика. Масштабируемость. Полномасштабная сеть: • РСУ и ПАЗ имеют в общем пользовании все возмож- ности детерминированной шины Vnet • РСУ и ПАЗ интегрированы по сети Vnet, но физически (на уровне обособленных стоек) и функционально раз- делены. ЩттС / | —j ишвт'-г-тт BCV = Преобразователь шины ENG * Станция инженера CGW - Коммуникационный Шлюз ' .шрряршм» станция «М^^рйогшсносга безойронься*- > щташеиосп» Рис. 3.32 210 Справочник инженера по АСУТП: Проектирование и разработка Основные характеристики системы ProSafe-RS: • Уровень безопасности SIL 3; • Гарантированное время реакции системы (такое же, как и время опроса - 50 мс, то есть 20 раз в секунду); • Безопасная связь между станциями управления и за- щиты (между контроллерами); • Общий доступ к информации для управляющих при- ложений и приложений безопасности; • Легко масштабируемая архитектура; • Гибкость для различных конфигураций (распределен- ная или централизованная); • Определения короткого замыкания/разрыва цепи для каналов подключения КИП; • Соответствие языкам стандарта IEC 61131-3; • Функции SOE (Регистрация Последовательности Со- бытий); • Функции сигнализации процесса; • Функции автономного и самотестирования. Таким образом, Yokogawa обладает уникальным спектром систем обеспечения безопасности: • ProSafe-SLS обеспечивает неограниченную по времени поддержку для высшего уровня требований безопасно- сти SIL4; • ProSafe-PLC. Полный аналог хорошо проверенного на практике семейства систем типа Quadlog; • ProSafe-RS. Проверенная многолетней практикой ос- новного оборудования систем семейства Centum дуб- лированная и резервированная ("pair & spare" = 2*2) архитектура. Нет замечаний. |