Глава 1. Постановка задач автоматизации
13
1.5. Стереотипы резервирования
Небольшой пример. Рассмотрим простейшую систему безопасности:
Где Т1 - некий датчик, V1 - отсечной клапан (это может
быть, например, контур защиты от превышения уровня, или
давления в некотором аппарате посредством отсечки посту-
пающего в аппарат продукта).
Сделаем оценку вероятности ложных (нижний индекс S) срабатываний P
s
(1), и вероятности опасных (нижний индекс
D) отказов P
D
(1) для данного контура. Вероятность ложных срабатываний и опасных отказов датчика :
Вероятность ложных срабатываний и опасных отказов клапана:
Тогда искомые вероятности ложных срабатываний и опасных отказов данного контура определяются простым сложением вероятностей данного события для составных эле- ментов контура:
Теперь допустим, что нас беспокоит проблема ложных срабатываний данного контура защиты.
Рис. 1.3
P
S
(V = PI+P
SV
P
D
(V-Po^Po
14 Справочник инженера по А СУТП: Проектирование и разработка
Можно просто поставить дополнительный датчик, но мы с целью дальнейшего развития предусмотрим сразу АСУТП, состоящую из системы управления и системы защиты, кото- рую мы будем строить с учетом так называемого "доведения до норм".
При этом предполагается, что система будет иметь свои собственные средства контроля и управления, независимые от системы ПАЗ с тем, чтобы контроль над состоянием процесса не терялся ни при каких обстоятельствах.
Допустим, что нам сказочно повезло, и мы выбрали цен- тральную часть системы защиты - программируемый логиче-
ский контроллер, - такой, что имеет абсолютную надеж-
ность. То есть ПЛК имеет нулевую вероятность всех мысли- мых отказов, и имеет все мыслимые разрешения от всех мыс- лимых инспекций, включая разрешение на безграничную од-
ноканальную работу по максимально возможному уровню допуска. Но мы для безоговорочной уверенности в защите поставим дублированный вариант ПЛК. Вероятность отказа этого чудо - компьютера
P
sl
=PD=0,
то есть он таков, что не оказывает никакого влияния на на- дежность системы. Это означает, что его как бы и нету. Так и будем считать.
Теперь с расчетом "доведения до норм" заложим в нашу систему два датчика, подключенных по схеме 1оо2, что озна- чает, что для срабатывания системы защиты достаточно сиг- нала от одного из них (см. схему (2) на рис. 1.4). Обозначим:
р г _
рТ1 _ рТ2
'О D D
Работа по схеме 1оо2 имеет следующие особенности:
1. Для того чтобы система осуществила ложное срабаты- вание ("безопасный" отказ), достаточно, чтобы
- Любой из сенсоров подал ложный сигнал (и клапан его отработал),
- Либо клапан ложно сработал.
2. Для того чтобы система в нужный момент НЕ сработа- ла (опасный отказ), необходимо, чтобы
- Либо оба сенсора не сработали,
- Либо отказал отсечной клапан.
Глава 1. Постановка задач автоматизации
15
Рис. 1.4
Записываем логические выражения для вероятности каж- дого из этих событий. Для вероятности ложных срабатываний:
P
S
(
2
) = P
TS1OO2
V1O
°
1
= 2• PI + P
SL
+PL =2 PI + РГ
Для вероятности опасных отказов:
P
D
( 2j = Pl
1
™
2
-"™
1
= (PI f +
R
l
+
pv
= (
pr f
+
pv
Пусть вероятности отказов датчика и отсекателя в тече- ние 1 года равны
1.0 >10
3
(один из тысячи). Тогда
P
s
(
2
) = РГ
002
^
1001
=2 Pi + Pi = 2.0 • 10
3
+1.0- Ю-
3
= 3.0 • 10
3
P
d
(2) = = fPj / + р* = 1.0.10
6
+1.0 -10
3
=
= 1.000001 10
3
= 1.0 10
3
Результат, мягко говоря, обескураживает. Рассчитывая улучшить общие показатели контура и поставив 2 датчика вместо одного, мы получили совершенно неожиданный ре- зультат:
Частота ложных срабатываний по вине датчика по
сравнению с одноканальным вариантом возросла в два
раза. Более того, если бы мы вообще не предпринимали ника- ких действий, результаты оказались бы, может, и не лучше, но и не хуже!
Ведь исходная схема (1) давала вполне сопоставимые значения:
Р
3
(1) = РГ°°
1
^
1001
=Pl +Р1 =1.0 10
3
+1.0 Ю-
3
-2.0' 10
3
P
D
(V = Pl
1001
-
V10
°
1
= Р* +Р% =1.0-10-* +1.0 • 10
3
= 2.0 • Ю-
3
Посмотрим, что произойдет, если мы поставим второй от- секатель - схема (3) на рис. 1.4.
16 Справочник инженера по А СУТП: Проектирование и разработка
Получаем:
P
s
(3)Pr°°
1
V1002
=P
TS
+ 2 -Р* = 1.0 10
3
+ 2.0 10
3
=
= 3.0
10
3
P
D
(3) = Pl
1001
-
V1002
= P
Dr
+ (Р^ )
2
= 1.0 10* +1.0 >10* =
= 1.000001 10
3
=1.0-10*
То же, что и для схемы (2) .
Полученные результаты однозначно показывают, что при формировании спецификации требований к системе безопас- ности необходимо учитывать не просто характеристики на- дежности отдельных компонентов системы, но архитектуру и параметры всего контура безопасности для каждого контура безопасности - "от трубы до трубы". Именно это требуют со- временные международные стандарты безопасности.
Но пойдем дальше. Попробуем совместить достоинства схем (2) и (3), и поставим 2 датчика и 2 клапана. Количество вариантов архитектуры возрастает, но проверим хотя бы сле- дующие два (рис. 1.5).
Схема (4V
Р
8
(4) = P*
(T1OO1
-
V1OO1)
= (PI + Pl) + (Pl +Р*) =
= 2.0-10
3
+2.0-10
3
=4.0-10'
3
P
d
(4) = p w w » = (Pi + Pi) • (Pi +Pl) =
= 2.0 -10'
3
-2.0'10
3
=4.0 -10
6
Схема (5):
P
s
(5) = Pi
1002
-"
002
= 2-Pi +2 -Pi =2.0-10
3
+2.0-10'
3
=
= 4.0-10
3
Глава 1. Постановка задач автоматизации
17
P
d
(5) = P
td1oo2
-
v1o
°
2
= (P
JD
f + (Pi )
2
= 1.0 - fO"
6
+ 1.010
6
=
= 2.0-10-*
Обе схемы имеют отличные характеристики по опасным отка- зам (по несрабатыванию), но
Вероятность ложных срабатываний по сравнению с исходной одноканальной Схемой (1) выросла в два раза!
Картина будет неполной, если не посмотреть еще один вариант архитектуры, который, как будет показано в даль- нейшем, играет ключевую роль в архитектурах систем безо- пасности типа loo2D. Это - классическая архитектура 2оо2.
Схема (6):
P
s
(6) = Pl
2oo2
'
V2o
°
2
= (Pi + Pi )
2
= 4.0 - Ю-
6
P
D
(6) = Pl
2oo2
-
V2o
°
2
= 2 (Pi +Pl4.0 10
3
Наконец, нам удалось найти схему с минимальной веро- ятностью ложных срабатываний, но, к сожалению, с самой высокой вероятностью опасных отказов (несрабатывания в нужный момент) - она в два раза выше одноканальной сис-
темы. Выигрыш одного параметра означает проигрыш друго- го.
Вот такое "доведение до норм". Где же выход? Ведь по- лученные характеристики являются органическим свойством рассмотренных архитектур. И, как мы видим, установка само- го современного ПЛК и дополнительного полевого оборудо- вания вовсе не является гарантией увеличения надежности и безопасности системы защиты.
18 Справочник инженера по А СУТП: Проектирование и разработка Как добиться баланса архитектур полевого оборудования и логических устройств, чтобы система безопасности была соразмерной и обеспечивала приемлемый уровень интеграль- ной безопасности?
Попытка ответить на поставленные вопросы и делается в настоящей работе.
Простых решений не существует. И надо очень внима- тельно подходить к прямолинейным априорным решениям.
Иначе эти решения могут
привести совсем не к тем результа- там, которые ожидались.
1.6. Стандарты промышленной безопасности МЭК (IEC - International Electrotechnical Commission, Geneva, Switzerland) Системы управления и защиты технологических процес- сов становятся все более сложными, и возникает серьезная проблема обоснованности применения электронных систем во всех отраслях промышленности, неизбежно связанных с опас- ностью. С появлением микроэлектронных средств автомати- зации корректность их применения практически не поддается непосредственной проверке.
Исследования, проведенные Международной Электро- технической Комиссией в конце 80-х - начале 90-х годов, бы- ли направлены на разработку стандарта, который мог бы стать руководящим документом
для проектировщиков и разра-ботчиков систем безопасности промышленных объектов, позволяющим удостовериться, что электронные системы дей- ствительно обеспечивают приемлемую безопасность в предо- пределенных обстоятельствах.
Первый вариант стандарта под названием IEC 61508
"Functional Safety of Electrical / Electronic / Programmable Elec- tronic Safety Related Systems" (Функциональная безопасность электрических, электронных и программируемых электрон- ных систем, связанных с безопасностью) появился в 1995 го- ду. Уже предварительный вариант стандарта получил между- народное признание. Формальное утверждение нового стан- дарта промышленной безопасности IEC 61508 "Functional
Safety of Electrical / Electronic / Programmable Electronic Safety
Related Systems" состоялось в апрелё 2000 года.
Глава 1. Постановка задач автоматизации
19
Часть 1 стандарта IEC 61508, пункт 1Л, непосредственно определяет главную цель стандарта:
"Главной целью данного стандарта является содействие развитию прикладного сектора международных стандартов через технические комитеты, отвечающие за прикладной сек- тор. Это позволит принять во внимание все факторы, связан- ные с приложением, и тем самым ответить на специфические требования прикладного сектора. Параллельная цель этого стандарта - дать возможность развития Электрических / Элек- тронных / Программируемых Электронных (Е/Е/РЕ) связан- ных с безопасностью систем в тех областях, в которых при- кладной сектор международных стандартов отсутствует".
1.7. Жизненный цикл безопасности
Краеугольное понятие стандарта - понятие Жизненного
цикла безопасности. В отличие от традиционного подхода к оценке системы на основе только выходных характеристик производителя или, в лучшем случае, во время приемо- сдаточных испытаний, IEC 61508 рассматривает все аспекты безопасности в течение всего цикла существования системы - от первоначальной концепции до списания.
Влияние этого понятия на стандарт столь велико, что соб- ственно сам стандарт построен в соответствии с этой моде- лью, и повторяет ее структуру (рис. 1.7).
1.8. Интегральная и функциональная безопасность
Стандарт отстаивает новый подход к общей (интеграль- ной) и функциональной безопасности. Вместо того чтобы про- ектировать систему "настолько хорошо, насколько это воз-
можно", а затем считать ее достаточно безопасной, стандарт предлагает подход, основанный на анализе рисков.
Все действия по обеспечению безопасности должны ос- новываться на понимании и оценке риска, который неизбежно присутствует в любой системе. Стандарт подразделяет меры по снижению риска на два компонента:
• Общие, интегральные требования безопасности
{Safety integrity requirements).
• Функциональные требования {Functional requirements).
20 Справочник инженера по А СУТП: Проектирование и разработка
Concept
£
Е
Е
Overall scope
definition
Hazard and risk
analysis
Overall safety
requirements
Safety requ№i№№
Overall planning
R Overall П Overall Rj
•operation and Ц safety Ц
1 maintenance
Щ validation Щ
Щ planning H planning Ж
Overall
installation and
commission! r
planning
systems:
I
Realisation
(see E/E/PES
safety
lifecyde)
l|SaM)NvM8d! \лл \ ^^nsk
systems:
other
technology
5 lu?
systems: ! j"
1
! reduction
other • S H r
facilities
i Realisation
4 1
Overall installation
Overall safety
Back to appropriate
overaH safety lihxycfe
•ffi
E
Overall operation,
maintenance and repair
Overall mod№cation |
and retrofit
or disposal
NOTE 1 Activities relating to
\mtiicatlon, management ЫймкХкюЫ safety and functi^
not shewn for reasons of clarity but are releuent to all overall. E/E/PES and softoore safety lifecyde phases.
NOTE 2 The phases represented by boxes 10 and 11 are outside the scope
NOTE3 Parts 2 and 3 deal vnth box 9 (realisation) but they also feal, vtfere relevant, wrth the programmable electronic
(hardware and software) aspects of boxes 13,14 and 15
Рис. 1.7
Глава 1. Постановка задач автоматизации 21
Соответственно, Спецификация требований безопасности должна определять:
• Спецификацию требований интегральной безопасно- сти, содержащую общие требования безопасности, ко-
торые должна обеспечивать система, и
• Спецификацию требований функциональной безопас- ности, содержащую требования к самим функциям
(контурам) безопасности, которые должна выполнять система.
Небольшой комментарий "Изысканные" формулировки и определения стандарта -именно таковы, и с этим приходится считаться. Интегральный компонент определяется
Интегральным уровнем безопасности -
Safety Integrity Level (SIL), который задает требуемую меру снижения риска. Проще говоря, чем более ответственным является объект, тем более надежной должна быть система. То есть чем большее снижение риска требуется, тем более объект становится зависимым от самой системы защиты, обеспечивающей это снижение, и соответст- венно, тем большее значение SIL необходимо для общей безо- пасности.
1.9. Проектная документация Важнейшим компонентом системы является полнота до- кументации, которая давала бы исчерпывающее представле- ние о системе в соответствии с реальным состоянием системы.
Стандарт IEC 61508-1 в Приложении А с подзаголовком "информативное" дает только общую концепцию комплекта, без детализации конкретного состава и содержания докумен- тов (рис. 1.8).
В последующих главах настоящей работы приводится со- став и содержание полного комплекта документации Техниче- ского и Рабочего (Технорабочего) проекта по созданию
АСУТП, подготовленного на основе авторского опыта проек- тирования, разработки, внедрения, эксплуатации и обслужи- вания АСУТП.
При этом ставилась задача максимально возможного ис- пользования существующей и вполне добротной отечествен- ной нормативно-справочной базы:
22 Справочник инженера по А СУТП: Проектирование и разработка
• ГОСТ 34.601-90 ЕСС АСУ "Автоматизированные сис- темы. Стадии создания".
• ГОСТ 24.104-85 ИНФОРМАЦИОННАЯ ТЕХНОЛО-
ГИЯ. Автоматизированные системы управления. Об- щие требования.
• ГОСТ 34.003-90 ИНФОРМАЦИОННАЯ ТЕХНОЛО-
ГИЯ. Автоматизированные системы. Термины и опре- деления.
• ГОСТ 34.201-89 "Виды, комплектность и обозначение документов при создании автоматизированных сис- тем".
• РД 50-34.698-90 "Методические указания. Информа- ционная технология. Автоматизированные системы.
Требования к содержанию документов".
• ГОСТ 34.602-89 "Комплекс стандартов на автоматизи- рованные системы. Техническое задание на создание автоматизированной системы".
• ГОСТ 34.603-92 ИНФОРМАЦИОННАЯ ТЕХНОЛО-
ГИЯ. Виды испытаний автоматизированных систем.
г=ц
fMfe. г—
. 1 1 . 1 3E/PES*«faty apecffication
_ OwraVufcty [ _ L . . . . Я Н T B I цяЫПткхх
report l_J вртЛкяЧал
Complete set of documents
li
i User's set of documents
V *
i
i
к ш
Щ Щ
Щ { \
H Operators set
Engineering set Manufacturers Gonvrfesioriing
[Re-engineering set) set set Maintenance set
i
Рис. 1.8
Глава 1. Постановка задач автоматизации
23
1.10. Огрехи стандарта IEC 61508
Завышение оценок вероятности и частоты опасных
отказов - PFD и PFH. Стандарт IEC 61508 подразделяет от- казы системы безопасности на опасные и безопасные - обна- руженные и необнаруженные, - и в части 4 дает их определе- ния. Стандарт в шестой части приводит соотношения для средней вероятности опасного отказа на запрос
PFD
AVG
в те- чение преопределенного межповерочного интервала (в отече- ственной практике - 1 год), и средней интенсивности (часто- ты) опасных отказов
PFH
AVG
, однако дает их без каких бы то ни было объяснений, откуда они взялись.
Примечание
Необходимо понимать, что все рассмотренные в стандарте
модели систем безопасности в полной мере относятся:
- И к конфигурации измерительных устройств,
- И к собственно логическим устройствам,
- И к исполнительным устройствам,
- И к системе в целом.
Анализ этих соотношений показывает, что они дают за- вышенные оценки вероятности отказа для высоких уровней самодиагностики. Это довольно странно, если учесть, что для соответствия, например, уровню SIL3 надежность системы по определению должна быть выше 99.9%, и система должна об- ладать исключительно высоким уровнем самодиагностики.
В настоящей работе в главе 5 "JEC 6]508 - Вероятность
отказа. Альтернативные решения" приводятся соотношения
PFD
AVG
И
PFH
AVG
для граничных значений степени диагности- ческого охвата, то есть для DC-0 и DC=1, подтверждающие неточность оценок IEC 61508 для высоких уровней самодиаг- ностики.
Отсутствие оценок вероятности ложного срабатыва-
ния. Наиболее серьезным пробелом стандарта является не до- веденное до конца исследование структуры отказов систем безопасности. Стандарт не дает никаких рекомендаций по оценке вероятности так называемых "безопасных" отказов, которые фактически означают немотивированный, неоправ- данный останов процесса, и как раз-то и могут представлять значительную опасность.
24
Справочник инженера по А СУТП: Проектирование и разработка По непонятным причинам в стандарте
вообще отсутству- ет важнейшее понятие ложного срабатывания, которому мы только что уделили столько времени, когда рассматривали пример. Зато в стандарте есть очень расплывчатое определе- ние
безопасного отказа. Согласно стандарту,
Безопасный отказ {Safe failure) - это "Отказ, который потенциально не способен привести систему безопасности к опасному состоянию или к неспособности осуществлять функции безопасности". Можно смело утверждать, что от-казов, потенциально не способных привести систему безо-пасности к опасному состоянию, в природе не существует. Напротив, авторская позиция прямо противоположна:
При построении систем безопасности необходимо исходить из того, что ЛЮБОЙ ОТКАЗ СИСТЕМЫ ПОТЕНЦИАЛЬНО
СПОСОБЕН ПРИВЕСТИ К ОПАСНОМУ СОСТОЯНИЮ.
Можно представить, что произойдет с технологическим блоком, если в ответ на дребезг контакта система защиты про- изведет отсечку выхода блока, но не сработает отсекатель на входе в блок. Далее стандарт дает тавтологическое определе- ние
Безопасного состояния {Safety state): "Состояние контролируемого оборудования, при кото-ром безопасность достигается" (буквальный перевод).
За всеми этими вроде бы спокойными и обтекаемыми формулировками кроется крайне неприятный смысл, который не сразу обнаруживается: для реального производства практи- чески во всех случаях "безопасный" отказ в лучшем случае означает ложный останов производства.
Можно сказать, что в стандарте МЭК понятие "безопас- ный отказ" - самое неудачное понятие для тех, кто
использует оборудование и системы безопасности. И в то же время это понятие очень удобно для производителей и поставщиков оборудования. Фактически оно означает безопасность самой системы безопасности от технологического процесса:
Система защиты просто снимает с себя какую бы то ни было ответственность за <|/акт и результат ложного срабатывания. В отличие от стандарта МЭК, американский стандарт ANSI/ISA 84.01-96 дает вполне корректные опреде- ления. Согласно этому стандарту, ложное срабатывание опре- деляется как
Spurious trip, nuisance trip. false shut down: Глава 1. Постановка задач автоматизации 25
Ложное, беспричинное срабатывание блокировки, шш немотивированный останов процесса по причинам, не связан-ным с действительными событиями на процессе. Ложное срабатывание может произойти:
• По причине отказа оборудования,
• Из-за ошибки программного обеспечения,
• Из-за ошибки обслуживания,
• Неправильной калибровки,
• Неправильной предаварийной уставки,
• Отказа полевого оборудования,
• Отказа модулей ввода-вывода,
•
Отказа центрального процессора,
• Электрического сбоя,
• Электромагнитной наводки, и т. д.
• Короче - из-за чего угодно.
Доступность и наглядность стандарта. Фантастически изощренная терминология, как будто авторы специально стремились забыть все привычное и общепринятое, и непре- менно изобрести нечто необыкновенное. Всего один, но чрез- вычайно важный пример.
Авторы не просто избегают понятия "Надежность".
Трудно поверить, но понятие надежности вообще отсутст- вует
в части 4 "Определения и сокращения" стандарта IEC 61508. Но всмотримся внимательно:
Целостность, полнота безопасности - термин
IEC 61508:
Safety integrity Вероятность того, что система безопасности удовлетвори-тельно (?!) выполняет требуемые функции безопасности по всем предопределенным условиям в течение установленного интервала времени. Сравниваем,
Надежность - термин ISA 84.01-96:
Reliability Вероятность того, что система может выполнять опреде-ленные функции при всех предопределенных условиях в тече-ние установленного интервала времени. Направленность стандарта. Как сказано, стандарт ори- ентирован, прежде всего, на производителей, проектировщи- ков, разработчиков систем безопасности, но не на потребите- ля.
26 Справочник инженера по А СУТП: Проектирование и разработка
Поэтому в стандарте отсутствуют простые и наглядные процедуры для оценки границ применимости конкретных сис- тем. В настоящей работе приводятся процедуры, диаграммы, таблицы и графики, которые могут служить ориентиром для живых пользователей.
1.11. Применимость одноканальных систем
Начнем с того, что введем следующее утверждение, кото- рое одновременно является и определением:
Алгоритм действия системы lool не зависит от категории взрывоопасности объекта. При любом отказе система lool снимает питание с выходных реле, и происходит аппаратный, программно неконтролируемый останов процесса по физиче- ски предопределенной последовательности операций.
Это обстоятельство послужило поводом к тому, что неко- торые хитроумные производители и поставщики систем объя- вили свои одноканальные системы соответствующими любо- му классу требований безопасности - вплоть до шестого по стандартам DIN, поскольку одноканальная система в случае своего отказа переведет процесс в "безопасное" состояние - состояние останова. Более того, утверждается, что время ра-
боты одноканальной системы на объектах любого класса
не ограничено. Это заявление отвергает саму идею резерви- рования, как средство противодействия отказам оборудования, поэтому требует адекватной оценки.
Принципиальная разница между одноканальной и много- канальными системами состоит в том, что в случае отказа по- следние имеют жизненный ресурс для восстановления, сохра- няя при этом контроль над процессом. loolD - действительно система с неограниченной по времени работой: эту границу невозможно предугадать. Сис- тема работает до тех пор, пока не откажет. В отличие от сис- тем loo2D, 2ооЗ, для которых состояние и поведение после частичного отказа вполне предсказуемо и поправимо, в случае с одноканальной системой невозможно предсказать, что про- изойдет с нею в следующий момен+.
Утверждать, что для одноканальной системы "разрешено" неограниченное время работы - вводить в заблуждение. Не то что время как таковое, но и конкретное одноканальное время
Глава 1. Постановка задач автоматизации 27 просто невозможно запретить. Равно как и для систем более высокого порядка. Однако принципиальная разница состоит в том, что для систем loo2D, 2ооЗ мы имеем возможность вос- становления исходной конфигурации в течение некоторого предопределенного
промежутка реального времени, - пусть не 72 часа, а хотя бы полчаса, - а это уже совершенно другое дело. Единственное, что достоверно известно о системе loolD
- это ее прошлое. И системой с неограниченной по времени работой она является только во взаимоотношении с только что отработанным моментом времени.
Правильнее было бы определить
одноканальные систе-мы как такие системы, работа которых ничем не была ог-раничена в прошедшем до останова времени. Поэтому и называться системой с неограниченным вре- менем работы она может далеко не всегда, а только до тех пор, пока не прекратит эту самую работу. Нельзя абстрактно, отвлеченно, на словах или на бумаге утверждать, что такой-то тип, такая-то модель одноканальной системы является систе- мой некоторого класса. Для этого типа систем не имеет ника- кого значения, к какому классу они отнесены. Да они и не мо- гут быть отнесены к какому-либо классу:
Одноканальная система будет являться системой кон- кретного, любого необходимого, неважно какого класса, толь- ко во время своего конкретного применения в данном классе, и только в данное время. Причем это ее свойство никак не за- висит от решений комитетов по безопасности. Будь то TUV или какой-то другой. И даже от того, существуют ли сами эти комитеты. Эта система проработает ровно столько, сколько сможет, независимо ни от каких разрешений. И никакая само- диагностика здесь не поможет. Причем алгоритм ее поведения будет один:
ОДНОКАНАЛЬНАЯ СИСТЕМА МОЖЕТ РАБОТАТЬ
ПО ЛЮБОМУ КЛАССУ И ПРОРАБОТАЕТ РОВНО СТОЛЬ-
КО, СКОЛЬКО СМОЖЕТ ПРОРАБОТАТЬ, ОБЕСПЕЧИВ
ПОСЛЕ СВОЕЙ ПОГИБЕЛИ
внеплановый останов процес-са, который будет проходить в жестком аппаратном режиме, и уже
никак не будет контролироваться системой защиты.
Система произведет НЕКОНТРОЛИРУЕМЫЙ ОСТАНОВ
ПРОЦЕССА, ВОЗМОЖНО ДАЖЕ БЕЗАВАРИЙНЫЙ, ЕСЛИ
НЕ ЗАКЛИНИТ ЗАДВИЖКА И СРАБОТАЕТ ОТСЕКАТЕЛЬ.
28
Справочник инженера по А СУТП: Проектирование и разработка Спрашивается: ради чего было менять пусть и не слиш- ком надежную, но полностью распределенную релейную сис- тему защиты на суперсовременный черный ящик, если макси- мум, что может инициировать реле, - это запустить один- единственный контур защиты, а черный ящик в самый неожи- данный момент одним махом остановит все производство?
Именно поэтому для дублированных систем loo2D в те- чение определенного ЗАПАСА ВРЕМЕНИ нам предоставля- ется возможность восстановления частичной потери исходной конфигурации, и продолжения нормальной работы. Последние рекомендации TUV вполне определенно регламентируют дей- ствия систем безопасности типа loo2D в случае частичного отказа:
В том случае, если данные в ДВУХ центральных модулях отличаются, и причина отказа определена программой само-диагностики, то происходит отключение ОБОИХ модулей, или работа на одном канале в течение 1 часа. Если причина расхождения не определена, то происходит отключение ОБОИХ центральных модулей. Аналогичные рекомендации даются и в случае частичного отказа систем типа 2ооЗ. При отказе одного из трех плеч (legs) на
входном или выходном модуле, или при отказе центрально- го процессора
настоятельно рекомендуется произвести заме- ну отказавшего компонента в течение принятого в отрасли среднего времени на замену.
Авторская позиция состоит в том, что на
взрывоопасных объектах
ни для каких систем, ни при каких обстоятельст-вах нельзя давать разрешение на постоянную одноканаль-ную работу. Разрешение одноканальной работы на неопреде- ленное время и для членов семейства более высокого порядка означает разрешение на деградацию до этого состояния.
Таким образом, любая система, способная достичь режи- ма одноканальной работы, могла бы рассчитывать на "беско- нечное" пребывание в этом качестве. Сказанное могло бы оз- начать, что и изначально на взрывоопасные объекты можно ставить одноканальную систему. Но сказанное означает со- вершенно противоположное, а именно: для взрывоопасных объектов система защиты должна предоставлять интервал ре- ального времени, в течение которого конфигурация системы должна быть восстановлена до исходного состояния.
Глава 1. Постановка задач автоматизации
29
1.12. Существуют ли четырехканальные системы
2оо4 и 2oo4D?
Существуют модификации систем loo2D с дублированными процессорами в каждом управляющем модуле:
Входной Управляющий Выходной
модуль модуль модуль
1 q q 2 D
Рис. 1.9
Центральная часть системы построена по принципу 2*2, то есть каждый из двух управляющих модулей содержит по 2 микропроцессора. В случае расхождения в работе какой-либо пары микропроцессоров на одном канале данный канал вы- ключается из работы, и система продолжает работу по одно- канальной схеме loolD. Исходная конфигурация системы может быть восстановлена в течение предопределенного ин- тервала в реальном времени. Если заранее известно, что заме- на дефектного модуля не может быть произведена, то в тече- ние предопределенного интервала времени система может произвести программно-управляемый останов процесса. По окончанию предопределенного интервала времени система должна просто снять питание с выходов. Таким образом, по алгоритму действий в случае отказа данная модификация ар- хитектуры полностью эквивалентна архитектуре loo2D.
30 Справочник инженера по А СУТП: Проектирование и разработка
Поэтому на поставленный вопрос мы даем вполне одно- значный ответ: СИСТЕМ 2oo4D В ПРИРОДЕ НЕ СУЩЕСТ-
ВУЕТ. Данный ответ подтверждают и ведущие специалисты
ISA, и специалисты экспертной группы Exida, не менее, а для многих и более авторитетной, чем TUV.
В этой связи довольно странно наблюдать претензии по- клонников оборудования некоторых фирм на новое слово в построении систем с архитектурой рис. 1.9, для которой ими придумано новое определение: 2оо4, или даже 2oo4D.
Это определение совершенно справедливо не признается стандартом Международной Электротехнической Комиссии
IEC 61508: в стандарте даже вскользь не упомянуто о таком, казалось бы, революционном событии, как появление новой архитектуры. Однако сторонники, по крайней мере, двух сис- тем с родственной архитектурой, - FSC-system (QMR) фирмы
Honeywell и H41/51-HRS (HI Quad) фирмы HIMA, - до по- следнего момента претендовали на это звание. Далее будет представлен подробный разбор двух статей доктора Бэкмана - большого энтузиаста аббревиатуры 2oo4D на примере кон- троллеров HIMA.
Замечание
Самое удивительное здесь заключается в том, что се-
мейство контроллеров фирмы HIMA, вне всякого сомнения,
является одним из безусловных лидеров среди множества су-
ществующих на сегодняшний день систем защиты - и по ар-
хитектуре, и по качеству программного обеспечения. И со-
вершенно не нуждается в каком-то искусственном утвер-
ждении своего превосходства.
Как мы увидим, лобовая попытка преподнести в качестве
преимущества аргументы типа 2*2 приводит прямо к про-
тивоположному, можно сказать, нелепому результату:
В чистом виде вероятность отказа архитектуры "2оо4"
(2*2) в ЧЕТЫРЕ РАЗА ВЫШЕ, ЧЕМ АРХИТЕКТУРЫ 1оо2.
Такова плата за высший уровень диагностики:
Лучше ТОЧНО знать, что один из четырех процессоров
2оо4 отказал, чем просто констатировать расхождение в
результатах двух процессоров 1оо2, U гадать в чем причина.
Но самое главное - это не забывать, что смысл имеет
только ВЕСЬ контур безопасности. И если вероятность от-
каза пары реальных модулей HIMA CPU 8650Е с дублирован-
Глава 1. Постановка задач автоматизации 31
ными процессорами равна 4.0 •106 (вполне реальное значение), а вероятности отказа реле уровня и соленоида отсечного клапана равны по 1.0-104 (это еще хорошо), то понятно, что потенциально узким местом системы является полевое обо-рудование, а не процессорные модули: 2оо4: 2-1.0-104 +4.0-106 = 2.04 -104, 1оо2: 2-1.0-104 + 40 -106 /4 = 2.01 - 10А. А если таких реле и клапанов не по одному, а по нескольку сотен, то уже как-то по-иному представляется проблема отказа центральных процессоров. Другое дело, что процес-сорных модулей в данном случае всего два, и их роль в обеспе-чении безопасности неизмеримо выше, чем конкретного дат-чика или клапана. Внимательно посмотрим на архитектуру PLC H41/51-HRS
(рис. 1.10). На самом деле центральная часть этой системы работает по принципу 2*2. Каждая пара процессоров находится на одном модуле, и на выходы системы воздействует модуль, а не индивидуальный процессор.
Sensor 1 oo2D ! Diagnosis ! ,JP1 I.P2 1m I T Actuator A 1 o o 2 D Рис. 1.10 Необходимо помнить, что по определению
Под каналом понимается элемент, или группа элементов, способных самостоятельно выполнять предопределенную функцию. 32
Справочник инженера по А СУТП: Проектирование и разработка Кстати говоря, четверка в коде архитектуры подразумевает существование не только схемы 2оо4, но и схем 1оо4, и Зоо4, но об этом благоразумно не упоминается, поскольку системы 2*2 по схемам деградации 1оо4 и Зоо4 работать не могут.
Более того, и шины ввода-вывода, и входные и выходные модули сами авторы определяют как 1оо2. Поэтому даже если бы централь-ная часть этой системы действительно реализовала архитектуру 2оо4 (для чего требуется разместить процессоры на четырех модулях), общеизвестно, что итоговая конфигурация определяется наиболее слабым звеном, в том числе и в архитектурном отношении, и даже в этом случае система определялась бы как система 1оо2. Система работает следующим образом:
Поскольку
оба процессора находятся на одной плате, то при выходе из строя одного из процессоров канал считается неработоспособным, а состояние выходов продолжает полно- стью контролировать оставшийся в работе канал,
то есть сис- 
Скачать 6.47 Mb.