Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

Глава 1. Постановка задач автоматизации
33
8%-Logic solver
50%-Valve malfunction
Because of t h e m a j o r i t y of m a l f u n c t i o n s in s a f e t y a p p l i c a t i o n s
occur in t h e devices, increased logic solver reliability does n o t
by itself Improve t h e reliability of t h e e n t i r e safety loop.
Источники изображения:
• Приложение к журналу CONTROL за май 2004, "An
advertising supplement to CONTROL For the process in-
dustries: A NEW WORLD OF SAFETY";
• А также брошюра Safety Instrumented Systems, "The
Smart Approach", Emerson Process Management, USA,
2004.
Рис. LI 1
Но все же самое главное состоит даже не в увеличении вероятности отказа, а в уменьшении функциональности. Про- граммно-логические устройства систем безопасности для того и создавались, чтобы полностью контролировать состояние объекта и обеспечивать выполнение функций безопасности в едином информационно-управляющем поле.
Если вероятность отказа современных программно- логических устройств по отношению к полю на самом деле гак мала, то совершенно нет никакой необходимости созда- вать себе дополнительные трудности в реализации функций чащиты, разнося алгоритм по цепочке из многих десятков кон- троллеров.
В данном случае ситуация полностью аналогична тому, что существует во взаимоотношении локального регулирова- ния и связного, или усовершенствованного управления. Со- нрсмснные электронные регуляторы тоже имеют по нескольку иходон и выходов, и позволяют осуществлять взаимодействие
4 ) 0

34 Справочник инженера по А СУТП: Проектирование и разработка
между собой для реализации функций связного регулирова- ния. Однако же основной путь автоматизации пошел по пути интеграции на основе универсальных подсистем управления в составе АСУТП. Если алгоритмы защиты настолько элемен- тарны, что состоят только из одномерных контуров, то они вполне могут быть реализованы на чем угодно - и на релей- ных схемах, и на локальных контроллерах. И вполне возмож- но, что никакого резервирования в данном случае не требует- ся. Поэтому для тех процессов, для которых не требуется же- стко согласованное выполнение операций защиты, или про- граммно-логическое управление, этот вариант архитектуры может оказаться вполне приемлемым.
Если же все шестнадцатиканальные контроллеры должны резервироваться, то по функциональности данная архитектура вполне сопоставима с общепринятыми централизованными архитектурами, но с некоторым увеличением вероятности от- каза за счет увеличения количества составных элементов.
Разумеется, можно было бы этими комментариями и ог- раничиться. Но интерпретации архитектур "2оо4" и 2ооЗ об- росли таким количеством недоразумений, предрассудков и мифов, что необходимо детально разобраться в том, как ведет себя та или иная архитектура в реальных обстоятельствах. Это обсуждение будет плодотворным для понимания времени и места пребывания каждой архитектуры в общей иерархии сис- тем безопасности. В нескольких следующих разделах рас- сматриваются самые изысканные образцы аргументации в пользу превосходства архитектур "2оо4" и 2ооЗ над всеми прочими. Печально, что некоторые из этих аргументов под- крепляются сумрачным германским авторитетом TUV, кото- рый для многих является символом непогрешимости.
На сайте tuv-fs.com до сих пор можно увидеть сентенции типа
"System-structure: Central Unit: 2oo4D, TUV Rheinland, May
2002".
1.13. Научно-техническая мифология
Стандарт IEC 61508 абсолютно справедливо определяет мерой жизнеспособности различных архитектур систем безо- пасности не количество работающих процессоров, а количест- во работающих каналов.

Глава 1. Постановка задач автоматизации
35
Тем не менее, ряд заинтересованных исследователей и после формального утверждения стандарта в 2000 году про- должают интерпретировать положения стандарта весьма свое- образно. В качестве примера разберем две статьи доктора Бэк- мана - большого энтузиаста квадро архитектуры фирмы
HIMA. Первая из статей:
The New Quad Architecture: Explanation and Evaluation,
Lawrence V. Beckman, Mr., Dr. 2001,
SafePlex Systems Inc, HIMA Exclusive distributor,
начинается с эффектной картинки отказоустойчивой Quad Ар- хитектуры 2оо4:
Quad Architecture
Hgure 1
Рис. 1.12
Аргументация Бэкмана в пользу мифических систем типа "2оо4" настолько необыкновенна, что требует адекватного ответа буквально по каждому пункту.
Пункт №1 - Безграничное время.
"The new Quad (QMR) Architecture is a major breakthrough
in safety performance. This architecture provides four (4) proc-
essors - two per channel, and remedies problems associated with
dual processor architectures, as regards the dangerous undetected
f ailure of one of the two (dual) processors. Please refer to Figurel
for additional information. Both pairs of active processors operate
synchronously with the same user program. A hardware compara-
tor and a separate fail-safe watchdog monitors the operation of
each pair of processors to diagnose and resolve anomalies. As
such, this architecture can operate at the SIL3 (RC6) level on ex-

36 Справочник инженера по А СУТП: Проектирование и разработка
ther one or both channels, for an unrestricted period of time. It
achieves a significant increase in both safety and availability
which exceeds that provided by TMR architectures by a factor of
three. In addition, it has significantly less susceptibility to common
cause failure because of the absolute separation, isolation and
operation of the redundant channels. Please see Figure 2 for more
details on the HI Quad Architecture".
Попробуем перевести как можно ближе к оригиналу:
"Новая Quad (QMR) архитектура является главным про-
рывом в исполнении безопасности. Эта архитектура обеспе-
чивает четыре (4) процессора - ДВА НА КАНАЛи снимает
проблемы, связанные с двухпроцессорной архитектурой по
отношению к опасным необнаруженным отказам одного из
двух (ДУБЛИРОВАННЫХ) процессоров. Пожалуйста, обра-
титесь к Figure 1 за дополнительной информацией (рис.
1.12- даже интересно, что ж такого на этой переводной
картинке можно увидеть - Ю. Ф.). Обе пары процессоров син-
хронно выполняют одну и ту же пользовательскую програм-
му. Аппаратный компаратор и отдельный отказоустойчивый
сторожевой таймер отслеживают работу каждой пары
процессоров с целью выявления и обработки отклонений. Та-
ким образом, эта архитектура может работать при уровне
SIL3 (RC6) на одном или на двух каналах В ТЕЧЕНИЕ НЕ-
ОГРАНИЧЕННОГО ПЕРИОДА ВРЕМЕНИ. Она (данная
архитектура) достигает значительного увеличения, как
безопасности, так и готовности, которые превосходят эти
показатели для троированных архитектур TMR В ТРИ
РАЗА. Кроме того, она (данная архитектура) имеет значи-
тельно меньшую подверженность отказам общего порядка
из-за абсолютного разделения, изоляции и работы резервиро-
ванных каналов. Пожалуйста, посмотрите на Figure 2 (рис.
1.13) для большего количества деталей архитектуры HI
Quad".
Относительно "неограниченного периода времени" было и еще будет сказано достаточно и вполне определенно по ходу настоящей работы. Доктор не замечает, что до беззаботного одноканального пребывания по американскому образцу еще надо дожить: если на выходе одного из управляющих модулей
- ноль, а на выходе другого - единица, то кому в этой жизни вообще можно верить?

Глава 1. Постановка задач автоматизации
37
HIQuad Arhitecture
IO bus 1 WD 1 2oo4 WD 2 10 bus 2
Figure 2
Рис. 1.13
Как мы увидим, именно этим обстоятельством определя- ется жесткая позиция TUV при ЛЮБОМ расхождении в ре- зультатах работы модулей управления. Выполнение рекомен- даций TUV конкретно для систем HI Quad дает возможность встретить опасность на самых ранних подступах. Вот что го- ворит по этому поводу документ фирмы HIMA "Survey Cur-
rent status", VM 9842, Manuals 02.2000, стр. 28:
"В том случае, если данные в ДВУХ центральных моду-
лях отличаются, и причина отказа определена программой
самодиагностики, то происходит:
A) отключение ОБОИХ модулей, или работа на одном канале
в течение 1 часа.
Если причина расхождения не определена, то происходит:
B) отключение ОБОИХ центральных модулей".
Высший уровень самодиагностики архитектуры loo2D (в том числе и ее модификации типа 2*2) для того и создан, что если уж возникает необходимость восстановления исходной конфигурации, то она ДЕЙСТВИТЕЛЬНО возникает.
И это не недостаток, а одно из основных преимуществ ар- хитектуры. Тем не менее, эксклюзивный дистрибьютор про- должает старую песню о главном - о неограниченной однока- нальной работе. Все это можно было бы считать курьезом са- морекламы, если бы не означало фактический призыв к созда- нию предпосылок аварийной ситуации: при одноканальной работе резко возрастает вероятность и опасного отказа, и лож- ного срабатывания.

38 Справочник инженера по А СУТП: Проектирование и разработка
Пункт №2 - Тройное превосходство. По поводу "пока- зателей, В ТРИ РАЗА превосходящих троированные архитек- туры TMR" у нас еще неоднократно будет возможность убе- диться, что соотношение 1:3 соблюдается только для обычных архитектур loo2D и 2ооЗ.
Архитектуры "2оо4" по вероятности отказов уступают и архитектурам loo2D, и архитектурам с тройным модульным резервированием. Это связано с тем, что дублированные сис- темы loo2D и системы тройного модульного резервирования
(TMR - Triple Modular Redundancy) на самом деле таковыми и являются, то есть системами с двойным и тройным МО-
ДУЛЬНЫМ резервированием (по крайней мере - центральная часть). А вот системы с архитектурой 2*2 (QMR - Quad
Modular Redundant) на самом деле УЧЕТВЕРЕННОГО МО-
ДУЛЬНОГО РЕЗЕРВИРОВАНИЯ НЕ ИМЕЮТ, а имеют обычное дублирование модулей по схеме 1оо2.
Принадлежность к семейству систем loo2D само по себе, и без искусственного учетверения превращает системы QMR
"2оо4" в системы с очень хорошими характеристиками. Тем не менее, при вычислении конкретных вероятностей отказа выясняется, что архитектура 2*2 ("2оо4") при прочих равных условиях все же несколько уступает даже архитектуре 2ооЗ.
В последующем автор идет еще дальше (см. Пункт №6).
Утверждается, что архитектура QMR "2оо4
и превосходит и архитектуру loo2D, и архитектуру TMR не в три раза, а на порядки, поскольку базовая частота отказов входит в уравне- ния вероятности отказа архитектуры "2оо4
и уже не во второй, а в третьей степени! Но читаем далее:
"Operation under Fault Condition
For safety applications, single channel systems (1-0) are not
fault tolerant and must fail safe. Dual architectures can either op-
erate fail safe (2-0) or degrade to single channel operation (2-1-0)
under specific fault conditions, and with severe time limitations as
defined in their safety certification report
Соответствующий перевод:
"Действия в условиях отказа>
По отношению к приложениям, связанным с безопасно-
стью, одноканальные системы (1-0) не являются отказо-
устойчивыми, поэтому должны совершить безопасный ос-
танов. Дублированные архитектуры могут работать как в

Глава 1. Постановка задач автоматизации
39
безопасном режиме (2-0), так и в одноканальном режиме (2-
1-0) при определенных условиях отказа, и с серьезными вре-
менными ограничениями, как определено в их отчете о сер-
тификации безопасности".
Просто замечательно, что даже не упомянуты системы с архитектурой loo2D, к семейству которых принадлежит и са- ма архитектура QMR "2оо4"!
Пункт №3 - Аббревиатура QMR. Еще раз: аббревиату- ра QMR - Quad Modular Redundant - совершенно не соответ- ствует действительности. Архитектура QMR "2оо4" вовсе не имеет учетверенной модульной избыточности, а имеет обыч- ную, двойную. И это хорошо видно по Figure 2 (рис. 1.13). Чи- таем далее:
"Both the TMR (3-2-0) and Quad (4-2-0) architectures de-
grade to a 2-0 mode of operation after the first fault. However, the
Quad (QMR) architecture retains its comprehensive internal diag-
nostics, has no time restrictions while operating in this mode, and
provides full SIL3 (RC6) protection as well. Please refer to Figure
3 for a table of operating scenarios after the First Fault".
"И TMR (3-2-0), и Quad (4-2-0) архитектуры деградиру-
ют к режиму работы 2-0 после первого сбоя. Однако, Quad
(QMR) архитектура, сохраняя свою изощренную внутреннюю
диагностику, не имеет временных ограничений при работе
в этом режиме, и продолжает обеспечивать полноценную
защиту по SIL3 (RC6). Пожалуйста, обратитесь к Figure 3
(рис. 1.14) за таблицей сценариев работы после первого отка-
за".
Safe Operation after First Fault
Simplex: 1 - 0 Fail-Safe (RC4 only)
Dual: 1oo2D 1oo1D (Severe Time Restriction)
TMR: 2oo3 1oo2 (Time Restriction)
QMR: 2oo4 1oo2D (No Time Restriction!)
Figure 3
Рас. 1.14
Вполне возможно, что отсутствие временных ограниче- ний существовало до принятия стандарта IEC 61508, и скорее было рассчитано на людей, не слишком искушенных в авто- матизации.

40 Справочник инженера по А СУТП: Проектирование и разработка
Авторская позиция, полностью совпадающая с нынешними рекомендациями TUV, однозначна: как неоднократно подчер- кивается на протяжении всей настоящей работы, неограни- ченное время одноканальной работы - прямой путь к аварии.
Пункт №4 - Сценарий первого отказа. Автор статей приводит схемы деградации различных архитектур систем безопасности после первого отказа. Сразу необходимо сказать, что последняя строка Figure 3 (рис. 1.18) НЕ СООТВЕТСТ-
ВУЕТ ДЕЙСТВИТЕЛЬНОСТИ:
Как и все системы loo2D, QMR "2оо4" никак не может деградировать к своему исходному состоянию loo2D. Как и все системы loo2D, QMR
|!
2оо4" может деградировать только к состоянию loolD. И в данном случае с*Люол D в кодировке loolD символизирует особый способ самодиагностики путем сравнения результатов работы двух процессоров на одном управляющем модуле. Утверждение энтузиастов архитектуры "2оо4", что система деградирует к состоянию 1оо2 никак нельзя признать корректным, поскольку оно совершенно не- плодотворно, и не привносит в архитектуру никаких дополни- тельных преимуществ. Алгоритмы действий систем loolD и
1оо2 (1+1) в случае отказа тождественны: питание с выход- ных цепей снимается, и происходит программно неконтроли- руемый физический останов процесса.
Пункт №5 - Одноканальный дубль. Затем в статье при- водятся уже совершенно неопровержимые аргументы в пользу архитектуры Quad (QMR) "2оо4":
"The Quad (QMR) architecture provides a pair of dual proc-
essors operating in the safety (2-0) mode for each channel The
resulting significant increase in diagnosability of the operation of
these processors has in fact completely remedied safety concerns
related to dangerous undetected failure of the processors, and
consequently the removal of all time restrictions on single channel
operation of the system
И сказано здесь буквально следующее:
"Quad (QMR) архитектура обеспечивает пару дублиро-
ванных процессоров, работающих в безопасном (2-0) режиме
для каждого канала. Результирующее значительное увеличе-
ние diagnosability, пардон, диагностируемости работы этих
процессоров фактически полностью снимает "озабоченно-
сти" безопасностью, имеющие отношение к не выявленным

Глава 1. Постановка задач автоматизации
41
опасным отказам процессоров, и, следовательно, снимает все
временные ограничения на одноканальную работу системы ".
Оптимизм, высказанный здесь с таким энтузиазмом, не имеет под собой абсолютно никаких оснований. В том и со- стоит проблема опасных отказов, что часть из них до оконча- ния межтестового интервала остаются необнаруженными. До- казать абсолютное отсутствие опасных необнаруженных отка- зов "по любому" просто невозможно. И доказывать таким об- разом отказ от временных ограничений просто несерьезно.
Преимущества способа диагностики посредством сравнения двух идентичных элементов в архитектуре 1оо2 по сравнению с физической диагностической цепью архитектуры loolD мо- гут быть вполне эфемерными, или просто мифическими.
Именно с этим обстоятельством связано применение са- мых изощренных способов альтернативной диагностики по всему тракту преобразования входного сигнала в выходной, какие мы наблюдаем в схемах систем класса loo2D, и к кото- рым, собственно, и принадлежит сама система QMR. Вообще необходимо предостеречь потенциальных пользователей от того, чтобы абсолютизировать все решения TUV, на которые мы все с таким удовольствием ссылаемся.
Как известно, чтобы доказать нечто, необходимо это не- что доказать. А чтобы опровергнуть, достаточно привести все- го лишь один пример, противоречащий утверждению. Но мы приведем сразу два очень показательных примера. К примеру, можно задать любопытный вопрос:
Почему одноканальная система loolD Quadlog (см. рис.
1.15), которая в отличие от одноканального варианта системы
QMR "2оо4" имеет ДВА САМОСТОЯТЕЛЬНЫХ МОДУЛЯ
управления, и точно так же осуществляет межпроцессорное взаимодействие, при этом даже не пытается использовать данное преимущество? И почему не объявляет себя системой
1 oo2D с неограниченной во времени работой - хотя бы с це- лью рекламы? ЭТА СИСТЕМА С ДВУМЯ РАЗДЕЛЬНЫМИ
МОДУЛЯМИ УПРАВЛЕНИЯ отнесена не к архитектуре loo2D, а к архитектуре loolD. И аттестована эта система из- начально по RC4 и SIL2 без нелепых разрешений на "безгра- ничную" работу по любому классу. А ведь вполне можно бы- ло бы декларировать аббревиатуру loo2D по аналогии с логи- кой Figure 3 (рис. 1.14):

42 Справочник инженера по А СУТП: Проектирование и разработка
1оо2Р —• 1оо1Р —• No Time Restriction!
У п р а в л я ю щ и й
модуль
1oo1D
Рис. 1.15
Вполне очевидно, что создателям системы Quadlog просто в голову не приходит отстаивать безграмотное утверждение, и на этой основе устанавливать неограниченную работу своей системы. Просто потому, что система на рис. 1.15 — это одно- канальная система loolD с возможностью восстановления в оперативном режиме исходной конфигурации только модулей управления. А неограниченная одноканальная работа - это прямой путь к аварии.
Следующий пример еще более впечатляющ. Системы се- мейства Centum фирмы Yokogawa Electric в течение не одного десятка лет используют резервированную двухпроцессорную архитектуру "Pair & Spare" (2*2) для своих станций управле- ния FCS. Однако никогда и нигде Yokogawa не относила свои системы к категории 2oo4D.
Пункт №6 - Порядок превосходства.
Следующая цитата:
"Referring to ISA TR 84.02, Part 2, 1998, one can quickly de-
termine that the Quad (2oo4) architecture is comparable to the
ultra safe loo3 architecture, as both have cubic terms in their
equations for PFD. By comparison, TMR (2oo3) is comparable to
the loo2D architecture in that both have squared (second order)
terms in their equations.