Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия
 Скачать 6.47 Mb.
|
43 This comparison concludes that the QMR (2oo4) architecture provides an order of magnitude better safety performance than either TMR (2oo3) or loo2D architecture, and is a major techno- logical enhancement in safety system perjormance. Please refer to Figure 4 for a comparison of these architectures". Перевод: "Обратившись к Техническому отчету ISA TR 84.02, Part 2, 1998, можно быстро определить, что Quad (2оо4) архи- тектура сравнима с ультра безопасной архитектурой 1ооЗ, поскольку обе имеют третий порядок в своих уравнениях для PFD. Для сравнения, архитектура TMR (2ооЗ) сопоставима с архитектурой loo2D, так как обе имеют квадратичную за- висимость (второй порядок) в своих уравнениях. Это сравнение приводит к выводу, что архитектура QMR (2оо4) обеспечивает на порядок лучшие показатели безопасности, чем архитектуры TMR (2ооЗ) или loo2D, и яв- ляется главным технологическим достижением в исполнении систем безопасности. Пожалуйста, обратитесь к Figure 4 (рис. 1.16) для сравнения этих архитектур". Единственное достоверное утверждение в приведенном отрывке - это второй порядок частоты отказов для архитектур loo2D и 2ооЗ. Забыто и перекрыто даже ошибочное заявление Пункта №2 "Тройное превосходство" о троекратном превос- ходстве архитектуры QMR над архитектурой 2ооЗ - здесь оно достигает "порядка" (автор оговорился: имеется в виду третья степень произведения (Л t) 3 . Порядок вероятности отказа при условии A t «1 будет еще меньше). Comparison of the Best P F D A V G 2oo3 2oo4 loo2 loo3 Source: dTR 84.02, Part 2-1998 Figure 4 Рис. 1.16 44 Справочник инженера по А СУТП: Проектирование и разработка Остальные два утверждения в приведеьДюм отрывке о превосходстве архитектуры Quad (QMR) "2оо4" по вероятно- сти отказов над архитектурами loo2D и 2ооЗ не соответству- ют действительности. Все три архитектуры - loo2D, 2ооЗ, "2оо4" - имеют вто- рой порядок вероятности отказа от базовой частоты отказа. Причем архитектура и 2оо4" имеет более высокую вероятность отказа, и чем архитектура loo2D, и чем архитектура 2ооЗ. При этом вероятности отказа соотносятся как 1оо2 : 2ооЗ : "2оо4" = 1 : 3 : 4 . Пункт №7 - Таблица сравнения вероятностей отказа (рис. 1.16). В последней строке данной таблицы автор публи- кации, апеллируя к Техническому отчету ISA TR84.02, приво- дит совершенно правильное соотношение вероятности отказа, но совершенно другой архитектуры, а именно отказа ТРЕХ КАНАЛОВ ЧЕТЫРЕХКАНАЛЬНОЙ АРХИТЕКТУРЫ. Вспомним смысл аббревиатуры 2оо4: Если для нормальной работы четырехканальной системы необходимо 2 канала, то система способна безболезненно вы- держать отказ 4 - 2 = ДВУХ каналов. Отказ системы про- изойдет после отказа (4 - 2) + 1 = ТРЕХ каналов. И действительно, вероятность опасного необнаруженного отказа трех каналов четырехканальной системы ничтожно ма- ла. Но все дело в том, что представленное на рис. 1.16 соот- ношение справедливо именно и только для ЧЕТЫРЕХКА- НАЛЬНОЙ архитектуры, и не имеет никакого отношения к ДВУХКАНАЛЬНОЙ архитектуре HI Quad (QMR) "2oo4 M Еще раз: мерой жизнеспособности различных архитек- тур систем безопасности является не количество рабо- тающих процессоров, а количество работающих каналов. Каждая пара процессоров архитектуры 2*2 (HI Quad "2оо4") находится на одной плате, и только пара синхронно работающих процессоров формирует работоспособный канал. Это означает, что отказ любого ОДНОГО ИЗ ЧЕТЫРЕХ ПРОЦЕССОРОВ будет означать отказ ОДНОГО ИЗ ДВУХ КАНАЛОВ. Поэтому совершенно неправильно считать вероятность отказа архитектуры 2*2 (HI Quad (QMR) "2оо4") как вероятность от- каза ТРЕХ КАНАЛОВ ЧЕТЫРЕХКАНАЛЬНОЙ СИСТЕМЫ. Глава 1. Постановка задач автоматизации 45 А ведь именно эта вероятность приведена на Figure 4 (рис. 1.16). К анатомии этого фокуса мы еще вернемся. А пока обратим внимание, что при этом доктор Бэкман признает, что обе архитектуры, - и TMR, и QMR, - после пер- вого отказа деградируют к состоянию 2 - 0 . Это как раз и означает, что вероятность отказа любого одного из четырех процессоров архитектуры "2оо4" является вероятностью отказа того модуля, и, соответственно, канала, на котором этот процессор находится. Именно вероятность отказа любого одного из четырех процессоров будет опреде- лять вероятность отказа одного из двух каналов архитектуры "2оо4". При этом возникает еще одна особенность архитекту- ры "2оо4", которую Бэкман просто не замечает: Два отказавших процессора архитектуры 2*2 могут нахо- диться на одном управляющем модуле, - и тогда система со- храняет работоспособность одного канала и возможность вос- становления в режиме on-line, - а могут и на разных, и тогда система не работоспособна. Это наблюдение непосредственно указывает на то, что расчет вероятности отказа архитектуры QMR "2оо4" необходимо начинать с определения вероятности отказа одного из четырех процессоров. И отказ всего одного процессора на одном из двух двухпроцессорных модулей вы- шибает из работы сразу оба процессора, и тем самым означает отказ всего модуля, что должно отражаться в алгоритме пер- вого шага деградации архитектуры QMR "2оо4": 4 - (3 = 2) - 0, а не просто 4 - 2 - 0 . Пункт №8 - Схемы деградации. В своей следующей статье Determining the required safety integrity level for your Process, Lawrence V. Beckman, Dr. SafePlex Systems, Inc, 2001, доктор Бэкман приводит логические блок-схемы различных систем безопасности, и режимы их деградации (рис. 1.17). Схемы доктора Бэкмана неполны и некорректны одно- временно: • Отсутствует схема самой важной из архитектур - loo2D. • Отсутствует схема "4оо6" для архитектуры 2ооЗ с па- рой элементов в каждом канале - аналог схемы "2оо4". • Схема архитектуры и режим деградации QMR "2оо4" некорректны. 46 Справочник инженера по АСУТП: Проектирование и разработка SeisoKs) PES Finn! Elem«nt(s) Configuration Operating Mode Channels Needed to Operate Channels Needed to Trip X X X 1001 у 1-0 1 1 1002 n и 2-0 2 1 1003 -th—Sf i f 3-0 3 1 2002 -OHO- 2-1-0 1 2 2003 -HHZE^Zn^U- 3-2-0 2 2 2004 -E^^fU- 4-2-0 2 2 X X X 1001 у 1-0 1 1 1002 n и 2-0 2 1 1003 -th—Sf i f 3-0 3 1 2002 -OHO- 2-1-0 1 2 2003 -HHZE^Zn^U- 3-2-0 2 2 2004 -E^^fU- 4-2-0 2 2 X X X 1001 у 1-0 1 1 1002 n и 2-0 2 1 1003 -th—Sf i f 3-0 3 1 2002 -OHO- 2-1-0 1 2 2003 -HHZE^Zn^U- 3-2-0 2 2 2004 -E^^fU- 4-2-0 2 2 X X X 1001 у 1-0 1 1 1002 n и 2-0 2 1 1003 -th—Sf i f 3-0 3 1 2002 -OHO- 2-1-0 1 2 2003 -HHZE^Zn^U- 3-2-0 2 2 2004 -E^^fU- 4-2-0 2 2 X X 1001 у 1-0 1 1 1002 n и 2-0 2 1 1003 -th—Sf i f 3-0 3 1 2002 -OHO- 2-1-0 1 2 2003 -HHZE^Zn^U- 3-2-0 2 2 2004 -E^^fU- 4-2-0 2 2 X X X 1001 у 1-0 1 1 1002 n и 2-0 2 1 1003 -th—Sf i f 3-0 3 1 2002 -OHO- 2-1-0 1 2 2003 -HHZE^Zn^U- 3-2-0 2 2 2004 -E^^fU- 4-2-0 2 2 Рис. 1.17 Архитектура loo2D существенно отличается от прямоли- нейной архитектуры 1оо2 не просто наличием диагностиче- ских цепей, но специальной организацией взаимного кон- троля над состоянием соседнего канала, и на основе этой ин- формации - контроля и управления выходом системы в целом. Конфигурация архитектуры loo2D немыслима как без учета межпроцессорного взаимодействия, так и без учета конфигурации и взаимодействия выходных диагностических цепей, и на самом деле должна выглядеть в терминах Бэкмана так, как представлено на рис. 1.18, где контакты D 0 i и D02 символизируют выходные диагностические цепи, способные распознавать состояние соседнего канала. Исходная схема Бэкмана для системы QMR "2оо4" (рис. 1.19) совершенно правильно отражает главное свойство этой архитектуры: при отказе одного процессора происходит отказ того канала, на котором этот процессор находится. Li D01 L11 L12 I 1 D02 l 2 i l 22 Рис. 1.18 Рис. 1.19 Однако на этой схеме (рис. 1.19) не отражена самая глав- ная особенность систем типа loo2D, а именно - перекрестная перепроверка состояния соседнего канала с помощью диагно- Глава 1. Постановка задач автоматизации 47 стических цепей, а также встроенная способность контроля и управления выходом всей схемы каждым каналом в от- дельности. А ведь именно это свойство превращает архитек- туру 1оо2 в сочетание архитектур 1оо2 и 2оо2, то есть в архи- тектуру loo2D (рис. 1.20). L22 Рис. L20 Эта схема дает ясное представление, что в действительно- сти мы имеем дело с архитектурой loo2D, с усиленным с по- мощью дополнительного процессора каналом. К чему на са- мом деле приводит это "усиление", мы скоро увидим. А пока можно смело утверждать, что внесение второго элемента в каждое плечо схемы в два раза увеличивает вероятность отка- за каждого плеча, и, соответственно, в четыре раза - вероят- ность отказа системы. Из рисунков 1.18 и 1.20 понятно, что архитектуру QMR "2оо4" нужно бы обозначить как-то по- родственному с архитектурой loo2D: • loo2D (2*2), • "2оо4", или просто • 2*2, но уж никак не 2oo4D. Замечание Лучший способ проявить абсурдность некоторого ут- верждения - довести это утверждение до совершеннейшего абсурда. Представим, что на каждом из двух параллельных модулей мы разместили по 20 процессоров. Спрашивается: неужели кому-то пришло бы в голову определить эту архи- тектуру как 20 оо 40? Напомним смысл этого обозначения: Для нормальной работы архитектуры из сорока имею- щихся в наличии каналов необходимо не менее двадиати кана- лов. Но каналов-то как было два, так и осталось, и система QMR "20 из 40" по-прежнему принадлежит к семейству ар- хитектур 1оо2. 48 Справочник инженера по А СУТП: Проектирование и разработка И предпоследний казус. Доктор Бэкман не упоминает, что системы Tricon и Trident с архитектурой 2ооЗ также име- ют по 2 микропроцессора на каждом модуле управления. Не- возможно представить, что специалист такого ранга может не знать об этом. И на самом деле логическая блок-схема цен- тральной часуи этих систем выглядит не так, как изобразил доктор Бэкман на рис. 1.17: а, оставаясь в рамках графической "концепции" Бэкмана, вот так: HI—11—I—11—11—I—11—lh H H H H H H h Если быть последовательным, то по логике Бэкмана необ- ходимо отнести эту архитектуру к классу шестиканальных систем типа 4оо6. И тогда вероятность отказа этой системы будет также пропорциональна кубу произведения A t . Если быть точным, то вероятность отказа П - Т + 1 = б - 4 + 1 = трех из шести каналов системы 4оо6 равна 5 • (Я t) 3 . Покажем это. Вероятность опасного отказа одиночного канала в интервале времени [0,t] равна At. Для резервиро- ванных систем безопасности типа moon ( т out of п ), вероят- ность отказа (п-т+1) каналов в интервале времени [0,t] в общем случае будет определяться числом различных сочета- ний (п—т+1) каналов, и равна соответственно С" т+1 . (А - t) n m+1 в где С " т+1 - число сочетаний (п-ш+ 1 ) отказавших каналов из п возможных: £ п-т+1 ^' " {п-т + 1У\п-(п-т + 1)У {п-т + 1У{т-1)У Глава 1. Постановка задач автоматизации 49 Тогда среднее значение вероятности опасного отказа в те- чение временного интервала [0,t] определится интегрирова- нием и усреднением по времени: PFD moon = . | J (Л • t) n m+1 • dtу t, или PFD moon = СГ т+7 • (Л• tr m+1 /(n-m + 2) В нашем клиническом случае это составит: PFD 4oo6 = C nn m+1 • (Л • t) n m+1 /(п - т + 2) - п! (At) n m+1 __ 61 (Л-t) 6 (п-т + 1)!-(т-1)! (п-т + 2) (6-4 + 1)!(4-1)! (6-4 + 2) 1 - 2 3 4 • 5 6 (Л -t) 3 з (1-2-3) (12 3) (6-4 + 2) ( } Несколько выше, чем для истинно четырехканальной архитек- туры 2оо4, но ведь порядок все равно запредельный! Почему же Triconex не выказывает никакого желания от- нести свои трехканальные системы к архитектуре 4оо6? Да просто потому, что прекрасно понимает, что если в выражение вероятности отказа архитектуры PFD 2oo3 ={A tf подставить удвоенную частоту отказа канала, то вероятность отказа так называемой системы "4оо6" составит PFDuoor = [(2Я). t] 2 = 4 . (Л. tf = 4 . PFD 2oo3 , то есть возрастет в четыре раза. Таким образом, главное соотношение вероятностей отказа дублированных и троированных систем сохраняется и при удвоении числа элементов в канале: PFD 1oo2 : PFD 2oo3 = PFD. 2oo4 . ; PFD. 4oo6 . =1:3 Соотношение вероятностей отказа архитектур 1оо2, и 2оо4 и , п 4оо6" при прочих равных условиях составляет PFD 1oo2 : PFD. 2oo4 . : PFD,. 4oo6 . =1: (1 • 2 2 ): (3 • 2 2 ) = 1: 4 :12 . Таким образом, вероятность отказа архитектуры 2ооЗ ("4оо6") с парой процессоров в каждом канале на порядок выше, чем для классической архитектуры 1оо2. Небольшой комментарий. Все, что представлено в данном разделе, представлено во- все не для того, чтобы принизить или превознести уровень 50 Справочник инженера по А СУТП: Проектирование и разработка какой-либо архитектуры. Обе модели, - и классическая loo2D, и ее модификация QMR "2оо4", - имеют исключительно вы- сокие характеристики надежности. Но важно понимать, что ничто не возникает из ничего, и добавление новых элементов в канал, повышая уровень самодиагностики канала, в то же время никак не может уменьшить вероятность отказа, но только увеличить. И обозначить архитектуру одного- единственного модуля управления в архитектуре QMR "2оо4" как loo2D, да еще и без ограничений по времени - это непра- вильно. Возникает закономерный вопрос: где происходит подмена понятий? Смысл, который скрывается за вроде бы правдоподобны- ми рассуждениями, может ввести в заблуждение кого угодно, если не знать в точности, как работает та или иная схема. И только после детального изучения становится понятным, что "в действительности все совсем не так, как на самом деле Попробуем разобраться, какую архитектуру подразумева- ет аббревиатура 2оо4, и внимательно рассмотрим наш случай произвольной интерпретации. Гибридная схема "2оо4" (2*2). Структурная схема цен- тральной части гибридной архитектуры "2оо4" выглядит сле- дующим образом: Именно таким образом построено ядро систем loo2D, у которых ставится по два процессора на каждый из дублиро- ванных модулей управления. Схема на рис. 1.21 совершенно точно отражает главное свойство данной архитектуры: Отказ любого элемента канала означает отказ канала. 1.14. Анатомия подмены понятий Рис. 1.21 Глава 1. Постановка задач автоматизации 51 А поскольку канал имеет удвоенное количество элемен- тов, то соответственно, и вероятность отказа канала по срав- нению с обычной схемой резервирования удваивается. В дан- ной работе, чтобы не смешивать архитектуру рис. 1.21 с клас- сической архитектурой loo2D, она обозначается как loo2D (2*2) или "2оо4". Но некоторые из особо восторженных поклонников этой схемы смело обозначают ее как архитектуру 2оо4, или того пуще - 2oo4D, и легко распространяют это обозначение на всю архитектуру системы безопасности - целиком, и без вся- ких кавычек. Этот простейший прием дает колоссальный эф- фект в увеличении надежности системы - и без малейших усилий. Посмотрим, как это делается. Выстраивается следующая цепочка рассуждений: 1. Данная архитектура имеет N = 4 элемента. 2. Отказ одного из элементов приводит к отказу всего плеча, на котором этот элемент находится, то есть выводит из работы сразу два элемента. 3. Система сохраняет работоспособность на остав- шихся двух элементах. 4. Значит, для нормальной работы системы достаточ- но М = 2 элементов. 5. Таким образом, система деградирует по схеме 4-2-0. 6. Согласно определению, аббревиатура MooN (М out of N) обозначает, что для правильного функционирова- ния системы необходимо, чтобы М из N каналов ра- ботали нормально. Если система построена на N каналах, и для нормаль- ной работы системы необходимо М каналов, то это означает, что система способна пережить отказ (N — М) каналов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (N — М + 1) каналов. 1. Наша система полностью соответствует этому оп- ределению: Система построена на 4 элементах, и для нормальной работы системы необходимо 2 элемента. Это означает, что система способна пережить от- каз (4-2) элементов без потери функциональности. Соответственно, для отказа системы необходимо, чтобы отказали (4 - 2 + 1) = 3 элемента. 52 Справочник инженера по АСУТП: Проектирование и разработка 8. Вывод: Система рис. 1.21 имеет архитектуру 2оо4. Теперь, если непринужденно произвести "обратное пре- образование" аббревиатуры 2оо4 в архитектуру, то удается легко интерпретировать ее уже как четырехканальную (хотя очевидно, что в исходной архитектуре о четырех каналах и речи нет): 1. Как мы только что выяснили, система имеет архи- тектуру 2оо4. 2. Поскольку согласно этому определению, для нормаль- ной работы системы достаточно двух элементов, то для отказа системы 2оо4 необходимо, чтобы отказа- ло N - M + 1 = 4 - 2+1=3 элемента. 3. Вероятность отказа трех независимых элементов равняется: Р2004 =Pl Р 2 Рз =Р 3 =(1-R) 3 =[1-(1-M)] 3 =(At) 3 4. Ч. Т.Д. Эта элементарная манипуляция дает возможность утвер- ждать, что гибридная архитектура "2оо4" имеет уже не второй порядок частоты отказа, а третий. Естественно, при этом со- вершенно нет никакой нужды упоминать, что найденная веро- ятность принадлежит совсем другой, действительно четырех- канальной архитектуре: Рис. 1.22 Вот так вполне безобидный с виду ход позволяет без лишних хлопот поднять надежность системы до недосягаемой высоты. В действительности же вероятность отказа схемы 2*2 (рис. 1.21) при условии, что все элементы эквивалентны, оп- ределяется следующим соотношением: Р"2оо4 ы = (Р1 + Р2) • (РЗ + Р4) = 4Р 2 = 4(At) 2 , то есть в четыре раза превышает вероятность отказа ар- хитектуры 1оо2. Специфические особенности архитектуры "2оо4" подроб- но исследованы в настоящей работе. |