Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

542 Справочник инженера по АСУТП' Проектирование и разработка
числе сохраняет приверженность уже ставшей классиче- ской концепции РСУ.
Первая из систем семейства Centum - Centum V - вы- шла в свет в 1982 году, и сразу привлекла внимание спе- циалистов своей уникальной архитектурой с полным ре- зервированием ВСЕХ компонентов системы:
• Шин управления;
• Шин ввода-вывода;
• Сетевых интерфейсов;
• Модулей ввода-вывода;
• Шин связи с модулями ввода-вывода;
• Источников питания;
• Станций управления.
При этом станция управления уже тогда имела уни- кальную четырехпроцессорную архитектуру 2*2 - ту са- мую, которую с таким энтузиазмом сегодня превозносят сторонники систем "2оо4"(см. рис.9.1). За прошедшие годы система прошла серьезный путь технических усовершенст- вований, но базовая концепция распределенных систем управления сохраняется: Система рассчитана на работу в жестком реальном времени, то есть ВСЕ ЗАЯВЛЕННЫЕ
ХАРАКТЕРИСТИКИ СИСТЕМЫ обеспечиваются не "по
возможности", а при любых обстоятельствах.
"Левая" процессорная плата
Интерфейс
сети V
Основная
Сравниваю-
память
щее
(с ЕСС)
устройство
Интерфейс шины EN
t
=
B
=
X
Интерфейс
сети V
Правая процессорная плата
Интерфейс шины EN
=
В
=
!
Сравниваю-
Основная
щее
память
устройство
(с ЕСС)
Интерф.
Интерф.
ESB
ESB
S t
ЕСС- Код с исправлением ошибок
Рис. 9Л

Глава Р. Особенности проектирования систем безопасности
543
В рамках заявленных ограничений производительность систем реального времени Centum НЕ ЗАВИСИТ от кон- кретной конфигурации оборудования и конкретной конфи- гурации прикладного программного обеспечения:
Система делает только то, что нужно, и только тогда, когда это нужно. Этим и определяется смысл, который мы вкладываем в понятие жесткого реального времени.
Проще говоря, в отличие от PLC + SCADA и гибрид- ных систем с серверной организацией, коммутаторами и маршрутизаторами, то есть систем, у которых производи- тельность впрямую зависит от конкретной реализации и катастрофически падает с увеличением информационной и операционной нагрузки на систему, классические распре- деленные системы Centum ВСЕГДА обеспечивают объяв- ленную производительность в рамках объявленных огра- ничений. Эти границы настолько широки, что поражают воображение:
• 256 узлов в системе (64 домена по 16 узлов);
• 1,000,000 (один миллион) каналов ввода-вывода с час- тотой сканирования 1 раз в секунду;
• 2500 мнемосхем с частотой обновления 1 раз в секун- ду, и т.д. и т.п.
Приоритет и превосходство систем Centum в своем ос- новном качестве распределенных систем управления об- щепризнанны. При этом все системы семейства сохраняют полную совместимость и преемственность.
Но совершенно очевидно и другое:
Возможности систем семейства Centum выходят дале- ко за рамки РСУ. Нет никаких препятствий к тому, чтобы использовать эти системы для обеспечения всего круга за- дач АСУТП в пределах единой программно-технической концепции - и РСУ, и ПАЗ. В качестве систем управления и противоаварийной защиты системы Centum представляют собой нечто гораздо большее, чем кем-то разрешенная "не-
ограниченная работа по любому классу требованийСа- мое поразительное состоит в том, что система со сто ль
уникальным оборудованием и программным обеспечением не аттестована на соответствие определенному уровню за- падных требований безопасности RC или SIL. Понятно, что пускать на западный рынок мощнейшего конкурента с

544 Справочник инженера по А СУТП: Проектирование и разработка
лучшей системой управления и защиты просто так никто не намерен. К счастью, Ростехнадзор в данном случае про- явил профессиональное отношение к делу:
Все системы семейства Centum: Centum CS, Centum CS
1000 и Centum CS 3000 имеют Разрешение Ростехнадзора на применение "Для создания автоматизированных сис-
тем управления, противоаварийной защиты и сигнализа-
ции на химических, нефтехимических, нефтеперерабаты-
вающих и других производствах и объектах, связанных с
обращением или хранением взрывопожароопасных и ток-
сичных веществ и смесей".
Авторская позиция в данном случае полностью совпа- дает с позицией Госгортехнадзора: отсутствие суперсерти- фиката TUV ни в коей мере не должно препятствовать применению систем семейства Centum в качестве однород- ных систем управления и противоаварийной защиты в ре-
зервированном исполнении.
Кстати говоря, аналогичная оценка дана системам Cen- tum CS 1000 и Centum CS 3000 несколькими известными американскими и европейскими проектными и технологи- ческими фирмами, работающими в нефтехимии и нефтепе- реработке.
Преимущества очевидны:
• Единая среда проектирования, разработки, конфигури- рования;
• Единые промышленные протоколы связи РСУ и ПАЗ;
• Простота эксплуатации и расширения АСУТП;
• Единый парк запасных частей;
• Единый круг подготовленных специалистов.
Единственное условие, которое должно быть соблюде- но - это разделение функций РСУ и функций ПАЗ по раз- дельным станциям управления, на что косвенно указывает пункт 3.11 ПБ 09-540-03: "Системы противоаварийной
защиты, как правило, включаются в общую систему
управления технологическим процессом".
Опыт внедрения однородной системы управления и защи- ты Centum на нескольких нефтехимических предприятиях
России показал, что система противоаварийной защиты впол- не может быть построена на выделенных станциях управле-

Глава 9. Особенности проектирования систем безопасности
545 ния. Как сказано, уникальность ситуации заключается в том, что станции управления систем семейства Centum уже более двадцати лет построены по схеме 2*2, то есть номинально имеют архитектуру "2оо4
м
, которая так превозносится ее ны- нешними поклонниками. Представляется, что данное решение может найти применение для значительного числа взрыво- опасных объектов, для которых не выставляется специальных требований по аппаратной и программной альтернативности оборудования системы ПАЗ. (Пример подобного особого слу- чая - защита компрессорных машин от помпажа).
Объекты I и II категории взрывоопасности. Для объек- тов I и II категории взрывоопасности (SIL3 и RC5-6) необхо- димо точное разделение функций РСУ и ПАЗ, чтобы обеспе- чить требуемый уровень безопасности и исключить противо- речия при выполнении функций управления и защиты.
Функции защиты должны быть реализованы на спе-
циализированном оборудовании, имеющем Разрешение на
применение от центральных органов технадзора.
Замечание
Существуют особые случаи, когда трудно обеспечить
разделение функций на функции РСУ\ и функции ПАЗ. Напри-
мер, система защиты газовой турбины от помпажа включа-
ет как управляющие, так и функции безопасности.
В этом случае функции управления встраиваются в со-
ответствующую специализированную систему защиты, спо-
собную обеспечить безопасное выполнение функций управле-
ния и защиты.
Дополнительные условия, которые учитываются для опреде-
ления требований единых систем управления и безопасности
в одном и том же устройстве:
• Оценка отказа общих компонентов и программного
обеспечения, и их влияние на обеспечение функций за-
щиты;
• Поддержка жизненного цикла системы именно как
системы безопасности по отношению к внесению из-
менений, эксплуатации, тестированию и документи-
рованию;
• Дополнительное ограничение доступа к программным
средствам и функциям конфигурации системы.
18—3110

546 Справочник инженера по А СУТП: Проектирование и разработка
9.12. Связь между РСУ и ПАЗ
Связь между РСУ и ПАЗ повышает информированность технологического персонала и общую безопасность АСУТП.
Тем не менее, внешняя связь, особенно запись данных в
ПАЗ, может вступить в конфликт с целостностью системы защиты.
Должны быть сделаны специальные процедуры проверки, чтобы гарантировать, что все записываемые в систему защиты данные являются достоверными и не оказывают негативного влияния на системную целостность, или на выполнение тре- буемых операций защиты. Существует несколько путей для внешней связи между РСУ и ПАЗ:
1) Физическая связь по каналам ввода-вывода РСУ и
ПАЗ (Например, когда аналоговый или дискретный выход от системы ПАЗ подается на физический вход
РСУ).
Это решение приемлемо для объектов всех категорий взрывоопасности, поскольку функции защиты непо- средственно не затрагиваются, но использование этого метода носит скорее исключительный, чем регулярный характер.
2) Система защиты работает по принципу "только
чтение" данных из системы ПАЗ. Это может быть приемлемым для всех категорий взрывоопасности, ес- ли проведен соответствующий анализ, чтобы гаранти- ровать, что функции защиты не нарушаются, и нет риска модификации или разрушения данных системы
ПАЗ.
Меры, обеспечивающие защиту от несанкционирован- ной записи в систему ПАЗ, могут включать, например, установку физического или программного ключа, что- бы запретить доступ для записи в ПАЗ.
3) Внешняя связь типа "чтение-запись" с защитой от
воздействия на функции защиты.
Использование этого метода для взрывоопасных объ- ектов требует дополнительного исследования и анали- за безопасности и защиты данных. Меры, обеспечи- вающие безопасность для функций защиты, включают, но не ограничиваются следующими действиями:

Глава Р. Особенности проектирования систем безопасности
547
- Ограниченное окно времени для доступа к записи;
- Программный ключ (например, пароль), чтобы ог- раничивать доступ для записи;
- Обеспечение независимости логических контуров защиты от воздействия данных из РСУ.
9.13. Программное обеспечение
Встроенное программное обеспечение. Встроенное спе- циальное программное обеспечение предусматривается изго- товителями оборудования, и используется при подготовке прикладного программного обеспечения.
Утилиты (Служебные программы). Использование утилит должно придерживаться тех же критериев, что и встроенное программное обеспечение. Утилиты третьих сто- рон могут быть использованы только после соответствующего анализа и одобрения изготовителя оборудования.
Прикладное программное обеспечение. Рекомендуется модульная организация прикладных программ, поскольку мо- дульность повышает проектную простоту и целостность.
Стандартное программное обеспечение должно включать средства диагностики и само документирования.
Используемые средства и языки программирования должны соответствовать средствам, утвержденным для про- мышленного применения.
Иначе говоря, программное обеспечение должно иметь в своем составе полный набор программных средств, обеспечи- вающих полноценное выполнение всего набора функций в соответствии со стандартом Международной Электротехниче- ской Комиссии IEC 61131-3, регламентирующим полноту и синтаксис языков технологического программирования (оте- чественные нормативные документы отсутствуют).
В соответствии с этим стандартом, система должна иметь следующие средства технологического программирования:
(1) Function Block Diagrams -
Графический язык функциональных блоков.
(2) Sequential Function Chart -
Функциональные схемы описания последовательно- сти операций.

548 Справочник инженера по А СУТП: Проектирование и разработка
Для разработки систем противоаварийной защиты, как правило, предусматриваются
(3) Ladder Logic Diagrams -
Графические средства описания логических схем (ле- стничные диаграммы).
Кроме того, могут использоваться дополнительные программные средства:
(4) Cause & Effect Matrix Programming Language Editor -
Средство для реализации такого эффективного приема, как таблицы решений.
Проблемно-ориентированные языки высокого уровня, позволяющие:
• Создавать программы произвольной структуры,
• Оперативно их корректировать,
• Сохранять результаты решения задач в базе данных,
• Организовывать запуск задач по запросу и по времени с соответствующими приоритетами, - для разработки прикладных программ защиты, как правило, не используются. И это правильно. Как неоднократно подчерки- вается на всем протяжении настоящей работы, при создании систем противоаварийной защиты необходимо в максимально возможной степени ограничивать число степеней свободы.
Соответственно, тем самым автоматически уменьшается и вероятность привнесения в систему систематических ошибок программирования.
Для подтверждения того, что прикладное программное обеспечение удовлетворяет Спецификации требований безо- пасности, предусматривается следующее:
• Анализ проекта, демонстрирующий, что все требова- ния, установленные в Спецификации требований безо- пасности, нашли свое воплощение в проекте;
• Анализ алгоритмов, реализующих функции защиты;
• Разработка специальных тестов для проверки реакции программного обеспечения на обработку данных, вы- ходящих за нормальные границы; на команды, на вво- ды данных с клавиатуры, и другие действия;
• Программное обеспечение должно быть протестирова- но для определения его реакции на присутствие аппа- ратных дефектов.

Глава Р. Особенности проектирования систем безопасности
549
9.14. Интерфейс пользователя
Интерфейсы пользователя для связанной с безопасностью системы - это:
• Интерфейсы оператора и
• Интерфейсы технического обслуживания, проектиро- вания и разработки.
Интерфейсы оператора. Интерфейс оператора, посред- ством которого осуществляется взаимообмен информацией между оператором и ПАЗ, может включать:
• Видеоизображения;
• Физические панели, содержащие лампы, кнопки, ука- затели, ключи;
• Сигнализаторы (оповещатели);
• Принтеры;
• Любая комбинация из предыдущего.
Как правило, операторский видеоинтерфейс системы защиты встраивается в рабочие станции РСУ.
Видеоизображения. Видеоизображения на РСУ могут со- вмещать обработку функций обеспечения безопасности и в то же время осуществлять собственно управляющие функции
РСУ. Данные из системы безопасности, отображаемые для оператора, должны обновляться с частотой, необходимой для своевременной реакции в случае возникновения непредвиден- ных условий. Видеоизображения, имеющие отношение к ПАЗ, должны ясно идентифицироваться как таковые, исключая возможность неоднозначной интерпретации, или потенциаль- ной неразберихи в непредвиденной ситуации.
Операторы должны иметь легкий доступ к связанным с безопасностью видеоизображениям, предпочтительно посред- ством единственного нажатия на ключевую клавишу, или сен- сорно - экранным способом, дающим прямой вход в иерархию изображений.
Видеоизображения системы защиты должны предостав- лять оператору достаточно подробную и наглядную информа- цию на одном видеокадре, чтобы быстро сообщить критиче- скую информацию. Желательно обеспечить те же методы дос- тупа, способы отображения тревожных сообщений и компо- нентов изображения, что и в несвязанных с безопасностью видеоизображениях. Слишком много информации на одном

550 Справочник инженера по А СУТП: Проектирование и разработка
видеокадре может провести оператора к неправильному ис- толкованию данных, и вызвать неправильные действия. Со- общения должны быть ясными, краткими и однозначными.
Интерфейсы оператора и собственно РСУ должны обес- печивать автоматическую регистрацию событий и сигнализа- ций, связанных с безопасностью. События, которые нужно регистрировать, также должны включать и те события, кото- рые происходят в то время, когда система ПАЗ доступна для программных изменений, диагностики и технического обслу- живания.
Оперативные панели системы ПАЗ. Панели должны быть расположены таким образом, чтобы обеспечивать легкий дос- туп операторов. Размещение кнопок, сигнальных табло, клю- чей на панели должно быть таким, чтобы гарантировать, что положение кнопок, ламп, переключателей, надписей и другая информация не запутывает оператора, и не предоставляет возможности совершить ошибку в стрессовой ситуации.
Должна быть предусмотрена кнопка тестирования всех ламп.
Принтеры. Принтеры, предназначенные для печати событий
ПАЗ, не должны вступать в конфликт с функциями обеспече- ния безопасности даже в том случае, если принтер отказал, выключен, разъединен, испытывает недостаток бумаги, или ведет себя ненормально.
Система ПАЗ, связанная с РСУ, может использовать сред- ства РСУ, чтобы выполнять функции регистрации событий и печати отчетов, связанных с обеспечением безопасности.
Принтер необходим для распечатки отчета о последователь- ности событий при поиске первопричины останова, для диаг- ностики, и других связанных с безопасностью событий и тре- вог, с отметкой времени, датой, и идентификацией позиций.
Интерфейсы технического обслуживания, проектиро-
вания и разработки системы ПАЗ. Интерфейсы техническо- го обслуживания, проектирования и разработки состоят из средств программирования, тестирования и технического об- служивания системы ПАЗ.
Данные интерфейсы являются теми средствами, которые используются для:
• Конфигурации аппаратных средств;
• Программной разработки, документирования, загруз- ки системы ПАЗ;