Глава 1. Постановка задач автоматизации
53
Но главное свойство этой архитектуры необходимо отме- тить сразу:
По отношению к отказам удвоение числа элементов
канала эквивалентно удвоению частоты отказа исходного
элемента. А второй порядок вероятности отказа от часто-
ты для двухканальной системы приводит к учетверенно-
му значению вероятности отказа по отношению к системе
loo2D с одним элементом в канале.
Алгоритмы самодиагностики архитектур loo2D и "2оо4" тождественны:
• Способ диагностики канала для схемы "2оо4" - срав- нение результатов работы двух логических элементов.
• Способ диагностики канала для схемы loo2D - неза- висимая диагностическая цепь.
• Способ диагностики состояния центральной части обеих архитектур - сравнение результатов диагности- ки каждого из каналов.
Необходимо отметить, что с помощью независимых диагностических цепей в архитектуре loo2D достигается своего рода альтернативное резервирование на основе схемной реализации.
Диагностические цепи осуществляют строго специфи- ческие функции обнаружения отказов и, соответственно, организованы гораздо более жестко по сравнению с основ- ными процессорами.
Архитектура l o o l D одного канала системы loo2D
вполне может превосходить по надежности архитектуру
одного канала 1оо2 системы loo2D (2*2).
На вопрос: какая из этих архитектур a priori обеспечи- вает более высокий уровень диагностики? - ответить одно- значно невозможно. Только непосредственный опыт реали- зации во множестве предыдущих воплощений может при- дать уверенность в правильности выбора.
Именно по этой причине стандарты IEC предъявляют очень жесткие требования к полевым испытаниям систем безопасности, причем не на своем, а на чужом поле. Мы должны ясно понимать и твердо помнить, что для них та- ковым является наше, русское поле.
Те преимущества систем QMR, которые превозносятся энтузиастами этих систем, как то:
54
Справочник инженера по АСУТП: Проектирование и разработка "The key features of the Hi Quad (Quad Modular Redundant) system are as follows: • Mode of Operation: Unlimited Operation on a Single Channel -Никак не соответствует требованиям стандарта IEC
61508;
• Rated up to TUV RC6 (SIL3) -Справедливо только в конфигурации loo2D;
• Three Times Better Safety Performance than TMR -Справедливо только для обычных loo2D архитектур.
Для архитектур QMR "2оо4" при прочих равных усло- виях все-таки несколько ниже, чем 2ооЗ;
• Availability Equal to TMR (см. выше) • Less Common Cause Susceptibility than TMR -На то они и общие, что при прочих равных условиях производят на систему общий катастрофический эф- фект.
Потому и сказываются в общем, то есть одина- ково;
• Lower Life Cycle Cost", -Эти мнимые преимущества, если и присущи системам
QMR "2оо4
п
, то ровно настолько, насколько они присущи всем системам с архитектурой loo2D.
Таким образом, выводы, которые делает Бэкман в конце своей публикации, таки остаются и пребывают фактическим концом публикации:
"Conclusions: The New Quad (QMR) Architecture is a major technological enhancement in safety system performance. It pro-vides both higher levels of safety and availability than either TMR (2oo3) or loo2D. It has significantly less susceptibility to common cause failure than TMR because of the absolute separation, isola-tion and operation of the redundant channels. Because each channel has a pair of dual processors operating in the safety (2-0) mode, a dangerous undetected failure of the processors has been eliminated; and the system provides unre-stricted SIL3 operation in either a simplex, selectively redundant, or fully redundant configuration. This new architecture is highly configurable and can be used for SIL1, SIL2, and SIL3 applications. However, the most attrac-tive advantage is a lower life cycle cost, which will enable it to be utilized effectively on both small and large safety projects. Глава 1. Постановка задач автоматизации 55
Consequently, combining multiple process units into a single PES, in order to be cost effective, is no longer a necessity". И соответствующий перевод:
"Выводы: Новая Quad (QMR) Architecture является глав-ным прорывом в исполнении систем безопасности. Она обес-печивает более высокий уровень и безопасности и готовно-сти чем TMR (2ооЗ) или loo2D. Она имеет значительно меньшую подверженность отказам общего порядка, чем TMR из-за абсолютного разделения, изоляции и работы резервиро-ванных каналов. Так как каждый канал имеет пару сдвоенных процессоров в безопасном (2-0) режиме, опасные необнаруженные отказы были исключены; и система обеспечивает неограниченную по SIL3 работу как в симплексной, селективно резервированной, так и в полностью резервированной конфигурации. Эта новая архитектура является высоко конфигурируемой, и может использоваться для приложений SILl, SIL2, и SIL3. Однако наиболее привлекательным преимуществом явля-ется более низкая стоимость жизненного цикла, которая позволяет использовать ее эффективно как в небольших, так и больших проектах. Следовательно, сочетать несколько технологических уз-лов в одной программируемой электронной системе для сни-жения стоимости теперь нет необходимости ". Но на этом высокохудожественном фоне в Глоссарии к статье автор скромно приводит совершенно трезвые формули- ровки режимов деградации рассмотренных архитек!ур:
ff2-0 Mode of operation where the dual system shuts down after the first diagnosed fault. 2-1-0 Mode of operation where the dual system shuts down after the second diagnosed fault. 3-2-0 Mode of operation where the triplicated system shuts down after the second diagnosed fault. 4-2-0 Mode of operation where the quadruplicated system shuts down after the second diagnosed fault". Этим определениям и будем следовать.
56 Справочник инженера по А СУТП: Проектирование и разработка 1.15. Сертификация систем "2оо4" по стандарту IEC 61508 В настоящее время все уважающие себя производители оборудования систем безопасности должны пройти сертифи- кацию на соответствие требованиям стандарта IEC 61508.
Сертификация по стандарту IEC 61508 заставляет все расста- вить по своим местам, и та же архитектура "2оо4" уже занима- ет свое законное место - loo2D.
В подтверждение приводятся две схемы систем HIMA, которые уже идентифицированы самой же фирмой HIMA по правилам IEC 61508. На первой (рис. 1.23) представлена схема
PLC H41/51-HRS с архитектурой loo2D, - та самая, что на рис. 1.10 обозначена как 2оо4. В таблице ниже схемы (рис.
1.23) поясняются действия системы при отказах:
"В том случае если данные в ДВУХ центральных модулях от-личаются, и причина отказа определена программой самоди-агностики, то происходит: A) отключение ОБОИХ модулей, или работа на одном канале в течение 1 часа. Если причина расхождения не определена, то происходит: B) отключение ОБОИХ центральных модулей". Конец цитаты.
И никаких четырехканальных 2оо4 и безграничных вре- мен одноканальной работы. Та же метаморфоза произошла и с одноканальной системой H41/51-S - стандарт IEC 61508 за- конно требует отнести ее на вполне заслуженную позицию
loolD, и, соответственно
RC4, SIL2 (рис. 1.24). Читаем:
"В случае отказа центрального модуля - его отключение, отключение сторожевого таймера и выходов". Результат - ЖЕСТКИЙ ФИЗИЧЕСКИЙ ОСТАНОВ.
И никаких шестых классов и безграничной работы.
Системы безопасности фирмы HIMA по определению имеют
высшие показатели надежности и безопасности, и со- вершенно не нуждаются в нелепых утверждениях своего пре- восходства. Сказать, что для перечисления систем такого класса достаточно пальцев одной руки - не сказать ничего:
ровно половина пальцев останется без применения. Вместе с тем, безусловно, существует "тонкое расщепление" характе- ристик различных архитектур. И этому будет уделено достой- ное внимание на всем протяжении настоящей работы.
Глава 1. Постановка задан автоматизации
57
Standard IEC 61508
System Structure of the 1oo2D«Svstem. RC 6. SIL 3
Systems H41-HRS, H51-
Range
Test
Reaction to Failures
0 modules
Same tests as in the 1oo1 system
Same reactions like in the
1oo1 system
Central Module (PE)
Same tests in the central modules as
in the 1oo2D-system with one IO bus
if the data in the two central modules
is different-
A) More than 99 % of the failures
will be detected by the test
routines
B) The test тыр^у&тХ detect
a failur^>^\>^ata do differ
Display as in the 1oo2D
system with one IO bus
A) Switch-off of both
central modules or
^ time limited single
channel operation up
to 1 h (defined in the
user's program),
depending on plant
B) Switch-off of both
CMs
Coupling to IO modules
1
^
Test ofUj^^>
Same reaction like
1oo2D system with
bus
in the
one 10
Действия системы в случ
расхождения ДВУХ
ufMtHn/irtkHkir ылЛкпей (ten
me
шатгпя)
в
.. the safe decision.
Рис. 1.23
58 Справочник инженера по АСУТП: Проектирование и разработка
Standard IEC 61508
System Structure of the 1oo1D System, RC 4, SIL 2
Systems H41-S, H51-S
Range
Input Module
digital
analog
Correct function of the module
Crosstalk of the input circuits
Function of the input filters
as digital, additionally
Linearity of the AD converter
Test of transmitter supply voltage
Central Module (PE)
intensive self tests
Check (CRC) for static memory and
read/write test for variable memory
ranges.
Direct and inverted memory y
steady hardware comparison
background
Diverse time bases, te \e watch
dog (switch off capabti
Read bapf ^Comparison with the
internal Xgnal
Swjfr ^pability
rf the channels
additionally
irity of the DA converter
Reaction to Failure
Display position
of faulted module
L-signal in user's program
Processing of the defined
value in the user's program
Switch-off of the central
module, watchdog signal and
outputs
Display STOP on PE
Switch-off of the related IO
modules in the subrack
Display of the number of the
faulted subrack
Display position of the faulted
module
Switch-off of the output
module (simple failure)
Switch-off of the coupling
module/Ю subrack
(double failure)
Действия системы в случае
отказа ЕДИНСТВЕННОГО
центрального модуля
the safe decision.
Рис. 1.24
Глава 1. Постановка задач автоматизации 59
1.16. Непрерывность контроля и защиты Термин "Непрерывность" отсутствует в современных стандартах МЭК, однако активно используется отечественны- ми поставщиками оборудования систем безопасности. Про- следим историю его возникновения. Термин возник в резуль- тате некорректного использования понятия
Safety Availability -Готовность, доступность, работоспособность - термин амери- канского стандарта ANSI/ISA 84.01-96. В стандартах IEC
61508 и IEC 61511 данное понятие отсутствует. Фактически это понятие используется многими без ясного понимания то- го, что оно включает в себя два аспекта:
• Динамическая, или мгновенная готовность, как функ- ция работоспособного существования технического устройства во времени. Эту функцию и называют не- прерывностью.
• Стационарная готовность, как усредненная характери- стика надежности за какой-то период времени.
Динамическая готовность A(t) - это величина, характери- зующая вероятность того, что система выполнит предопреде- ленную функцию защиты в момент возникновения необходи- мости ее выполнения, в течение всего наперед заданного ин- тервала времени.
Стационарная готовность выражается в процентах, и опре-
деляется средним временем работы до отказа MTTF и средним временем восстановления после отказа
MTTR (Mean Time То Repair) по следующей формуле:
Л=—МЩ 100o/o=MIIL.100o/o MTTF + MTTR MTBF Уже Стандарт ISA 84.01-96 рекомендовал вместо стацио- нарной готовности использовать более точное понятие "Веро- ятность опасного отказа выполнения требуемой функции -
PFD". Тем не менее, Стационарная готовность активно ис- пользуется наряду с прочими усредненными и вероятностны- ми характеристиками технических устройств.
Стандарт IEC 61508 также использует только аналог ста- ционарной готовности, точнее, неготовности, и определяет ее как Среднюю вероятность опасного отказа выполнения тре- буемой функции -
Probability of failure on demand- PFDAVG . 60
Справочник инженера по АСУТП: Проектирование и разработка И используются только стационарные решения, получен- ные к тому же полуэмпирическим путем, а не в результате решения динамических моделей.
Важное замечание Динамическая готовность A(t) - это попросту Надеж-ность системы R(t) во времени: A(t) = R(t), тогда PFD(t) = 1 - R(t). Реальное понимание процессов, происходящих с оборудо-ванием систем безопасности, а уж тем более исследование их возможного поведения невозможно без динамики. Тем более вполне может статься, что в реальности стационарное со-стояние окажется вообще недостижимым. И все же понятие "Непрерывность" в смысле Динамиче-ской готовности практически исключено из технического обихода ввиду абсолютной бесперспективности получить его аналитическое выражение для реальных систем. Готовность систем существенно возрастает для малых времен обнаружения неисправности. Быстрое обнаружение неисправности в современных электронных системах достига- ется применением автоматических процедур самотестирова- ния и выводом подробной диагностической информации.
Однако необходимо подчеркнуть, что если отказ привел к останову процесса, то
время восстановления может сильно увеличиться, поскольку запуск производства "несколько" от- личается по времени от времени замены модулей.
Готовность системы защиты может быть увеличена по- средством резервирования, например, при параллельной рабо- те центральных модулей, модулей ввода-вывода, и примене- нием нескольких сенсоров в каждой точке измерения. Резерв- ные компоненты встраиваются в систему таким образом, что отказ одного компонента не сказывается на общем функцио- нировании системы. Очень важным компонентом готовности является подробный вывод диагностической информации.
"Непрерывность" - динамическая готовность, - которую якобы могут обеспечить только системы 2ооЗ, принадлежит к одному из многочисленных мифов, созданных проводниками оборудования систем 2ооЗ.
Непрерывность - динамическая готовность - свойство, в равной степени присущее ВСЕМ резервированным системам типа loo2D и 2ооЗ. Система просто должна быть надежной.
Глава 1. Постановка задач автоматизации 61
1.17. Сравнение надежности архитектур loo2D и 2ооЗ В монографии автора "
Основы построения АСУТП взры-воопасных производств", Синтег, 2006, приводятся результа- ты расчетов вероятностей отказов для базовых архитектур систем безопасности - от lool до 2ооЗ. Результаты этих рас- четов довольно впечатляющи. В частности, неожиданным ока- зался следующий результат:
При прочих равных условиях, а именно однородность и однотипность составных элементов, вероятность всех видов отказа систем типа 2ооЗ в три раза выше вероятно-сти всех видов отказа систем типа loo2D. Данное
обстоятельство объясняется тем, что вариантов отказа тройной системы в три раза больше, чем для системы loo2D. Сказанное подтверждается прямым счетом возможных вариантов отказа, и всех возможных путей к этим отказам.
В данном разделе мы рассмотрим сравнительную устой- чивость архитектур loo2D и 2ооЗ по отношению к ложным остановам.
В стандартах МЭК и само понятие ложного останова, и, тем более, расчеты интенсивности и вероятности лож-ного отказа отсутствуют. Вероятность ложного срабатывания архитектуры loo2D. В исходном состоянии система loo2D по отношению к ложным срабатываниям работает по схеме 2оо2. Для совер- шения внепланового останова необходимо, чтобы оба канала дали команду на останов. Поэтому для определения частоты ложных срабатываний системы необходимо учесть последова- тельность развития событий.
Вероятность ложного срабатывания системы будет опре- деляться условной вероятностью повторного отказа
P(PSP21
Pspi ) течение времени существования первого отказа.
Свершиться ложный останов может двумя путями:
• Сначала выдает ложную команду первый (условно) элемент, затем - второй.
• Сначала выдает ложную команду второй (условно) элемент, затем - первый.
Приведем эти предпосылки к символическому виду
(таблица 1.1).
62 Справочник инженера по А СУТП: Проектирование и разработка
Таблица 1.1
. Ch1
;
Ch2 t
System
Интенсивность ложных
< отказов
+
+
+
: -
; sp
. +
2
'
Л
SP1
sp
sp
; sp \ ASP1 ' PsP2
+
I + I
+
. -
+
sp
! +
2
.
/l
SP2
j
sp
sp
j
sp \ &
sp2
' P$pt
i
Здесь
Рgp2 = P(P
SP
21 Pspi ) A
S
p2 '
x
условная вероятность отка-
за второго элемента (канала) после отказа первого;
Pspi = Pspi I Psp2 )
=
Лspi '
Т
условная вероятность отка-
за первого элемента (канала) после отказа второго;
г - некоторое характеристическое время существова-
ния одиночного отказа.
Следовательно, интенсивность ложных срабатываний опре-
делится выражением
4SP
=
Л
3
Р2 ' (A
S
P1 ' t) + AsP1 ' (Л$Р2 -Т) = 2- ЯSPJ ' Л
8Р2
• Т
При = ^SP1
=
4sP
y1oo2D _ п2оо2 _ о 12 _
— SP
— SP '
Вероятность ложного срабатывания архитектуры
2ооЗ. В системе 2ооЗ ложное срабатывание происходит по следующему элементарному алгоритму:
Команда на ложный останов может быть выдана любой
парой из трех наличных элементов (каналов). А поскольку
число сочетаний из 3 по 2 равно трем (1-2, 1-3, 2-3), то и
частота ложных срабатываний по сравнению с системой
loo 2D утраивается.
Что и подтверждается прямым счетом. Рассмотрим все воз- можные состояния системы 2ооЗ, и все возможные пути, при- водящие к ложным срабатываниям (таблица 1.2).