Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

64 Справочник инженера по А СУТП: Проектирование и разработка
Если система построена на п каналах, и для нормальной
работы системы необходимо т каналов, то это означает,
что система способна пережить (п-т) отказов без потери
функциональности. Соответственно, для отказа системы
необходимо, чтобы отказали (п-т) + 1 каналов.
Поэтому основной характеристикой является число соче- таний по (п-т) + 1 элементов из п имеющихся элементов:
Qn-m+f
(п-т + 1)!(т-1)!
Число сочетаний для системы 1оо2 равно 1, а для системы
2ооЗ - трем. Соответственно вероятность отказа системы 1оо2 определяется всего одним сочетанием:
Р = Р
'1оо2 1-2 >
а системы 2ооЗ - тремя:
^2ооЗ
=
Pf
-2
+
Риз
+
Р
2
-3 3 ' Pf
-2 •
То же соотношение соблюдается и с учетом перестановок
- обе вероятности синхронно удваиваются. Именно по этим причинам конфигурация 2ооЗ до последнего времени исполь- зовалась, в основном, в схемах резервирования датчиков, при- чем на альтернативной основе. А вот анализ достоверности их показаний возлагался собственно на PLC системы защиты.
В настоящее время появилась уникальная возможность проверки готовности полевого оборудования к выполнению функций защиты on-line с помощью специально выделенных автономных систем обслуживания, диагностики и управления оборудованием производства - Plant Asset Management Sys-
tems. Поэтому необходимость применения таких дорого-
стоящих конфигураций, как 2ооЗ, - даже для датчиков, -
отпадает.
Яркими примерами таких систем являются Asset Manage-
ment Solutions (AMS) фирмы Emerson, и Plant Resource Man-
ager (PRM) фирмы Yokogawa Electric.
С появлением протоколов HART (Highway Addressable
Remote Transducer) и цифровой полевой шины Fieldbus систе- мы этого рода находят все большее применение в АСУТП, и дают колоссальный эффект выявления отклонений, сбоев и отказов полевого оборудования в оперативном режиме.

Глава 1. Постановка задач автоматизации
65
1.18. Сравнение схем деградации архитектур loo2D и 2ооЗ
Один из не убиенных аргументов, которых превозносится нашими перепродавцами оборудования в качестве неоспори- мого преимущества, выдвигается тот, что система 2ооЗ теоре- тически позволяет продлить свой жизненный цикл до трех шагов деградации: 3 - 2 - 1 - 0 (Характерно, что западные сторонники и пропагандисты систем 2ооЗ его старательно из- бегают). Однако необходимо быть осведомленным, что в кон-
це пути придется рассчитаться, и расплачиваться придется по гамбургскому счету.
Необходимо помнить, что ПРИНЦИП ДИАГНОСТИКИ
СИСТЕМЫ 2ооЗ - ГОЛОСОВАНИЕ. Поэтому после отказа одного из каналов 2 оставшихся в работе канала системы 2ооЗ
- ЭТО НЕ РЕЗЕРВИРОВАНИЕ, а последний рубеж, на кото- ром система сохраняет возможность самодиагностики.
Для архитектуры loo2D, в отличие от архитектуры
2ооЗ, таким рубежом является одноканальная работа по
схеме loolD. При этом канал полностью контролируется ди- агностическими цепями. Если восстановление системы loo2D в течение предопределенного интервала времени не произош- ло, производится программно-контролируемый останов про- изводства.
Совсем иная ситуация с переходом на одноканальную ра- боту системы 2ооЗ. В случае отказа одного из двух оставших- ся в работе элементов исчезает и возможность самодиагности- ки. И лучшее, что вы можете сделать - немедленно отключить систему, снять питание с выходов и физически остановить процесс. Причем о восстановлении исходной конфигурации в течение 1 часа не может быть и речи:
Если вы не удосужились восстановить конфигурацию
1 оо2 до исходного состояния 2ооЗ в течение нескольких меся- цев, смешно рассчитывать, что вы сможете это сделать из не- предсказуемой конфигурации lool в течение 1 часа, тем более после только что произошедшего по неизвестной причине от- каза второго процессора.
Эту особенность двухканальной работы системы 2ооЗ можно отметить как схему деградации 3-2-(1-0), чтобы под- черкнуть тот факт, что предпоследний канал скорее мертв, чем жив.
I и И)

66 Справочник инженера по А СУТП: Проектирование и разработка
По отношению к схеме деградации 3-2-1-0 создатели сис- тем 2ооЗ находятся в патовой ситуации:
• С одной стороны, - хочется продлить "путь к послед- нему приюту" до однопроцессорной работы, но тогда придется создавать уровень самодиагностики, соответ- ствующий уровню систем loolD и loo2D.
• А с другой, - создание этих дополнительных диагно- стических цепей дискредитирует саму идею голосова- ния, как попытку обойтись малой кровью.
Если чисто гипотетически разрешить архитектуре 2ооЗ деградацию до одноканальной работы, то после первого отка- за система переходит на работу по схеме 1оо2, и здесь возни- кает совершенно курьезная ситуация:
Отказ одного из каналов архитектуры 2ооЗ приводит к трехкратному уменьшению вероятности опасного отказа сис- темы! Напрашивается детский вопрос: Так может, в таком случае и изначально система 2ооЗ должна работать в двухка- нальном варианте? Как мы неоднократно будем иметь воз- можность убедиться на протяжении настоящей работы, это предложение имеет под собой серьезные основания:
Система 2ооЗ в архитектурном отношении является избы-
точной. Действительно, если продлить разрешение для двух оставшихся каналов работать по схеме деградации 2 - 1 - 0, то вероятность повторного опасного отказа составит
Р
1оо2
= Р
2оо3
/ 3 . Но, к сожалению, при этом одновременно с уменьшением вероятности опасного отказа, вероятность лож- ного срабатывания становится максимально возможной из всех существующих архитектур:
Для архитектуры 1оо2 вероятность ложного срабаты-
вания в два раза выше, чем для одноканальной системы
lool. Тем не менее, система 2ооЗ такова, какова она есть, и безопасной она может быть только при работе по схеме 3-2-0, и не нужно пытаться выжать из нее больше, чем она может дать. Схема деградации 3-2-1-0 - не более чем рекламный трюк. И не дай Бог пытаться проверить его на практике.
Необходимо ясно понимать, что два работающих канала системы loo2D, и два работающих канала системы 2ооЗ - это две большие разницы. Для архитектуры 2ооЗ, два оставшихся в работе процессора после первого отказа - это не резервиро- вание, а средство самодиагностики.

Глава 1. Постановка задач автоматизации
67
Отказ любого из них означает отказ системы и немо-
тивированный физический останов процесса.
Именно по этой причине стандартно после первого отказа система 2ооЗ переходит на работу по схеме 2-0, прямо указы- вая на необходимость немедленного восстановления исходной конфигурации.
Формальное "'разрешение" одноканальной работы для ар- хитектуры 2ооЗ, аттестуемой по максимальным для перераба- тывающих отраслей промышленности категориям RC6 (DIN),
SIL3 (IEC 61508, ISA 84.01), чревато еще более серьезными последствиями, чем изначальная установка пресловутых "без-
граничных" систем loolD на объектах с уровнем требований
RC6 и SIL3. Именно поэтому потенциальная возможность
перехода от схемы 2ооЗ через схему 1оо2 к схеме lool нико-
гда не может стать даже потенциальной реальностью. Как только отказывает один из каналов системы 1оо2, система тут же самоустраняется, и снимает с себя всякую ответственность за ложный физический останов. Для систем с архитектурой
1оо2 единственный рациональный алгоритм действий после отказа одного из двух каналов - это полный останов:
1. Снять питание с выходов. Тем самым
2. Запустить полный программно-неуправляемый ап-
паратный останов процесса.
3. Провести автономное восстановление системы:
- Замена отказавших модулей,
- Автономное тестирование,
- Запуск системы и тестирование в рабочем режиме
(on-line).
Ровно таков алгоритм действий и одноканальной системы с самодиагностикой - loo ID. Поэтому применение систем
1оо2, равно как и систем loolD, ограничивается всеми авто- ритетными надзорами классом RC4 (DIN), и интегральным уровнем безопасности SIL2 (IEC 61508, ISA 84.01-96).
Так в чем же разница между архитектурами loolD и 1оо2 и полной конфигурации, и архитектурой 2ооЗ после частично- ю отказа? И в архитектурном, и в функциональном отноше- нии - ни в чем. Более того, схема loolD в своем классическом представлении (рис. 1.25) при определенных условиях вполне может быть даже более надежной, чем схемы с дублирован- ными процессорами (рис. 1.26 и 1.27):

68 Справочник инженера по А СУТП: Проектирование и разработка
О—
Управляющий
модуль
L
т
и -
Управляющий
модуль
Рис. 1.25
Управляющий
модуль
о—
U
L U
— -
- К
Л
— - i
Л
Г
U
Рис. 1.26
Рис. 1.27
При этом невозможно даже с определенностью отнести представленные конфигурации к какому-то определенному типу архитектуры:
• Схема рис. 1.25 - это и архитектура loo ID, и архи-
тектура центральной части loo2D после частичного
отказа;
• Схема рис. 1.26 - это и архитектура loolD, и архи-
тектура центральной части loo2D ("2оо4") после
частичного отказа;
• Схема рис. 1.27 - это и архитектура 1оо2, и архитек-
тура 2ооЗ после частичного отказа, и даже архи-
тектура центральной части некоторых систем
loo ID (см. рис. 1.15)!
Разница состоит в интерпретации способа диагностики:
• В одном случае диагностическая цепь или сравнение
центральных процессоров интерпретируется как
средство самодиагностики, и схема обозначается как
loolD.
• В другом случае схема интерпретируется как схема
голосования, и обозначается как архитектура 1оо2.

Глава 1. Постановка задач автоматизации
69
Но вне зависимости от интерпретации все три схемы ра- ботают совершенно одинаково:
При любом сбое в работе модуля управления питание с
выходов системы снимается, и происходит физический
останов процесса. TUV совершенно справедливо аттестует
представленные схемы одинаково - по RC4 и SIL2.
Очевидно, что для обеих схем рис. 1.26 и 1.27 работа на одном процессоре абсолютно исключена - системы полно- стью теряют самоконтроль, и результат их работы становится непредсказуем.
Архитектура loo2D исторически возникла самой послед- ней из известных систем, как результат многолетних поисков архитектуры, сочетающей
• Устойчивость архитектуры 1оо2 по отношению к опасным отказам (несрабатыванию),
• Устойчивость архитектуры 2оо2 по отношению к лож- ным остановам,
• И развернутой самодиагностики, и взаимной диагно- стики каналов.
Принцип диагностики систем loo2D - это не просто на- личие индивидуальных диагностических цепей и на модулях ввода, и на модулях управления, и на выходных модулях. Ес- ли бы особенности архитектуры loo2D ограничивались только
наличием диагностических цепей, система никогда не смогла бы подняться выше архитектуры 1оо2. Коренное отличие сис- тем loo2D состоит в том, что перекрестная взаимопроверка каждым каналом работоспособности соседнего канала позво- ляет осуществить непрерывный контроль состояния соседнего капала, и в случае его отказа взять на себя управление состоя- нием выхода системы в целом. Именно этот принцип дает возможность сохранить полноценную работу системы на вре- мя восстановления исходной конфигурации.
Таким образом, функциональным аналогом одноканаль- ной работы системы loo2D является двухканальная работа системы 2ооЗ, а не одноканальная, как могло бы показаться с первого взгляда. Причем система loo2D имеет дополнитель- ное преимущество, которое выражается в том, что диагности- ческое резервирование осуществляется на альтернативной основе, то есть диагностические цепи используют жесткие схемные решения, построены на собственной элементной базе

70 Справочник инженера по А СУТП: Проектирование и разработка
повышенной надежности, и предназначены для выполнения исключительно специфических задач диагностики.
Специалисты TUV хорошо понимают опасность однока- нальной работы - для систем любой конфигурации. Приведем выдержку из отчета TUV по сертификации одного из контрол- леров фирмы Triconex. Report-No. 968/EZ 105.03/01 "Type ap-
proval of TRICON version 9.6" от 1 сентября 2001 года, стр.
8, п. 3.2, абзац второй (отчет можно посмотреть на сайте
TUV www.tuv-fs.com):
"For an application class 6 ESD system, the system is allowed to
continue operation for one hour with one channel, if the other two
channels have failed. This is true for applications equal or higher
than class 5.
IT IS SAFER TO SHUT DOWN THE PROCESS TO THE SAFE
STATE THAN TO CONTINUE OPERATION WITH ONLY
ONE CHANNEL IN OPERATION FOR A PERIOD LONGER
THAN THE RECOMMENDED PERIOD".
Русским языком по-английски написано:
"Для использования в качестве системы ПАЗ 6 класса,
системе разрешается продолжить работу на одном канале в
течение 1 часа, если другие два канала отказали. Это спра-
ведливо для объектов равных, или выше 5 класса ". И далее:
"БЕЗОПАСНЕЕ ПЕРЕВЕСТИ ПРОЦЕСС В БЕЗОПАСНОЕ
СОСТОЯНИЕ, ЧЕМ ПРОДОЛЖАТЬ РАБОТУ НА ОДНОМ
КАНАЛЕ В ТЕЧЕНИЕ БОЛЬШЕГО ПЕРИОДА, ЧЕМ РЕКО-
МЕНДОВАННЫЙ ПЕРИОД". Приложение В данного отчета дает еще более жесткие рекомендации:
Уже при отказе ОДНОГО из трех плеч (legs) на входном, вы-
ходном модуле, или отказе центрального процессора^ОТЕ 1)
настоятельно рекомендуется произвести замену отказавше-
го компонента в течение принятого в отрасли среднего вре-
мени на замену.
Однако Triconex трактует ситуацию с отказами по-своему:
" То keep the PFD within industry-acceptable guidelines, ad-
herence with the recommended maximum operating period of 1500
hours in dual mode and 72 hours (SIL3/AK5) or 1 hour
(SIL3/AK6) in single mode should be observed",
Источник цитаты - "Safety Considerations Guide, Tricon, ver-
sion 9, 2001, Triconex Corporation of Invensys Company", Chap-
ter 3 "Fault Management, Operating Modes", стр. 41:

Глава 1. Постановка задач автоматизации
71
"Для того чтобы удержать PFD в пределах, приемлемых
для промышленности, нужно руководствоваться следующими
правилами:
1. Максимальный период работы на двух каналах - 1500
часов;
2. Одноканальная работа -
- 72 часа для SIL3 / АК5;
- 1 час дляБИЗ/АКб."
Причем никакого обоснования этих цифр, и никаких рас- четов в руководстве не приводится. К подобным рекоменда- циям надо подходить очень внимательно, поскольку увеличе- ние допустимого интервала работы в неполной конфигурации выше разумных пределов приведет в лучшем случае к внепла- новому останову производства.
Особенно должно насторожить, что предлагаемые прави- ла расходятся с рекомендациями TUV. Любопытно посмот- реть, что по тому же поводу рекомендует TUV для контролле- ра Quadlog для работы по 6 классу. Смотрим Отчет о сертифи- кации контроллера Quadlog "Report to the Certificate U 0012
40001 003 Safety Critical Programmable Logic Solver, Siemens
Energy & Automation" от 10 апреля 2003 года, таблица 2.5.1,
стр. 11-16 (можно посмотреть на сайте
www.sea.siemens.com/process/docs/MS122496CREV3_3.PDF):
"Shutdown of defective module and continued operation for a
period of time defined by the manufacturers PFD calculation for a
specific system or if no calculation is done, 72 hours (Note 1) and
shutdown of the system /group after this time period".
II случае отказа одного из модулей:
"Отключить дефектный модуль, и продолжить работу в
течение периода времени, определяемого расчетами произво-
дителя вероятности опасного отказа PFD для конкретной
системы, или, если эти расчеты отсутствуют, произвести
останов системы или отключение группы модулей после 72
часов".
Примечательно, что для одноканальной работы по всем классам вплоть до 6-го рекомендовано 72, а не 1 час, как для к о т роллера Tricon. И замечательно, что производитель сис- юмы Quadlog не имеет ни малейшего желания воспользовать- ся лазейкой, и увеличить рекомендуемое время одноканальной работы ну, например, хотя бы при отказе входного модуля.

72 Справочник инженера по А СУТП: Проектирование и разработка
Просто люди ясно понимают, что разрешение на работу в неполной конфигурации в течение нескольких месяцев может стать гибельным для установки. Таким образом, обе системы при однократном частичном отказе имеют законное право:
• Продолжить работу в течение предопределенного ин- тервала времени с выдачей соответствующего сообще- ния, и с ожиданием оперативного восстановления ис- ходной конфигурации.
• Осуществить по команде оператора программно- управляемый останов процесса, если в течение предо- пределенного интервала времени восстановление не- возможно.
• По окончанию предопределенного интервала времени самостоятельно снять питание с выходных реле, и инициировать физический останов процесса.
1.19. Оптимальность архитектуры loo2D
Вначале необходимо пояснить принципиальную разницу между системами 1оо2 и loo2D.
Как сказано в стандарте IEC 61508 по поводу системы 1оо2:
"Предполагается, что любое диагностическое тестиро-
вание будет только извещать об обнаруженных сбоях, и не
будет изменять состояния выходов, или изменять выходное
голосование
Как сказано в стандарте IEC 61508 по поводу системы loo2D:
"Для системы с расширенной диагностикой loo2D, если
диагностика обнаруживает отказ в любом из каналов, проце-
дура голосования строится таким образом, что выход сис-
темы будет контролироваться другим каналом.
Если диагностическое тестирование обнаруживает от-
казы в обоих каналах, или обнаруживает расхождение, кото-
рое не может быть приписано к какому-либо из каналов, то
выход системы переводится в состояние останова ("безопас-
ное" состояние).
Для того чтобы расхождение между каналами могло
быть обнаружено, каждый из каналов должен иметь воз-
можность определять состояние другого канала с помощью
средств, независимых от проверяемого канала