Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия
 Скачать 6.47 Mb.
|
85 1.22. Номенклатура современных систем управления и защиты ПЛК - Программируемые логические контроллеры (PLC - Programmable Logic Controllers). Компактные техни- ческие устройства, изначально предназначавшиеся исключи- тельно для логического управления дискретными процесса- ми и операциями в машиностроении, автомобилестроении, на складском оборудовании. С развитием микроэлектрони- ки стали применяться и для управления непрерывными процессами. Человеко-машинный интерфейс (HMI - Human Ma- chine Interface). Пакеты специального программного обес- печения, представляющие собой средства опосредованного взаимодействия оператора и технологического процесса. Гибридные системы (Hybrid systems). Системы, зани- мающие по своим характеристикам промежуточное положе- ние между ПЛК и РСУ. Возникли в результате развития ПЛК, и во многом сохранили их достоинства и недостатки. По преимуществу предназначены для применения в про- цессах, сочетающих большое количество дискретных опе- раций с непрерывным управлением в таких отраслях про- мышленности, как фармацевтика, цементная, пищевая промышленность, водоподготовка и т.д. СКАДА - Системы сбора данных и оперативно дис- петчерского управления (SCADA - Supervisory Control and Data Acquisition). Специализированные программно- технические средства, изначально предназначавшиеся ис- ключительно для сбора информации и слежения за состоя- нием оборудования на значительном удалении средствами телеметрии (например, на магистральных трубопроводах). Кроме сбора информации от ПЛК, обеспечивают и челове- ко-машинный интерфейс HMI - PLC. Неприятной особенностью СКАДА систем является то, что в отличие от РСУ, конфигурирование собственно кон- троллера и интерфейса взаимодействия с оператором (HMI) производится раздельно, и в разных программных средах со всеми проблемами избыточных тэгов, отладки и согла- сования баз данных. С развитием микроэлектроники СКА- ДА системы в составе гибридных систем стали претендо- 86 Справочник инженера по А СУТП: Проектирование и разработка вать на место РСУ в управлении технологическими про- цессами. Вот он, классический гибрид: Scalable Hybrid System ОРС TIME Рис. 1.37 Примечание Необходимо обратить внимание, что вся деятельность системы происходит через одну точку - ту самую, из кото- рой пар идет. Вообще звезды и коммутаторы это патоло- гически врожденные качества данных архитектур (рис. 1.38). Причина состоит в том, что все гибридные архитекту- ры выросли из так называемых SCADA систем - систем, состоящих из набора контроллеров и серверов с человече- ским лицом - человеко-машинным интерфейсом. Но этот подход имеет и гораздо более серьезные причины для бес- покойства, чем корявость архитектуры и недетерминиро- ванная производительность. Рассмотрим последний пример (рис. 1.39). Большей каши из гейтвеев, эрэсов, писиаев, мультидропов и прочей чепухи и представить себе невозможно. И это при том, что еще не показаны хабы и роутеры! Однако утверждается, что этот ухабистый путь и есть магистральный путь откры- той архитектуры в АСУТП. В данном случае необходимо обратить внимание на поставленную на рис. 1.39 кривую стрелку справа, направленную в центр системы. Глава 1. Постановка задач автоматизации 87 Резервная Локальная сУанция Локальная станция Инже> 1ерная Станция Ч I -_.L. . I I I I I Резервная сеть управления 1 Коммутатор Рис. 1.38 Data Acquisition Boards Multidrop Network Рис. 1.28 88 Справочник инженера по А СУТП: Проектирование и разработка Мы наблюдаем НЕПОСРЕДСТВЕННЫЙ WEB-ACCESS ко ВСЕМ ИНФОРМАЦИОННЫМ ПОТОКАМ И РЕСУРСАМ СИСТЕМЫ - от контроллера до сервера. По прогнозам многих авторитетных специалистов, ко- торые являются экспертами в решении проблем информа- ционной безопасности, промышленные сети будут атако- вать всё новые поколения вирусов, способных незаметно проникать в сети предприятий, и надолго оставаться в них совершенно незамеченными. Как бы в насмешку над гиб- ридными системами, появились новые типы гибридных вирусов, поведение которых в корне отличается от тради- ционных вирусов. Это так называемые полиморфные виру- сы, использующие машинно-независимые способы инфи- цирования и распространения, и способные приносить раз- рушительный ущерб. Они успешно преодолевают системы защиты прошлого поколения, поэтому для защиты от них необходима комплексная многоуровневая защита, прежде всего на шлюзах Интернет, серверах и рабочих станциях систем управления. В отличие от традиционных вирусов, которые требовали действий оператора для их активиза- ции, гибридные вирусы распространяются автоматически, сами, выискивая слабые места в сетях и информационно- управляющих системах без участия человека. РСУ - Распределенные системы управления (DCS - Distributed Control Systems). Системы управления на базе спе- циальной вычислительной техники, предназначенные для ис- пользования исключительно в технологических процессах. Строятся на основе отказоустойчивой высоконадежной вы- числительной техники промышленного исполнения для дол- говременной круглосуточной эксплуатации на технологиче- ских объектах, для которых последствия отказа представляют серьезную угрозу для оборудования, для жизни и здоровья людей. Традиционно РСУ ассоциируются с управлением не- прерывными технологическими процессами, но реально они обеспечивают весь спектр задач управления - от чисто дис- кретного до программно-логического управления периодиче- скими процессами и рецептурами. Приведем пример классической РСУ (см. рис. 1.40). Система имеет распределенную архитектуру на уже из- вестной нам детерминированной общей шине Vnet. Глава 1. Постановка задач автоматизации 89 Какой разительный контраст со скадоподобными гиб- ридами, со всеми их роутерами, серверами и хабами, и ар- хитектурами типа звезда!.. Сеть Ethernet 1,23. Открытые системы Производители PLC/HMI и гибридных систем проро- чат и приветствуют применение Ethernet-протокола на всех уровнях информационно-управляющих систем - от кон- троллеров до корпоративных сетей - как олицетворение глобальной ОТКРЫТОСТИ. Желание вполне понятно по опыту Интернета - тотальный контроль, от которого нику- да, никому, и никогда не укрыться. Внимательный взгляд на рисунок 1.40 мог бы заме- тить, что представленная система также использует прото- кол Ethernet. Однако есть принципиальная разница: сеть Ethernet проживает вовне системы, и система вполне мо- жет обойтись и без нее. Внутри системы используются собственные уникальные высокоскоростные шины с де- терминированными протоколами. Только с учетом этого обстоятельства и будем в дальнейшем понимать термин "Открытая система": Открытая система - это система, способная в рамках предопределенных условий к расширению и развитию, и имеющая контролируемый внешний интерфейс, проходя- щий по границе системы. 90 Справочник инженера по А СУТП: Проектирование и разработка Причем для расширения и развития системы допуска- ется использовать только разрешенное оборудование и программное обеспечение. Наиболее серьезные производи- тели гибридных систем, как, например, фирма Эмерсон, также заявляют, что для нормальной работы системы Del- taV необходимо использовать только лицензированное фирмой оборудование, включая персональные компьюте- ры. И это правильно. Если бы еще удалось полностью отказаться от исполь- зования в АСУТП самой "открытой", и уже фактически ставшей единственно возможной средой обитания - опера- ционной среды Windows, и вернуться к ОС РВ хотя бы ти- па UNIX, - все и вовсе стало бы на свои места. 1.24. Адекватность начальных условий Заказчик системы должен получить ясные ответы на сле- дующие вопросы: • Есть ли у поставщика, разработчика, проектировщика опыт практической реализации подобных проектов? • Есть ли вообще опыт работы предлагаемого оборудо- вания на объектах аналогичного класса? Каковы ре- зультаты? • Способен ли разработчик системы провести предвари- тельное обследование производства и дать конкретные рекомендации по повышению безопасности процесса? • Каковы минимальные требования к архитектуре сис- темы (включая требования по модернизации полевого оборудования), чтобы система удовлетворяла необхо- димому уровню безопасности? • Каковы должны быть конкретные значения вероятно- стей отказа элементов, составляющих систему, чтобы результирующие характеристики системы соответст- вовали требуемому уровню безопасности? Ибо как показано на рис. 1.2, наибольшее количество ошибок проекта предопределяется именно начальными усло- виями - на стадии подготовки исходной спецификации обору- дования и функций системы. Между тем понятие предпроектного обследования произ- водства как-то незаметно уходит, а может, и совсем уже ушло Глава 1. Постановка задач автоматизации 91 из жизни. А ведь именно на стадиях "Формирование требова- ний к АСУТП", "Разработка концепции АСУТП" и стадии "Разработка Технического задания" даже в стесненных денеж- ных обстоятельствах определяются поэтапные меры по мо- дернизации производства. Чем больше усилий вложено в тщательный анализ про- цесса на предпроектных стадиях, тем меньше изменений при- дется вносить во время проектирования и разработки, при пуско-наладке, и дальнейшей эксплуатации и обслуживании АСУТП. 1.25. Требования МЭК к полевым испытаниям системы В данной работе неоднократно подчеркивается, что для того чтобы система считалась прошедшей полевые испытания, стандарты IEC 61508 (Часть 7, п. В.5.4) и IEC 61511 (Часть 4) требуют, что должны быть выполнены следующие условия (For field experience to apply, the following requirements must have been fulfilled): • 10 систем в различных приложениях. • Неизменная спецификация. • 10 5 рабочих часов (11,42 года, или по году на систему) и, как минимум, 1 год сервисного обслуживания. Сведения о том, что система прошла испытания на прак- тике, должны быть предоставлены в виде документов изгото- вителем или поставщиком системы. Эта документация должна содержать, как минимум • Точное предназначение системы и ее компонентов, включая контроль версии оборудования; • Послужной список системы с указанием потребителей и даты внедрения; • Время эксплуатации; • Процедуры для выбора систем под конкретные прило- жения и варианты применения; • Процедуры для выявления отказов, их регистрации, а также их устранения. Тщательное и точное соблюдение этих жестких требо- ваний должно быть обязательным условием при выборе конкретного генподрядчика и поставщика оборудования. 92 Справочник инженера по А СУТП: Проектирование и разработка 1.26. Требования МЭК к испытаниям компонентов программного обеспечения Программное обеспечение не ломается, однако подвер- жено систематическим ошибкам, поэтому компонентам про- граммного обеспечения или программным модулям можно доверять только в том случае, если они уже проверены на практике на соответствие требуемому уровню интегральной безопасности. В особенности для комплексных компонент системы с многочисленными функциями (например, операци- онные системы), необходимо знать, какие из этих функций действительно были проверены на практике. Если для определения отказов оборудования предусмот- рена процедура самотестирования, но отказы оборудования не имитировались в процессе пуско-наладки, и не отрабатыва- лись во время эксплуатации, то никто не может утверждать, что функции обнаружения неисправностей проверены на практике. Для исключения необходимости расширенной перепроверки или перепроектирования системных программных модулей при каждом новом применении, должны быть выполнены нижесле- дующие требования, которые позволят удостовериться, что про- граммные модули и компоненты оборудования свободны от сис- тематических ошибок конструкции и/или от оперативных отка- зов. Для проверки программного обеспечения стандарты IEC 61508 (часть 7, С.2.10) и IEC 61511 (часть 4) требуют: • 10 систем в различных приложениях. • Неизменная спецификация. • Вероятность неопасных отказов в течение года 10 5 с доверительной вероятностью 99,9%. • Отсутствие опасных отказов. Для проверки того, что компонент или модуль программ- ного обеспечения отвечает всем этим критериям, следующие позиции должны быть документированы (must be documented): • Точная идентификация системы и ее компонентов, включая контроль версии программного обеспечения и соответствующего оборудования; • Послужной список системы с указанием потребителей и даты внедрения; • Время эксплуатации; Глава 1. Постановка задач автоматизации 93 • Процедуры для выбора системы под конкретные при- менения, и варианты применения; • Процедуры для выявления отказов, их регистрации, и их устранения. 1.27. Степень доверия к заявленному уровню интегральной безопасности При выборе приемлемой системы безопасности часто рас- сматривается только часть системы - собственно программи- руемый контроллер, да и то лишь его центральная часть, и совершенно упускается из виду надежность всего контура безопасности, начиная от датчика, и заканчивая исполнитель- ным элементом. Стандарты IEC 61508 и IEC 61511 предписы- вают рассматривать систему безопасности комплексно, цели- ком. Причем подчеркивается, что в общей структуре отказов существенную долю отказов несут именно полевые устройст- ва. Поэтому при создании систем безопасности основной упор должен делаться на модернизацию и резервирование специ- ального полевого оборудования с возможностью оперативной диагностики в режиме on-line на основе протоколов HART и Fieldbus. Главное, что необходимо предусматривать при соз- дании, и обеспечивать при эксплуатации систем безопасно- сти - это возможность оперативной диагностики и тестирова- ния, как в ручном, так и в автоматическом режиме. Увеличе- ние частоты тестирования за счет использования систем опе- ративного обслуживания полевого оборудования - один из ключевых факторов повышения надежности системы. Полевое оборудование сертифицируется на допуск для применения в системах безопасности наравне с ПЛК. При этом основной упор делается на уровень самодиагностики. Использование протоколов типа HART и Fieldbus позволяет создать самостоятельную подсистему обслуживания полевого оборудования, независимую от РСУ и ПАЗ. Это решение при грамотном применении способно на порядки повысить уве- ренность в дееспособности полевого оборудования. Однако необходимо помнить, что смысл имеет только ВЕСЬ КОНТУР безопасности. Датчик - это всего лишь один из компонентов контура. 94 Справочник инженера по А СУТП: Проектирование и разработка Надо просчитать SIL для всего контура, и затем для ВСЕХ критических функций безопасности при конкретной конфигурации системы. Общий уровень SIL для комбинации из трех групп компонентов: • Датчики, • Логические контроллеры, • И клапаны совсем не обязательно будет соответствовать желанному уров- ню SIL3. Сводный SIL должен просчитываться для каждого конкретного случая. Строго говоря, априорно заданное значение интегрально- го уровня безопасности для любого из компонентов систем безопасности противоречит самому определению данного по- нятия стандартами МЭК. Пример из стандарта ANSI/ISA 84.01-1996. В целом вы- сококачественный стандарт американского общества прибо- ростроителей ANSI / ISA 84.01-1996 приводит диаграмму А.1 (Приложение А, секция А.3, стр.50). При этом на диаграмме (см. рис. 1.41) заранее и без вся- кого обоснования рядом со схемами (слева) приводятся кон- кретные значения уровня интегральной безопасности SIL. Как мы могли убедиться при рассмотрении нашего при- мера, априорное задание уровня безопасности, принятое толь- ко на основе количества оборудования, совершенно некор- ректно, и способно ввести в заблуждение. И хотя эта диаграмма в стандарте имеет подзаголовок "Example only" - "Только для примера" - она активно исполь- зуется дилетантами от автоматизации в качестве конкретной рекомендации авторитетного зарубежного стандарта. К детальному обсуждению этого важнейшего аспекта применимости электронных средств в промышленности мы будем постоянно возвращаться в последующих главах на- стоящего руководства. Интегральный уровень безопасности может определяться только в реальной конфигурации оборудования. Технические характеристики отдельных устройств должны содержать не абстрактное значение SIL, взятое с потолка, а исходные дан- ные по частоте опасных и безопасных отказов, на основе ко- торых и будет определен интегральный уровень безопасности оборудования в конкретном приложении. Глава 1. Постановка задач автоматизации 95 В этой связи очень важно понимать следующее: когда по- ставщик импортного оборудования гордо заявляет, что его система имеет сертификат TUV на работу по уровню SIL3 (а какой же еще?!), то вы должны ясно понимать, что в данном случае речь идет вовсе не о "системе", а всего лишь о разроз- ненном наборе устройств или модулей для данного брэнда - по одной штуке каждого типа. ИнтзгРЗЛ^'Й уровень безопасности Датчики Логическое устройство Исполнительные Механизмы SIL1 SIL2 Замечание 1: Датчики, исполнительные механизмы и ПЛК могут быть дублированы в соответствии с требованиями непрерывного обеспечения безопасности. Fig. A.1b SIL3 с> Logic Solver \ Logic ) Solver Замечиние 2: Работа двух идентичных однонанальных систем может и не совпадать с работой одной многоканальной системы по уровню обеспечиваемой без опасности. Fig. А.1с SIL3 Fig. A.1d Рис. 1.28 96 Справочник инженера по А СУТП: Проектирование и разработка Кроме модулей, проверке и сертификации подлежит про- граммное обеспечение на минимально необходимой для этого конфигурации системы, и соответствующая системная доку- ментация. В лучшем случае вы получаете следующие доку- менты: • Certificate, • List of approved modules, • Safety Reference Manual, в чем легко убедиться, если набрать http://www.tuv-fs.com /plclist.htm, и выбрать любую из представленных в таблице "List of Type Approved Programmable Electronic Systems (PES, PLCs)" торговых марок. Повторяю: именно торговых марок, брэндов, шильдиков, а вовсе не некую базовую, или потенци- ально возможную, или какую-то еще систему, а тем более уж никак не какую-либо конкретную конфигурацию. Поэтому для нашего потребителя речь может идти только о потенциальной возможности того разрозненного оборудования, которое про- ходит под данным брендом, соответствовать заявленному уровню. Более того, очень полезно обратить внимание на ре- марку, набранную самым мелким шрифтом, и на которую ни- кто не обращает внимания: Remark There are considerable restrictions on the use of the PES in safety related applications, especially for the timing restrictions after faults have been detected. These timing restrictions are depending on calculations or applications. Refer to the detailed test reports of the respective TIJV test institute. Зная это, перепродавцы продолжают предлагать индиви- дуальные устройства, будь то контроллеры или полевые уст- ройства, как сертифицированные на определенный уровень SIL продукты. Те производители и поставщики, которые до- рожат своей репутацией, даже после всеобъемлющего тести- рования в испытательных лабораториях рекомендуют приме- нять новые устройства только в некритичных приложениях, чтобы и пользователь, и производитель могли выявить все ошибки, не обнаруженные в лабораторных условиях. Приме- нение совершенно новых, нигде не испытанных технических устройств только на основе эффектных презентаций - боль- шой риск. И пусть эти устройства испытываются где-нибудь в другом месте, но не на наших технологических объектах. |