2015-04-06
10091
Используются различные режимы резервирования, например:
«Lockstep»,
«Active-Standby»
В режиме «Active-Standby» резервный контроллер не выполняет программу управления (находится, в так называемом, «спящем состоянии») и, следовательно, при отказе основного контроллера ему требуется время, чтобы загрузить в себя текущие параметры для управления процессом.
В режиме "Lockstep" резервный контроллер выполняет ту же программу, что и активный, и на каждом шаге освежает текущие параметры. Таким образом, на любом шаге он готов принять управление - и ему не потребуется дополнительного времени на активизацию.
В режиме «Lockstep» применяются следующие архитектуры резервирования:
- дублированная система – 1оо2 (чтобы отключить питание, должен сработать любой из двух канал защиты: оо = „Оut Оf»= «ИЗ»);
- дублированная система -2оо2 (чтобы отключить питание, должны сработать оба канала защиты);
- троированная (TMR) система с мажоритарным голосованием 2оо3;
- схемы 1оо1D, 1оо2D, 2оо2D, 2оо3D, которые имеют встроенное диагностирование (если диагностика обнаруживает опасный отказ, то осуществляется замыкание контакта в цепи питания).
|
|
|
.
 |  |
 |  |
 | |
 |
Рис
На этих схемах:
I – входной модуль,
L- процессор, например, ПЛК,
O- выходной модуль,
D диагностирующий модуль.
Общие рекомендации по выбору архитектуры.
Одноканальные системы 1оо1 - ненадежны и небезопасны. Промышленный вариант данной категории, сертифицированный по классу SIL2 (SIL3)- это система 1оо1D.
Пример применения архитектуры 1oo1D – это сертифицированная TUV по уровню безопасности RC6/SIL3 система High Integrity (АВВ 800хА System), которая показана на рис.1 Как следует из рисунка, выходной сигнал проходит через двойной переключатель, дублирующие компоненты которого выполнены по различным технологиям. Через электронный ключ подаётся нормальный выходной сигнал контроллера; в то же время реле, управляемое встроенной схемой диагностики, обеспечивает (через цепь нормально открытых контактов) дополнительный ключ, контролирующий подачу выходного сигнала.
В нерезервированной конфигурации, в том случае, если диагностической схемой будет обнаружена неисправность, контакты реле будут автоматически приведены в «безопасное состояние», то есть разомкнуты.
Высокий уровень безопасности технологического процессадостигается за счёт развитых в схеме 1оо1D функций самодиагностики, включающих измерения тока и напряжения, временных параметров, параметров синхронизации сигналов, проверку целостности передаваемых и обрабатываемых данных.
Модули, выполненные по схеме 1oo1D и сертифицированные для использования в системах управления критическими процессами в зоне SIL3, обеспечивают режим работы практически без недиагностируемых отказов. То есть производитель гарантирует, что время наработки на отказ который не будет обнаружен независимой схемой диагностики (неисправность в операционной системе, технологической программе или аппаратном обеспечении контроллера) составляет 2564 тысячи часов (более 290 лет).Таким образом, реализация схемы 1оо1D обеспечивает очень высокую безопасность технологического процесса.
|
|
|
 |
1ооДРис 1
Дублированные системы с голосующей архитектурой «один отказ из двух возможных» - 1оо2 обеспечивает срабатывание ПАЗ при появлении сигнала опасного уровня в одном из контуров (дублированный логический контур по схеме «ИЛИ»). Реализация схемы 1оо2 повышает живучесть оборудования, увеличивает время наработки на отказ оборудования. Функции вышедшего из строя модуля перехватывает работающий в резерве. При этом оборудование поддерживает горячую замену вышедших из строя блоков, то есть резервированная конфигурация может быть восстановлена в кратчайшие сроки без остановки технологического процесса. Однако такое решение увеличивает частоту ложных срабатываний, другими словами, частоту необоснованных остановов процесса.
В схеме 1оо2D в том случае, если диагностическая процедура обнаружила неисправность, она посылает уведомляющее сообщение в модуль управления. В этом случае используется диагностическая информация для автоматического переключения на резервную систему при обнаружении неисправности. То есть система гарантированно деградирует до незервированного состояния, и только в случае повторного отказа безопасно останавливает технологический процесс. Подробная информация о текущих и прошлых неисправностях и отказах доступна оператору на дисплее программы диагностики; кроме того, сигналы о неисправностях отображаются с помощью светодиодов непосредственно на модулях ввода/вывода. Такой вариант реализации ПАЗ гарантирует очень высокую безопасность процессов. На рынке предлагается различное оборудование АС, выполненное по такой схеме резервирования, сертифицированное и рекомендованное для использования в зонах безопасности SIL3
Примером голосующей архитектурой «два отказа из двух» является схема 2оо2 (дублированный логический контур по схеме «И»). Оборудование, выполненное по такой схеме резервирования, имеет повышенную опасность: частота несрабатывания и риск возникновения аварийных ситуаций по причине несрабатывания в схеме 2оо2 по сравнению с архитектурой 1оо1 удваивается. Это означает, что частота и вероятность ложного срабатывания и, соответственно, беспричинного останова процесса увеличивается.
Система с тройным модульным резервированием с голосующей архитектурой «два отказа из трех возможны» 2оо3 обеспечивают приемлемый баланс безопасности и надежности.
Реализация схемы 1оо1D обеспечивает безопасность технологического процесса, в товремя как реализация схемы 1оо2 повышает лишь живучесть, или другими словами, увеличивает время наработки на отказ оборудования.
Система 1оо2D, сочетает достоинства 1оо1D, 1оо2 и 2оо2 и тем самым обеспечивает приемлемый баланс как безопасности, так и надежности.
Система 2оо2D обеспечивает срабатывание ПАЗ при появлении сигнала опасного уровня в обоих контурах) (дублированный логический контур по схеме «ИЛИ» с диагностикой) приемлемый баланс безопасности и надежности.
Система 1оо3 обеспечивает срабатывание ПАЗ при появлении сигнала опасного уровня в одном из контуров (троированный логический контур по схеме один из трех). Такое резервирование используют там, где необходимо обеспечить функциональную безопасность
На предприятиях нефтегазовой отрасли в случае повышенной опасности отказов АС часто для резервирования контроллеров используют схему 2оо3 [].
|
|
|
Эта архитектура состоит из трех каналов, соединенных параллельно, с голосованием по принципу большинства так, что состояние выхода не меняется, если только один канал дает результат, отличный от двух других каналов. Предполагается, что любое диагностическое тестирование будет только извещать об обнаруженных сбоях, и не будет изменять состояния выходов, или изменять выходное голосование.
Примеры классических систем типа 2ооЗ – это ПЛК Tricon фирмы Triconex (Invensys), и August (Triguard) фирмы ABB. Архитектура этих систем представлена на рис. 3.17.
Рис. 3.17
При выборе схемы резервирования необходимо обратить внимание также на то, что рекомендации МЭК относятся только к центральной части системы (ПЛК).
Однако, существуют системы с полным физическим разделением на три самостоятельные подсистемы с утроенным набором управляющих модулей и модулей ввода-вывода (например, система GMR фирмы General Electric Fanuc, - см. рис 3.18). Системы этого типа состоят из:
· Трех самостоятельных PLC, выполняющих одну и ту же логическую программу,
· Выносных или удаленных блоков ввода-вывода, и
· Тройной шины обмена данными между выносными блоками и PLC, и PLC между собой.
Рис. 3.18
Архитектура 2ооЗ может использоваться также и для резервирования датчиков, определяющих взрывоопасность процесса, и, как правило, на альтернативной основе.
Однако, расчеты показывают, что в целом конфигурация 2ооЗ даже с учетом влияния отказов общего порядка имеет меньшую надежность в сравнении с конфигурацией 1oo2D. А без учета влияния общих отказов вероятность всех типов отказа архитектуры 2ооЗ в три раза выше, чем архитектуры 1oo2D (см. IEC 61508, Part 6, Annex В, Tables В.2-В.5, В1 О-В. 13). Все это указывает на несостоятельность безоговорочного предпочтения этой схемы резервирования.
38. Типовое применение различных структур безопасности.
