Считается, что система безопасности может отказать одним из двух способов.
Во-первых, она может вызвать или инициировать ложный, немотивированный останов, и остановить производство, в то время как фактически ничего опасного не произошло.
Например, если выходные цепи спроектированы таким образом, что в нормальных рабочих условиях реле находятся под напряжением и контакты замкнуты, то в случае отказа системы защиты электропитание с контактов снимается, и они размыкаются, вызывая останов процесса. Некоторые специалисты называют подобную ситуацию "безопасным" отказом.
Во-вторых, система защиты может отказать прямо противоположным способом, то есть НЕ выполнить функцию защиты, в то время как это действительно требуется со стороны процесса.
Примером подобной ситуации являются реле с залипшими контактами, которые не могут разомкнуться для правильного срабатывания блокировки, либо заклинивший исполнительный механизм отсекателя. Подобные отказы называют опасными отказами.
|
|
ПАЗ вовсе не обязательно должна быть надежной системой, но она обязана быть безопасной.
Так сертифицированная по всем правилам TUV/IEC ПАЗ может быть безопасной, но при этом может ломаться хоть каждый день (т.е. иметь очень низкую надежность). Главное, чтобы она ломалась каждый раз в безопасное состояние. То есть, заказчик будет терпеть убытки от простоя, но ни один человек не должен пострадать.
Для разрешения проблем выбора схемы ПАЗ в зависимости от требований к ее отказоустойчивости используются различные режимы резервирования, например:
«Lockstep»,
«Active-Standby»
В режиме «Active-Standby» резервный контроллер не выполняет программу управления (находится, в так называемом, «спящем состоянии») и, следовательно, при отказе основного контроллера ему требуется время, чтобы загрузить в себя текущие параметры для управления процессом.
В режиме "Lockstep" резервный контроллер выполняет ту же программу, что и активный, и на каждом шаге освежает текущие параметры. Таким образом, на любом шаге он готов принять управление - и ему не потребуется дополнительного времени на активизацию.
В режиме «Lockstep» применяются следующие архитектуры резервирования:
- дублированная система – 1оо2 (чтобы отключить питание, должен сработать любой из двух канал защиты: оо = „Оut Оf»= «ИЗ»);
- дублированная система -2оо2 (чтобы отключить питание, должны сработать оба канала защиты);
- троированная (TMR) система с мажоритарным голосованием 2оо3;
- схемы 1оо1D, 1оо2D, 2оо2D, 2оо3D, которые имеют встроенное диагностирование (если диагностика обнаруживает опасный отказ, то осуществляется замыкание контакта в цепи питания).