Фафурин В.А., Терюшов И.Н. Автоматизация технологических процессов и производств

Подождите немного. Документ загружается.

Рис. 7.1.7

Стандартная, архитектура loo1D дополняется вводом еще одного

процессора в основной канал системы. Расширенный вариант конфи-

гурации loo1D предоставляет недорогую возможность увеличения

уровня самодиагностики.

Тонкость состоит в том, что это - воистину одноканальная сис-

тема, поскольку оба процессора находятся на одном модуле, и вос-

становлению в режиме on-line по отдельности не подлежат.

Степень диагностического охвата по сравнению с предыдущим

Вариантом (рис. 7.1.6) увеличивается, однако после обнаружения

отказа одного из процессоров не остается ничего другого, как снять ли-

шние с выходных реле, и совершить незапланированный останов.

Существует более продуманный и гибкий вариант

одноканальной системы, когда центральные процессоры и

диагностические цепи полностью дублируются, и размещаются на

отдельных управляющих модулях (рис. 7.1.8).

Рис.7.1.8

В отличие от "чисто" одноканальной системы, данный расши-

ренный вариант потенциально позволяет произвести замену отка-

завшего модуля управления в режиме on-line, либо провести про-

граммно-управляемый останов. Но поскольку входная и выходная

цепи не резервированы, система по определению относится к классу

loolD.

Все без исключения модификации систем с архитектурой 1001D,

включая и последнюю, аттестуются по RC4 и SIL2.

9. Архитектура loolD - "горячее" резервирование (рис. 7.1.9)

Рис. 7.1.9

В эту архитектуру добавлен дополнительный электронный ключ,

управляемый диагностическими цепями управляющих модулей.

В качестве средства диагностики каждого канала выступает

обычный сторожевой таймер. Ключ периодически переключается в

соседнее положение - так подтверждается функциональность ре-

зервного канала. Дополнительно может использоваться сравнение

процессоров. Если на момент переключения резервный канал оказы-

вается неработоспособен, то и вся система считается неспособной к

выполнению функций защиты. В случае какого-либо отклонения от

штатной работы питание с выходных цепей снимается, и происходит

незапланированный останов процесса.

Все без исключения модификации систем с архитектурой 1001D,

включая и последнюю, аттестуются по RC4 и SIL2.

10. Архитектура 2оо2 (рис. 7.1.10, рис. 7.1.11)

Рис. 7.1.10

Следует обратить внимание на то обстоятельство, что наличие

диагностических цепей и межпроцессорного взаимодействия не пре-

вращает архитектуру 2оо2 в архитектуру 2oo2D, поскольку данное

обстоятельство только повышает уровень самодиагностики, но никакие

меняет принцип действия системы. Именно по этой причине архи-

тектуру looID часто не выделяют особо из семейства lool, и если это

не вызывает недоразумений, помечают просто как систему lool. Вот

что просто, доходчиво, русским языком по-английски говорит об

архитектуре 2оо2 стандарт IEC 61508:

"This architecture consists of two channels connected in parallel so

that both channels need to demand the safety function before it can take

place. It is assumed that any diagnostic testing would only report the faults

found and would not change any output slates or change the output

voting".

To есть:

"Эта архитектура состоит из двух каналов, соединенных па-

раллельно, так что оба канала должны выполнить функцию безо-

пасности, чтобы она смогла иметь место. Предполагается, что

любое диагностическое тестирование будет только извещать об

обнаруженных сбоях и не будет изменять состояния выходов или

изменять выходное голосование ".

Чтобы произвести аварийный останов, оба канала должны дать

команду на аварийный останов. Для того чтобы произошел ложный

останов, оба канала должны осуществить ложный останов одно-

временно. Чтобы произошел опасный отказ - несрабатывание в

нужный момент, — достаточно, чтобы отказал любой из каналов. Со-

ответственно, вероятность опасного отказа системы 2оо2 в два раза

выше, чем у системы lool.

По этой причине в чистом виде системы 2оо2 для защиты техно-

логических объектов не применяются. Однако, как мы увидим далее

при рассмотрении архитектуры 1oo2D, резкое снижение вероятности

ложных остановов архитектуры 2оо2 использовано в архитектуре

loo2D остроумным сочетанием преимуществ систем 1оо2 и 2оо2.

Все системы с архитектурой 2002 аттестуются по категориям

RC4 и SIL2.

Важно понимать, что количество процессоров на одном управ-

ляющем модуле никак не может изменить архитектуру системы.

В представленной ниже схеме (рис. 7.1.11) на каждом управляю-

щем модуле РЕ А и РЕ В размещено по два процессора, - PSU A1 и

PSU A2, PSU B1 и PSU B2. Кроме того, добавлены диагностические

цепи и межпроцессорное взаимодействие, однако архитектура системы

остается неизменной - 2оо2.

Источник информации рис . 7.1 .11 :

"Comparison of Programmable Electronic Safety-Related System

Architectures", 10 January, 2003. Anton A. Frederickson, Dr. Independent

Consultant, Member of Safety Users Group Network. Авторская графика

намеренно сохранена в неприкосновенности.

Puc. 7.1.11

11. Архитектура 1оо2

Важно понимать разницу между системами 1оо2 и loo2D.

Чтобы сразу внести определенность, приведем схему системы

1оо2 (рис. 7.1.12), которая часто помечается как система с архитекту-

рой loo2D, однако таковой не является. В очередной раз обращается

внимание, что, несмотря на то, что в представленной схеме на каждом

управляющем модуле РЕ А и РЕ В размещено по два процессора - PSU

A1 и PSU A2, PSU B1 и PSU B2, и, кроме того, добавлены ди-

агностические цепи и межпроцессорное взаимодействие,-

архитектура системы остается неизменной - 1оо2.

Примечание: некоторые вообще умудряются отнести эту

систему к архитектуре 2оо4, и даже более того — к никому не

ведомой архитектуре 2oo4D.

Рис. 7.1.12

Источник информации рис . 7. 1.12 :

"Comparison of Programmable Electronic Safely-Related System

Architectures", 10 January, 2003. Anton A. Frederickson, Dr. Independent

Consultant, Member of Safety Users Group Network.

Несмотря на то, что система имеет по два процессора и

сторожевой таймер на каждом из двух управляющих модулей, а также

может осуществлять межпроцессорное взаимодействие, тем не менее,

эта схема классифицируется как система с архитектурой 1оо2.

Вот что простым и доходчивым русским языком по-английски

говорит об архитектуре 1оо2 стандарт IEC 61508:

"This architecture consists of two channels connected in parallel,

such that either channel can process the safety function. Thus there would

have to be a dangerous failure in both channels before a safety function

failed on demand. It is assumed that any diagnostic testing would only

report the faults found and would not change any output states or change

the output voting".

И означает это буквально следующее:

"Архитектура состоит из двух каналов, соединенных параллель-

но, так что любой из каналов может обработать функцию безо-

пасности. Таким образом, должен произойти опасный отказ в обоих

каналах, чтобы система не смогла осуществить функцию защиты.

Предполагается, что любое диагностическое тестирование будет,

только извещать об обнаруженных сбоях, и не будет изменять со-

стояния выходов, или изменять выходное голосование".

Таким образом, ни количество процессоров на одном

управляющем модуле, ни наличие диагностических цепей, ни

межпроцессорное взаимодействие НЕ ЯВЛЯЕТСЯ отличительным

признаком системы loo2D, и не переводит автоматически систему

1оо2 в систему loo2D:

В случае отказа любого из каналов питание с выходных реле

снимается, и процесс останавливается.

Поэтому все без исключения модификации систем с

архитектурой 1оо2 аттестуются по RC4 и SIL2.

Наша цель состоит в том, чтобы построить такую архитектуру,

которая позволяла бы блокировать ошибочные действия соседнего

канала, и давала бы возможность производить восстановление ис-

ходной конфигурации системы в реальном времени. Для превращения

архитектуры 1оо2 в архитектуру loo2D должна измениться логика

управления выходом системы. Для архитектуры 1oo2D в случае отказа

одного из каналов должен быть выбор:

1. Осуществить восстановление системы в течение предопреде-

ленного интервала времени, или

1. Произвести программно-управляемый останов.

В конце концов, было найдено решение, которое позволяет соче-

тать устойчивость архитектуры 2оо2 по отношению к ложным оста-

новам, и устойчивость архитектуры 1оо2 по отношению к опасным

отказам (несрабатыванию в нужный момент). Решение проблемы

состоит в той специфической организации взаимодействия управ-

ляющих, входных, выходных модулей, и, главное, диагностических

цепей обоих каналов, которая получила название четырехполюсной

архитектуры loo2D. Несколько позже будет представлена система с

архитектурой 2ооЗ, для которой в случае отказа одного из трех

управляющих модулей также существует возможность восстановления

в реальном времени. А сейчас - loo2D.

Рис. 7.1.13

Данная архитектура построена на остроумном сочетании пре-

имуществ систем 1оо2 и 2оо2. Система состоит из двух самостоя-

тельных наборов оборудования (каналов). Каждый из каналов со-

держит:

• Входные модули

•Логическое устройство - управляющий модуль

 Выходные модули

• Диагностические цепи на каждом модуле.

Вот что говорит стандарт IEC 61508-6 об архитектуре loo2D:

"This architecture consists of two channels connected in parallel.

During normal operation, both channels need to demand the safety func-

tion before it can take place. In addition, if the diagnostic tests in either

channel detect a fault then the output voting is adapted so that the overall

output state then follows that given by the other channel.

If the diagnostic tests find faults in both channels or a discrepancy

that cannot be allocated to either channel, then the output goes to the safe

state. In order to detect a discrepancy between the channels, either channel

12. Архитектура loo2D - Классический вариант (рис. 7.1.13)

can determine the state of the other channel via a means independent of the

other channel".

Итак:

"Эта архитектура состоит из двух каналов, соединенных па-

раллельно. Во время нормальной работы необходимо, чтобы оба ка-

нала выдали команду на выполнение функции безопасности, чтобы

она смогла осуществиться. Кроме того, если диагностическое тес-

тирование обнаруживает сбой в любом из каналов, процедура голо-

сования строится таким образом, что общее состояние выхода бу-

дет определяться другим каналом.

Если диагностическое тестирование обнаруживает сбои в обо-

их каналах, или обнаруживает расхождение, которое не может

быть приписано к какому-либо из каналов, то выход системы пере-

водится в состояние останова ("безопасное" состояние). Для того

чтобы расхождение между каналами могло быть обнаружено, ка-

ждый из каналов должен иметь возможность определять состояние

другого канала с помощью средств, независимых от проверяемого

канала".

Однако в стандарте не поясняется:

Что же это за средства, независимые от другого канала? В

данном случае - это не просто "возможность определять со стояние

другого канала", а оригинальное сочетание архитектур 2оо2 и 1оо2,

позволяющее использовать диагностические цепи в качестве

дополнительной пары каналов, построенных на альтернативных эле-

ментах и совершенно иных схемных решениях. Оба диагностических

канала работают таким образом, что без перекрестного подтвержде-

ния соседний канал не сможет выдать команду на изменение выхода.

Поэтому символ "D" в данной архитектуре означает не про сто

расширенные возможности диагностики, а особым образом

организованное взаимодействие управляющих и диагностики, а

особым образом организованное взаимодействие управляющих и

диагностических цепей, позволяющее фактически реализовать

реальную квадро- систему, имея:

 Два канала обработки информации, и

 Два диагностических канала.