Применимость одноканальных систем 

Применимость одноканальных систем

Начнем с того, что введем следующее утверждение, которое одновременно является и определением:

Алгоритм действия системы lool не зависит от категории взрывоопасности объекта. При любом отказе система lool снимает питание с выходных реле, и происходит аппаратный, программно неконтролируемый останов процесса по физически предопределенной последовательности операций.

Это обстоятельство послужило поводом к тому, что некоторые хитроумные производители и поставщики систем объявили свои одноканальные системы соответствующими любому классу требований безопасности - вплоть до шестого по стандартам DIN, поскольку одноканальная система в случае своего отказа переведет процесс в "безопасное" состояние -состояние останова. Более того, утверждается, что время работы одноканальной системы на объектах любого класса не ограничено. Это заявление отвергает саму идею резервирования, как средство противодействия отказам оборудования, поэтому требует адекватной оценки.

Принципиальная разница между одноканальной и многоканальными системами состоит в том, что в случае отказа последние имеют жизненный ресурс для восстановления, сохраняя при этом контроль над процессом.

1oo1D - действительно система с неограниченной по времени работой: эту границу невозможно предугадать. Система работает до тех пор, пока не откажет. В отличие от систем loo2D, 2ооЗ, для которых состояние и поведение после частичного отказа вполне предсказуемо и поправимо, в случае с одноканальной системой невозможно предсказать, что произойдет с нею в следующий момент.

Утверждать, что для одноканальной системы "разрешено" неограниченное время работы - вводить в заблуждение. Не то что время как таковое, но и конкретное одноканальное время просто невозможно запретить. Равно как и для систем более высокого порядка. Однако принципиальная разница состоит в том, что для систем 1oo2D, 2ооЗ мы имеем возможность восстановления исходной конфигурации в течение некоторого предопределенного промежутка реального времени, - пусть не 72 часа, а хотя бы полчаса, - а это уже совершенно другое дело. Единственное, что достоверно известно о системе 1oo1D - это ее прошлое. И системой с неограниченной по времени работой она является только во взаимоотношении с только что отработанным моментом времени.

Правильнее было бы определить одноканальные системы как такие системы, работа которых ничем не была ограничена в прошедшем до останова времени.

Поэтому и называться системой с неограниченным временем работы она может далеко не всегда, а только до тех пор, пока не прекратит эту самую работу. Нельзя абстрактно, отвлеченно, на словах или на бумаге утверждать, что такой-то тип, такая-то модель одноканальной системы является системой некоторого класса. Для этого типа систем не имеет никакого значения, к какому классу они отнесены. Да они и не могут быть отнесены к какому-либо классу:

Одноканальная система будет являться системой конкретного, любого необходимого, неважно какого класса, только во время своего конкретного применения в данном классе, и только в данное время. Причем это ее свойство никак не зависит от решений комитетов по безопасности. Будь то TUV или какой-то другой. И даже от того, существуют ли сами эти комитеты. Эта система проработает ровно столько, сколько сможет, независимо ни от каких разрешений. И никакая самодиагностика здесь не поможет. Причем алгоритм ее поведения будет один:

ОДНОКАНАЛЬНАЯ СИСТЕМА МОЖЕТ РАБОТАТЬ ПО ЛЮБОМУ КЛАССУ И ПРОРАБОТАЕТ РОВНО СТОЛЬКО, СКОЛЬКО СМОЖЕТ ПРОРАБОТАТЬ, ОБЕСПЕЧИВ ПОСЛЕ СВОЕЙ ПОГИБЕЛИ внеплановый останов процесса, который будет проходить в жестком аппаратном режиме, и уже никак не будет контролироваться системой защиты.

Система произведет НЕКОНТРОЛИРУЕМЫЙ ОСТАНОВ ПРОЦЕССА, ВОЗМОЖНО ДАЖЕ БЕЗАВАРИЙНЫЙ, ЕСЛИ НЕ ЗАКЛИНИТ ЗАДВИЖКА И СРАБОТАЕТ ОТСЕКАТЕЛЬ.

Спрашивается: ради чего было менять пусть и не слишком надежную, но полностью распределенную релейную систему защиты на суперсовременный черный ящик, если максимум, что может инициировать реле, - это запустить один-единственный контур защиты, а черный ящик в самый неожиданный момент одним махом остановит все производство?

Именно поэтому для дублированных систем 1oo2D в течение определенного ЗАПАСА ВРЕМЕНИ нам предоставляется возможность восстановления частичной потери исходной конфигурации, и продолжения нормальной работы. Последние рекомендации TUV вполне определенно регламентируют действия систем безопасности типа 1oo2D в случае частичного отказа:

В том случае, если данные в ДВУХ центральных модулях отличаются, и причина отказа определена программой самодиагностики, то происходит отключение ОБОИХ модулей, или работа на одном канале в течение 1 часа. Если причина расхождения не определена, то происходит отключение ОБОИХ центральных модулей.

Аналогичные рекомендации даются и в случае частичного отказа систем типа 2ооЗ. При отказе одного из трех плеч (legs) на входном или выходном модуле, или при отказе центрального процессора настоятельно рекомендуется произвести замену отказавшего компонента в течение принятого в отрасли среднего времени на замену.

Авторская позиция состоит в том, что на взрывоопасных объектах ни для каких систем, ни при каких обстоятельствах нельзя давать разрешение на постоянную одноканаль-ную работу. Разрешение одноканальной работы на неопределенное время и для членов семейства более высокого порядка означает разрешение на деградацию до этого состояния.

Таким образом, любая система, способная достичь режима одноканальной работы, могла бы рассчитывать на "бесконечное" пребывание в этом качестве. Сказанное могло бы означать, что и изначально на взрывоопасные объекты можно ставить одноканальную систему. Но сказанное означает совершенно противоположное, а именно: для взрывоопасных объектов система защиты должна предоставлять интервал реального времени, в течение которого конфигурация системы должна быть восстановлена до исходного состояния.