Существуют ли четырехканальные системы 2оо4 и 2oo4D? 

Существуют ли четырехканальные системы 2оо4 и 2oo4D?

Существуют модификации систем 1oo2D с дублированными процессорами в каждом управляющем модуле:

Рис. 1.9

Центральная часть системы построена по принципу 2*2, то есть каждый из двух управляющих модулей содержит по 2 микропроцессора. В случае расхождения в работе какой-либо пары микропроцессоров на одном канале данный канал выключается из работы, и система продолжает работу по одноканальной схеме 1oo1D. Исходная конфигурация системы может быть восстановлена в течение предопределенного интервала в реальном времени. Если заранее известно, что замена дефектного модуля не может быть произведена, то в течение предопределенного интервала времени система может произвести программно-управляемый останов процесса. По окончанию предопределенного интервала времени система должна просто снять питание с выходов. Таким образом, по алгоритму действий в случае отказа данная модификация архитектуры полностью эквивалентна архитектуре 1oo2D.

Поэтому на поставленный вопрос мы даем вполне однозначный ответ:

СИСТЕМ 2oo4D В ПРИРОДЕ НЕ СУЩЕСТВУЕТ.

Данный ответ подтверждают и ведущие специалисты ISA, и специалисты экспертной группы Exida, не менее, а для многих и более авторитетной, чем TUV.

В этой связи довольно странно наблюдать претензии поклонников оборудования некоторых фирм на новое слово в построении систем с архитектурой рис. 1.9, для которой ими придумано новое определение: 2оо4, или даже 2oo4D.

Это определение совершенно справедливо не признается стандартом Международной Электротехнической Комиссии IEC 61508: в стандарте даже вскользь не упомянуто о таком, казалось бы, революционном событии, как появление новой архитектуры. Однако сторонники, по крайней мере, двух систем с родственной архитектурой, - FSC-system (QMR) фирмы Honeywell и H41/51-HRS (HI Quad) фирмы HIMA, - до последнего момента претендовали на это звание. Далее будет представлен подробный разбор двух статей доктора Бэкмана -большого энтузиаста аббревиатуры 2oo4D на примере контроллеров HIMA.

Замечание

Самое удивительное здесь заключается в том, что семейство контроллеров фирмы HIMA, вне всякого сомнения, является одним из безусловных лидеров среди множества существующих на сегодняшний день систем защиты - и по архитектуре, и по качеству программного обеспечения. И совершенно не нуждается в каком-то искусственном утверждении своего превосходства.

Как мы увидим, лобовая попытка преподнести в качестве преимущества аргументы типа 2*2 приводит прямо к противоположному, можно сказать, нелепому результату: В чистом виде вероятность отказа архитектуры "2оо4" (2*2) в ЧЕТЫРЕ РАЗА ВЫШЕ, ЧЕМ АРХИТЕКТУРЫ 1оо2. Такова плата за высший уровень диагностики:

Лучше ТОЧНО знать, что один из четырех процессоров 2оо4 отказал, чем просто констатировать расхождение в результатах двух процессоров 1оо2, U гадать в чем причина.

Но самое главное - это не забывать, что смысл имеет только ВЕСЬ контур безопасности. И если вероятность отказа пары реальных модулей HIMA CPU 8650Е с дублированными процессорами равна 4.0-10~6 (вполне реальное значение), а вероятности отказа реле уровня и соленоида отсечного клапана равны по 1.0 10~4 (это еще хорошо), то понятно, что потенциально узким местом системы является полевое оборудование, а не процессорные модули:

А если таких реле и клапанов не по одному, а по нескольку сотен, то уже как-то по-иному представляется проблема отказа центральных процессоров. Другое дело, что процессорных модулей в данном случае всего два, и их роль в обеспечении безопасности неизмеримо выше, чем конкретного датчика или клапана.

Внимательно посмотрим на архитектуру PLC H41/51-HRS (рис. 1.10). На самом деле центральная часть этой системы работает по принципу 2*2. Каждая пара процессоров находится на одном модуле, и на выходы системы воздействует модуль, а не индивидуальный процессор.

Рис. 1.10

Необходимо помнить, что по определению

Под каналом понимается элемент, или группа элементов, способных самостоятельно выполнять предопределенную функцию.

Кстати говоря, четверка в коде архитектуры подразумевает существование не только схемы 2оо4, но и схем 1оо4, и Зоо4, но об этом благоразумно не упоминается, поскольку системы 2*2 по схемам деградации 1оо4 и Зоо4 работать не могут.

Более того, и шины ввода-вывода, и входные и выходные модули сами авторы определяют как 1оо2. Поэтому даже если бы централь-ная часть этой системы действительно реализовала архитектуру 2оо4 (для чего требуется разместить процессоры на четырех модулях), общеизвестно, что итоговая конфигурация определяется наиболее слабым звеном, в том числе и в архитектурном отношении, и даже в этом случае система определялась бы как система 1оо2. Система работает следующим образом:

Поскольку оба процессора находятся на одной плате, то при выходе из строя одного из процессоров канал считается неработоспособным, а состояние выходов продолжает полностью контролировать оставшийся в работе канал, то есть система переходит на работу по схеме 1oo1D.

Попутное замечание
Объявленная фирмой Эмерсон система противоаварийной защиты DeltaV SIS (SLS 1508) также претендует на работу без ограничения по времени (см. Презентацию "Подход Emerson к вопросам ПАЗ", 2004, стр. 69, автор Koen Leekens).

Как мы теперь знаем, потенциально безопасность таким образом обеспечить можно, а вот программно-логическую последовательность останова, если не дублировать контроллеры, может оказаться затруднительным. Каждый контроллер DeltaV SIS может обрабатывать только 16 каналов ввода-вывода. При выходе не дублированного контроллера из строя последовательность операций разрывается.

Аргументации в виде эффектных картинок с процентами отказов логических устройств в данном случае не очень срабатывает (рис. 1.11). По ходу настоящей работы будут представлены и другие, не столь радужные для производителей PLC, но чрезвычайно авторитетные данные.

К тому же если для системы защиты из восьмисот сигналов поставить 800/16= 50 контроллеров, да еще и резервировать их, то соотношение может сильно поменяться: вероятность отказа одного из пятидесяти контроллеров в пятьдесят раз больше, чем просто одного.

Рис. 1.11

Because of the majority of malfunctions in safety applications occur In the devices, increased logic solver reliability does not by itself Improve the reliability of the entire safety loop.

Источники изображения:
  • Приложение к журналу CONTROL за май 2004, "An advertising supplement to CONTROL For the process industries: A NEW WORLD OF SAFETY";
  • А также брошюра Safety Instrumented Systems, "The Smart Approach", Emerson Process Management, USA, 2004.

Но все же самое главное состоит даже не в увеличении вероятности отказа, а в уменьшении функциональности. Программно-логические устройства систем безопасности для того и создавались, чтобы полностью контролировать состояние объекта и обеспечивать выполнение функций безопасности в едином информационно-управляющем поле.

Если вероятность отказа современных программно-логических устройств по отношению к полю на самом деле гак мала, то совершенно нет никакой необходимости создавать себе дополнительные трудности в реализации функций чащиты, разнося алгоритм по цепочке из многих десятков контроллеров.

В данном случае ситуация полностью аналогична тому, что существует во взаимоотношении локального регулирования и связного, или усовершенствованного управления. Со-нрсмснные электронные регуляторы тоже имеют по нескольку иходон и выходов, и позволяют осуществлять взаимодействие между собой для реализации функций связного регулирования. Однако же основной путь автоматизации пошел по пути интеграции на основе универсальных подсистем управления в составе АСУТП. Если алгоритмы защиты настолько элементарны, что состоят только из одномерных контуров, то они вполне могут быть реализованы на чем угодно - и на релейных схемах, и на локальных контроллерах. И вполне возможно, что никакого резервирования в данном случае не требуется. Поэтому для тех процессов, для которых не требуется жестко согласованное выполнение операций защиты, или программно-логическое управление, этот вариант архитектуры может оказаться вполне приемлемым.

Если же все шестнадцатиканальные контроллеры должны резервироваться, то по функциональности данная архитектура вполне сопоставима с общепринятыми централизованными архитектурами, но с некоторым увеличением вероятности отказа за счет увеличения количества составных элементов.

Разумеется, можно было бы этими комментариями и ограничиться. Но интерпретации архитектур "2оо4" и 2ооЗ обросли таким количеством недоразумений, предрассудков и мифов, что необходимо детально разобраться в том, как ведет себя та или иная архитектура в реальных обстоятельствах. Это обсуждение будет плодотворным для понимания времени и места пребывания каждой архитектуры в общей иерархии систем безопасности. В нескольких следующих разделах рассматриваются самые изысканные образцы аргументации в пользу превосходства архитектур "2оо4" и 2ооЗ над всеми прочими. Печально, что некоторые из этих аргументов подкрепляются сумрачным германским авторитетом TUV, который для многих является символом непогрешимости.