Классические архитектуры 2ооЗ

TMR - Triple Modular Redundancy - системы со специфической архитектурой на базе трех "голосующих" в порядке А-В, А-С, В-С процессоров. Как сказано в стандарте IEC 61508 (Part 6, Annex В, пункт В.2.2.5, стр. 59):

"This architecture consists of three channels connected in parallel with a majority voting arrangement for the output signals, such that the output state is not changed if only one channel gives a different result which disagrees with the other two channels. It is assumed that any diagnostic testing would only report the faults found and would not change any output states or change the output voting".-

"Эта архитектура состоит из трех каналов, соединенных параллельно, с голосованием по принципу большинства таким образом, что состояние выхода не меняется, если только один канал дает результат, отличный от двух других каналов. Предполагается, что любое диагностическое тестирование будет только извещать об обнаруженных сбоях, и не будет изменять состояния выходов, или изменять выходное голосование".

Коротко и ясно. Но следует обратить внимание на последнюю сентенцию. Мы с ней уже встречались, когда приводили цитаты стандарта IEC 61508 для систем с архитектурами 2002 и 1оо2, также не имеющих признака диагностики D.

В отличие от архитектур 1оо2, 2оо2 и 2ооЗ, системы 1oo2D имеют принципиально иную логику взаимодействия диагностических и управляющих цепей, чем простое сравнение состояния процессоров. И даже оказавшись в одиночестве, одиночный канал системы 1oo2D имеет право контролировать общий выход системы в течение предопределенного интервала времени.

Как мы уже подробно исследовали в главе "Постановка задач автоматизации", двухканальная работа архитектуры 2003 полностью эквивалентна одноканальной работе архитектуры 1oo2D по схеме 1oo1D.

Поэтому одноканальная работа голосующей архитектуры 2ооЗ по схеме 1oo1 на взрывоопасных производствах невозможна - результат непредсказуем, ведь системе 1oo1 просто не с кем и не за кого голосовать.

Примеры классических систем типа 2ооЗ - Tricon фирмы Triconex (Invensys), и August (Triguard) фирмы ABB. Архитектура этих систем представлена на рис. 3.17. Расчеты показывают, что в целом эта конфигурация даже с учетом влияния отказов общего порядка имеет меньшую надежность в сравнении с конфигурацией 1oo2D. А без учета влияния общих отказов вероятность всех типов отказа архитектуры 2ооЗ в ТРИ РАЗА ВЫШЕ, чем архитектуры 1oo2D (см. IEC 61508, Part 6, Annex В, Tables В.2-В.5, В1 О-В. 13).

Причем необходимо обратить самое пристальное внимание на то, что эти расчеты МЭК относятся только к центральной части системы, изображенной на рис. 3.17, действительно имеющей тройное модульное резервирование. Для модулей ввода-вывода ситуация серьезней - все три сегмента (Legs А, В, С) находятся на ОДНОЙ плате. Более того, все модули ввода-вывода используют мультиплексирование по 8, 16, 32 и даже 64 точкам ввода-вывода.

Существуют модификации систем с архитектурой 2ооЗ, которые имеют по 2 микропроцессора на каждом модуле управления, например, системы Tricon и Trident. Если в выражение вероятности отказа архитектуры 2ооЗ подставить удвоенную частоту отказа канала, то вероятность отказа архитектуры 2ооЗ ("4оо6") составит:

то есть возрастет в четыре раза.

Таким образом, главное соотношение вероятностей отказа дублированных и троированных архитектур сохраняется и при удвоении числа элементов в канале:

Соотношение вероятностей отказа архитектур 1оо2 и 2ооЗ, "2оо4" и "4оо6" при прочих равных условиях составляет

То есть вероятность отказа трех центральных модулей управления архитектуры 2ооЗ ("4оо6") с парой процессоров в каждом модуле на порядок выше, чем для классической архитектуры 1оо2.

Представленная на рис. 3.17 архитектура - далеко не единственно возможная для систем 2ооЗ. Существуют системы с полным физическим разделением на три самостоятельные подсистемы с утроенным набором управляющих модулей и модулей ввода-вывода (например, система GMR фирмы General Electric Fanuc, - см. рис 3.18). Системы этого типа состоят из:

• Трех самостоятельных PLC, выполняющих одну и ту же логическую программу,
• Выносных или удаленных блоков ввода-вывода, и
• Тройной шины обмена данными между выносными блоками и PLC, и PLC между собой.

Как видно из рисунка 3.18, архитектура 2ооЗ может использоваться и для резервирования датчиков, определяющих взрывоопасность процесса, и, как правило, на альтернативной основе.

Большие системы защиты могут потребовать большее количество подсистем ввода-вывода. Например, система, представленная ниже (рис. 3.19), имеет две подсистемы ввода-вывода для шести независимых шин данных и восемнадцати контроллеров.

Можно только догадываться, сколько это решение может стоить.

В нескольких следующих разделах приводится краткое, и по возможности максимально формальное описание ярких представителей контроллеров для систем безопасности, имеющих базовые архитектуры 1oo1D и 1oo2D:

• Системы Quadlog фирмы Siemens Energy & Automation.
• Семейство контроллеров фирмы Н1МА.
• Система QMR FSC фирмы Honeywell.
• Контроллеры семейства Pro Safe фирмы Yokogawa Electric.