Системы семейства ProSafe (Yokogawa Electric)

ProSafe - это целое семейство систем автоматической противоаварийной защиты. Семейство реализует различные пути обеспечения безопасности как технически, так и организационно. При необходимости может выполнять задачи, не относящиеся к критическим процессам и противоаварийной защите. Все это достигается как за счет использования современных технологий программирования, так и за счет использования современных полупроводниковых технологий.

На сегодняшний день определяются три платформы систем противоаварийной защиты:

  • ProSafe-DSP
  • ProSafe-PLC
  • ProSafe-RS,

которые отвечают международным нормам IEC 61508 и 61511, предъявляемым к системам требуемого класса.

Система ProSafe-DSP применяется для самых опасных технологических процессов. Это один из немногих существующих контроллеров, аттестованных TUV по 6-7 классу DIN и 4 уровню SIL.

Радикальным отличием ProSafe-DSP является отсутствие системного и диагностического программного обеспечения. Вместо этого используется уникальная аппаратная технология встроенного схемного самотестирования для всех элементов системы ПАЗ. Полупроводниковая технология, используемая в ProSafe-DSP, основывается на ферритовой логике, определяющей принцип встроенного самотестирования и отказоустойчивости. Основным элементом ферритовой логики является кольцеобразный сердечник с обмоткой, который выполняет как логические функции (И, ИЛИ, НЕТ), так и выступает в роли гальванического изолятора.

ProSafe-PLC - это полный аналог системы Quadlog, выпускаемой фирмой Йокогава под своей торговой маркой.
ProSafe-PLC отвечает наиболее широкому диапазону интегрального уровня безопасности согласно международному стандарту IEC 61508 и критерию работоспособности: для сводного уровня безопасности. ProSafe-PLC обеспечивает диапазон SIL 1...3, и RC 1...6 по DIN.

ProSafe-PLC состоит из ряда модулей, к которым относятся модули управления критическими технологическими процессами и модули ввода-вывода. В различных конфигурациях системы ProSafe-PLC эти устройства работают селективным и гибким образом. Даже в архитектуре 1oo1D система обеспечивает уникальную защиту выходных сигналов. Разнообразие маршрутов сдвоенных сигналов в ProSafe-PLC, объединенных с функциями сравнения между контроллерами, составляет основу конфигурации 1oo1D в ProSafe-PLC. Символ D в данном случае означает, что в системе ПАЗ используется программа самодиагностики для каждого модуля ввода-вывода на основе эталонной информации, а также для аварийного останова технологического процесса.

Такая конфигурация 1oo1D с одним или сдвоенным управляющим модулем соответствует RC4 и SIL2.

Для создания полностью отказоустойчивой архитектуры системы ПАЗ за основу взята полностью резервированная конфигурация 1oo1D. В резервированном варианте возникает четырехполюсная архитектура 1oo2D (рис. 3.25).

Рис. 3.25

Система 1oo2D ProSafe-PLC при обнаружении отказа переходит в конфигурацию 1oo1D, и продолжает свою работу без останова технологического процесса. Техническое обслуживание для восстановления первоначальной архитектуры этой системы допускается в режиме on-line без останова технологического процесса.

Структура 1oo2D ProSafe-PLC требует минимального объема аппаратных средств, обеспечивая при этом параллельное объединение защищенных выходных сигналов.
Конфигурация 1oo2D в соответствии с IEC61508 и ANSI/ISA 84.01-96 позволяет выполнить подключение резервных датчиков и приводов исполнительных устройств эффективным по стоимости способом без применения дополнительных аппаратных средств.
Полностью резервированная конфигурация 1oo2D соответствует DIN RC 5-6 и SIL3. Рисунок 3.26 отображает место каждой из систем в классификациях SIL (ANSI/ISA/IEC) и RC miNY

Рис. 3.26

В марте 2005 года фирма Yokogawa Electric Corporation получила сертификат TUV на соответствие стандартам IEC 61508 и IEC 61511 для своей новой системы ProSafe-RS, и на право ее применения в приложениях SIL3.

ProSafe-RS реализует концепцию, которая уже давно стала привычной: система управления и система защиты строится на едином программно-техническом и информационно-управляющем поле, включая промышленные сети и человеко-машинный интерфейс. Преимущества очевидны:

  • Однородная архитектура,
  • Единая среда разработки,
  • Интегрированная среда взаимодействия оператора с процессом.
Примечание

Аналогичный подход использует система DeltaV SIS:

Единственное, что нужно тщательно планировать и отслеживать, - это загрузку недетерминированного протокола Ethernet, на котором построено все семейство систем DeltaV.

Унификация на базе проверенной на практике системы Centum CS 3000 с архитектурой "Дублирование + Резервирование" (та самая 2*2 - "Pair & Spare ), первооткрывателем которой без всякого шума была именно Yokogawa, и открыла возможность универсального построения единой системы безопасности, поэтому дискуссии на уровне "1oo2D?/"2oo4?", "TMR7/QMR?" - просто потеряли свою актуальность.

С помощью этой знаменательной для всех автоматизированных систем управления архитектуры обеспечивается:

  • Реальная интеграция РСУ и ПАЗ;
  • Простая, очевидная архитектура, естественная конструкция системы;
  • Высокая готовность за счет резервирования;
  • Резервированные двухпроцессорные модули управления и резервированные модули ввода-вывода
  • Резервированная связь модулей управления и ввода-вывода
  • Резервированная детерминированная системная шина Vnet.
  • Одновременное функционирование и техобслуживание.
Рис. 3.27
Важное замечание
Еще раз: TUV и здесь утверждает, что уровень SIL3 достигается в нерезервированной модульной конфигурации. Необходимо твердо помнить и понимать, что это эффектное заявление не имеет под собой никаких практических оснований. Для современных непрерывных крупнотоннажных производств никак не может быть принято наивное понимание промышленной безопасности в духе IEC и TUV как способности системы в ответ на любой чих остановить производство. Применение одноканальных систем на нефтегазодобывающих, химических, нефтехимических и нефтеперерабатывающих производствах строго исключается. Необходимо отдавать себе отчет, что высшая степень готовности достигается только в резервированной системе.
Рис. 3.28

Безопасный обмен данными между контроллерами Системы безопасности (SCS), Станциями управления (FCS) и Станциями оператора (HIS) по детерминированной промышленной шине Vnet системы Centum CS 3000.

Функция SOE (Регистрация Последовательности Событий) имеет стандартное разрешение 1 миллисекунда. В перечень регистрируемых событий входит в том числе:

  • Стандартный контроль линии
  • Обнаружение короткого замыкания
  • Обнаружение обрыва линии.

Реальная интеграция РСУ и ПАЗ.
Для объединения РСУ и системы ПАЗ не требуется никаких вычурных компоновок и специальных схем связи.
Безопасность связи по протоколу Vnet подтверждена TUV.

Рис. 3.29

Одно окно.
Доступ (естественно, с учетом ограничений) к тэгам со станции оператора (HIS) открыт в обе стороны:

  • И к данным РСУ,
  • И к данным контролеров системы безопасности (SCS).

Таким образом, со станции оператора обеспечивается интегрированный контроль всей иерархии окошек системы:

  • Мнемосхемы;
  • Лицевые панели приборов (контуров);
  • Тренды-графики;
  • Состояние системы;
  • Предупредительная и предаварийная сигнализация;
  • SOE (последовательность событий) и т.д.
Рис. 3.30

Инструментарий инжиниринга:

  • Функциональная блок-схема, лестничная (релейная) схема, структурированный текст;
  • Конфигурирование системы и ввода-вывода;
  • Тестирование (моделирующие программы для контроллера безопасности);
  • Самодокументирование;
  • Управление версиями системного и прикладного программного обеспечения.
Рис. 3.31

Техобслуживание. Инженерная Станция:

  • Отображение состояния логики
  • Отображение состояния системы и программа просмотра диалога диагностики
  • Программа просмотра SOE (протокол последовательности событий)
  • Принудительные переменные (Вход, Выход, Логические переменные)
  • Оперативное изменение логики (утверждено TUV).

Действия при отказах

Fault location Cause Structure Actions Fault level
CPU module Hardware failure CPU node fault Software fault Single CPU stopsAll output modules output the output value on fault detection (All output shutdown) Critical fault
Dual-redundant CPU on fault side stopsThe control is continued by switching the control nght Minor fault
Input module Hardware failure Single Input value on fad detection is set to all input channels of the modules and data status changed to BAD Major fault
Dual-redundant The control is continued by switching the control right Minor fault
Input channel Failure of Hardware for individual channel Fault on field side Single (*2) Input value on fault detection is set to failed input channels and data status changed to BAD Major fault
Dual-redundantгз) When a fault is on the field side the same action as the single structure is performed Mapr fault
Others except for the above case, the control is continued by switching the control right Minor fault
Output module Hardware failure Single Output of all output channels on the module becomes 0 and is put in output disable state, and data status changes into BAD state Major fault
Dual-redundant ГЗ) The control is continued by switching the control nght Minor fault
Output channel Failure of Hardware for individual channel Fault on field side Single When output shutoff switch works (*1) Output of ail output channels on the module becomes 0 and is put in output disable state, and data status changes into BAD state Major fault
Others except for the above case Output value on fault detection is set to physical data of this channel and is put in output disable state, and data status changes into BAD state Major fault
Dual-redundant When a fault is on a field side the same actions as the single structure are performed Major fault
When faults other than the above case the control is continued by switching the control nght Minor fault

*1 The following faults are shown which against shutdown of alf output of the modules is performed with Output Shutoff Switch A dangerous fault like the inside of module is fixed at ON and faults which requires the protection of modules including an over cur rent caused by a short circuit on the field However, whether the output shutoff switch is operated against dangerous faults like the fixing at ON is specified with 1Ю Parameter Builder as the setting of channels of the output modules
*2 When the modules have a single structure
*3 Wien the modules have a diiakedundant structure

Уникальные особенности создания приложений:

  • Унифицированная архитектура (одно общее окно);
  • Полностью дублированная и резервированная ("pair & spare" = 2*2) архитектура;
  • Автоматическая доступность сигнализаций процесса и системных сигнализаций на станции оператора (HIS);
  • Автономное тестирование;
  • Оперативное внесение изменений (утверждено TUV).

Единый поставщик. Соответственно,

  • Ограниченное количество запасных модулей;
  • Меньшая стоимость техобслуживания;
  • Менее продолжительное обучение операторов;
  • Унифицированная архитектура упрощает построение единой системы РСУ + ПАЗ.

Цикл контроллера системы безопасности (SCS):

  1. Сбор входных данных + Диагностика
  2. Безопасная связь от других SCS
  3. Исполнение программы
  4. Безопасная связь с другими SCS
  5. Запись выходных данных + Диагностика

Масштабируемость. Полномасштабная сеть:

  • РСУ и ПАЗ имеют в общем пользовании все возможности детерминированной шины Vnet
  • РСУ и ПАЗ интегрированы по сети Vnet, но физически (на уровне обособленных стоек) и функционально разделен

Social

  • Twitter
  • Facebook