Распределение отказов. 1оо2D резервирование

Особое внимание при проектировании ПАЗ уделяют отказоустойчивости ПАЗ. Системы безопасности по своей природе являются пассивными (они могут никогда не включиться в действие). Кроме того в режиме on-line выявить все виды отказов с помощью одной внутрисистемной диагностики невозможно. Поэтому опасный отказ может существовать абсолютно необнаруженным до тех пор, пока система неактивна.

ПАЗ вовсе не обязательно должна быть надежной системой, но она обязана быть безопасной.

Для разрешения проблем выбора схемы ПАЗ в зависимости от требований к ее отказоустойчивости используются различные режимы резервирования, например:

«Lockstep», «Active-Standby»

В режиме «Active-Standby» резервный контроллер не выполняет программу управления (находится, в так называемом, «спящем состоянии») и, следовательно, при отказе основного контроллера ему требуется время, чтобы загрузить в себя текущие параметры для управления процессом.

В режиме "Lockstep" резервный контроллер выполняет ту же программу, что и активный, и на каждом шаге освежает текущие параметры. Таким образом, на любом шаге он готов принять управление - и ему не потребуется дополнительного времени на активизацию.

В режиме «Lockstep» применяются следующие архитектуры резервирования:- дублированная система – 1оо2 (чтобы отключить питание, должен сработать любой из двух канал защиты: оо = „Оut Оf»= «ИЗ»);- дублированная система -2оо2 (чтобы отключить питание, должны сработать оба канала защиты);- троированная (TMR) система с мажоритарным голосованием 2оо3; схемы 1оо1D, 1оо2D, 2оо2D, 2оо3D имеют встроенное диагностирование (если диагностика обнаруживает опасный отказ, то осуществляется замыкание контакта в цепи питания).

I – входной модуль, L- процессор, например, ПЛК. O- выходной модуль, D диагностирующий модуль.

 

 

В схеме 1оо2D в том случае, если диагностическая процедура обнаружила неисправность, она посылает уведомляющее сообщение в модуль управления. В этом случае используется диагностическая информация для автоматического переключения на резервную систему при обнаружении неисправности. То есть система гарантированно деградирует до незервированного состояния, и только в случае повторного отказа безопасно останавливает технологический процесс. Подробная информация о текущих и прошлых неисправностях и отказах доступна оператору на дисплее программы диагностики; кроме того, сигналы о неисправностях отображаются с помощью светодиодов непосредственно на модулях ввода/вывода. Такой вариант реализации ПАЗ гарантирует очень высокую безопасность процессов. На рынке предлагается различное оборудование АС, выполненное по такой схеме резервирования, сертифицированное и рекомендованное для использования в зонах безопасности SIL3

Дублированные системы с голосующей архитектурой «один отказ из двух возможных» - 1оо2 обеспечивает срабатывание ПАЗ при появлении сигнала опасного уровня в одном из контуров (дублированный логический контур по схеме «ИЛИ»). Реализация схемы 1оо2 повышает живучесть оборудования, увеличивает время наработки на отказ оборудования. Функции вышедшего из строя модуля перехватывает работающий в резерве. При этом оборудование поддерживает горячую замену вышедших из строя блоков, то есть резервированная конфигурация может быть восстановлена в кратчайшие сроки без остановки технологического процесса. Однако такое решение увеличивает частоту ложных срабатываний, другими словами, частоту необоснованных остановов процесса.

Система 1оо2D , сочетает достоинства 1оо1D, 1оо2 и 2оо2 и тем самым обеспечивает приемлемый баланс как безопасности, так и надежности.