В
ЗАПИСНУЮ КНИЖКУ ИНЖЕНЕРА
Виктор Денисенко
Аппаратное резервирование в промышленной автоматизации
ЧАСТЬ 1 ВВЕДЕНИЕ
Резервирование является практически единственным и широко используемым методом кардинального повышения надёжности систем автоматизации. Оно позволяет создавать системы аварийной сигнализации, противоаварийной защи ты, автоматического пожаротушения, контроля и управле ния взрывоопасными технологическими блоками [1] и дру гие, относящиеся к уровням безопасности SIL1...SIL3 по стандарту МЭК 615085 [2], а также ответственные системы, в которых даже короткий простой ведёт к большим финансо вым потерям (системы распределения электроэнергии, управления непрерывными технологическими процессами, слежения за движущимися объектами и т.д.). Резервирова ние позволяет создавать высоконадёжные системы из типо вых изделий широкого применения.
Составной частью систем с резервированием является подсистема автоматического контроля работоспособности и диагностики неисправностей.
Большая доля отказов в системах автоматизации прихо дится на программное обеспечение. Однако этой теме посвя щено множество специализированных книг и журнальных статей (см., например, [3, 4]), поэтому мы её касаться не бу дем.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Основные определения понятий теории надёжности и надёжности, связанной с функциональной безопасностью, даны в ГОСТ 27.00289 [5] и МЭК 61508 [6, 7]. Далее приво дится ряд определений, которые потребуются нам для даль нейшего изложения.
Неисправностью
называется состояние объекта, при кото ром он не соответствует хотя бы одному своему параметру, указанному в эксплуатационной документации.
Неработоспособностью
называется состояние объекта, при котором он не способен выполнять хотя бы одну из своих функций, описанных в эксплуатационной документации. Например, контроллер, у которого отказал один из каналов ввода, является работоспособным, но неисправным, если этот канал не используется.
Дефектом
называется каждое отдельное несоответствие объекта установленным требованиям (ГОСТ 1546779) [8].
Отказом
называется событие, заключающееся в наруше нии работоспособности объекта. Факт отказа устанавливает ся на основании некоторых критериев отказа, то есть при знаков, позволяющих судить о нарушении работоспособно сти. В результате отказа объект становится неисправным. Отказы возникают вследствие применения ненадёжных схе мотехнических решений на стадии проектирования кон троллеров, электронных компонентов, изготовленных с на рушением техпроцесса, применения некачественных мате риалов, нарушения технологических режимов пайки, неточ ной установки компонентов на печатную плату, старения ма териалов, некачественного технологического оборудования, низкой культуры производства, отсутствия надёжных мето дов контроля, работы компонентов в предельных электриче ских режимах, нарушений условий эксплуатации и т.п.
Наработкой
называется продолжительность работы объек та, выражаемая в единицах времени или в количестве циклов (например, циклов срабатывания реле). Различают наработ ку до отказа
(от начала эксплуатации до первого отказа) и наработку между отказами
(от начала работы после ремонта до очередного отказа). Используют также средние значения этих величин. Среднюю наработку между отказами называ ют наработкой на отказ
, в отличие от средней наработки до отказа
.
Безотказность
– свойство объекта непрерывно
сохранять работоспособность в течение некоторого времени или нара ботки.
Живучесть
– свойство объекта сохранять ограниченную
ра ботоспособность при неисправностях или отказе некоторых компонентов. Этот термин наиболее близок международно му термину “faulttolerance” (дословно – «допустимость не исправностей»), который часто переводят как «отказоустой чивость». Термин «отказоустойчивость» в ГОСТ 27.00289 используется, но его значение стандартом не определено. Мы будем использовать его в сочетании «отказоустойчивая система
» как более компактный синоним понятия «система, обладающая свойством безотказности после отказа отдель ных элементов».
Вероятность безотказной работы
– вероятность того, что в пределах заданной наработки отказ не возникнет.
Коэффициент готовности
– вероятность того, что объект окажется работоспособным в произвольный момент време ни, кроме запланированных периодов, в течение которых его работа по назначению не предусматривается. Высокая готов ность системы обеспечивается избыточностью, допустимо стью сбоев, автоматическим контролем ошибок и диагно стированием (ГОСТ Р 1546779).
Резервирование может быть общим
, когда резервируется система в целом, и раздельным
(поэлементным), когда резер вируются отдельные элементы системы. В случае, когда в системе много однотипных элементов (например, модулей ввода сигналов термопар), число резервных элементов мо жет быть в несколько раз меньше, чем резервируемых.
Кратность резерва
– отношение числа резервных элемен тов к числу резервируемых, которое выражается несокра щаемой дробью. В частности, в соответствии с ГОСТ 27.002 89 кратность резерва 3:2 нельзя представлять как 1,5, и ино гда используемый термин «полуторное резервирование» не
соответствует стандарту. При сокращении дроби исчезает важная информация об общем количестве элементов в сис теме. Дублированием
называют резервирование с кратностью резерва один к одному.
Постоянное резервирование
(к нему относится мажоритар ное резервирование и метод голосования) — резервирование с нагруженным резервом, при котором все элементы в резер вированной системе выполняют одну и ту же функцию и яв ляются равноправными, а выбор одного из сигналов на их выходе выполняется схемой голосования, без переключе ний. Постоянное резервирование позволяет получить систе мы с самым высоким коэффициентом готовности.
Резервирование замещением
— резервирование, при кото ром функции основного элемента передаются резервному только после отказа основного элемента. Резервирование за мещением может быть с «холодным»
, «тёплым»
или «горячим»
резервом. Его недостатком является зависимость от надёжности переключающих устройств.
Нагруженный резерв
(«горячий» резерв) — резервный эле мент, который находится в таком же режиме, как и основой. Недостатком «горячего» резерва является уменьшение ре сурса с течением времени. В системах автоматизации с «го рячим» резервом переход на резерв может занимать время от нескольких миллисекунд до единиц секунд.
Облегчённый резерв
(«тёплый» резерв) — резервный эле мент, находящийся в менее нагруженном состоянии, чем ос новной. Например, резервный компьютер в «спящем» режи ме является облегчённым резервом.
Ненагруженный резерв
(«холодный» резерв) — резервный элемент, находящийся в ненагруженном режиме до начала его использования вместо основного элемента. Ненагружен ный резерв позволяет получить системы с самой высокой надёжностью, но с низким коэффициентов готовности. Они эффективны в случае, когда система некритична к времени простоя величиной в несколько минут.
Основное отличие между «горячим», «холодным» и «тёплым» резервом состоит в длительности периода пере ключения на резерв. При «горячем» резервировании кон троллеров время переключения составляет от единиц милли секунд до долей секунды, при «тёплом» — секунды, при «хо лодном» — минуты. Поэтому время переключения на резерв иногда рассматривают как основной признак при классифи кации резервирования замещением.
Надёжность
— это свойство объекта сохранять во времени значения всех параметров и выполнять требуемые функции в заданных условиях применения. Надёжность является со ставным понятием. Оно может включать в себя понятия без отказности, долговечности, ремонтопригодности, сохраняе мости. В промышленной автоматизации для количественной оценки надёжности чаще всего используется параметр «на работка на отказ» или параметр «интенсивность отказов»
, а в системах безопасности — «вероятность отказа при наличии запроса
» [9, 2].
Интенсивностью отказов
называется условная плотность вероятности возникновения отказа объекта, определяемая при условии, что до рассматриваемого момента времени от
каз не возник. При испытаниях на надёжность количество исправных элементов n
(t
) с течением времени t
уменьшается за счёт того, что часть из них n
(t
) – n
(t +
Δt
) становятся неис правными в результате отказа. Интенсивность отказа опре деляется пределом:
λ =()t
lim
1 n t
() (
− +Δn t t
)
=− 1 dn t
( ).
(1)
Δ →t
0n t
( ) Δt n t
( ) dt
Длительность t
безотказной работы элемента (от момента включения t
= 0 до t
) является случайной величиной, поэтому
её можно характеризовать вероятностью P t
()= n t
( )()
, где n
0
n
(0)→∞ – число исправных элементов в момент времени t
= 0, n
(t
) — число исправных элементов в момент времени t
. При конечном числе испытуемых элементов вместо вероятности получают её точечную статистическую оценку.
Вероятность безотказной работы можно интерпретировать следующим образом: если в системе автоматизации исполь зуется 100 модулей вводавывода, каждый из которых имеет вероятность безотказной работы P
(t
) = 0,99 в течение време ни t
= 1 год, то через год после начала эксплуатации в сред нем один из модулей станет неработоспособен.
Поделив числитель и знаменатель в (1) на n
(0), получим:
λ =−()t
1 dP t
( ).
(2)
P t
( ) dt
Выражение для функции распределения длительности без отказной работы P
(t
) можно получить, решая дифференци альное уравнение (2) при начальном условии P
(0) = 1:
⎛ t
⎞
P
t
()= exp⎜− λ∫ ( )t dt
⎟ . (3)
⎝ 0
⎠
Вероятность отказа Q
(t
) по определению равна:
Q
t
()= −1 P t
(). (4)
Интенсивность отказов λ(t
) обычно быстро уменьшается в начале эксплуатации изделия (период приработки), затем длительное время остаётся постоянной λ(t
) = λ = const и по сле исчерпания срока службы резко возрастает.
Поскольку для средств промышленной автоматизации, как правило, указывают значение λ = const, выражение (3) в этом случае упрощается:
P t
( ) = e
−λt
. (5)
Таким образом, вероятность безотказной работы устройст ва в интервале времени от t
= 0 до t
экспоненциально умень шается с течением времени, если устройство прошло этап приработки и не выработало свой ресурс. Эта вероятность не зависит от того, как долго устройство проработало до начала отсчёта времени [3, 10], то есть не играет роли, используется бывшее в употреблении устройство или новое. Это кажущее ся парадоксальным утверждение справедливо только для экспоненциального распределения и объясняется тем, что выражение (5) получено в предположении, что снижение ре сурса изделия с течением времени не происходит, а причины отказов распределены во времени в соответствии с моделью белого шума.
Вероятность отказа за время t
по определению равна F
(t
) = 1 – P
(t
), а плотность распределения времени до отказа f
(t
) (частота отказов) является производной от функции распре деления
dF t
( ) d
[
1
− P t
( )]
f t
( )
= = (6) dt dt
и для экспоненциальной функции распределения (5) равна f t
( ) = λe
−λt
. (7)
Зная плотность распределения (7), можно найти среднюю наработку до первого отказа Т
ср
, которая по определению яв ляется математическим ожиданием случайной величины длительности безотказной работы t
, то есть
∞ ∞
Т
ср
tf t dt
( ) te dt
. (8)
0 0
Интегрирование в (8) выполняется по частям.
Наработка на отказ T
ср
является основным параметром, который указывается в эксплуатационной документации на электронные средства промышленной автоматизации. По скольку при t
= T
ср
из (5) получается P
(T
ср)
= 1/e
= 0,37, то наработку на отказ можно интерпретировать следующим об разом: если в системе автоматизации имеется 100 модулей вводавывода, то через время T
ср
после начала эксплуатации останется в среднем 37 работоспособных и 63 отказавших модуля. Иногда наработку на отказ неправильно интерпре тируют как время, в течение которого устройство почти на верняка будет работоспособно, и только после истечения этого времени наступит отказ.
При анализе надёжности систем, связанных с безопасно стью, вместо вероятности отказа используется понятие «ве роятность отказа при наличии запроса
» [2], то есть вероят ность отказа при наличии необходимости быть в состоянии готовности. Например, если рассматривается система охра ны нефтебазы, то нужно учитывать вероятность отказа сис темы во время попытки проникновения нарушителей на ба зу, а не в то время, когда их нет. Отсюда следует вывод, что с точки зрения надёжности охраны нужно рассматривать ве роятность несрабатывания датчика охранной сигнализации в интервале времени, в течение которого может появиться нарушитель, и не нужно учитывать вероятность ложного срабатывания системы, поскольку она не влияет на выпол нение функции охраны. Классическая же теория надёжности учитывает оба вида отказов.
В системах, связанных с безопасностью, наработка до от каза рассматривается отдельно для опасных и безопасных от казов. Безопасным считается отказ, не вызывающий опас ную ситуацию на объекте. Рассмотрим, например, систему аварийного отключения, в которой исчезновение питания приводит к обесточиванию обмотки реле, и поэтому реле от ключает нагрузку, переводя её тем самым в безопасное со стояние. В такой системе отказ источника питания обмотки реле является безопасным отказом и поэтому не учитывается при расчёте вероятности отказа при наличии запроса. Одна ко отказ такого же источника питания в системе автоматиче ского пожаротушения, когда необходимо, наоборот, подать напряжение на насосы, рассматривается как опасный отказ. Поэтому средняя вероятность отказа при наличии запроса в двух рассмотренных системах будет различной, несмотря на применение блока питания с одним и тем же значением на работки до отказа.
Учёт обычной наработки до отказа при проектировании систем безопасности может привести к неоправданно зани женным показателям надёжности и невозможности дости жения требуемого уровня безопасности.
Фактические значения наработки до отказа систем с резер вированием оказываются гораздо ниже расчётных. Это связа но с существованием так называемых отказов по общей при чине (ООП), которые происходят одновременно у основного элемента и резервного и которые составляют основную долю отказов в системах автоматизации. Предположим, например, что резервированная система находится в помещении, кото рое оказалось затопленным водой или охваченным пожаром. Отказ основного элемента и резерва при этом наступит одно временно. Другим примером может быть одновременный об рыв основного и резервного кабеля в результате земляных ра бот. Третьим примером может быть применение двух кон троллеров с процессорами из одной и той же партии, которая была изготовлена с применением просроченной паяльной пасты. Следующим примером может быть применение двух датчиков давления одной и той же конструкции, от одного и того же производителя, которые окислились и разгерметизи ровались одновременно. Электромагнитный импульс мол нии или импульс в сети электропитания может явиться при чиной отказа основного и резервного оборудования одновре менно. Во всех приведённых примерах существует сильная корреляция между случайными величинами, вызывающими отказ основного и резервного элемента.
Для уменьшения коэффициента корреляции (снижения влияния общих причин отказов) нужно по возможности вы бирать элементы системы от разных производителей, выпол ненные на разных физических принципах, с применением различных материалов, различных технологических процес сов и с разным программным обеспечением. Основное и ре зервное оборудование, включая кабели, датчики и исполни тельные механизмы, желательно разносить территориально, а монтаж основной и резервной системы должны выполнять разные люди, чтобы исключить появление одинаковых оши бок монтажа и одинаково ошибочную интерпретацию руко водства по эксплуатации монтируемого изделия.
Общие факторы, влияющие на всю систему, учитываются в моделях отказа как последовательно включённое звено со своей наработкой на отказ.
РЕЗЕРВИРОВАНИЕ ПЛК И УСТРОЙСТВ ВВОДАВЫВОДА
Несмотря на существование большого разнообразия ме тодов резервирования, в промышленной автоматизации по лучили распространение только два из них: «горячее» резер вирование замещением (hot standby) и метод голосования (2oo3 — 2 out of 3 voting, 1oo2 voting и др.). Реже использует ся «тёплый» резерв (warm standby).
Целью резервирования может быть обеспечение безотказ ности или обеспечение безопасности. Методы резервирова ния, используемые для достижения этих двух целей, сущест венно различаются. Основное различие состоит в том, что для обеспечения безопасности достаточно снизить вероятность только опасных отказов, в то время как для обеспечения без отказности требуется обеспечить работоспособность системы при всевозможных отказах. Поэтому системы, связанные с безопасностью, получаются проще, чем отказоустойчивые системы, при условии одинаковой наработки до отказа.
Общие принципы резервирования
В основе метода резервирования лежит очевидная идея за мены отказавшего элемента исправным, находящимся в ре зерве. Однако реализация этой идеи часто становится доста точно сложной, если необходимо обеспечить минимальное время перехода на резерв и минимальную стоимость обору дования при заданной вероятности безотказной работы в те чение определённого времени (наработки).
Для замены отказавшего элемента достаточно иметь ре зервный (запасной) элемент на складе. Однако продолжи тельность ручной замены составляет единицы часов, что для многих систем автоматизации недопустимо долго. Сокра тить время вынужденного простоя позволяет применение контроллеров и модулей вводавывода с разъёмными клемм ными соединителями и с возможностью «горячей» замены [11] при условии наличия развитой системы диагностики не исправности. Для обеспечения «горячей» замены необходи мо предусмотреть следующее:
● защиту от статического электричества, которое может воз никать на теле оператора, выполняющего замену устройства; ● необходимую последовательность подачи напряжений пи тания и внешних сигналов (для этого используют, напри мер, разъёмы с контактами разной длины и секвенсоры внутри устройства);
● защиту системы от броска тока, вызванного зарядом ёмко стей подключаемого устройства, например с помощью то коограничительных резисторов или отдельного источника питания;
● защиту устройства от перенапряжения, короткого замыка ния, переполюсовки, превышения напряжения питания, ошибочного подключения.
Кроме того, для обеспечения «горячей» замены програм мируемые устройства должны быть заранее запрограммиро ваны, в сетевые устройства должен быть записан правиль ный адрес и предусмотрена подсистема автоматической ре гистрации нового и исключения старого устройства из сети, а в алгоритмах автоматического регулирования должен быть предусмотрен «безударный» режим смены контроллера или модулей вводавывода [12].
Если резервный элемент входит в состав системы (а не лежит, скажем, на складе), то она относится к резервирован ным системам с ручным замещением отказавшего элемента.
Системы с голосованием
Основным отличительным признаком систем резервиро вания с голосованием является невозможность выделения в системе основных элементов и резервных, поскольку все они равноправны, работают одновременно и выполняют одну и ту же функцию. Выбор одного сигнала из несколь ких осуществляется схемой голосования, которая в частном случае нечётного числа голосов называется мажоритарной схемой.
Системы с голосованием не требуют контроля работоспо собности элементов для своего функционирования, но ис пользуют подсистему диагностики для сокращения времени восстановления отказавших элементов. Наличие подсисте мы диагностики снижает также вероятность накопления скрытых неисправностей, которые со временем могут явить ся причиной отказа.
вании должен установить, какой сиг нал из двух должен быть выбран систе T
мой в случае их несовпадения. Такой подход возможен только в системах а
безопасности. Рис. 1. Устройства с голосованием по схеме 2oo3 (а
|
Принцип работы схемы голосования рассмотрим на при мере резервирования датчиков (рис. 1 а
). В такой системе вместо одного датчика используются три (например три тер мопары), которые подсоединены к одному модулю ввода. В схему голосования поступают соответственно три значения измеряемой величины (например три значения температуры: T
1
, T
2
, T
3
), из которых необходимо выбрать одно. Значения измеряемой величины располагаются в порядке возрастания, и на выход схемы голосования поступает то из них, которое расположено между двумя крайними (но не среднее арифме тическое!). Например, если в результате измерения темпера туры получены значения 0,12°С, 39,5°С и 39,4°С, то использу ется только значение 39,4°С, остальные игнорируются.
Резервирование элементов с дискретными сигналами вы полняется аналогично. Поскольку значениями дискретных сигналов являются логические 0 или 1, то в результате мажо ритарного голосования выбирается то значение, которое принимают большинство сигналов. Например, при логиче ских сигналах А
= 1, B
= 1, C
= 0 результатом голосования бу дет значение Y
= 1. Блок мажоритарного голосования реали зует логическую функцию Y
=AB
+ BC
+ CA
.
Очевидно, что для работы мажоритарной схемы число «го лосов» должно быть нечётным. Однако в системах безопас ности возможно применение любого числа «голосов». Вме сто недостающего «голоса» используется условие, что систе ма считается работоспособной, если отказ является безопас ным. Это порождает системы, в которых выбирается один «голос» из двух, и такие системы по стандарту МЭК 61508 [2] обозначаются как 1oo2 (1 out of 2). Используются также сис темы 2оо2 (два «голоса» из двух), 2оо3 (два «голоса» из трёх), 2оо4 (два «голоса» из четырёх), 3oo4 (три «голоса» из че тырёх). Нерезервированные системы обозначаются как 1оо1. Если в резервированной системе имеется развитая подсисте ма диагностики неисправностей, то к обозначению добавля ется буква «D», например 1oo2D.
Примером системы с голосованием вида 1oo2 может слу жить система охранной сигнализации двери, в которой ис пользуются два датчика А
и В
с целью взаимного резервиро вания (рис. 1 б
). При отказе одного из датчиков (например датчика B
, когда вместо А
= 1, В
= 1 получаем А
= 1, В
= 0) система, пользуясь правилом большинства «голосов», не мо жет принять решение. Однако если учесть, что ложное сра батывание охранной системы не приводит к опасной ситуа ции, а несрабатывание системы при нарушении является опасным отказом, то становится очевидным, что схема голо сования должна считать достаточным наличие одного «голо са» из двух, чтобы принять решение о подаче аварийного сигнала. Если сигналом срабатывания сигнализации являет ся логическое значение 1, а сигналом отсутствия нарушения является значение 0, то блок голосования реализует логиче скую функцию Y
=A
+ B
.
Основной блок
+
AI
1
Блок выбора
модуля
E «Отказ»
+
AI
2
Резервный блок
Рис. 2. Дублирование модуля ввода методом замещения
зуется при голосовании вида 2oo2. Примером может быть система контроля герметичности лю ка при погружении подводной лодки. Если люк имеет два датчика, то сигнал готовности к погружению может появить ся только при наличии подтверждения (A
= 1, B
= 1) от обо их датчиков одновременно (два из двух). Выход из строя од ного датчика не должен позволить системе выработать сиг нал готовности к погружению, чтобы опасная ситуация не возникла. Такой блок голосования реализует логическую функцию Y
= AB
.
Несмотря на высокую эффективность схем голосования с чётным числом голосов, они имеют недостаток, состоящий в возможности ложного срабатывания. Хотя этот тип отказов и не является опасным, в некоторых случаях он приводит к значительному материальному ущербу. Для исключения ложного срабатывания можно использовать более дорогие системы с нечётным количеством голосов, которые снижают вероятность отказов обоих типов. Выбор наилучшей систе мы осуществляется на основании результатов экономиче ских расчётов.
При отказе одного из элементов резервированной системы безопасности 2oo3 её уровень безопасности понижается и она может начать функционировать как система 1оо2. Если замена неисправного элемента не произведена и произошёл второй отказ, то система переходит в режим без резервирова ния 1oo1, однако в этом режиме система не может находить ся долго по требованиям безопасности. Очерёдность перехо да от одной схемы резервирования к другой называется схе мой деградации.
Система безопасности 2оо3 может иметь второй вариант схемы деградации: 2oo3–2oo2–1oo1–0. Здесь 0 обозначает состояние, когда система перестаёт функционировать (оста навливается). Перед остановкой система должна перевести все свои выходы в безопасные состояния. Понятие безопас ного состояния для каждой системы определяется при её про ектировании. Например, для систем аварийного отключения безопасными являются обесточенные состояния исполни тельных механизмов, а для систем автоматического пожаро тушения или аварийной вентиляции – наоборот, состояния, при которых на исполнительные устройства подана энергия.
Схемы голосования широко используются в системах про тивоаварийной защиты и сигнализации, где они имеют боль шое разнообразие. В системах же, не связанных с безопасно стью, не существует более простых схем голосования, чем 2oo3, которые сами по себе являются достаточно дорогими. Однако уникальным свойством систем с голосованием выступает непрерывность функционирования во время пе рехода на резерв, и эт
Резервирование замещением
Другой класс резервированных систем составляют систе мы с «горячим» резервированием замещением (рис. 2). Их
|
|
||
а
|
б
|
отличительной чертой является принци пиальная необходимость в подсистеме контроля работоспособности как основ ного, так и резервного элементов, нали чие блока переключения на резерв (обычно переключение выполняется программно), а также шины для синхро низации между процессорами (послед нее относится только к резервированию процессоров). Основным параметром
|
|
||
а
|
б
|
систем с резервированием замещением Рис. 3. Резервирование модулей ввода (а
) и датчиков с модулями (б
)
является время переключения на резерв. Переход на резерв выполняется в преде лах одного или нескольких контроллер ных циклов и занимает время от единиц миллисекунд до долей секунды.
Системы с более медленным пере ключением на резерв (от долей до еди ниц секунд) относят к системам с «тёплым» резервом. Конструктивное от личие «тёплого» резервирования кон троллеров от «горячего» заключается в
отсутствии высокоскоростного канала Рис. 4. Резервирование модулей ввода тока с измерительными резисторами внутри
синхронизации между процессорами, модулей (а
) и снаружи (б
)
вместо него используется стандартная
низкоскоростная промышленная сеть или другой последо вательный канал обмена. Для контроля работоспособности используются такие па раметры и события, как, например, обрыв линии связи, ко роткое замыкание (к.з.), величина напряжения и тока пита ния, отсутствие связи, перегрев выходных каскадов модулей вывода, перегрузка по току, отсутствие нагрузки, выход сиг налов за границы динамического диапазона, срабатывание предохранителя, срабатывание блокировок и защит, целост ность линий связи с модулями вводавывода, ошибка кон трольной суммы, ошибка памяти, «зависание» процессора и т.п. Перечень процедур контроля ПЛК приведён в ГОСТ Р 51841 [13]. Диагностическая информация должна выводить ся на пульт оператора и одновременно может использовать ся для переключения на резерв. Для исключения ошибочного перехода на резерв по при чине сбоя в системе контроля используют временной фильтр, который разрешает переключение только при усло вии, что состояние неисправности длится не менее установ ленного времени (например, 1...100 мс). Общее и поэлементное
|
мы, исключает ошибки при расчёте надёжности и выборе различных схем резервирования, а также ошибки, вызван ные плохой наглядностью архитектуры системы при поэле ментном резервировании. В случае общего резервирования достаточно двух отказов для отказа всей системы, если один из отказавших элементов расположен в основной системе, а второй – в резервной. При поэлементном резервировании вероятность такого от каза существенно ниже, поскольку для его реализации необ ходимо, чтобы один из отказавших элементов был основ ным, а второй – его резервом, что крайне маловероятно. Резервирование модулей ввода и датчиков
Типичными отказами при вводе сигналов в ПЛК являют ся обрыв и короткое замыкание линии связи. На долю отка зов линий связи датчиков и исполнительных устройств в системах автоматизации приходится 85% всех отказов [14]. Линии связи могут повреждаться в результате стихийных явлений (например обмерзание проводов), земляных работ, неправильного монтажа, злонамеренных действий и т.п., поэтому их надёжность часто не связана напрямую с надёж ностью кабеля. |
10я юбилейная конференция QNXРоссия2008
апреля в Москве состоится 10я меж
В центре внимания — инновационная про производители и системные интеграторы, грамма компании QNX, радикальным обра применяющие ОСРВ QNX в своих решениях. зом меняющая принятую практику разработки Участие в конференции бесплатное при ус программного обеспечения за счёт объедине ловии обязательной предварительной реги ния концепции открытого исходного кода и страции на сайте конференции www.qnx коммерческого подхода благодаря открытию russia.ru ● |
резервирование
Резервированными могут быть от дельные элементы системы, их груп пы и вся система в целом. Поэле ментное резервирование позволяет повысить отказоустойчивость в пер вую очередь наиболее важных или наименее надёжных элементов, вы брать различную кратность резерви рования для разных элементов систе мы и тем самым достичь максималь ного отношения надёжности к цене.
|
420 мА V
к.з. R
|
||
а
|
б
|
Общее резервирование не требует анализа соотношений между надёж ностью отдельных элементов систе Резервирование аналоговых модулей ввода и датчиков
Схемы голосования могут применяться для резерви рования датчиков при использовании одного модуля ввода (рис. 1), для резервирования модулей ввода при наличии одного датчика (рис. 3 а
) или датчиков и мо дулей ввода одновременно (рис. 3 б
). При одновремен ном резервировании датчиков и модулей ввода потен циальные входы модулей соединяются параллельно
(рис. 3 а
), а токовые – последовательно (рис. 4). По Рис. 5. Обнаружение обрыва и к.з. в линии связи или датчике, когда носителем скольку при последовательном соединении отключе сигнала является напряжение (а
) либо ток (б
)
ние одного из модулей (например для выполнения за мены) приводит к разрыву всей цепи, то для устранения это го эффекта используют стабилитроны (рис. 4 а
). При ис пользовании источника тока с большим внутренним сопро тивлением (например, стандартного источника 420 мА) ток I
не зависит от сопротивления нагрузки, поэтому появление стабилитрона в контуре с током при удалении одного из мо дулей не вносит погрешность в результат измерения. Ток утечки стабилитрона должен быть мал по сравнению с допус тимой абсолютной погрешностью измерения тока, а напря жение стабилизации – больше максимального падения на пряжения на измерительном резисторе.
Тот же эффект достигается, если использовать внешние измерительные резисторы (рис. 4 б
), которые обеспечивают замкнутый путь для тока при удалении одного из модулей. При этом используются модули с потенциальным входом, а измерение тока выполняется косвенным методом (по паде нию напряжения на сопротивлении).
Схемы голосования в рассмотренных примерах и количе ство элементов в резервированной системе могут быть про извольными; алгоритм голосования реализуется программно в ПЛК.
Принцип работы системы, резервированной методом за мещения, иллюстрирует рис. 2. В системе выделяется основ ной модуль, резервный и блок выбора модуля после отказа. До отказа на выход системы поступают данные только из ос новного модуля. Блок выбора постоянно контролирует со стояние работоспособности модулей и после наступления отказа автоматически переключает выходной канал системы на исправный модуль. Одновременно на пульт оператора и в журнал ошибок посылается диагностическое сообщение о вышедшем из строя элементе. Переключение выполняется, как правило, программно.
Аналогично работают системы с несколькими резервными элементами. Переключение на один из них выполняется по заранее определённому алгоритму.
Основной проблемой в системах, резервированных мето дом замещения, является автоматический контроль исправ ности.
Для контроля исправности аналоговых модулей ввода мо гут быть использованы следующие величины и события:
● среднеквадратическое значение напряжения или тока шу ма;
● напряжение смещения нуля;
● температура внутри корпуса модуля;
● погрешность (оценивается с помощью встроенного источ ника опорного напряжения);
● «зависание» процессора (диагностируется с помощью сто рожевого таймера);
● напряжение питания процессора;
● ошибка контрольной суммы; ● ошибка в ответе на команду.
Для диагностики обрыва во входных цепях аналоговых мо дулей используются следующие методы:
● контроль выхода переменной за границы динамического диапазона или границы её изменения;
● применение тестирующих источников тока (рис. 5).
Типовым методом обнаружения к.з. является измерение сопротивления входной цепи с помощью источников тока, подключённых, как показано на рис. 5 а
. Величина тока вы бирается достаточно малой, чтобы падение напряжения на линии связи и внутреннем сопротивлении датчика не вно сило погрешность в результат измерений. Например, в мо дуле NL8TI фирмы НИЛ АП используется ток величиной 2 мкА. При обрыве во входной цепи напряжение между вхо дами модуля выходит за границы динамического диапазона, что является диагностическим признаком обрыва.
При к.з. во входной цепи напряжение между входами мо дуля становится равным нулю, что является диагностиче ским признаком короткого замыкания. Для того чтобы к.з. можно было отличить от полезного сигнала нулевой величи ны, диапазон изменения сигнала датчика искусственно сдвигают от нулевого уровня. Такой подход использован в токовом стандарте 420 мА, где вся информация о сигнале содержится в диапазоне токов от 4 до 20 мА (рис. 5 б
). В этом случае появление нулевого напряжения на входе приёмника сигнала однозначно говорит о нарушении линии связи. Однако отличить обрыв от к.з. и в этом случае невозможно, поскольку оба отказа обнаруживаются по нулевой величине принимаемого тока.
Резервирование датчиков и модулей ввода дискретных сигналов
При вводе дискретных сигналов используются методы го лосования и резервирования замещением.
Схемы подключения датчика типа «сухой» контакт, кото рые обеспечивают диагностику обрыва, к.з. на землю и на шину питания, показаны на рис. 6 и 7. При обрыве линии на входе модуля появляется сигнал, величина которого опреде
R
4
(рис. 6 а). В случае ляется делителем напряжения E
пит
R
3 + R
4
короткого замыкания на шину питания напряжение на вхо де модуля равно напряжению питания. При к.з. на землю на пряжение на входе равно нулю. При разомкнутом
состоянии датчика напряжение равно R
(4 )E
пит, R
4 +R
3 R
1+R
2
при замкнутом – R
4
E
пит
. R
4 +R
3 R
1
ния на резерв меха нические реле ис пользовать нежела тельно по причине их низкой надёжно сти, а другие спосо бы (включая метод голосования) поро ждают сложные схе Рис. 6. Схема обнаружения обрыва и к.з. в цепи датчика с пятью различимыми состояниями (а
|
Таким образом, на входе модуля дискретного ввода могут быть пять различных уровней напряжения, которые с помо щью АЦП преобразуются в пять различных событий: «0», «1», «к.з. на землю», «к.з. на питание», «обрыв». Переключе ние на резерв происходит, если в блок выбора модуля (рис. 2) состояниями (б
)
поступает информация о неисправности. Тип неисправности выдаётся на пульт оператора системы автоматизации и зано сится в журнал ошибок.
В ряде случаев достаточно иметь упрощённую схему диаг ностики. Например, если на рис. 6 а
убрать резисторы R
2
и R
3
(рис. 6 б
), то при замкнутом датчике получим напряжение на
R
4
; при разомкнутом состоя входе модуля, равное E
пит
R
4 +R
1
нии датчика, при обрыве линии и при к.з. на землю – одно и то же напряжение, равное нулю; при к.з. на шину питания – E
пит
. Таким образом, вместо пяти состояний на входе получа ем только три.
Предположим, что датчик используется в системе охраны и его нормальным состоянием является разомкнутое. Тогда об рыв линии связи и к.з. на землю останутся незамеченными, поскольку их невозможно отличить от нормального состоя ния датчика. Предположим теперь, что нормальным состоя нием датчика является замкнутое, как показано на рис. 6 б
. Тогда при любом из перечисленных отказов линии связи сиг нализация сработает, то есть отказа, приводящего к несраба тыванию функции безопасности, произойти не может. По этому такая упрощённая схема контроля может быть исполь зована в системах безопасности только с датчиками, у кото
рых нормальным состоянием считается замкнутое.
При выборе упрощённых схем диагностики следует учиты вать, что в правильно спроектированной системе безопасно сти срабатывание датчика не должно быть блокировано не исправностями линии связи, а если такая блокировка воз можна, то она должна быть обнаружена системой контроля. Для обнаружения неисправностей модуля ввода может ис пользоваться автоматическое тестирование во время крат ковременного отключения источников сигнала и нагрузок путём подачи на вход тестовых комбинаций логических уровней (см. раздел «Общие принципы резервирования»).
Резервирование модулей вывода
Резервирование модулей вывода принципиально отлича ется от резервирования модулей ввода тем, что устройства вывода в большинстве случаев являются источниками энер гии, в то время как устройства ввода являются приёмниками информации (сигналов). Поэтому если для переключения на резерв в модулях ввода достаточно программно перенапра вить поток принимаемой информации, то в модулях вывода необходимо переключить поток энергии, что невозможно сделать только программными средствами.
Резервирование аналоговых модулей вывода
Резервированный вывод аналоговых сигналов реализует ся наиболее сложно и в промышленной автоматике исполь зуется редко. Проблема состоит в том, что для переключе понижают надёж ность системы. По
этому модули аналогового вывода чаще всего просто отсут ствуют в промышленных резервируемых системах.
Для резервирования линий связи при выводе и передаче аналоговых сигналов в нагрузку используют преимуществен но стандарт 420 мА, поскольку он позволяет обнаружить к.з. и обрыв линии. Непосредственно у самой нагрузки (R
н
) уста навливают диоды, которые предотвращают шунтирование
нагрузки при к.з. на землю в соседнем канале (рис. 8 а
).
До наступления отказа каждый источник выдаёт ток, рав ный половине тока нагрузки (I
н
/2). При к.з. или обрыве ли нии связи ток через диод в этом канале становится равным нулю и срабатывает алгоритм резервирования, который уста навливает в исправном канале ток, равный I
н
. Использова ние половины тока (I
н
/2) для каждого канала уменьшает ам плитуду паразитных выбросов во время переходного процес са после отказа.
Описанная схема не пригодна для резервирования самих модулей вывода, поскольку в результате отказа источника на его выходе может установиться ток, не равный нулю.
Контроль целостности линии связи и диагностика отка за в модулях вывода тока 420 мА выполняется, как показа но на рис. 8 б
. Выходной каскад модуля не только выводит
ток i
н
=
Vin
, но и измеряет напряжения V
0
= R
0
i
н
и V
1
,
R
0
которые с помощью АЦП преобразуются в цифровую форму и передаются в процессор модуля вывода. При правильном функционировании цепи, включающей нагрузку R
н
, должно выполняться равенство V
0
= Vin
. Если оно не выполняется, то при V
0
= 0 имеет место к.з. на землю или обрыв, при V
0
= V
1
— к.з. между линиями или в нагрузке, при V
1
= E
пит
– к.з. верх ней (по схеме) линии на шину питания, а при V
0
= E
пит
– к.з. нижней линии. При V
0
> Vin
сопротивление нагрузки превы шает допустимое значение, и операционный усилитель нахо дится в состоянии насыщения.
Резервирование модулей дискретного вывода и нагрузки
Резервирование модулей дискретного вывода, кабелей и нагрузки обычно выполняется методом голосования. Для этого дискретные выходы соединяются параллельно через
Рис. 7. Схема обнаружения обрыва и к.з. в цепи датчика
диоды (рис. 9 а
ходного каскада на шину пи Рис. 8. Резервирование (а
вид отказа резервированной Рис. 9. Соединение дискретных выходов при резервировании (а
Таким образом, параллель ное соединение дискретных выходов с целью резервиро Рис. 10. Резервирование модулей вывода для повышения отказоустойчивости и живучести (а
|
только в системах аварийного
включения
нагрузки и не может использоваться в системах аварийного отключения
. Вероятность отказа при включении у такой цепи эквивалента дублированной системе, а при от ключении – меньше, чем у нерезервированной.
На рис. 9 б
показана реализация описанного принципа резервирования, выполненная на МОПтранзисторах. Для коммутации мощной нагрузки ключи 1
и 2
могут быть изго товлены в отдельном конструктиве с радиаторами и удалены от модулей дискретного вывода. Маломощные ключи кон структивно входят в состав модулей вывода. При подключе нии нагрузки к разным источникам питания E
1
и E
2
(как на рис. 9 б
) необходимо использовать развязывающие диоды, чтобы при одновременно открытых ключах исключить про текание тока из одного источника в другой. Если же исполь зован общий источник питания (как на рис. 10 а
), то диоды не нужны.
Для резервирования систем аварийного отключения ис пользуется последовательное соединение двух выходных каскадов (рис. 10 б
). При отказе одного из МОПключей в виде к.з. нагрузка отключается вторым каналом, то есть функция отключения в данной системе является дублиро ванной. При необходимости же включить нагрузку достаточ но отказа только одного ключа, то есть функция включения оказывается нерезервированной. Таким образом, рассмот ренный каскад может быть использован только в системах аварийного отключения, но не включения.
Для построения системы, в которой резервируется не одна из функций (включения или отключения), но обе одновре менно, используется каскад из четырёх ключей (рис. 10 а
) [15]. В нём выход из строя любого выходного каскада или ли нии связи не приводит к нарушению ни функции включе ния, ни функции отключения. Реализация описанной цепи с помощью электромагнитных реле показана на рис. 11 а
).
На схеме, представленной на рис. 10 а
, каждый выходной каскад управляется сигналом X
с помощью строенного ис точника сигнала (A
= B
=C
= X
). Для повышения надёжно сти сигнал управления X
может приходить по резервирован ной промышленной сети от резервированного ПЛК, как на рис. 11 а
. Голосование (например по схеме 2оо3) в случае от каза одной из сетей выполняется непосредственно в модулях вывода.
При использовании «горячего» дублирования сети и кон троллеров методом замещения аналогичная структура может иметь вид, показанный на рис. 11 б
.
Структуры систем аварийного включения и отключения с дублиро ванной сетью и ПЛК, резервирован ными по схеме 2оо3, показаны на рис. 12 а, б
. Отметим, что для дубли рования ключей на рис. 12 б
было бы достаточно просто соединить их по следовательно, заземлив нижний (по схеме) вывод нагрузки. Однако в этом случае становится возможным опас ный отказ, вызванный к.з. верхнего по схеме вывода нагрузки на источ ник питания. При этом отключение нагрузки оказывается невозможным. Применение второго ключа для раз мыкания пути тока на землю позволя ет исключить такой отказ.
Принцип контроля и диагностики выходных каскадов и линий связи с нагрузкой иллюстрирует рис. 13. Он аналогичен использованному в моду лях аналогового вывода (рис. 8 б
). На пряжение (V
1
– V
0
), пропорциональ ное току нагрузки, и V
0
преобразуют ся с помощью АЦП в цифровую фор му и передаются в микропроцессор модуля для извлечения диагностиче ской информации. ●
ЛИТЕРАТУРА
1. Денисенко В.В. Выбор аппаратныхсредств автоматизации опасных про мышленных объектов // Современные технологии автоматизации. 2005. № 4. С. 8694.
2. МЭК 615085 (1998). Функциональнаябезопасность электрических/электрон ных/программируемых электронных систем, связанных с безопасностью. Часть 5. Примеры методов для опреде ления уровней целостности защиты.
|
|
||
а
|
|
б
|
|
|
|
||
а
|
б
|
|
Рис. 11. Резервирование модулей вывода, шины и контроллеров (М – нагрузка)
Рис. 12. Резервирование цепей дискретного вывода для систем аварийного включения (а
) и аварийного отключения (б
)
3. Черкесов Г.Н. Надёжность аппаратнопрограммных комплексов. —СПб. : Питер, 2004. — 480 с.
4. Липаев В.В. Надёжность программных средств. — М. : Синтег,1998. — 232 с.
5. ГОСТ 27.00289. Надёжность в технике. Основные понятия. Термины и определения.
6. МЭК 615087 (2000). Функциональная безопасность электрических/электронных/программируемых электронных систем, обес печивающих безопасность. Часть 7. Обзор методов и средств изме рения.
7. МЭК 615083 (1998). Системы электрические/электронные/программируемые электронные, связанные с функциональной безопасностью. Часть 3. Требования к программному обеспече нию.
8. ГОСТ 1546779. Управление качеством продукции. Основные понятия. Термины и определения.
9. Смит Д.Д., Симпсон К.Д. Функциональная безопасность. — М. : Издательский дом «Технологии», 2004. — 208 с.
10. Александровская Л.Н., Афанасьев А.П., Лисов А.А. Современные методы обеспечения безотказности сложных технических систем. — М. : Логос, 2001. — 206 с.
Рис. 13. Принцип обнаружения обрыва линии связи и к.з. на шину питания и на землю в модуле вывода дискретных сигналов
11. Беломытцев В. Замена элементов управляющей вычислительнойсистемы без отключения питания // Современные технологии ав томатизации. 2000. № 2. С. 7277.
12. Денисенко В. ПИДрегуляторы: вопросы реализации // Современные технологии автоматизации. 2007. № 4. С. 8697.
13. ГОСТ Р 518412001. Программируемые контроллеры. Общиетехнические требования и методы испытаний.
14. SIMATIC Automation System S7300. FailSafe Signal Modules: Manual. — Edition 04/2006. — Siemens. 236 p.
15. Mitsubishi Safety Programmable Controller. MELSEC QS Series. CCLink Safety System. Remote I/O Module: User's Manual. — Mitsubishi Electric Corp. P. 114.