log in

Статьи

Проблемы построения отказоустойчивых систем управления

В настоящее время процесс автоматизации всё шире и шире охватывает различные области жизнедеятельности человека. Внедрение таких систем позволяет значительно упростить работу персонала, существенно повысить технологичность,

а значит снизить себестоимость, и повысить безопасность производственного процесса, что особенно актуально на объектах повышенной опасности. Особенно это касается атомных электростанций, нефтеперерабатывающего, химического производства и т.д.

У разработчиков АСУТП для таки объектов естественно возникает вопрос, каким образом можно повысить надёжность своих систем? Ответ заключается в применении соответствующего оборудования, приспособленного для построения отказоустойчивых систем. Однако, на сегодняшний день не так много производителей выпускающей оборудование для систем автоматизации, имеющих повышенную отказоустойчивость. Большинство разработчиков стараются реализовать максимально возможные механизмы диагностики системы и в случае выхода из строя какого-либо узла, распознают эту ситуацию и останавливают работу системы управления до устранения неполадки. Из компаний представленных на Российском рынке лидером в производстве оборудования с повышенной отказоустойчивостью является компания Siemens. Однако и у неё выбор оборудования очень ограничен, а использовать оборудование разных производителей в рамках одного проекта, как правила, оказывается проблематично, т.к. многие производители, особенно крупные, делают оборудования совместимое по большей части только с оборудованием той же фирмы.

Одним из вариантов построения отказоустойчивой АСУТП является создание резервированных или дублированных систем. Как уже говорилось, выбор оборудования с повышенной отказоустойчивостью очень ограничен, тем более ограничен выбор контроллеров специально предназначенных для построения резервированных систем. Мировой лидер в области промышленной автоматизации компания Siemens, предлагает всего лишь одну линейку ПЛК SIMATIC S7-400F/FH, специально ориентированную на построения резервированных систем. Контроллеры выпускаются в двух модификациях:

  • S7-400F: система безопасного управления, в которой технологические аварийные ситуации сопровождаются переводом оборудования в безопасные состояния и/или остановкой производственного процесса;
  • S7-400FH: резервированная система безопасного управления, в которой технологические аварийные ситуации сопровождаются переводом оборудования в безопасные состояния и/или остановкой производственного даже в случае отказа ЦПУ, путем перевода функций безопасного управления и безопасного останова с отказавшего на резервный программируемый контроллер.

Оба контроллера Siemens позволяют стоить резервированные системы, однако они не предназначены для построения дублированной системы или системы с «горячим резервированием». Т.е. Выход какого-либо блока из строя приведёт к остановке системы с возможностью дальнейшего перевода системы на резервированный канал. Однако, для некоторых систем такой вариант работы недопустим, т.к. могут существовать такие состояния исполнительных механизмов, при которых экстренное отключение механизма в случае неполадки АСУ может привести к очень нежелательным последствиям или даже катастрофе. К сожалению, на сегодняшней день мировые лидеры в оборудовании для промышленной автоматизации ничего предложить не могут.

Выходом из данной ситуации является разработка собственных модулей, отвечающих требованиям повышенной отказоустойчивости. Разработка таких моделей является достаточно трудоёмкой задачей, потому что эти устройства должны обладать гораздо большим набором функций для обеспечения «горячего» резервирования. Во-первых, для того чтоб устройство могло обеспечить автоматическое переключение с отказавшего канала на рабочий канал, оно сначала должно иметь возможность определить момент отказа, что передать функции управления на другой канал, а это требует наличия большого количества функций самодиагностики. Во-вторых, в каждом канале необходимо наличие резервных линий связи, которые будут обеспечивать синхронизацию каналов, а так позволять проводить диагностику другого канала. В-третьих, устройства должны обладать надёжным механизмом синхронизации выполняемых алгоритмов, способных гарантировать, что в случае «горячего» перехода на резервный канал, его контроллер продолжит выполнение алгоритма именно с того места, на котором произошел отказ основного канала.  Самым трудно выполнимым требованием является создание таких механизмов диагностики, которые позволили бы контроллеру резервного канала диагностировать основной канал, причём так чтоб можно было с большой долей вероятности определить отказ ведущего канал и произвести переключений на резервный. Всё это должно происходить за короткий промежуток времени, такой при котором исполнительные механизмы не успели бы отреагировать на переключение канала и не произошёл несанкционированный (даже кратковременный) останов в работе механизмов.  При этом необходимо исключить «ложные» переключения (переключения с исправного ведущего канала на резервный).

Библиографический список:

  1. Siemens. Система автоматизации S7-400 H, Отказоустойчивые системы A5E00068197-07
  2. Шевкопляс Б.В. Микропроцессорные структуры. Инженерные решения. Москва «Радио и связь» 1993.

 

Перчиц А. Н.

NIKTES.ru