Смекни!
smekni.com

Аппаратное резервирование в промышленной автоматизации (стр. 5 из 6)

R4 (рис. 6 а). В случае ляется делителем напряжения Eпит R3 + R4

короткого замыкания на шину питания напряжение на вхо де модуля равно напряжению питания. При к.з. на землю на пряжение на входе равно нулю. При разомкнутом

состоянии датчика напряжение равно R(4 )Eпит, R4 +R3 R1+R2

при замкнутом – R4 Eпит. R4 +R3 R1

ния на резерв меха нические реле ис пользовать нежела тельно по причине их низкой надёжно сти, а другие спосо бы (включая метод голосования) поро ждают сложные схе Рис. 6. Схема обнаружения обрыва и к.з. в цепи датчика с пятью различимыми состояниями (а) и с тремя мы, которые также

Таким образом, на входе модуля дискретного ввода могут быть пять различных уровней напряжения, которые с помо щью АЦП преобразуются в пять различных событий: «0», «1», «к.з. на землю», «к.з. на питание», «обрыв». Переключе ние на резерв происходит, если в блок выбора модуля (рис. 2) состояниями (б)

поступает информация о неисправности. Тип неисправности выдаётся на пульт оператора системы автоматизации и зано сится в журнал ошибок.

В ряде случаев достаточно иметь упрощённую схему диаг ностики. Например, если на рис. 6 а убрать резисторы R2 и R3

(рис. 6 б), то при замкнутом датчике получим напряжение на

R4 ; при разомкнутом состоя входе модуля, равное Eпит R4 +R1

нии датчика, при обрыве линии и при к.з. на землю – одно и то же напряжение, равное нулю; при к.з. на шину питания – Eпит. Таким образом, вместо пяти состояний на входе получа ем только три.

Предположим, что датчик используется в системе охраны и его нормальным состоянием является разомкнутое. Тогда об рыв линии связи и к.з. на землю останутся незамеченными, поскольку их невозможно отличить от нормального состоя ния датчика. Предположим теперь, что нормальным состоя нием датчика является замкнутое, как показано на рис. 6 б. Тогда при любом из перечисленных отказов линии связи сиг нализация сработает, то есть отказа, приводящего к несраба тыванию функции безопасности, произойти не может. По этому такая упрощённая схема контроля может быть исполь зована в системах безопасности только с датчиками, у кото

рых нормальным состоянием считается замкнутое.

При выборе упрощённых схем диагностики следует учиты вать, что в правильно спроектированной системе безопасно сти срабатывание датчика не должно быть блокировано не исправностями линии связи, а если такая блокировка воз можна, то она должна быть обнаружена системой контроля. Для обнаружения неисправностей модуля ввода может ис пользоваться автоматическое тестирование во время крат ковременного отключения источников сигнала и нагрузок путём подачи на вход тестовых комбинаций логических уровней (см. раздел «Общие принципы резервирования»).

Резервирование модулей вывода

Резервирование модулей вывода принципиально отлича ется от резервирования модулей ввода тем, что устройства вывода в большинстве случаев являются источниками энер гии, в то время как устройства ввода являются приёмниками информации (сигналов). Поэтому если для переключения на резерв в модулях ввода достаточно программно перенапра вить поток принимаемой информации, то в модулях вывода необходимо переключить поток энергии, что невозможно сделать только программными средствами.

Резервирование аналоговых модулей вывода

Резервированный вывод аналоговых сигналов реализует ся наиболее сложно и в промышленной автоматике исполь зуется редко. Проблема состоит в том, что для переключе понижают надёж ность системы. По

этому модули аналогового вывода чаще всего просто отсут ствуют в промышленных резервируемых системах.

Для резервирования линий связи при выводе и передаче аналоговых сигналов в нагрузку используют преимуществен но стандарт 420 мА, поскольку он позволяет обнаружить к.з. и обрыв линии. Непосредственно у самой нагрузки (Rн) уста навливают диоды, которые предотвращают шунтирование

нагрузки при к.з. на землю в соседнем канале (рис. 8 а).

До наступления отказа каждый источник выдаёт ток, рав ный половине тока нагрузки (Iн/2). При к.з. или обрыве ли нии связи ток через диод в этом канале становится равным нулю и срабатывает алгоритм резервирования, который уста навливает в исправном канале ток, равный Iн. Использова ние половины тока (Iн/2) для каждого канала уменьшает ам плитуду паразитных выбросов во время переходного процес са после отказа.

Описанная схема не пригодна для резервирования самих модулей вывода, поскольку в результате отказа источника на его выходе может установиться ток, не равный нулю.

Контроль целостности линии связи и диагностика отка за в модулях вывода тока 420 мА выполняется, как показа но на рис. 8 б. Выходной каскад модуля не только выводит

ток iн =Vin , но и измеряет напряжения V0 = R0iн и V1,

R0 которые с помощью АЦП преобразуются в цифровую форму и передаются в процессор модуля вывода. При правильном функционировании цепи, включающей нагрузку Rн, должно выполняться равенство V0 = Vin. Если оно не выполняется, то при V0 = 0 имеет место к.з. на землю или обрыв, при V0 = V1 — к.з. между линиями или в нагрузке, при V1 = Eпит – к.з. верх ней (по схеме) линии на шину питания, а при V0 = Eпит – к.з. нижней линии. При V0 > Vin сопротивление нагрузки превы шает допустимое значение, и операционный усилитель нахо дится в состоянии насыщения.

Резервирование модулей дискретного вывода и нагрузки

Резервирование модулей дискретного вывода, кабелей и нагрузки обычно выполняется методом голосования. Для этого дискретные выходы соединяются параллельно через

Рис. 7. Схема обнаружения обрыва и к.з. в цепи датчика

диоды (рис. 9 а). Диоды ис пользуются для предотвра щения протекания тока из одного канала в другой. При отказе одного из источников на рис. 9 а в виде к.з. на зем лю и обрыва управление на грузкой продолжается от вто рого источника. Однако если отказом является пробой вы

а

б

ходного каскада на шину пи Рис. 8. Резервирование (а) и диагностика (б) линии вывода аналоговых сигналов тания, то отказавший канал блокирует выходное напря жение и оно перестаёт зави сеть от управляющего сигна ла. Несмотря на этот недо статок, соединение дискрет ных выходов по схеме, пред ставленной на рис. 9 а, мо жет быть использовано в сис темах, связанных с безопас ностью, если рассмотренный

а

б

вид отказа резервированной Рис. 9. Соединение дискретных выходов при резервировании (а) и один из вариантов реализации системы не влияет на выпол дискретных выходных каскадов (б) нение функции безопасно сти. Например, если безо пасным состоянием выхода является наличие напряже ния (для питания двигателей насосов в системе пожароту шения), рассмотренный от каз не является опасным и не влияет на величину вероят ности отказа при наличии за проса.

Таким образом, параллель ное соединение дискретных

выходов с целью резервиро Рис. 10. Резервирование модулей вывода для повышения отказоустойчивости и живучести (а) и для вания может использоваться реализации аварийного отключения (б)

только в системах аварийного

включения нагрузки и не может использоваться в системах аварийного отключения. Вероятность отказа при включении у такой цепи эквивалента дублированной системе, а при от ключении – меньше, чем у нерезервированной.

На рис. 9 б показана реализация описанного принципа резервирования, выполненная на МОПтранзисторах. Для коммутации мощной нагрузки ключи 1 и 2 могут быть изго товлены в отдельном конструктиве с радиаторами и удалены от модулей дискретного вывода. Маломощные ключи кон структивно входят в состав модулей вывода. При подключе нии нагрузки к разным источникам питания E1 и E2 (как на рис. 9 б) необходимо использовать развязывающие диоды, чтобы при одновременно открытых ключах исключить про текание тока из одного источника в другой. Если же исполь зован общий источник питания (как на рис. 10 а), то диоды не нужны.