Смекни!
smekni.com

Аппаратное резервирование в промышленной автоматизации (стр. 1 из 6)

В ЗАПИСНУЮ КНИЖКУ ИНЖЕНЕРА

Виктор Денисенко

Аппаратное резервирование в промышленной автоматизации


ЧАСТЬ 1 ВВЕДЕНИЕ

Резервирование является практически единственным и широко используемым методом кардинального повышения надёжности систем автоматизации. Оно позволяет создавать системы аварийной сигнализации, противоаварийной защи ты, автоматического пожаротушения, контроля и управле ния взрывоопасными технологическими блоками [1] и дру гие, относящиеся к уровням безопасности SIL1...SIL3 по стандарту МЭК 615085 [2], а также ответственные системы, в которых даже короткий простой ведёт к большим финансо вым потерям (системы распределения электроэнергии, управления непрерывными технологическими процессами, слежения за движущимися объектами и т.д.). Резервирова ние позволяет создавать высоконадёжные системы из типо вых изделий широкого применения.

Составной частью систем с резервированием является подсистема автоматического контроля работоспособности и диагностики неисправностей.

Большая доля отказов в системах автоматизации прихо дится на программное обеспечение. Однако этой теме посвя щено множество специализированных книг и журнальных статей (см., например, [3, 4]), поэтому мы её касаться не бу дем.

ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

Основные определения понятий теории надёжности и надёжности, связанной с функциональной безопасностью, даны в ГОСТ 27.00289 [5] и МЭК 61508 [6, 7]. Далее приво дится ряд определений, которые потребуются нам для даль нейшего изложения.

Неисправностью называется состояние объекта, при кото ром он не соответствует хотя бы одному своему параметру, указанному в эксплуатационной документации.

Неработоспособностью называется состояние объекта, при котором он не способен выполнять хотя бы одну из своих функций, описанных в эксплуатационной документации. Например, контроллер, у которого отказал один из каналов ввода, является работоспособным, но неисправным, если этот канал не используется.

Дефектом называется каждое отдельное несоответствие объекта установленным требованиям (ГОСТ 1546779) [8].

Отказом называется событие, заключающееся в наруше нии работоспособности объекта. Факт отказа устанавливает ся на основании некоторых критериев отказа, то есть при знаков, позволяющих судить о нарушении работоспособно сти. В результате отказа объект становится неисправным. Отказы возникают вследствие применения ненадёжных схе мотехнических решений на стадии проектирования кон троллеров, электронных компонентов, изготовленных с на рушением техпроцесса, применения некачественных мате риалов, нарушения технологических режимов пайки, неточ ной установки компонентов на печатную плату, старения ма териалов, некачественного технологического оборудования, низкой культуры производства, отсутствия надёжных мето дов контроля, работы компонентов в предельных электриче ских режимах, нарушений условий эксплуатации и т.п.

Наработкой называется продолжительность работы объек та, выражаемая в единицах времени или в количестве циклов (например, циклов срабатывания реле). Различают наработ ку до отказа (от начала эксплуатации до первого отказа) и наработку между отказами (от начала работы после ремонта до очередного отказа). Используют также средние значения этих величин. Среднюю наработку между отказами называ ют наработкой на отказ, в отличие от средней наработки до отказа.

Безотказность – свойство объекта непрерывно сохранять работоспособность в течение некоторого времени или нара ботки.

Живучесть – свойство объекта сохранять ограниченную ра ботоспособность при неисправностях или отказе некоторых компонентов. Этот термин наиболее близок международно му термину “faulttolerance” (дословно – «допустимость не исправностей»), который часто переводят как «отказоустой чивость». Термин «отказоустойчивость» в ГОСТ 27.00289 используется, но его значение стандартом не определено. Мы будем использовать его в сочетании «отказоустойчивая система» как более компактный синоним понятия «система, обладающая свойством безотказности после отказа отдель ных элементов».

Вероятность безотказной работы – вероятность того, что в пределах заданной наработки отказ не возникнет.

Коэффициент готовности – вероятность того, что объект окажется работоспособным в произвольный момент време ни, кроме запланированных периодов, в течение которых его работа по назначению не предусматривается. Высокая готов ность системы обеспечивается избыточностью, допустимо стью сбоев, автоматическим контролем ошибок и диагно стированием (ГОСТ Р 1546779).

Резервирование может быть общим, когда резервируется система в целом, и раздельным (поэлементным), когда резер вируются отдельные элементы системы. В случае, когда в системе много однотипных элементов (например, модулей ввода сигналов термопар), число резервных элементов мо жет быть в несколько раз меньше, чем резервируемых.

Кратность резерва – отношение числа резервных элемен тов к числу резервируемых, которое выражается несокра щаемой дробью. В частности, в соответствии с ГОСТ 27.002 89 кратность резерва 3:2 нельзя представлять как 1,5, и ино гда используемый термин «полуторное резервирование» не

соответствует стандарту. При сокращении дроби исчезает важная информация об общем количестве элементов в сис теме. Дублированием называют резервирование с кратностью резерва один к одному.

Постоянное резервирование (к нему относится мажоритар ное резервирование и метод голосования) — резервирование с нагруженным резервом, при котором все элементы в резер вированной системе выполняют одну и ту же функцию и яв ляются равноправными, а выбор одного из сигналов на их выходе выполняется схемой голосования, без переключе ний. Постоянное резервирование позволяет получить систе мы с самым высоким коэффициентом готовности.

Резервирование замещением — резервирование, при кото ром функции основного элемента передаются резервному только после отказа основного элемента. Резервирование за мещением может быть с «холодным», «тёплым» или «горячим» резервом. Его недостатком является зависимость от надёжности переключающих устройств.

Нагруженный резерв («горячий» резерв) — резервный эле мент, который находится в таком же режиме, как и основой. Недостатком «горячего» резерва является уменьшение ре сурса с течением времени. В системах автоматизации с «го рячим» резервом переход на резерв может занимать время от нескольких миллисекунд до единиц секунд.

Облегчённый резерв («тёплый» резерв) — резервный эле мент, находящийся в менее нагруженном состоянии, чем ос новной. Например, резервный компьютер в «спящем» режи ме является облегчённым резервом.

Ненагруженный резерв («холодный» резерв) — резервный элемент, находящийся в ненагруженном режиме до начала его использования вместо основного элемента. Ненагружен ный резерв позволяет получить системы с самой высокой надёжностью, но с низким коэффициентов готовности. Они эффективны в случае, когда система некритична к времени простоя величиной в несколько минут.

Основное отличие между «горячим», «холодным» и «тёплым» резервом состоит в длительности периода пере ключения на резерв. При «горячем» резервировании кон троллеров время переключения составляет от единиц милли секунд до долей секунды, при «тёплом» — секунды, при «хо лодном» — минуты. Поэтому время переключения на резерв иногда рассматривают как основной признак при классифи кации резервирования замещением.

Надёжность — это свойство объекта сохранять во времени значения всех параметров и выполнять требуемые функции в заданных условиях применения. Надёжность является со ставным понятием. Оно может включать в себя понятия без отказности, долговечности, ремонтопригодности, сохраняе мости. В промышленной автоматизации для количественной оценки надёжности чаще всего используется параметр «на работка на отказ» или параметр «интенсивность отказов», а в системах безопасности — «вероятность отказа при наличии запроса» [9, 2].

Интенсивностью отказов называется условная плотность вероятности возникновения отказа объекта, определяемая при условии, что до рассматриваемого момента времени от

каз не возник. При испытаниях на надёжность количество исправных элементов n(t) с течением времени t уменьшается за счёт того, что часть из них n(t) – n(t + Δt) становятся неис правными в результате отказа. Интенсивность отказа опре деляется пределом:

λ =()t lim

1 n t() (− +Δn t t)=−
1 dn t( ). (1) Δ →t 0n t( ) Δt n t( ) dt

Длительность t безотказной работы элемента (от момента включения t = 0 до t) является случайной величиной, поэтому

её можно характеризовать вероятностью P t()= n t( )(), где n 0

n(0)→∞ – число исправных элементов в момент времени t = 0, n(t) — число исправных элементов в момент времени t. При конечном числе испытуемых элементов вместо вероятности получают её точечную статистическую оценку.

Вероятность безотказной работы можно интерпретировать следующим образом: если в системе автоматизации исполь зуется 100 модулей вводавывода, каждый из которых имеет вероятность безотказной работы P(t) = 0,99 в течение време ни t = 1 год, то через год после начала эксплуатации в сред нем один из модулей станет неработоспособен.