Аппаратное резервирование в промышленной автоматизации (стр. 3 из 6)

● защиту системы от броска тока, вызванного зарядом ёмко стей подключаемого устройства, например с помощью то коограничительных резисторов или отдельного источника питания;

● защиту устройства от перенапряжения, короткого замыка ния, переполюсовки, превышения напряжения питания, ошибочного подключения.

Кроме того, для обеспечения «горячей» замены програм мируемые устройства должны быть заранее запрограммиро ваны, в сетевые устройства должен быть записан правиль ный адрес и предусмотрена подсистема автоматической ре гистрации нового и исключения старого устройства из сети, а в алгоритмах автоматического регулирования должен быть предусмотрен «безударный» режим смены контроллера или модулей вводавывода [12].

Если резервный элемент входит в состав системы (а не лежит, скажем, на складе), то она относится к резервирован ным системам с ручным замещением отказавшего элемента.

Системы с голосованием

Основным отличительным признаком систем резервиро вания с голосованием является невозможность выделения в системе основных элементов и резервных, поскольку все они равноправны, работают одновременно и выполняют одну и ту же функцию. Выбор одного сигнала из несколь ких осуществляется схемой голосования, которая в частном случае нечётного числа голосов называется мажоритарной схемой.

Системы с голосованием не требуют контроля работоспо собности элементов для своего функционирования, но ис пользуют подсистему диагностики для сокращения времени восстановления отказавших элементов. Наличие подсисте мы диагностики снижает также вероятность накопления скрытых неисправностей, которые со временем могут явить ся причиной отказа.

Принцип работы схемы голосования рассмотрим на при мере резервирования датчиков (рис. 1 а). В такой системе вместо одного датчика используются три (например три тер мопары), которые подсоединены к одному модулю ввода. В схему голосования поступают соответственно три значения измеряемой величины (например три значения температуры: T₁, T₂, T₃), из которых необходимо выбрать одно. Значения измеряемой величины располагаются в порядке возрастания, и на выход схемы голосования поступает то из них, которое расположено между двумя крайними (но не среднее арифме тическое!). Например, если в результате измерения темпера туры получены значения 0,12°С, 39,5°С и 39,4°С, то использу ется только значение 39,4°С, остальные игнорируются.

Резервирование элементов с дискретными сигналами вы полняется аналогично. Поскольку значениями дискретных сигналов являются логические 0 или 1, то в результате мажо ритарного голосования выбирается то значение, которое принимают большинство сигналов. Например, при логиче ских сигналах А = 1, B = 1, C = 0 результатом голосования бу дет значение Y = 1. Блок мажоритарного голосования реали зует логическую функцию Y =AB + BC + CA.

Очевидно, что для работы мажоритарной схемы число «го лосов» должно быть нечётным. Однако в системах безопас ности возможно применение любого числа «голосов». Вме сто недостающего «голоса» используется условие, что систе ма считается работоспособной, если отказ является безопас ным. Это порождает системы, в которых выбирается один «голос» из двух, и такие системы по стандарту МЭК 61508 [2] обозначаются как 1oo2 (1 out of 2). Используются также сис темы 2оо2 (два «голоса» из двух), 2оо3 (два «голоса» из трёх), 2оо4 (два «голоса» из четырёх), 3oo4 (три «голоса» из че тырёх). Нерезервированные системы обозначаются как 1оо1. Если в резервированной системе имеется развитая подсисте ма диагностики неисправностей, то к обозначению добавля ется буква «D», например 1oo2D.

Примером системы с голосованием вида 1oo2 может слу жить система охранной сигнализации двери, в которой ис пользуются два датчика А и В с целью взаимного резервиро вания (рис. 1 б). При отказе одного из датчиков (например датчика B, когда вместо А = 1, В = 1 получаем А = 1, В = 0) система, пользуясь правилом большинства «голосов», не мо жет принять решение. Однако если учесть, что ложное сра батывание охранной системы не приводит к опасной ситуа ции, а несрабатывание системы при нарушении является опасным отказом, то становится очевидным, что схема голо сования должна считать достаточным наличие одного «голо са» из двух, чтобы принять решение о подаче аварийного сигнала. Если сигналом срабатывания сигнализации являет ся логическое значение 1, а сигналом отсутствия нарушения является значение 0, то блок голосования реализует логиче скую функцию Y =A + B.

Основной блок

⁺ AI₁ Блок выбора

модуля

E «Отказ»

+

AI₂

Резервный блок

Рис. 2. Дублирование модуля ввода методом замещения

зуется при голосовании вида 2oo2. Примером может быть система контроля герметичности лю ка при погружении подводной лодки. Если люк имеет два датчика, то сигнал готовности к погружению может появить ся только при наличии подтверждения (A = 1, B = 1) от обо их датчиков одновременно (два из двух). Выход из строя од ного датчика не должен позволить системе выработать сиг нал готовности к погружению, чтобы опасная ситуация не возникла. Такой блок голосования реализует логическую функцию Y = AB.

Несмотря на высокую эффективность схем голосования с чётным числом голосов, они имеют недостаток, состоящий в возможности ложного срабатывания. Хотя этот тип отказов и не является опасным, в некоторых случаях он приводит к значительному материальному ущербу. Для исключения ложного срабатывания можно использовать более дорогие системы с нечётным количеством голосов, которые снижают вероятность отказов обоих типов. Выбор наилучшей систе мы осуществляется на основании результатов экономиче ских расчётов.

При отказе одного из элементов резервированной системы безопасности 2oo3 её уровень безопасности понижается и она может начать функционировать как система 1оо2. Если замена неисправного элемента не произведена и произошёл второй отказ, то система переходит в режим без резервирова ния 1oo1, однако в этом режиме система не может находить ся долго по требованиям безопасности. Очерёдность перехо да от одной схемы резервирования к другой называется схе мой деградации.

Система безопасности 2оо3 может иметь второй вариант схемы деградации: 2oo3–2oo2–1oo1–0. Здесь 0 обозначает состояние, когда система перестаёт функционировать (оста навливается). Перед остановкой система должна перевести все свои выходы в безопасные состояния. Понятие безопас ного состояния для каждой системы определяется при её про ектировании. Например, для систем аварийного отключения безопасными являются обесточенные состояния исполни тельных механизмов, а для систем автоматического пожаро тушения или аварийной вентиляции – наоборот, состояния, при которых на исполнительные устройства подана энергия.

Схемы голосования широко используются в системах про тивоаварийной защиты и сигнализации, где они имеют боль шое разнообразие. В системах же, не связанных с безопасно стью, не существует более простых схем голосования, чем 2oo3, которые сами по себе являются достаточно дорогими. Однако уникальным свойством систем с голосованием выступает непрерывность функционирования во время пе рехода на резерв, и это свойство является определяющим при принятии решения о выборе метода резервирования.

Резервирование замещением

Другой класс резервированных систем составляют систе мы с «горячим» резервированием замещением (рис. 2). Их

отличительной чертой является принци пиальная необходимость в подсистеме контроля работоспособности как основ ного, так и резервного элементов, нали чие блока переключения на резерв (обычно переключение выполняется программно), а также шины для синхро низации между процессорами (послед нее относится только к резервированию процессоров). Основным параметром

систем с резервированием замещением Рис. 3. Резервирование модулей ввода (а) и датчиков с модулями (б) является время переключения на резерв. Переход на резерв выполняется в преде лах одного или нескольких контроллер ных циклов и занимает время от единиц миллисекунд до долей секунды.