Резервирование ПЛК и устройств ввода-вывода

Несмотря на существование большого разнообразия методов резервирования, в промышленной автоматизации получили распространение только два из них: горячее резервирование замещением (hot standby) и метод голосования (2oo3 voting, 1oo2 voting и др.). Реже используется теплый резерв (warm standby).

Целью резервирования может быть обеспечение безотказности или обеспечение безопасности. Методы резервирования, используемые для достижения этих двух целей, существенно различаются. Основное различие состоит в том, что для обеспечения безопасности достаточно снизить вероятность только опасных отказов, в то время как для обеспечения безотказности требуется обеспечить работоспособность системы при всевозможных отказах. Поэтому системы, связанные с безопасностью, получаются проще, чем отказоустойчивые системы при условии одинаковой наработки до отказа.

1. Общие принципы резервирования
В основе метода резервирования лежит очевидная идея замены отказавшего элемента исправным, находящемся в резерве. Однако реализация этой идеи часто становится достаточно сложной, если необходимо обеспечить минимальное время перехода на резерв и минимальную стоимость оборудования при заданной вероятности безотказной работы в течение определенного времени (наработки).

Для замены отказавшего элемента достаточно иметь резервный (запасной) элемент на складе. Однако продолжительность ручной замены составляет единицы часов, что для многих систем автоматизации недопустимо долго. Сократить время вынужденного простоя позволяет применение контроллеров и модулей ввода-вывода с разъемными клеммными соединителями и с возможностью "горячей замены" при условии наличия развитой системы диагностики неисправности. Для обеспечения возможности "горячей замены" необходимо предусмотреть следующее:

• защиту от статического электричества, которое может возникать на теле оператора, выполняющего замену устройства;
• необходимую последовательность подачи напряжений питания и внешних сигналов. Для этого используют, например, разъемы с контактами разной длины и секвенсоры внутри устройства;
• защиту системы от броска тока, вызванного зарядом емкостей подключаемого устройства, например, с помощью токоограничительных резисторов или отдельного источника питания;
• защиту устройства от перенапряжения, короткого замыкания, переполюсовки, превышения напряжения питания, от ошибочного подключения;
• программируемые устройства должны быть заранее запрограммированы, в сетевые устройства должен быть записан правильный адрес и предусмотрена подсистема автоматической регистрации нового и исключения старого устройства из сети;
• в алгоритмах автоматического регулирования должен быть предусмотрен "безударный" режим смены контроллера или модулей ввода-вывода.

Если резервный элемент входит в состав системы, то она относится к резервированным системам с ручным замещением отказавшего элемента.

Системы с голосованием
Основным отличительным признаком систем резервирования с голосованием является невозможность выделения в системе основных элементов и резервных, поскольку все они равноправны, работают одновременно и выполняют одну и ту же функцию. Выбор одного сигнала из нескольких осуществляется схемой голосования, которая в частном случае нечетного числа голосов называется мажоритарной схемой.

Системы с голосованием не требуют контроля работоспособности элементов для своего функционирования, но используют подсистему диагностики для сокращения времени восстановления отказавших элементов. Наличие системы диагностики снижает также вероятность накопления скрытых неисправностей, которые со временем могут явиться причиной отказа.

Принцип работы схемы голосования рассмотрим на примере резервирования датчиков (см. рис. 1-а). В такой системе вместо одного датчика используются три (например, три термопары), которые подсоединены к одному модулю ввода. В схему голосования поступают, соответственно, три значения измеряемой величины (например, три значения температуры ), из которых необходимо выбрать одно. Значения температуры располагаются в порядке возрастания: , а на выход схемы голосования поступает значение, расположенное между двумя крайними (но не среднее арифметическое!). Например, если в результате измерения получены значения (0,12; 39,5; 39,4)°С, то используется только значение 39,4, остальные игнорируются.

Резервирование элементов с дискретными сигналами выполняется аналогично рассмотренному выше. Поскольку значениями дискретных сигналов являются логические "0" или "1", то в результате мажоритарного голосования выбирается то значение, которое принимают большинство сигналов. Например, при логических сигналах А="1", B="1", C="0" результатом голосования будет значение Y="1". Блок мажоритарного голосования реализует логическую функцию Y = AB + BC + CA.

Очевидно, что для работы мажоритарной схемы число "голосов" должно быть нечетным. Однако в системах безопасности возможно применение любого числа "голосов". Вместо недостающего голоса используется условие, что система считается работоспособной, если отказ является безопасным. Это позволяет использовать системы, в которых выбирается один голос из двух и такие системы по стандарту МЭК 61508 обозначаются как 1oo2 (1 Out Of 2). Используются также системы 2оо2 - (два голоса из двух), 2оо3 (два голоса из трех), 2оо4 (два голоса из четырех), 3 oo4 (три голоса из четырех). Нерезервированные системы обозначаются как 1оо1. Если в резервированной системе имеется развитая подсистема диагностики неисправностей, то к обозначению добавляется буква "D", например, 1oo2D .

а

б
Рис. 1. Устройства с голосованием по схеме 2oo3 (а) и по схеме 1oo2 (б)

Примером системы с голосованием вида 1oo2 может служить система охранной сигнализации двери, в которой используются два датчика А и В с целью взаимного резервирования (рис. 1, б). При отказе одного из датчиков (например, датчика B, когда вместо А=1, В=1 получаем А=1, В=0) система, пользуясь правилом большинства голосов, не может принять решение. Однако, если учесть, что ложное срабатывание охранной системы не приводит к опасной ситуации, а несрабатывание системы при наличии нарушителя является опасным отказом, очевидно, схема голосования должна считать, что достаточно одного голоса из двух, чтобы принять решение о подаче аварийного сигнала. Если сигналом срабатывания сигнализации является логическое значение "1", а сигналом отсутствия нарушителя является значение "0", то блок голосования реализует логическую функцию Y = A + B.

Если входными данными для голосования являются два аналоговых сигнала, то пользователь при программировании должен установить, какой сигнал из двух должен быть выбран системой в случае их несовпадения. Такой подход возможен только в системах безопасности.

Противоположная ситуация используется при голосовании вида 2 oo2. Примером может быть система контроля герметичности люка при погружении подводной лодки. Если люк имеет два датчика, то сигнал готовности к погружению может появиться только при наличии подтверждения ( A="1", B="1") от обоих датчиков одновременно (двух из двух). Выход из строя одного датчика не должен позволить системе выработать сигнал готовности к погружению, чтобы опасная ситуация не возникла. Такой блок реализует логическую функцию Y = AB.

Несмотря на высокую эффективность схем голосования с четным числом голосов, они имеют недостаток, состоящий в возможности ложного срабатывания. Хотя этот тип отказов и не является опасным, в некоторых случаях он приводит к значительному материальному ущербу. Для исключения ложного срабатывания можно использовать более дорогие системы с нечетным количеством голосов, которые снижают вероятность отказов обоих типов. Выбор наилучшей системы осуществляется на основании результатов экономических расчетов.

При отказе одного из элементов резервированной системы безопасности 2oo3 ее уровень безопасности понижается и она может начать функционировать как система 1оо2. Если замена неисправного элемента не произведена и произошел второй отказ, то система переходит в режим без резервирования 1oo1, однако в этом режиме система не может находиться долго по требованиям безопасности. Очередность перехода от одной схемы резервирования к другой называется схемой деградации.

Система безопасности 2оо3 может иметь второй вариант схемы деградации: 2oo3 - 2oo2 - 1oo1 - 0. Здесь "0" обозначает состояние, когда система перестает функционировать (останавливается). Перед остановкой система должна перевести все свои выходы в безопасные состояния. Понятие безопасного состояния для каждой системы определяется при ее проектировании. Например, для систем аварийного отключения безопасными являются обесточенные состояния исполнительных механизмов, а для систем автоматического пожаротушения или аварийной вентиляции - наоборот, состояния, при которых на исполнительные устройства подана энергия.

Схемы голосования широко используются в системах противоаварийной защиты и сигнализации, где они имеют большое разнообразие. В системах же, не связанных с безопасностью, обычно нельзя применить иные схемы голосования, кроме 2oo3, которые являются достаточно дорогими. Однако их уникальным свойством является непрерывность функционирования во время перехода на резерв и это свойство является определяющим при принятии решения о выборе метода резервирования.

Резервирование замещением
Другой класс резервированных систем составляют системы с горячим резервированием замещением (Hot Standby) (рис. 2). Их отличительной чертой является принципиальная необходимость в подсистеме контроля работоспособности как основного, так и резервного элементов, наличие блока переключения на резерв (обычно переключение выполняется программно), а также шины для синхронизации между процессорами (последнее относится только к резервированию процессоров). Основным параметром систем с резервированием замещением является время переключения на резерв. Переход на резерв выполняется в пределах одного или нескольких контроллерных циклов и занимает время от единиц миллисекунд до долей секунды.

Системы с более медленным переключением на резерв (от долей до единиц секунд) относят к системам с теплым резервом (Warm Standby). Конструктивное отличие теплого резервирования контроллеров от горячего заключается в отсутствии высокоскоростного канала синхронизации между процессорами, вместо него используется стандартная низкоскоростная промышленная сеть или другой последовательный канал обмена.

Рис. 2. Дублирование модуля ввода методом замещения
Для контроля работоспособности используются такие параметры и события, как, например, обрыв линии связи, короткое замыкание (к. з.), величина напряжения и тока питания, отсутствие связи, перегрев выходных каскадов модулей вывода, перегрузка по току, отсутствие нагрузки, выход сигналов за границы динамического диапазона, срабатывание предохранителя, срабатывание блокировок и защит, целостность линий связи с модулями ввода-вывода, ошибка контрольной суммы, ошибка памяти, "зависание" процессора и т. п. Перечень процедур контроля ПЛК приведен в ГОСТ Р 51841. Диагностическая информация должна выводиться на пульт оператора и одновременно может использоваться для переключения на резерв.

Для исключения ошибочного перехода на резерв по причине сбоя в системе контроля используют временной фильтр, который разрешает переключение только при условии, что состояние неисправности длится не менее установленного времени (например, 1...100 мс).

Общее и поэлементное резервирование
Резервированными могут быть отдельные элементы системы, их группы и вся система в целом. Поэлементное резервирование позволяет повысить отказоустойчивость в первую очередь наиболее важных или наименее надежных элементов, выбрать различную кратность резервирования для разных элементов системы и тем самым достичь максимального отношения надежности к цене.

Общее резервирование не требует анализа соотношений между надежностью отдельных элементов системы, исключает ошибки при расчете надежности и выборе различных схем резервирования, а также ошибки, вызванные плохой наглядностью архитектуры системы при поэлементном резервировании.

В случае общего резервирования достаточно двух отказов для отказа всей системы, если один из элементов расположен в основной системе, второй - в резервной. При поэлементном резервировании вероятность такого отказа существенно ниже, поскольку для его реализации необходимо, чтобы один из отказавших элементов был основным, второй - его резервом, что крайне маловероятно.

2. Модули ввода и датчики
Типичными отказами при вводе сигналов в ПЛК является обрыв или короткое замыкание линии связи. На долю отказов линий связи, датчиков и исполнительных устройств в системах автоматизации приходится 85% всех отказов. Линии связи могут повреждаться в результате стихии (обмерзание проводов), земляных работ, неправильного монтажа, злонамеренных действий и т. п., поэтому их надежность часто не связана напрямую с надежностью кабеля.

Резервирование аналоговых модулей ввода и датчиков

а

б
Рис. 3. Резервирование модулей ввода (а) и датчиков с модулями (б)

Схемы голосования могут применяться для резервирования датчиков при использовании одного модуля ввода (рис. 1), для резервирования модулей ввода при наличии одного датчика (рис. 3-а) или датчиков и модулей ввода одновременно. В последнем случае потенциальные входы модулей соединяются параллельно (рис. 3-а), а токовые - последовательно (рис. 4). Поскольку при последовательном соединении отключение одного из модулей (например, для выполнения замены) приводит к разрыву всей цепи, то для устранения этого эффекта используют стабилитроны (рис. 4-а). При использовании источника тока с большим внутренним сопротивлением (например, стандартного источника 4...20 мА) ток не зависит от сопротивления нагрузки, поэтому появление стабилитрона в контуре с током при удалении одного из модулей не вносит погрешность в результат измерения. Ток утечки стабилитрона должен быть мал по сравнению с допустимой абсолютной погрешностью измерения тока, а напряжение стабилизации - больше максимального падения напряжения на измерительном резисторе.

Тот же эффект достигается, если использовать внешние измерительные резисторы (рис. 4-б), которые обеспечивают замкнутый путь для тока при удалении одного из модулей. При этом используются модули с потенциальным входом, а измерение тока выполняется косвенным методом (по падению напряжения на сопротивлении).

Схемы голосования в рассмотренных примерах и количество элементов в резервированной системе могут быть произвольными; алгоритм голосования реализуется программно в ПЛК.

Принцип работы системы, резервированной методом замещения, иллюстрируется рис. 2. В системе выделяется основной модуль, резервный и блок выбора модуля после отказа. До отказа на выход системы поступают данные только из основного модуля. Блок выбора постоянно контролирует состояние работоспособности модулей и после наступления отказа автоматически переключает выходной канал системы на исправный модуль. Одновременно на пульт оператора и в журнал ошибок посылается диагностическое сообщение о вышедшем из строя элементе. Переключение выполняться, как правило, программно.

Аналогично работают системы с несколькими резервными элементами. Переключение на один из них выполняется по заранее определенному алгоритму.

а

б
Рис. 4. Резервирование модулей ввода тока с измерительными резисторами внутри модулей (а) и снаружи (б)

Основной проблемой в системах, резервированных методом замещения, является автоматический контроль исправности.

Для контроля исправности аналоговых модулей ввода могут быть использованы следующие величины и события:

• среднеквадратическое значение напряжения или тока шума;
• напряжение смещения нуля;
• температура внутри корпуса модуля;
• погрешность (оценивается с помощью встроенного источника опорного напряжения);
• зависание процессора (диагностируется с помощью сторожевого таймера);
• напряжение питания процессора;
• ошибка контрольной суммы;
• ошибка в ответе на команду.

Для диагностики обрыва во входных цепях аналоговых модулей используются следующие методы:

• контроль выхода переменной за границы динамического диапазона или границы ее изменения;
• применение тестирующих источников тока (рис. 5).

Типовым методом обнаружения к. з. является измерение сопротивления входной цепи с помощью источников тока , подключенных как показано на рис. 5-а). Величина тока выбирается достаточно малой, чтобы падение напряжения на линии связи и внутреннем сопротивлении датчика не вносило погрешность в результат измерений. Например, в модуле NL-8TI фирмы Reallab! используется ток величиной 2 мкА. При обрыве во входной цепи напряжение между входами модуля выходит за границы динамического диапазона, что является диагностическим признаком обрыва.

а

б
Рис. 5. Обнаружение обрыва и к.з. в линии связи или датчике, когда носителем сигнала является напряжение (а) или ток (б)

При к. з. во входной цепи напряжение между входами модуля становится равным нулю, что является диагностическим признаком короткого замыкания. Для того, чтобы к. з. можно было отличить от полезного сигнала нулевой величины, диапазон изменения сигнала датчика искусственно сдвигают от нулевого уровня. Такой подход использован в стандарте 4...20 мА, где вся информация о сигнале содержится в диапазоне токов от 4 мА до 20 мА (см. рис. 5-б). В этом случае появление нулевого напряжения на входе приемника сигнала однозначно говорит о нарушении линии связи. Однако отличить обрыв от к. з. и в этом случае невозможно, поскольку оба отказа обнаруживаются по нулевой величине принимаемого тока.

Резервирование датчиков и модулей ввода дискретных сигналов
При вводе дискретных сигналов используются методы голосования и резервирования замещением, описанные в разделе "Резервирование ПЛК и устройств ввода-вывода".

Схемы подключения датчика типа "сухой контакт", которые обеспечивают диагностику обрыва, к. з. на землю и на шину питания, показаны на рис. 6 и рис. 7. При обрыве линии на входе модуля появляется сигнал, величина которого определяется делителем напряжения

(см. рис. 6-а). В случае короткого замыкания на шину питания напряжение на входе модуля равно напряжению питания. При к. з. на землю напряжение на входе равно нулю. При разомкнутом состоянии датчика напряжение равно

при замкнутом

а

б
Рис. 6. Схема обнаружения обрыва и к.з. в цепи датчика: с пятью различимыми состояниями (а) и с тремя (б)

Таким образом, на входе модуля дискретного ввода могут быть пять различных уровней напряжения, которые с помощью АЦП преобразуются в пять различных событий: "0", "1", "к. з. на землю", к. з. на питание", "Обрыв". Переключение на резерв происходит, если в блок выбора модуля (см. рис. 2) поступает информация о неисправности. Тип неисправности выдается на пульт оператора системы автоматизации и заносится в журнал ошибок.

В ряде случаев достаточно иметь упрощенную схему диагностики. Например, если на рис. 6-а убрать резисторы и (см. рис. 6-б), то при замкнутом датчике получим напряжение на входе модуля, равное ; при открытом состоянии датчика, при обрыве линии и при к. з. на землю - одно и то же напряжение, равное нулю; при к. з. на шину питания - . Таким образом, вместо пяти состояний на входе получаем только три.

Предположим, что датчик используется в системе охраны и его нормальным состоянием является открытое. Тогда обрыв линии связи и к. з. на землю останутся незамеченными, поскольку их невозможно отличить от нормального состояния датчика. Предположим теперь, что нормальным состоянием датчика является замкнутое, как показано на рис. 6-б. Тогда при любом из перечисленных отказов линии связи сигнализация сработает, т.е. отказа, приводящего к несрабатыванию функции безопасности, произойти не может. Поэтому такая упрощенная схема контроля может быть использована в системах безопасности только с датчиками, у которых нормальным состоянием считается замкнутое.

При выборе упрощенных схем диагностики следует учитывать, что в правильно спроектированной системе безопасности срабатывание датчика не должно быть блокировано неисправностями линии связи, а если такая блокировка возможна, то она должна быть обнаружена системой контроля.

Для обнаружения неисправностей модуля ввода может использоваться автоматическое тестирование во время кратковременного отключения источников сигнала и нагрузок путем подачи на вход тестовых комбинаций логических уровней (см. выше).

Рис. 7. Схема обнаружения обрыва и к. з. в цепи датчика
Источник: http://www.bookasutp.ru/Chapter8_2.aspx#%D1%80%D0%B8%D1%81.%208.1