"квазидублирование"

[VADR]

Приветствую, коллеги.

Вопрос у меня чисто теоретический. Предположим, есть технологический объект, которому по нормативке положен дублированный (резервированный) контроллер для ПАЗ. Объём сигналов - мизерный (максимум пара десятков дискретных входов/выходов), алгоритмы простые и в совсем небольшом количестве. Какой-нибудь сименсовский simatic 1200 потянет легко и с большим запасом. Вопрос, собственно: если взять два одинаковых контроллера, с одинаковым составом входов/выходов, с одинаковыми алгоритмами, подключить к полю через реле (тут можно схемотехникой разрулить, где контакты последовательно, где параллельно), такая схема прокатит как дублирование контроллера?

[Sergy6661]

Выходы н.о этих ПЛК тогда надо параллелить и получится классика 2oo2 со всеми вытекающими.
Если не требуется сертификации, то сойдет, типа для успокоения совести.

[Ryzhij]

Все зависит от ответа на знаменитый вопрос "Нахрена?".
Могут быть подводные камни.
Есть прорва отраслевых нормативов, накладывающие определённые ограничения на аппаратуру ПАЗ.
В частности для нефтехимии отраслевые правила безопасности требуют расчета надёжности и вероятностей как несрабатывания ПАЗ, так и ложного его срабатывания. Аппаратура без сертификата с указанием плотности потока отказов из-за этого требования не может быть применена. Нет данных для расчёта.
А так, да, подобные схемы применяются.

Отправлено спустя 19 минут 2 секунды:

Выходы н.о этих ПЛК тогда надо параллелить и получится классика 2oo2 со всеми вытекающими

У меня уже пригорает от некоторых "умных" фраз, заученных родным начальством.
Одна из таких - "сделайте нам логику 2oo2".
И бесполезно объяснять, что логика 2oo2 - ЗЛО, ТРЕШ и УГАР. Что она не применима. Тем более для дискретных сигналов.
И что реальное улучшение ситуации с отказами и остановами может дать только (а может и не дать, смотря по конкретной ситуации) только 2oo2D или 2oo3.
А это гора-а-аздо дороже.

[Jackson]

Все зависит от ответа на знаменитый вопрос "Нахрена?".

Если не требуется сертификации, то сойдет, типа для успокоения совести.

А если по уму, то надо и питание дублировать и все цепи и датчики.

Вопрос целесообразности, назначения и требований. Например на ПЭБ полагается 4-хкратное дублирование (четвероирование?) резервных и аварийных источников энергии и их систем. Никто не дублирует контроллеры, цепи, датчики - там на борту просто 8 одинаковых электростанций со своими генераторами, ГРЩ, САУ, всеми цепями и даже помещениями: 4 резервных и 4 аварийных. Атом есть атом.
В другом месте - военные запросили дублирование именно САУ электростанции без дублирования силовой части. Смысла большого в этом нет - скорее в силовой части что-то сдохнет чем в автоматике, и раз сдохнет сила то автоматику хоть 8-микратно задублируй - генератор-то всё равно один и тот же, сдохший. :) Стали разбираться, как по мнению заказчика должен происходить переход на резерв. После всех выяснений в каждом шкафе стоят два одинаковых контроллера с параллельно/последовательными цепями, но резервный контроллер выключен. :) При отказе основного приходит человек и переключает питание руками. С тем же успехом он просто заменил бы контроллер резервным, лежащим в это время на складе в ЗИПе (разъёмы дёрг, корпус с дин-рейки щёлк-щёлк, разъёмы обратно тык - и поехали). Это пример квазидублирования, но деньги тут реальные (двойной комплект дорогих контроллеров они таки купили).
Ответ есть в самом вопросе. "квази-" = "почти". Если требование "почти" то и реализация может быть "почти". Без "почти" здесь будут только деньги.

[Jackson]

Следует уточнить. Раз это для ПАЗ то надо ли дублирование? В большинстве случаев ПАЗ просто должна быть отказонезависима от САУ: то есть единичный отказ в САУ не должен никак влиять на ПАЗ. Обратите внимание на то, что обратного не требуется, то есть единичный отказ в ПАЗ может привести и к отказу САУ. Для функций ПАЗ тогда ставится отдельное устройство со своими датчиками, причём САУ для своей работы может читать данные с ПАЗ (раз в ПАЗ датчики уже есть, данные можно прочитать - зачем ещё свои ставить? цифровой интерфейс дешевле аналогового входа), а вот наоборот нельзя - ПАЗ для своей работы данные может брать только от собственных устройств, от САУ нельзя читать.

[Jackson]

И бесполезно объяснять, что логика 2oo2 - ЗЛО, ТРЕШ и УГАР. Что она не применима. Тем более для дискретных сигналов.
И что реальное улучшение ситуации с отказами и остановами может дать только (а может и не дать, смотря по конкретной ситуации) только 2oo2D или 2oo3.
А это гора-а-аздо дороже.

Ведь это отлично объясняется очень правильным вопросом "нахрена?". :)
2оо2 - можно с заказчика двойные деньги взять, и щёки надуть: "Вон какие мы крутые, дублированные системы делаем!". И ещё толщиной кошельков померяться можно будет (но не Вам, а руководству - они же тоже люди, у них своё мировоззрение).
2оо3 - те же двойные деньги с заказчика придётся тоже взять, но пойдут они на 2оо3, а не в доход, то есть не на понт.

А хороший понт - он дороже денег. Главное - не слишком увлекаться.

[Ryzhij]

...4-хкратное дублирование...

Если дублирование, то это "2-кратное резервирование".
А у Вас буквально - "8-кратное резервирование" )))

Отправлено спустя 3 минуты 31 секунду:

...хоть 8-микратно задублируй...

А тут уже 16-кратная аппаратная избыточность!!!
Одно правда - гнилая архитектура способна угробить любую избыточность.

[Jackson]

Если дублирование, то это "2-кратное резервирование".
А у Вас буквально - "8-кратное резервирование" )))

Это уже не у меня. Я только тех.проект делал на это дело, потом уволился. ПЭБ - Плавучий Атомный Энергоблок. Построили его уже без меня.

Одно правда - гнилая архитектура способна угробить любую избыточность.

Точно так. И нередко, к сожалению, так и случается.

[Alex]

Ну, что ж вы так чехвостите архитектуру 2оо2? Она вполне подходит, если вам нужно уменьшить вероятность аварийного останова по причине ложного срабатывания аварийной блокировки. Так что, опять же, зависит от вашего ответа на вопрос "на хрена".
Описанная автором топика система может быть сконфигурирована, как 2оо2 или 1оо2, в зависимости от того, как подсоединены выходы - последовательно или параллельно.
Для поднятия надёжности таких систем (борьбы с common cause of failure) стандарты рекомендуют использовать не идентичную, а разнородную компонентистику.

[Ryzhij]

Ну, что ж вы так чехвостите архитектуру 2оо2? Она вполне подходит, если вам нужно уменьшить вероятность аварийного останова по причине ложного срабатывания аварийной блокировки.

Ок! Начнём "от печки".
2oo2 в отношении чего?
Обычно имеют ввиду сигналы от двух датчиков состояния одного и того же технологического параметра и сигналы управления на исполнительный механизм. А что имеете в виду Вы?
Предположим, речь о датчиках.
От чего происходит ложное срабатывание блокировки? - Из-за неисправности датчика. Так?
Даю вводную - один датчик вышел из строя.
Как вы об этом узнаете? Диагностики-то нет, иначе это уже было бы 2oo2D. Т.е. - никак.
И вот, у нас уже есть недиагностируемый отказ, ведущий (в зависимости от того, какое значение относительно порогового принял сигнал с неисправного датчика) либо к вырождению схемы до 1oo1 с неопределённо долгим временем восстановления, либо - к исчезновению блокировки по этому тех.параметру.
Что лучше для Вас?
Лично мне неуютно в обоих случаях. Тут даже сигнализация о разности показаний не спасает, т.к. мы не знаем какому датчику верить.

А вот в схеме 2oo2D, или 2oo3, мы получаем и сигнализацию о неисправности, и вырождение схемы с контролируемым временем восстановления (узнали, значит исправим). Тайного отключения блокировки нет.

[Alex]

Да, к тому, о чём мы говорили ранее (на хрена) нужно добавить ещё одно условие - сначала договориться о терминах. У меня нет под рукой МЭК 61508, так что обратимся к первоисточнику:

IEC 61508-6

B.3.2.2.3 2oo2

This architecture consists of two channels connected in parallel so that both channels need to
demand the safety function before it can take place. It is assumed that any diagnostic testing
would only report the faults found and would not change any output states or change the
output voting.

Как видим, определение не утверждает, что нет диагностики, а всего лишь указывает, что диагностика напрямую не участвует в формировании выходного сигнала.
По результатам диагностики вы можете сгенерировать аларм и решить остановить процесс вручную или, например, заменить датчик.

Оределение 2oo2D я в МЭК не нашёл (видно, его надо искать в отечественной литературе), но по аналогии с 1oo2D можно предположить, что диагностика каким-то образом участвует в формировании выходов. Каким - надо прописывать в спецификации. У меня такой необходимости не возникало, потому что есть 1oo2D, но чем чёрт не шутит? может, ещё придётся.

[VADR]

Все зависит от ответа на знаменитый вопрос "Нахрена?".

Ответ прост и банален - деньги. Одиночный комплект какого-нибудь simatic 1200 с набором входов/выходов для такого количества сигналов влезет где-то в 500 евро. Два комплекта - 1000, три комплекта (и уже можно сделать 2oo3, если хорошо схемотехнику продумать) - 1500. Если брать того же Сименса дублируемые контроллеры 400FH, там только контроллерная часть потянет где-то от 20000. На серьёзные системы это, безусловно, обосновано. Но существуют объекты и попроще.

[Jackson]

Одиночный комплект какого-нибудь simatic 1200 с набором входов/выходов для такого количества сигналов влезет где-то в 500 евро. Два комплекта - 1000, три комплекта (и уже можно сделать 2oo3, если хорошо схемотехнику продумать) - 1500

Саш, ты забыл посчитать самое главное - "сделать".
Но в целом да. Я видел одну серийную установку, два экземпляра разных годов выпуска. Аварийных сигналов - штук 20 максимум, как у тебя сейчас. В первой для ПАЗ стоял отдельный контроллер безопасности PILZ и того же бренда вся схема ПАЗ. Наверное не надо объяснять, сколько это стоит. Во второй на несколько лет посвежее стоял всего один контроллер на всё, S7-300 кажется, а ПАЗ была сделана по сути на проводах. Надежность, отказоустойчивость - идентично, хотя на проводах даже лучше - PILZ периодически начинал компостировать мозг, от чего был риск завалить вообще весь объект.
То есть на первые образцы "погуляли на все", а потом всё-таки деньги решили посчитать. :)

Отсюда вопрос: зачем вообще нужен контроллер в ПАЗ на 20 сигналов? Зачем кому-то понадобится его ещё и дублировать? На основании какого норматива и с какой целью? И пока на эти вопросы ответов не будет - дальше всё бессмысленно. От цели и причин зависят и средства.

[VADR]

Отсюда вопрос: зачем вообще нужен контроллер в ПАЗ на 20 сигналов? Зачем кому-то понадобится его ещё и дублировать? На основании какого норматива и с какой целью?

Как я написал вначале - вопрос чисто теоретический. Но "в каждой шутке есть доля шутки", и любой теоретический вопрос может попасть в практическую реализацию. В моём случае, если перейти от теории к практике, химически опасный объект, фрагменты которого раскиданы на несколько километров, но количество оборудования мизерное. Нормативка по ХОПО диктует дублирование контроллеров. Не знаю, допускает ли эта нормативка реализацию ПАЗ без контроллеров вообще (задублировать при желании можно и реле :) ), но такие дистанции закрыть без оптики нереально. Вот и решил покопаться в вопросе, можно ли было это всё сделать дешевле. Реально жаба душит, хоть деньги и не мои.

В первой для ПАЗ стоял отдельный контроллер безопасности PILZ и того же бренда вся схема ПАЗ. Наверное не надо объяснять, сколько это стоит.

Не знаю, каких денег стоит PILZ. Совсем не знаком с этими контроллерами. Но, я так думаю, стоимость систем, обеспечивающих функционал одного уровня, лежит где-то в одном ценовом диапазоне (рынок есть рынок). Вот если у того же PILZ есть решения для малоразмерных систем, в которых при этом контроллеры можно задублировать, чисто теоретически это могло бы оказаться и подешевле Сименса.

[POV]

Вот я согласен с Евгением, разобраться по поводу нормативной базы и требованиям именно дублирования. Для примера, у Сименса полно маленьких контроллеров для F (в той же 1200 серии, сертификация до SIL3 и т.д.). Сейчас развивается новая линейка 1500R/1500H. А вот FH остались только старые 400. Странно это. Чтоб немцы отказались от денег? А ведь когда то у них был S5 095, именно в исполнении FH (оптическая связь для синхронизации, как у 400), и использовался именно для небольших ПАЗ с дублированием, сейчас выходит считают, что не нужна такая линейка.

[Jackson]

Тут надо вникать в задачу. Нам бы схемку, аль чертёж.
А почему не сделать классически? Локальная ПАЗ по месту, а на эти несколько километров гонять только информацию о её срабатывании.

[VADR]

Вот я согласен с Евгением, разобраться по поводу нормативной базы и требованиям именно дублирования.

Нормативка - Приказ Ростехнадзора от 21.11.2013 N 559 (ред. от 18.09.2017) "Об утверждении Федеральных норм и правил в области промышленной безопасности "Правила безопасности химически опасных производственных объектов"

97. Надежность систем ПАЗ должна быть обеспечена аппаратурным резервированием различных типов (дублирование, троирование), временной и функциональной избыточностью и наличием систем диагностики с индикацией рабочего состояния и самодиагностики с сопоставлением значений технологических связанных параметров. Достаточность резервирования и его тип обосновывает разработчик документации на ХОПО.

А ведь когда то у них был S5 095, именно в исполнении FH (оптическая связь для синхронизации, как у 400), и использовался именно для небольших ПАЗ с дублированием, сейчас выходит считают, что не нужна такая линейка.

Тут, как видите, в нормативке прописано именно аппаратное резервирование.

А почему не сделать классически? Локальная ПАЗ по месту, а на эти несколько километров гонять только информацию о её срабатывании.

Так от необходимости дублирования локальных ПАЗ по месту это не избавляет. А так - да, логично: небольшие системы ПАЗ для каждого узла, между ними - обмен информации о срабатывании. Всё равно весь смысл коммуникаций: при аварийной остановке любого узла - остановить все.

Сейчас развивается новая линейка 1500R/1500H.

Я на эту линейку смотрю и облизываюсь :). Надеюсь, её разовьют до FH (или FR, если иметь в виду младшие модели), и можно будет в ПАЗ использовать. А пока что это больше похоже на демонстрационные стендовые модели.

[POV]

Я вот по поводу этого 97 пункта хочу что спросить - а о какой части системы ПАЗ идет речь? Если даже просто разбить на датчики, модули ввода вывода, ЦПУ, то к чему эти требования относятся? Все компоненты должны быть дублированы или, например, F система с одним ЦПУ, но каналов ввода(модулей) там может быть два, датчиков тоже два, диагностика там есть и на аппаратном уровне модулей и на уровне F программы. Этого недостаточно?
Просто я встречал (не ПАЗ) системы где стояли 400Н, а вот модулей был один комплект. По мне так деньги на ветер.

А пока что это больше похоже на демонстрационные стендовые модели

Там идет постоянное улучшение (я тоже смотрю презентации), но до 400Н пока далековато, а еще надо бы и поддержку PCS7 или ее наследника.

[VADR]

Я вот по поводу этого 97 пункта хочу что спросить - а о какой части системы ПАЗ идет речь?

А вот фиг знает. В голову авторов документа не залезешь. И как на систему будут смотреть "проверяющие органы" с учётом данного документа - тоже непонятно.

Просто я встречал (не ПАЗ) системы где стояли 400Н, а вот модулей был один комплект. По мне так деньги на ветер.

Тут не согласен. У меня тоже есть не-ПАЗовские системы с дублированными контроллерами и одиночным вводом/выводом (не Сименс, но в данном случае непринципиально). По крайней мере они дают возможность выжить техпроцессу хотя бы частично и оперативному персоналу - как-то вытянуть техпроцесс.

[POV]

дают возможность выжить техпроцессу

Удобно только при внесении изменений, требующих обязательного останова, но на современных ПЛК (старших моделей в линейке) это и так обычно без стопа. Защищает от сбоя в самом ЦПУ? При отлаженном ПО как бы не менее вероятное событие. Как это не смешно, но все переключения между ЦПУ в тех системах были связаны именно со сбоями в модулях (или математике) синхронизации этих самых 400Н. Кстати, обычный (не Н) 400 намного стабильнее в работе, так как в его прошивке нет процедур синхронизации (очевидно непростых).

[Jackson]

Тут, как видите, в нормативке прописано именно аппаратное резервирование.

да нет же! Тут прописано требование оценить достаточность принятых мер. Если у тебя локальная нерезервированная ПАЗ резервируется общим нерезервированным контроллером и этого окажется достаточно - вот и решение. Резервирование функций есть? Есть. Надо оценить сначала.

Резервируются функции. Что это такое? Это значит одна функция выполняется в двух независимых местах. В одном месте это может быть контроллер, а в другом - набор релюх. Так разве нельзя сделать?
А что такое дублирование? Дублирование - это один из методов резервирования, вместо одного комплекта железа ставим два.
Резервируем функции, дублируем железо. Ключ в терминологии.

Отправлено спустя 2 минуты 3 секунды:
Вот же, чёрным по белому:

Достаточность резервирования и его тип обосновывает разработчик документации на ХОПО.

Отправлено спустя 13 минут 7 секунд:

Всё равно весь смысл коммуникаций: при аварийной остановке любого узла - остановить все.

А вот с этим осторожнее. Не всякий опасный процесс можно одномоментно просто остановить. Например, при отказе какого-нибудь компрессора действие ПАЗ может заключаться в пуске резервного компрессора, потому что если прекратить подачу какого-нибудь сырья совсем то техпроцесс грозит, скажем, взрывом, или сбросом в окр.среду ядов. Это от процесса зависит и тут нельзя рассуждать а-ля вообще.

Так что весь смысл коммуникаций как раз не в этом, а в том чтобы доставить информацию о срабатывании ПАЗ персоналу. ПАЗ должна сама по себе отработать. А Люди должны знать, что им делать: спасать ещё установку или уже драпать и эвакуировать семьи.

[VADR]

Достаточность резервирования и его тип обосновывает разработчик документации на ХОПО.

В моём случае разработчик как раз сказал - дублирование и сослался именно на этот документ.

Всё равно весь смысл коммуникаций: при аварийной остановке любого узла - остановить все.

А вот с этим осторожнее. Не всякий опасный процесс можно одномоментно просто остановить.

В моём случае это именно так, и в ТЗ от разработчика технологии так алгоритм прописан.

[Jackson]

В моём случае разработчик как раз сказал - дублирование и сослался именно на этот документ.

Так чего ты тогда голову ломаешь? Всё уже разработано ведь.

[VADR]

Так чего ты тогда голову ломаешь?

Я думал над другими возможными вариантами, не столь дорогими в реализации.

[Sasha-NIKISH]

Всем доброго времени суток!
Есть один маленький вопрос, дорогие форумчане: Для ХОПО II категории какие предусматриваются мероприятия в плане складирования химреагентов и подготовки к использованию их в схемах водоподготовки ПГУ?
Правила ХОПО просьба не указывать в ответе. Знаю, читал. Просьба поделиться опытом, если кто проектировал ПАЗ для ХОПО и автоматизацию ХОПО в целом. Где можно "нарваться на подводные камни" ?