ЖУРНАЛ СТА 3/2009

С ТАНДА Р Т ИЗАЦИЯ И С Е Р Т ИФИКАЦИЯ 111 CTA 3/2009 www.cta.ru Примером опасного отказа может быть случай, когда контакты реле привари- ваются и не могут разомкнуться в нуж- ный момент. Принятая интенсивность такого отказа равна 0,02/год; это озна- чает, что вероятность отказа системы на выполнение запроса в заданный период времени (1 год) равна 2% или ● в течение года 2 системы из 100 не вы- полнят запрос, ● в течение года 1 система из 50 не вы- полнит запрос, ● MTBF D (для опасных отказов) равно 50 (1/0,02) годам. Архитектура 1оо2 (один из двух) Система с дублированной архитекту- рой 1оо2 имеет выходные контакты, со- единённые последовательно и замкну- тые при включённом питании. Системе достаточно одного канала, чтобы обес- печить аварийное отключение. Если лю- бой из каналов может остановить си- стему, а каналов в системе в два раза больше, чем в симплексной системе (1оо1), то и ложных отключений может быть в два раза больше. Поэтому и ин- тенсивность таких событий увеличива- ется с 0,04 до 0,08/год. Это означает, что 8 систем из 100 дадут ложное выключе- ние в течение года или что MTBF S со- ставляет 12,5 лет. Опасный отказ для такой системы на- ступает, когда в обоих каналах одновре- менно произошли опасные отказы, так как, если только один выходной контакт «залип», второй ещё может отключить систему. Интенсивность одновременных отказов составляет 0,02 × 0,02 = 0,0004/год. Это означает, что за год 4 си- стемы из 10 000 или 1 система из 2500 не выполнят запрос, или что вероятность отказа системы за 2500 лет равна 1, или что MTBF D равно 2500 годам. Другими словами, системы с архитек- турой 1оо2 отличаются высокой без- опасностью (вероятность опасного от- каза системы крайне мала), однако они имеют в два раза большую вероятность ложных срабатываний, что нежела- тельно с точки зрения потерь продук- ции, связанных с простоем. Архитектура 2оо2 (два из двух) Система с дублированной архитекту- рой 2oo2 имеет выходные контакты, со- единённые параллельно. В данном слу- чае оба канала должны быть обес- точены, чтобы остановить процесс. Отказ в работе такой системы наступает, если происходит опасный отказ в одном из каналов. Поскольку система имеет в два раза больше компонентов (каналов), чем симплексная система (1оо1), коли- чество опасных отказов в ней может быть в два раза большим. Поэтому при- нятая для симплексной системы интен- сивность опасных отказов 0,02/год здесь увеличивается в два раза до 0,04/год, то есть за год 4 системы из 100 или одна из 25 не выполнят запрос, а MTBF D = 25 годам. Ложное срабатывание в данной си- стеме происходит, когда в обоих каналах одновременно случается безопасный от- каз. Интенсивность таких одновремен- ных отказов составляет 0,04 × 0,04 = 0,0016/год. Это означает, что за год 16 систем из 10 000 дадут ложное срабаты- вание, или 1 система допустит ложное срабатывание в 625 лет, или MTBF S = 1/0,0016 = 625 лет. Таким образом, система с архитекту- рой 2оо2 защищает от ложных срабаты- ваний (вероятность безопасного отказа очень мала), однако по части опасных отказов она менее безопасна, чем даже нерезервированная система с архитек- турой 1оо1, что нежелательно с точки зрения обеспечения общей безопасно- сти. Это не означает, что система 2оо2 «плохая» или что она не должна исполь- зоваться. Если соответствующее значе- ние PFDavg удовлетворяет нас с пози- ций обеспечения требуемого уровня без- опасности, то такая архитектура приемлема. Архитектура с тройным модульным резервированием 1oo3 (один из трёх) Системы с тройным модульным ре- зервированием (Triple Modular Redun- dancy – TMR) были широко распро- странены в середине 80-х годов прошлого века, поскольку тогда ком- пьютерные системы имели ограничен- ный уровень диагностики. Например, если в системе были только два сигнала и они не совпадали, то не всегда можно было определить, какой из них правиль- ный. Добавление третьего канала ре- шало эту проблему. Тройное модульное резервирование используется там, где необходимо обес- печить функциональную безопасность в течение длительного периода без оста- новок оборудования для обслуживания (5-10 лет). TMR также применяется, ко- гда надо обеспечить уровень безопасно- сти SIL 3, а доступны только устройства с уровнем SIL 1. Архитектуры 2оо3 (два из трёх) и 1оо2D (один из двух с диагностикой) Система с архитектурой 2оо3 ис- пользует голосование. Решение в ней принимается на основе результатов го- лосования два из трёх. Что сначала удивляет людей, так это то, что си- стема 2оо3 имеет более высокую ин- тенсивность ложных срабатываний, чем система 2оо2, и большую веро- ятность отказов, чем система 1оо2. Од- нако архитектуры 1оо2 и 2оо2 неудов- летворительны с точки зрения опас- ных отказов и ложных срабатываний, в то время как системы с архитекту- рой 2оо3 имеют хорошие показатели по отказам обоих видов (безопасным и опасным). Благодаря совершенствованию аппа- ратной части и программного обес- печения теперь отказы в компьютер- ной системе с двойным резервирова- нием могут диагностироваться доста- точно хорошо, что позволяет опреде- лить, какой из двух каналов исправен в случае, если между ними возникает раз- ногласие. В промышленности эту но- вую двойную архитектуру систем назы- вают 1оо2D. Такие системы сертифи- цированы независимыми агентствами (например, TU .. V и FM) на том же уровне безопасности, что и TMR- системы. К сожалению, сертификация без- опасности не касается показателей лож- ного срабатывания. Это создаёт усло- вия для того, чтобы производители TMR-систем критиковали системы 1оо2D по данным показателям. Однако нельзя назвать такую критику заслу- женной, так как благодаря непрерыв- ному совершенствованию технологии ПЛК, используемых в системах без- опасности, некоторые системы 1оо2D на базе таких контроллеров имеют хо- рошие показатели по уровню ложных срабатываний. Преимущества архитектур 2oo3 или 1oo3 остаются существенными, когда приходится иметь дело с неинтеллекту- альными устройствами, такими как тер- мопары, термометры сопротивления, реле, датчики давления и другие подоб- ные компоненты. Пример Очень хорошая термопара имеет сред- нее время между отказами MTBF = 500 лет и PFDavg = 0,0005/год. Интенсивность отказов λ = 1/MTBF = 0,002. Интенсивность опасных недетек- © СТА-ПРЕСС