Безопасные ПЛК

Существуют серьезные ограничения на использование ПЛК, в особенности при временных ограничениях на восстановление работоспособности после сбоя. ПЛК общего назначения, не имеющие специального допуска на применение в системах защиты. не могут использоваться в критичных по отношению к безопасности приложениях .

Рассмотрим разницу между безопасным ПЛК и обычным, и зададимся вопросом: почему обычные ПЛК не могут использоваться для реализации функций защиты и критичного по отношению к безопасности управления. Доктор William М. Goble, лидер независимой группы экспертов Exida, чей авторитет котируется в профессиональном мире уж никак не ниже пресловутого TUV, в статье "Conventional PLC vs. Safety PLC", Exida, 2000, указывает на принципиальную разницу между обычными и безопасными ПЛК.

Безопасные программируемые логические контроллеры специально спроектированы для достижения двух важнейших целей:

  • Обеспечение безотказности за счет достаточного уровня резервирования и, если отказа все же не удается избежать,
  • Отказ должен сказываться на процессе только предсказуемым, безопасным образом.

Для того чтобы наделить системы данным набором качеств, предпринимается ряд специальных проектных решений. Безопасные ПЛК имеют изощренную внутрисистемную аппаратную и программную диагностику. которая позволяет программно-техническому комплексу с большой степенью достоверности определять собственную нештатную работу:

  • Безопасные ПЛК имеют специальные средства для проверки правильности и надежности программного обеспечения.
  • Безопасные ПЛК по определению используют резервирование, которое позволяет поддерживать безопасность технологического процесса даже при отказе части оборудования .
  • Безопасные ПЛК имеют дополнительные средства защиты операций чтения и записи по каналам связи.

Однако доктор Goble не упоминает о самом важном качестве систем безопасности, ядро которых составляют безопасные ПЛК:

Системы, предназначенные для выполнения задач управления и защиты технологических процессов, - это детерминированные системы . то есть такие системы, которые должны обеспечивать реакцию на событие в течение известного предопределенного интервала времени при любых обстоятельствах.

Все элементы системы - от сенсора до исполнительного механизма - должны обеспечивать не абстрактное "математически" ожидаемое, а точно известное время реакции.


Сказанное означает, что детерминированная система должна обладать значительной аппаратной и функциональной избыточностью по всем компонентам системы: процессоры, память, шины данных, количество каналов ввода-вывода, частота сканирования каналов и программ, и т. д.

Промышленные сети также должны подчиняться этим требованиям. характеристикой промышленной сети должно быть гарантированное время реакции на событие, а не средняя скорость передачи.

Для недетерминированных систем собственные вычислительные ресурсы и средства коммуникации могут внести непредсказуемые задержки в силу различных внешних и внутренних причин :

  • Обработка асинхронных прерываний извне.
  • Отсутствие реальной многозадачности и неумение работать по приоритетам.
  • Ожидание освобождения общего ресурса (процессор, память, драйвер. ).
  • Использование устройств с непредсказуемым временем реакции (позиционирование жесткого диска) и тому подобное.

То, что недетерминированные системы не способны обеспечить заданное время реакции даже при отсутствии внешних причин, на своей шкуре испытано всеми пользователями Windows. Вам остается только с изумлением наблюдать, как система - и модель. и воплощение абсолютной власти -живет своей внутренней и очень насыщенной жизнью, которая к вам не имеет абсолютно никакого отношения. А ваши действия ей только мешают, и воспринимаются не иначе, как досадная необходимость чистить зубы. Воистину монумент бесконечному снобизму и авантюризму ее создателей. Но ради мирового информационного захвата и не такое сделаешь.

Детерминированное, предсказуемое поведение системы неразрывно связано с понятием жесткого реального времени. В жесткой системе:

  • Опоздания не допускаются ни при каких обстоятельствах.
  • Опоздание считается катастрофическим сбоем.
  • Цена опоздания очень велика.

Таким образом, системы безопасности в целом и безопасные ПЛК в частности, должны обеспечивать гарантированное время реакции на события. Это требование предполагает жесткий временной цикл работы системы, рассчитанный на самую неблагоприятную ситуацию по событиям.

Еще одним важным отличием безопасных ПЛК является независимая сертификация этих систем третьими организациями на предмет их соответствия требованиям безопасности и надежности по международным стандартам .

Дополнительные требования предъявляются к проектированию. изготовлению и тестированию данных ПЛК. Независимые эксперты третьей стороны, такие как Exida, TUV или Корпорация совместной инспекции производства. США (Factory Mutual Research Corporation - FM), обеспечивают проверку качества разработки. конструкции и заводских процедур тестирования безопасных ПЛК. Тщательный анализ применяемых схемных решений и диагностического программного обеспечения, полное тестирование оборудования с искусственным внесением всех мыслимых отказов позволяет определить и выявить более 99% потенциально опасных отказов компонентов системы. Чтобы понять, каким образом может отказать каждый компонент системы, как система способна выявить эти отказы, и как система реагирует на отказы, при конструировании проводится анализ режимов отказов, эффектов и диагностики отказов персонально выполняют процедуры тестирования отказов как часть процесса сертификации.

При испытаниях системного программного обеспечения проводится расширенный анализ и тестирование, включающее проверку операционных систем реального времени, многозадачного взаимодействия и прерываний. Все критические данные сохраняются в резервной памяти и проверяются перед использованием на соответствие спецификациям .

Для прикладного программного обеспечения ПЛК также разработаны международные стандарты (IEC 61131). Эти стандарты требуют использования специальных приемов и средств программирования для снижения сложности при реализации алгоритмов. Во время разработки прикладного программного обеспечения используются дополнительные средства тестирования. Для проверки целостности данных при тестировании также используется внесение ошибок в исходные данные. Спроектированное программное обеспечение и проведенное тестирование подробно документируются с тем, чтобы инспекторы могли понять работу системы.

Безусловно, между обычными ПЛК и ПЛК, предназначенными для решения задач безопасности, есть много общего. Например,

  • И те, и другие могут опрашивать входы, производить вычисления и выдавать управляющие воздействия ,
  • И те, и другие имеют модули ввода-вывода, которые позволяют им интерпретировать ситуацию на процессе и воздействовать на исполнительные элементы,
  • И те, и другие имеют интерфейсное и сетевое оборудование.

Но существенным является другое:

  • Обычные ПЛК изначально не спроектированы как отказоустойчивые и безопасные системы.
  • Обычные ПЛК не гарантируют детерминированного поведения системы.

И в этом состоит фундаментальная разница.

Появление международных стандартов безопасности, определяющих особые требования к проектированию, производству и конкретной реализации безопасных ПЛК, связано с всё большим усложнением технологических процессов, и соответствующим увеличением количества и масштабов аварий на производстве. Все, что способно снизить уровень этих требований, рассматривается как проявление легкомыслия и с профессиональной, и с социальной точки зрения, и с позиции коммерческих интересов.

По материалам сайта: http://automation-system.ru