Программируемый логический контроллер для систем ПАЗ REGUL R500S

Контроллер REGUL R500S:

• специализированное изделие для построения систем ПАЗ на опасных производственных объектах;
• соответствует уровню полноты функциональной безопасности УПБ3 (SIL3) по ГОСТ Р МЭК 61508 (IEC 61508), что подтверждается международным сертификатом и рассчетными параметрами надежности;
• отечественная разработка.

На опасных производственных объектах крайне важно обеспечить надежную защиту персонала, технологического оборудования и окружающей среды в случае возникновения нештатной ситуации, развитие которой может привести к аварии. Для этого должна быть построена независимая от основной системы управления система противоаварийной автоматической защиты (ПАЗ).

К системам ПАЗ и контроллерам, на базе которых они построены, российскими и международными стандартами предъявляются очень высокие требования, в том числе и в отношении программного обеспечения, что не позволяет использовать для таких систем обычные ПЛК.

Новый контроллер REGUL R500S базируется на платформе существующего серийно выпускаемого контроллера, но представляет собой совершенно новую разработку, выполненную по стандарту ГОСТ Р МЭК 61508 (IEC 61508).

Соответствие аппаратной части контроллера REGUL R500S уровню полноты безопасности SIL3 обеспечивается следующими решениями:

• аппаратное резервирование компонентов каждого канала внутри модулей ввода / вывода.
• поддержка резервирования всех модулей контроллера (дублирование, троирование).
• глубокая самодиагностика, позволяющая обнаружить внутренний отказ и гарантированно перевести всю систему управления процессом в предопределенное безопасное состояние.
• в каждый модуль ввода-вывода встроен сертифицированный микропроцессор, обеспечивающий первичную обработку сигналов или конечную логику состояния выходов, в зависимости от типа модуля, и независимый аппаратный сторожевой таймер.
• две внутренние шины электропитания ПЛК и возможность подключения двух внешних шин к модулям ввода / вывода для питания внешних цепей. Осуществляется постоянная диагностика напряжения питания и, в случае возникновения эксплуатационному персоналу. При этом контроллер продолжает функционировать и выполнять функцию контроля и управления без перехода в безопасное состояние, давая возможность эксплуатационному персоналу устранить неисправность.
• дублированная шина передачи данных между модулями центрального процессора (ЦП) и модулями ввода / вывода при дублировании ЦП.

Для повышения уровня покрытия диагностикой в контроллере REGUL R500S для разработчика системы доступен широкий набор средств контроля за параметрами цепей измерения и управления:

• контроль питания канала датчика с защитой от короткого замыкания и перегрузки;
• контроль внешней цепи аналогового сигнала на обрыв и короткое замыкание, в зависимости от типа модуля, и функция диагностики по диапазону сигнала;
• контроль внешней цепи дискретного входного сигнала на обрыв и короткое замыкание (дискретные входные модули по спецификации NAMUR);
• дискретные выходные модули с контролем тока в цепи.

Такая глубокая упреждающая диагностика позволяет обеспечивать своевременное выявление и корректное определение отказа, что в свою очередь дает эксплуатации время на устранение неисправности.

Для обеспечения беспрерывности работы технологического оборудования в контролере REGUL R500S предусмотрена возможность использования резервных модулей ввода-вывода (резервных сборок), состоящих из двух или трех модулей одного типа. Полученная  избыточность позволяет уменьшить количество безопасных отказов, т. е. отказов, вызванных не аварийной ситуацией на технологическом объекте, а неисправностью системы ПАЗ, в том числе полевого и контроллерного оборудования. Это дает возможность оперативной замены дублированных компонентов системы без остановки технологического процесса. Создание резервированных сборок поддержано на уровне среды разработки. Для сборки из двух модулей дискретного ввода / вывода возможно объединение логическими функциями «И» и «ИЛИ», для сборки из трех модулей появляется еще возможность мажоритарного выбора – «2 из 3‑х». Для модулей аналогового ввода возможен выбор значения при объединении сигналов минимальное, максимальное или медианное значение (для трех модулей).

Логика обработки сигналов в резервированных сборках учитывает результаты диагностики отдельных модулей. 

Наличие в контроллере двух независимых шин данных и поддержки дублирования модулей ЦП позволяет реализовывать на базе контроллера системы уровня SIL3 High Availability. Такие системы, собранные по схеме 1оо2, любой единичный отказ в которых не приведет к выдаче команды на перевод системы в безопасное состояние, применяются на объектах повышенной опасности с непрерывным технологическим циклом.

Программное обеспечение контроллера REGUL R500S:

• работа ПЛК осуществляется под управлением специализированной операционной системы, сертифицированной на применение в оборудовании с уровнем функциональной безопасности до SIL3;
• встроенное системное программное обеспечение, включая протокол передачи данных между ЦПУ и модулями ввода/вывода, разработано компанией «Прософт‑Системы» в соответствии с требованиями стандарта ГОСТ Р МЭК 61508; 
• среда разработки также является продуктом компании «Прософт‑Системы», созданным на базе Astra.IDE. Имеется собственный встроенный Safety-редактор и компилятор, выполненный в соответствии с требованиями стандарта ГОСТ Р МЭК 61508.

Скриншот интерфейса ПО Astra.IDE

Все разрабатываемое программное обеспечение проверяется специальными сертифицированными средствами статического анализа на соответствие стандарту MISRA C:2012.

МОДУЛИ КОНТРОЛЛЕРА REGUL R500S

1. Модули центрального процессора
2. Модули ввода/вывода
3. Модули источника питания
4. Модули шасси
5. Оконечные модули

Модули центрального процессора

Модули ввода/вывода

Модули источника питания

Модули шасси

Оконечные модули

ПОСТРОЕНИЕ СИСТЕМ ПРОТИВОАВАРИЙНОЙ ЗАЩИТЫ НА БАЗЕ КОНТРОЛЛЕРА REGUL R500S

Каждый модуль контроллера в отдельности соответствует уровню полноты безопасности SIL3. Поэтому для построения системы ПАЗ с подобным уровнем достаточно применить одноканальный контроллер без резервирования модулей.

Единственным дублированным модулем в данном случае является модуль источника питания. При этом каждый такой модуль конфигурируется для подключения к одной из двух шин внутреннего питания.

Одноканальная конфигурация R500S

Для защиты от безопасных отказов в контроллере предусмотрена возможность создавать резервированные сборки модулей ввода / вывода. Для удобства использования резервированных сборок могут применяться терминальные панели, выполняющие функции размножения / объединения сигналов, а также функции взрывозащиты посредством устанавливаемых искробарьеров или преобразования типов / уровней сигналов. Терминальные панели позволяют дублировать входной сигнал от одного датчика на несколько модулей ввода или наоборот – несколько сигналов от модулей вывода собирать в один сигнал управления.

В случае применения резервированной сборки модулей ввода, на уровне прикладной программы разработчику доступны как индивидуальные данные от каждого модуля из резервированной сборки, так и итоговое значение  технологического параметра, полученного на основе выборки и сравнения показаний от каждого модуля. Настройка алгоритма самой выборки также доступна пользователю и включает в себя такие параметры, как схема принятия решений (1оо3, 2оо3), границы достоверности, критерии безопасности сигнала (какой сигнал считать более безопасным: большее или меньше, «0» или»1») и пр.

Резервированная сборка модулей ввода R500S

Для резервированных сборок модулей дискретного вывода может быть реализована функция диагностирования отказа внешнего коммутационного оборудования путем попеременного отключения параллельных контактов цепей управления исполнительных механизмов. В таких схемах поочередное коммутирование с большим циклом (часы) позволяет вовремя обнаружить залипания контактов аппаратуры и снизить процент недиагностируемых опасных отказов.

Резервированная сборка модулей вывода R500S

Применение в контроллере REGUL R500S безопасного канала передачи данных для обмена данными между модулями в составе ПЛК позволяет использовать стандартные средства коммуникации, при этом разделив данные участвующие и не участвующие в функциях безопасности. В целом для контроллера REGUL R500S справедливы те же самые правила построения крейтов и соединения крейтов между собой, как и для контроллера REGUL R500. А использование оконечных модулей с SFP-разъемами позволяет устанавливать крейты расширения на практически любом удалении от крейта центрального процессора, приближая модули измерения и управления непосредственно к технологическому объекту, тем самым уменьшая длину сигнальных линий и увеличивая надежность системы в целом.

В составе контроллера REGUL R500S можно использовать все модули ввода / вывода и коммутационные модули из номенклатуры контроллера REGUL R500. Информация с этих модулей может использоваться для получения дополнительной диагностической информации или для передачи данных от и в контроллер РСУ или на уровень SCADA-системы. Но архитектура контроллера REGUL R500S устроена таким образом, что данные от модулей контроллера REGUL R500, работающие в его составе, гарантированно не будут использованы в алгоритме безопасности.

Для непрерывных производств и технологических процессов, останов в которых ведет к значительным временным и финансовым потерям, архитектура котроллера REGUL R500S позволяет разрабатывать дублированные системы управления, работающие по схеме 1оо2. При этом, в отличие от классического резервирования, здесь оба центральных процессора являются ведущими и квалифицированное решение о том, что технологический объект необходимо перевести в безопасное состояние, принимает любой из центральных процессоров. Но при этом любой безопасный отказ контроллера не приведет к останову технологического цикла – произойдет лишь деградация контроллера из схемы 1оо2 в одноканальный контроллер ПАЗ. Это дает время эксплуатационному персоналу произвести все необходимые манипуляции для ремонта и замены отказавшего оборудования.

При этом, опять же благодаря платформе контроллера REGUL R500, разработчику доступны все те многочисленные схемы построения дублированной системы, что и у стандартного контроллера РСУ. Здесь и стопроцентное дублирование, дублирование только модулей центрального процессора, и размещением модулей центральных процессоров в разных крейтах.

Конфигурация R500S с полным дублированием модулей

Архитектура ПЛК REGUL R500S