Электроника:Цифровая электроника/Релейная логика/Отказоустойчивость

Материал из Онлайн справочника
Перейти к навигацииПерейти к поиску

Перевод: Макаров В. (valemak) Контакты:</br>* Habr: @vakemak</br>* Сайт: www.valemak.com</br>Перевёл статей: 656.
Проверка/Оформление/Редактирование: Мякишев Е.А.


Отказоустойчивость[1]

Логические схемы, состоящие из электромеханических реле или твердотельных вентилей, могут быть построены множеством различных способов для выполнения одних и тех же функций.

Обычно не существует «самого правильного» способа спроектировать сложную логическую схему, но обычно есть способы, которые в каких-то аспектах лучше других.

В системах управления безопасность является (или, по крайней мере, должна быть) важнейшим приоритетом при проектировании.

Если существует несколько способов, которыми цифровая схема управления может быть спроектирована для выполнения задачи, и один из этих способов обладает определёнными преимуществами в безопасности по сравнению с другими, то этот вариант является предпочтительным.

Реализация релейной логики в системах управления

Давайте посмотрим на простую систему и рассмотрим, как её можно реализовать в релейной логике.

Предположим, что большая лаборатория или производственное здание должно быть оборудовано системой пожарной сигнализации, активируемой одним из нескольких фиксирующих переключателей, установленных по всему объекту.

Система должна работать так, чтобы сирена тревоги включалась при срабатывании любого из переключателей.

На первый взгляд кажется, что логика реле должна быть невероятно простой: можно просто использовать нормально разомкнутые контакты в переключателях и подключить их все параллельно друг другу:

Рис. 1. Простейшая, но наивная схема пожарной сигнализации.
Рис. 1. Простейшая, но наивная схема пожарной сигнализации.

По сути, это логическая функция ИЛИ, реализованная с помощью четырёх переключающих входов.

Мы могли бы расширить эту схему, включив в неё любое количество входов с переключателями, каждый новый переключатель добавляется в параллельную сеть, но в этом примере я ограничусь четырьмя, чтобы не усложнять задачу.

Во всяком случае, это элементарная система, и вероятность возникновения проблем невелика.

За исключением случая отказа проводки, ибо природа электрических цепей такова, что отказы «обрыва цепи» (разомкнутые контакты переключателя, разорванные соединения проводов, разомкнутые катушки реле, перегоревшие предохранители и т.д.) статистически наиболее вероятны, чем любой другой вид сбоев.

Имея это в виду, имеет смысл спроектировать схему, чтобы она была максимально устойчивой к таким отказам. Допустим, проводное соединение для коммутатора № 2 оказалось разомкнутым:

Рис. 2. Обрыв цепи рядом с переключателем №2.
Рис. 2. Обрыв цепи рядом с переключателем №2.

Если бы произошел этот сбой, то в результате переключатель № 2 больше не подавал бы питание на сирену при срабатывании.

Это, очевидно, не есть хорошо для системы пожарной сигнализации. Если система не будет регулярно проверяться (в любом случае, это хорошая идея – почаще проверять боеготовность «пожарки»), никто не узнает о проблеме, пока кто-нибудь не попытается использовать этот переключатель в аварийной ситуации (и он не сработает).

Можно ли так модернизировать систему, чтобы подавать сигнал тревоги в случае отказа из-за обрыва цепи?

Таким образом, отказ в проводке приведёт к ложной тревоге, что будет меньшим злом, чем случай, когда переключатель незаметно выходит из строя и не функционирует, когда это жизненно необходимо.

Чтобы достичь этой цели проектирования, можно перемонтировать переключатели так, чтобы разомкнутый (а не замкнутый) контакт подавал сигнал тревоги.

В этом случае переключатели должны быть нормально замкнутыми и включены последовательно (а не параллельно) друг с другом, запитывая катушку реле, которая затем активирует нормально замкнутый контакт для сирены:

Рис. 3. Перемонтируем цепь, сделав переключатели нормально разомкнутыми и соединёнными последовательно.
Рис. 3. Перемонтируем цепь, сделав переключатели нормально разомкнутыми и соединёнными последовательно.

Когда все переключатели не сработали (нормальное рабочее состояние этой системы), реле CR1 будет активировано, таким образом удерживая контакт CR1 открытым, предотвращая подачу питания на сирену.

Однако, если сработает какой-либо из переключателей, реле CR1 обесточится, замкнув контакт CR1 и включив звуковой сигнал.

Кроме того, при обрыве проводки в любом месте верхнего звена цепи также сработает звуковой сигнал.

Когда обнаруживается, что тревога ложная, рабочие на предприятии узнают, что что-то вышло из строя в системе сигнализации и что её необходимо отремонтировать.

Конечно, схема усложнилась, и система всё ещё может выйти из строя в «незаметном» режиме из-за разрыва соединения в нижнем звене, но это гораздо более безопасная конструкция, чем исходная схема, и поэтому более предпочтительная.

Применение отказоустойчивых конструкций в системах управления

Эта конструкция схемы называется отказоустойчивой из-за её предполагаемой конструкции по умолчанию, рассчитанной на самый безопасный режим в случае общей неисправности, вроде обрыва соединения в проводке переключателя.

Отказоустойчивое проектирование всегда начинается с предположения о наиболее вероятном типе отказа проводки или компонента, а затем нужно стремиться к тому, чтобы подобный отказ заставлял схему действовать самым безопасным образом, причем «самый безопасный способ» определялся физическими характеристиками процесса.

Возьмём, к примеру, электрический (соленоидный) клапан для подачи охлаждающей воды в машину.

Подача энергии на катушку соленоида приводит в движение якорь, который затем либо открывает, либо закрывает механизм клапана, в зависимости от того, какой тип клапана мы укажем.

Пружина вернёт клапан в его «нормальное» положение, когда соленоид обесточен.

Мы уже знаем, что обрыв в проводке или катушке соленоида более вероятен, чем короткое замыкание или любой другой тип отказа, поэтому мы должны спроектировать эту систему так, чтобы она работала в наиболее безопасном режиме с обесточенным соленоидом.

Если это охлаждающая вода, которую мы контролируем с помощью этого клапана, скорее всего, безопаснее включить охлаждающую воду в случае сбоя, чем отключать, поскольку последствия работы машины без охлаждающей жидкости обычно бывают серьёзными.

Это означает, что мы должны использовать клапан, который включается (размыкается) при обесточивании и выключается (замыкается) при подаче напряжения. Установка такого клапана может показаться конструкцией «наоборот», но в конечном итоге это и сделает систему более безопасной.

Одно интересное применение отказоустойчивой конструкции – на распределительных электростанциях, где большие автоматические переключатели должны отключаться и замыкаться электрическими управляющими сигналами от защитных реле.

Если реле модели 50/51 (с мгновенной и временной токовыми перегрузками) будет подавать команду на отключение (размыкание) автоматического переключателя в случае сверхтока, следует ли нам спроектировать его так, чтобы реле замыкало контакт переключателя для отправки сигнала «отключения» к переключателю или размыкало контакт переключателя, чтобы прервать регулярно поступающий сигнал «включено» и инициировать срабатывание переключателя?

Мы знаем, что с наибольшей вероятностью произойдёт размыкание соединения, но какое состояние системы является наиболее безопасным: переключатель разомкнут или переключатель замкнут?

Сначала может показаться, что безопаснее было бы иметь большое отключение автоматического переключателя (размыкание и отключение питания) в случае обрыва цепи управления защитным реле, точно так же, как это было по умолчанию в системе пожарной сигнализации: состояние тревоги при любом отказе переключателя или проводки.

Однако в мире высоких мощностей не всё так просто. Непроизвольное отключение большого автоматического переключателя – нетривиальная задача, особенно когда множество потребителей зависят от непрерывной подачи электроэнергии для снабжения больниц, телекоммуникационных систем, систем очистки воды и других важных инфраструктурных объектов.

По этой причине проектировщики энергосистем в целом условились разрабатывать схемы защитных реле для вывода сигнала замкнутого контакта (подачи питания) для размыкания больших автоматических переключателей, что означает, что любой обрыв цепи управления останется незамеченным, просто оставив переключатель в цепи, сохраняя статус-кво.

Это идеальная ситуация? Конечно, нет. Если защитное реле обнаруживает токовую перегрузку при отказе разомкнутой цепи управления, оно не сможет отключить автоматический переключатель.

Как и в случае с системой пожарной сигнализации, «незаметный» отказ будет очевиден только тогда, когда система понадобится.

Однако другой способ спроектировать схему управления – так, чтобы любой обрыв цепи немедленно отключал автоматический переключатель, потенциально отключая большие участки электросети, - на самом деле ещё более худшая альтернатива.

Можно написать объёмный талмуд о принципах и практиках проектирования надёжных отказоустойчивых систем.

По крайней мере, теперь вы знаете несколько основных моментов: что отказ в виде обрыва проводки случается гораздо чаще, чем короткое замыкание, и поэтому при обрывах электрическая система управления должна сигнализировать о неполадке, чтобы устранить её в самый безопасный период.

Эти фундаментальные принципы распространяются и на неэлектрические системы: определить наиболее распространённый режим отказа, а затем спроектировать систему так, чтобы этот самый вероятный режим отказа переводил систему в наиболее безопасное состояние.

Итог

  • Цель отказоустойчивой конструкции - сделать систему управления максимально устойчивой к вероятным отказам проводки или компонентов.
  • Наиболее распространённый тип неисправности проводки и компонентов – это «обрыв» цепи или соединения. Следовательно, отказоустойчивая система должна быть спроектирована таким образом, чтобы по умолчанию работать в наиболее безопасном режиме в случае обрыва.

См.также

Внешние ссылки