Пульт дистанционного управления - что не для SCADA
У каждой технологии есть приложения, для которых она кажется превосходно подходящей, другие приложения, для которых она кажется лишь незначительно подходящей, и группу приложений, для которой ее просто не следует использовать. Когда технология очень молода, часто не ясно, какой из этих приложений следует избегать.
Закон Мерфи и дистанционное управление через SCADA (фото кредит: scadaradionetworks.com)
По мере созревания технологии жесткая школа опыта четко идентифицирует некоторые из них. В этой технической статье мы обсудим, не должны ли некоторые типы управления и приложения для сбора данных зависеть от SCADA для их работы.
Закон Мерфи и дистанционное управление
Мерфи живет! Если вы хотите это доказать, налейте кусочек хлеба и опустите его на пол. Если вы намерены доказать, что он всегда будет падать вниз, вы почти наверняка заметите, что это всего лишь около 50 процентов времени. С другой стороны, если вы случайно уроните его, он всегда падает вниз по массе.
Аналогичным образом система дистанционного управления или система сбора данных могут рассчитываться на безупречную работу до тех пор, пока не будет отправлено абсолютно сообщение, или часть данных, необходимых для финансовой непрерывности компании, работает от один конец системы - другой. Тогда система не сработает.
Вы можете протестировать систему. Вы можете выполнять все оценки по каждой отдельной части системы. Вы можете запустить проверку производительности системы в целом. Вы можете проконсультироваться с экспертами. Сколько раз Стюарту (автору) говорили технические специалисты по техническому обслуживанию: «Эта система должна быть абсолютно надежной. С тех пор, как я был здесь, это не сработало!
Поверьте: если вы будете зависеть от пульта дистанционного управления или системы сбора данных, чтобы справиться с какой-то важной функцией, это не сработает. Чем более критическая функция, тем быстрее и катастрофически она потерпит неудачу.
На протяжении многих лет были оценены сигналы, которые могут быть помещены в систему SCADA, чтобы определить, какие из них могут вызвать проблему. Конкретные сигналы, требуемые отдельными отраслями, будут различаться, но общие типы сигналов достаточно согласованы.
Два типа не должны зависеть от SCADA: первыми являются системы с инструментами безопасности, а во-вторых, системы измерения продукта, которые будут использоваться для выставления счетов или уплаты налогов и, следовательно, потребуют аудиторских следов.
Системы безопасности
Все процессы должны быть оснащены системой безопасности, если через отказ какой-либо части они могут причинить вред члену общественности или работнику или могут нанести ущерб оборудованию или окружающей среде. Системы с защитными приборами должны быть разработаны, чтобы переопределить обычные системы управления.
Разумеется, нормальная система управления предназначена для контроля рабочих параметров процесса и внесения необходимых корректировок, чтобы поддерживать процесс в пределах. Это гарантирует, что продукт соответствует предопределенной спецификации и что процесс и связанное с ним оборудование не протекают, не сгорают, не взрываются или не попадают в потенциально опасные контакты с людьми или окружающей средой.
Но нормальная система управления не всегда работает должным образом.
Иногда это является результатом механического отказа. Иногда исходное сырье не соответствовало спецификациям, или источник энергии не удался. Иногда цели, которые оператор установил для нормального контроля, были неверными. На рисунке 1 перечислены три характеристики, по которым проектируются системы с защитными приборами.
Рисунок 1 - Три основные конструктивные характеристики систем безопасности
- Должна иметь возможность переопределить нормальную систему управления.
- Не следует делиться компонентами с обычными элементами управления.
- Должно быть как можно проще.
Если система с защитным оборудованием предназначена для переопределения нормальной системы управления, она может работать, чтобы обеспечить безопасность процесса, даже если одновременно в системе управления одновременно происходят несколько сбоев. Если система безопасности оборудована таким образом, чтобы ее целостность не зависела от непрерывной работы этих элементов нормальной системы управления, совместная надежность этих двух систем будет улучшена.
И, если система безопасности будет следовать за максимальной армией США, «KISS (Keep It Simple, Stupid!)», С минимальным количеством деталей, электрическими контактами и инструкциями, она будет неизменно работать лучше.
Рисунок 2 - Системы безопасности, использующие SCADA, становятся очень сложными
Последние два из этих трех условий для систем с защитными приборами противоречат включению системы SCADA в систему безопасности.
Что касается непрерывной работы системы управления, было бы целесообразно связать датчики и исполнительные механизмы, предназначенные для системы безопасности, в SCADA. Как правило, не представляется возможным установить второй RTU, систему связи или MTU только для системы безопасности. На рисунке 2 показано, насколько сложной может быть ситуация даже для простой системы.
«Сохранение простоты» может быть относительной концепцией, но лишь немногие квалифицированные дизайнеры утверждают, что SCADA достаточно прост, чтобы квалифицироваться как подходящий элемент системы безопасности. Это не означает, что SCADA не может использоваться для повышения безопасности географически разнообразных систем.
Трубопроводы часто защищены от утечек путем измерения притока и оттока, вычитания двух и закрытия клапанов вдоль линии, если разница становится слишком большой. Однако то, что он говорит, заключается в том, что чувствительные, логические и исполнительные функции системы безопасности на локальном сайте не должны полагаться на систему SCADA.
Фактически, дизайн процесса, который должен контролироваться и контролироваться системой SCADA, должен всегда включать оценку результата каждого мыслимого типа отказа SCADA. Эти оценки выявят некоторые сбои, которые можно классифицировать как «высокий риск».
Риск измеряется как результат вероятности отказа и последствий отказа. Если вероятность высокая и ее последствия незначительны, то риск невелик. Аналогично, если вероятность приближается к нулю, но следствие велико, тогда риск невелик.
Но в некоторых условиях вероятность сбоя будет достаточно высокой, а последствия отказа будут серьезными. Такие условия будут указывать на ситуацию высокого риска.
На рисунке 3 показана матрица этого метода для определения общего риска.
Рисунок 3 - Матрица метода установления общего риска
Оценка риска становится самостоятельной инженерной специальностью. Это должно осуществляться людьми, которые знакомы с процессом, оборудованием, условиями эксплуатации и методами оценки. Следует избегать аварий с высоким уровнем риска, устанавливая местные системы безопасности.
Международное общество автоматизации (ISA) разработало стандарт ANSI / ISA-84.01 - Программируемые электронные системы для использования в системах безопасности, в которых рассматриваются требования систем безопасности.
Пример того, что не для дистанционного управления
Следующий пример иллюстрирует одно из немногих приложений высокого риска, в которых SCADA участвует в системе, связанной с безопасностью. Даже здесь может быть задействована локальная защита петли. В этом примере система SCADA контролирует приток и отток жидкого углеводородного трубопровода.
Рисунок 4 - Система SCADA в жидком углеводородном трубопроводе
В местоположении MTU выполняются вычисления для определения того, равен ли приток равным или меньшим, чем отток. Если измеряется большее количество жидкости, идущей в линию, чем выход из нее, MTU распознает утечку и отправит сообщение на RTU на каждом конце, что приведет к закрытию блочного клапана в каждом из этих двух мест. В качестве альтернативы MTU может отправить тревожное сообщение оператору, который затем примет решение о том, следует ли закрывать линию, закрывая вентили с дистанционным управлением.
Murphy имеет право вызывать радио на одном из сайтов RTU или на сайте MTU (или все три в этом отношении), чтобы стать непригодным в тот момент.
Вместо того, чтобы позволить насосу продолжать подавать масло в линию, разработчик должен предположить, что MTU не отправит своевременную инструкцию по отключению.
Рисунок 6 - Локальная остановка
Локальный замкнутый контур, как показано на рисунке 6 выше, который основан на низком давлении или скорости изменения перепада давления, не будет быстро обнаруживать небольшие утечки, но обеспечит защиту для больших утечек. Большие из них - самые тяжелые последствия.
Ссылка // Наблюдательный контроль SCADA и сбор данных Стюартом Бойером (Купить мягкую обложку из Amazon)