从严格的字面意思来看,
安全性 是指对TUV 安全规约的 遵循程度,
可用性才是我们最通常说的 “安全性”。
如果当单机系统 即可达到SIL3时,
那么冗余等措施 只是增强系统的可用性,实现高可用性,
而不是提高其安全性。
目前看来, 冗余措施可以大大增强系统的 可用性(或者说可靠性)。
从概率论角度来讲,
器件越多,功能越复杂,整体可靠性反而要越下降才对。
所以,要实现冗余的系统,其单机时的 可靠性本身就必须足够的高,
否则就会实现 达非所愿的情况, 单机时本来还比较可靠,一旦冗余,导致很复杂后,反而降低了整体可靠性。
冗余的必要性,不在于 控制系统厂家对自身系统 可靠性不自信,而采取的增强措施,
要实现冗余的系统,其单机时 本身的可靠性 其实已经大大超出了 自家的其他系统,
冗余的必要性,在于必须要实现对不可预知因素的抵抗,
例如单路电源失效,例如单路通讯中断,等等。
你能认为单机的 Quantum的可靠性比 单机的 twindo 或者 M340 更低吗?
就统计学的方向来看,真正出问题的几乎全部是 外围器件,例如 电源和通讯,
而CPU本身故障而导致的 问题其实是最少见的。
因此哪些 2个CPU 并插在一个底板上,甚至不做电源冗余的 系统看起来就极其的可笑。
冗余是否有必要,从 电力,冶金,石化,核电,航天系统的 应用就可以看出来。
很多厂家为了冗余 而冗余,
大家都认为 CPU是最关键的器件,而进行CPU冗余。
这其实是片面的。
如果真正要说冗余,门道就多了。
1。电源其实 是最应该冗余的,这没有任何悬念,没有任何可以争议的地方;
2。通讯要不要冗余? 通讯一定要冗余。 现场最容易出问题的除了 电源,就是通讯。
目前有少数PLC 通讯冗余 还有问题, 例如AB的Logix5000;
3。CPU 要不要冗余,我觉着这个问题见仁见智。
目前看来,冗余还是有必要的,当然是主要针对 系统失效导致损失比 控制系统本身昂贵的多的行业。
目前关于冗余 和表决,和几重化 看起来是个热门词汇,
一大堆懂得,不懂得,都在忽悠。
例如ICS的3重化 叫冗余吗? 是3个CPU 芯片在一个CPU模块中表决, 安全性(TUV规定的安全规约)是到SIL3了
可靠性,可用性呢? 为了实现高可用性, ICS Trusted 系统依然得采用 CPU冗余的模式。
不过,插2个 CPU模块,难道就能叫 6重化了么? 目前 3-3-2-0 的安全降级模式还不被很多用户和业内专家所认可。
再忽悠到 Honeywell FSC,或者HIMA的4重化。
这到底是算冗余,还是算表决?
其实根本就不是 4个 CPU在表决, 是双CPU的冗余系统,每个CPU 模块内部有2个CPU芯片在表决。
算是 表决 + 冗余。
真正shuai LM 耍到极致的是 ABB 的AC160了, 可以配置3个独立的机架,插6个CPU。
每个机架上 双CPU冗余,然后 3套系统之间进行3重化的表决。
可惜的是,AC160 目前连TUV证书都没了, 好在ABB 的AC160 也压根就没看得起 TUV的证书,
有国际原子能机构的 核检认证证书就足够了。
一大堆厂家的销售,可能自身本来就脑子不清醒,再给客户和设计院灌输自己都搞不清楚的概念,
从而导致了大量的混乱,目前这种混乱主要是概念方面。
从应用的角度来讲, CPU的冗余是有其必要性的。虽然不是适合所有的场合,但是始终是适合有钱的场合的。
4。 IO要不要冗余?
IO冗余目前是 石化行业最流行的做法。
要依靠IO冗余的方法来实现 IO模块插拔更换时对系统的无扰动。
IO冗余的门道也极其的多,就不一一详述了,否则2天都说不完。
IO冗余 可以增强IO模块的可靠性,
其主要是目的是实现重要IO点,IO模块故障时对系统的运行无影响。
5。 现场信号要不要冗余?
扯这个本身会远离 讨论PLC 单机可靠 还是 冗余可靠的方向的。
但是实际上,多年的现场经验表明,真正最需要冗余的 都在现场。
现场信号时最容易被人忽视的领域。
因为现场导致的故障时最多的,因为PLC系统,尤其是因为CPU而导致的故障反而是最少的。
在现场设备信号冗余的时候,IO是必须要冗余的。
这是我们讨论现场信号冗余必要性的目的所在。
例如现场的一个压力很重要,我们不应该 现场接一个 压力变送器, 用信号分配器进2个AI模块。
而应该安装2个 或者 3个 压力变送器,分别进 2个或者 3个 AI模块。
这2个或者 3个AI模块,最好分散在不同的机架上。
总结。 扯完了以后,好像所有的部件都得冗余。
结论是什么呢, 结论是 如果有必要冗余,并且可以实现冗余,
那么就冗余吧。 可以大大的提高系统的可靠性。
只不过在选择冗余系统的时候,脑子要清醒,不要被厂家忽悠。
花钱要花的值得。那就行了。