В настоящей статье описаны критерии выбора компонентов для использования в распределённых системах управления (РСУ) и различных системах обеспечения безопасности с уровнями SIL 2 и SIL 3, рекомендованные в стандартах МЭК 61508 и 61511, а также даны практические примеры применения этих критериев.
Как уже было рассказано в [1], определение уровня SIL для конкретной инструментальной функции безопасности SIF (Safety Instrumented Function) производится на основе результатов анализа опасностей и рисков, присущих контролируемому технологическому процессу. Анализ оценивает величину снижения риска, необходимую для того, чтобы достичь приемлемого уровня безопасности. Конструктивные требования к системе безопасности SIS (Safety Instrumented System) должны проверяться на соответствие выбранному уровню SIL.
Таблица 4, взятая из стандартов МЭК 61508 и 61511 [2, 3], используется для расчёта уровней SIL функций безопасности SIF отдельных компонентов, а затем — уровня SIL функции безопасности всей системы в целом. Из этой таблицы видно, что соответствующие граничные значения PFDavg для соседних уровней SIL отличаются в 10 раз (на порядок). Однако в пределах одного уровня SIL минимальное и максимальное значения PFDavg тоже отличаются в 10 раз (на порядок). Таким образом, при сравнении компонентов (систем) некорректно учитывать один лишь уровень SIL; для правильного сравнения необходимо опираться на значение PFDavg.
Так, устройство с уровнем SIL 3 (такое, например, как модуль D1014 повторителя источника питания производства компании GM International), вклад которого в общую PFDavg функции безопасности SIF составляет только 10%, имеет PFDavg для 1 года, эквивалентную уровню SIL 4. Это означает, что подобное устройство может использоваться в системах с уровнем SIL 3 при условии годового межтестового интервала Tproof или в системах с уровнем SIL 2 при условии 10-летнего межтестового интервала, что позволяет обеспечить значительное сокращение времени и стоимости обслуживания системы.
Многие инженеры думают, что для систем безопасности с уровнем SIL 3 необходимы компоненты тоже только с уровнем SIL 3 и, соответственно, для систем с уровнем SIL 2 все компоненты должны быть с уровнем SIL 2. Это ошибочное мнение, свойственное людям, не знакомым с расчётом уровня SIL для функций безопасности SIF [1].
Исходные данные для расчёта PFDavg и определения уровней SIL компонентов имеются в руководстве по функциональной безопасности, которое обязан предоставить производитель данных компонентов. Такие руководства производители должны предоставлять для каждого из устройств (датчика, контроллера или исполнительного элемента), которые используются в системах обеспечения безопасности и для которых требуется подтвердить соответствие стандартам МЭК 61508 и МЭК 61511.
Руководство по безопасности — это документ для пользователей продукции (компонента, устройства), в котором оговорена их ответственность за монтаж и эксплуатацию данного компонента или устройства в плане обеспечения проектного уровня безопасности.
Указанные стандарты обязывают производителя предоставить пользователям такое руководство.
Многие пользователи рассматривают руководство как предпродажный документ, поскольку ещё до покупки изделия они хотят знать, будут ли у них какие-либо серьёзные ограничения в его использовании.
Далее описаны основные требования к руководству по функциональной безопасности и сведения о содержащейся в нём информации.
Стандарт МЭК 61508 предъявляет производителям целый ряд требований.
Рекомендовать процедуры для выполнения диагностических тестов, необходимых для выявления известных опасных отказов, идентифицированных в результате анализа FMEDA [1]. Процедуры должны включать указание, что результаты этих тестов обязательно должны быть документированы. Должны быть указаны все инструменты и средства, необходимые для выполнения тестов. Также должен быть оговорён уровень квалификации специалистов, проводящих тесты. Для проводимых тестов должен быть указан фактор диагностического покрытия (эффективность тестов с точки зрения выявления опасных отказов, например 90%, 95%, 99%).
Рекомендовать процедуры по ремонту или замене изделия. Они должны включать указание, что обо всех отказах необходимо информировать производителя. Нужно перечислить все необходимые инструменты и средства. Также должен быть указан необходимый уровень квалификации персонала, выполняющего эти работы.
Рекомендовать тестовые процедуры при монтаже на объекте и при проведении приёмосдаточных испытаний, необходимые для обеспечения безопасности.
Если в изделии возможно обновление встроенного программного обеспечения (ПО), должны быть описаны процедуры, используемые для этого, с указанием всех необходимых средств. Также должен быть указан необходимый уровень квалификации персонала, выполняющего эти работы.
Руководство по безопасности должно содержать оценки интенсивности отказов (или ссылку на отчёт FMEDA) и оценку b-фактора в случае использования в системе безопасности резервированных устройств.
Если пределы срока службы изделия неизвестны, это должно быть указано. В противном случае должно быть отмечено, что присутствуют неизвестные механизмы износа.
Примечание. Хотя это не требуется, можно сделать некоторые замечания о сроках службы изделий, даже если механизмы износа неизвестны.
Все значения параметров, необходимые для обеспечения безопасности, должны быть указаны.
Должны быть отмечены все ограничения по применению и по условиям окружающей среды (или даны соответствующие ссылки на другой документ).
Для заявленного диагностического покрытия должен быть указан максимально допустимый временной интервал между диагностическими тестами.
В разделе 7.4.7.3 стандарта МЭК 61508-2 приведена информация, которая должна быть указана для каждой подсистемы, связанной с обеспечением безопасности:
спецификация функций и интерфейсов подсистемы, которые могут быть использованы для обеспечения безопасности;
оценки интенсивности отказов (связанных со случайными отказами оборудования) всех видов, которые могут стать причиной опасных отказов электрической/электронной/программируемой электронной (E/E/PE) системы безопасности, выявляемых с помощью диагностических тестов;
любые ограничения на условия окружающей среды для подсистемы, которые должны контролироваться с целью обеспечения достоверности оценок интенсивности отказов, обусловленных случайными отказами оборудования;
любые ограничения на срок службы подсистемы, которые не должны превышаться, с тем чтобы обеспечить достоверность оценок интенсивности отказов, обусловленных случайными отказами оборудования;
любые необходимые периодические диагностические проверочные тесты или процедуры обслуживания;
диагностическое покрытие;
интервал между диагностическими проверочными тестами;
любая дополнительная информация (например, время ремонта), необходимая для определения среднего времени восстановления (MTTR) после обнаружения диагностикой отказа;
вся информация, необходимая для расчёта доли безопасных отказов (SFF) подсистемы, используемой в составе E/E/PE системы безопасности;
устойчивость подсистемы к отказам оборудования (аппаратным отказам);
любые ограничения на использование подсистемы, которые должны соблюдаться, чтобы исключить систематические отказы;
наивысший интегральный уровень безопасности (SIL), который может быть заявлен для функции безопасности, использующей эти подсистемы, на основе:
методов, применяемых для предотвращения систематических отказов, заложенных на этапе проектирования, изготовления оборудования, создания ПО подсистемы,
конструктивных особенностей, которые делают подсистему устойчивой к систематическим отказам. Примечание. Это не требуется для подсистем, характеристики которых подтверждены на практике;
любая информация, необходимая для идентификации конфигурации оборудования и ПО подсистемы (управление конфигурацией оборудования и ПО вторичной системы обеспечивает возможность управления E/E/PE системой безопасности в соответствии с разделом 6.2.1 стандарта МЭК 61508-1);
документальное свидетельство о валидации подсистемы.
В разделе 1.2.4.4.7 стандарта МЭК 61511-1 изложены требования, которые должны быть отражены в руководстве по безопасности:
использование диагностики для обеспечения функций безопасности;
перечень сертифицированных/верифицированных библиотек безопасности;
обязательный тест и логика процедуры аварийного останова системы;
использование устройств сигнализации о неисправностях;
требования и ограничения на средства и языки программирования;
интегральный уровень безопасности, которому соответствует устройство или система.
В качестве примера можно привести руководство по функциональной безопасности, подготовленное компанией GM International для барьеров искробезопасности серии D1000, которые допускается использовать в системах безопасности с уровнями SIL 2 и SIL 3 [4].
Представленная в нём информация необходима для проектировщиков и инженеров по обслуживанию, системных интеграторов, а также для конечных пользователей, чтобы обеспечить правильное использование этих барьеров. Руководство по функциональной безопасности не заменяет руководства по монтажу и обслуживанию, а является дополнением к ним по части процедур верификации, которые выполняются при проведении диагностических проверочных тестов. Оно также полезно на этапе проектирования для выбора, например, барьера искробезопасности, пригодного для использования в системе с заданным уровнем SIL.
При выборе компонентов для системы безопасности рекомендуется ответить на все вопросы контрольных листов для каждого компонента. Данные для заполнения опросного листа берутся из руководства по функциональной безопасности.
В качестве примера в табл. 5 приведены вопросы контрольного листа. Эта таблица отличается от полноформатного контрольного листа только отсутствием полей для ответов на перечисляемые вопросы: «Да», «Нет», «Нет данных», «Комментарии/значения».
Контрольный лист предназначен для проверки наличия всех данных, необходимых для расчёта уровня SIL функции SIF. Данные из контрольных листов для простых подсистем будут группироваться в таблицу, из которой затем можно получать окончательные значения для функции безопасности всей системы в целом. ●
3. Стандарт МЭК 61511. Системы обеспечения безопасности для перерабатывающих отраслей промышленности.
4. Functional Safety Manual for Safety Related Systems and SIL 2, SIL 3 Applications according IEC 61508 & IEC 61511 Standards. GM International D1000 Series Intrinsically Safe Interface Modules and Switching Power Supply PSD1206, PSD1210 // Document ISM0071-9. — GM Internatio-nal, 2009. — 54 p.
Автор — генеральный директор компании GM International S.r.l. 88 (Италия)
Экономика профилактики: использование Интернета вещей для планирования профилактического обслуживания оборудования
Машины, а точнее, сложные высокотехнологичные установки – станки или другое технологическое оборудование для любой промышленной отрасли представляют собой ценные активы, которые необходимо защищать от повреждений, неисправностей и отказов с помощью надлежащих мер по техническому обслуживанию. В этой статье будет рассмотрен один из примеров создания системы, автоматически контролирующей состояние и время работы машин с последующей отправкой уведомлений о графике профилактического технического обслуживания (ПТО). 23.04.2024 СТА №2/2024 428 0 0Блок управления для исполнительных устройств в оптическом тракте лазерной системы
В статье представлен блок управления для исполнительных устройств в оптическом тракте лазерной системы. Приведены решения на аппаратном и программном уровнях, обоснован выбор средств автоматизации. 23.04.2024 СТА №2/2024 337 0 0Построение цифрового двойника склада металлопроката с использованием искусственной нейронной сети
Изложены методика и результаты эксперимента по применению искусственной нейронной сети для отслеживания перемещений продукции металлопроката на территории цеха. Приведены преимущества такого способа организации цифрового двойника склада. 23.04.2024 СТА №2/2024 310 0 0Горячее резервирование с MasterSCADA 4D и ПЛК Regul R500 на примере АСУ ТП для авиатопливных комплексов
В статье представлено решение для автоматизированного контроля и управления технологическими объектами склада одного из технологических лидеров российской авиатопливной отрасли. Система построена на базе ПЛК REGUL500 с поддержкой горячего резервирования центральных процессоров и программной платформе MasterSCADA 4D с поддержкой резервирования серверов, работы рантайм на операционной системе Astra Linux и синхронизацией данных на программном уровне. Эти составляющие, а также опыт сертифицированного интегратора ООО «ЛИТЭК», позволили создать отказоустойчивую систему управления повышенной надёжности в полном соответствии с современными требованиями стратегии цифровой трансформации. 23.04.2024 СТА №2/2024 444 0 0