Фильтр по тематике
В настоящей статье описаны критерии выбора компонентов для использования в распределённых системах управления (РСУ) и различных системах обеспечения безопасности с уровнями SIL 2 и SIL 3, рекомендованные в стандартах МЭК 61508 и 61511, а также даны практические примеры применения этих критериев.
В табл. 6-8 приведены данные о функциональной безопасности модулей D1014S и D1014D из сертификата соответствия C-IS-183645-01 и отчёта по верификации [5], подготовленных сертификационным центром TU..V.
* FIT (Failure In Time) = 10–9 в час (один отказ на 1 млрд·ч).
* DC – диагностическое покрытие (уровень диагностики) опасных или безопасных отказов, обеспечиваемое логическим устройством системы безопасности для рассматриваемого модуля.
DCs (диагностическое покрытие для безопасных отказов) = λsd / (λsd + λsu).
DCd (диагностическое покрытие для опасных отказов) = λdd / (λdd + λdu).
Двухканальный модуль D1014D может использоваться для повышения устойчивости к отказам, необходимой для обеспечения более высоких уровней SIL функции безопасности, поскольку каналы в нём полностью независимы и не содержат общих компонентов. При этом результаты анализа, полученные для одноканального D1014S, полностью применимы для каждого из каналов двухканального D1014D.
Далее рассмотрим возможные проверочные тесты для выявления недетектируемых опасных отказов.
В соответствии с разделом 7.4.3.2.2 f стандарта МЭК 61508-2 проверочный тест (Proof test) проводится для выявления опасных отказов, которые не детектируются онлайновыми диагностическими средствами. Это означает, что необходимо точно определить, как опасные недетектируемые отказы, указанные в анализе FMEDA, могут быть выявлены при проверочном тестировании (обычно проводимом раз в год или каждые 5 или 10 лет). Проверочные тесты должны выполняться квалифицированными специалистами. О любых обнаруженных неисправностях или отказах необходимо информировать компанию-производителя.
Проверочный тест 1 включает этапы, описанные в табл. 9. Этот тест выявляет приблизительно 50% возможных опасных недетектируемых отказов в повторителе.
Проверочный тест 2 включает этапы, описанные в табл. 10. Этот тест выявляет приблизительно 99% возможных опасных недетектируемых отказов в повторителе.
В приводимых далее примерах в качестве компонентов рассматриваются различные изделия компании GM International, предназначенные для построения систем обеспечения безопасности.
Реле для систем аварийного останова или других подобных применений в нормальном режиме находятся во включённом (активном) состоянии NE (контакты реле замкнуты), при аварийном останове они обесточиваются (контакты размыкаются). Реле для систем противопожарной и газовой защиты или других подобных применений в нормальном режиме находятся в выключенном (неактивном) состоянии ND (контакты реле разомкнуты), при срабатывании защиты они включаются (контакты замыкаются). Эти две функции подобны по принципу работы (реле), но существенно различаются по режимам работы, спецификациям, сертификации и применению.
Релейные модули D1092S (рис. 3) и D1093S (рис. 4) с уровнем SIL 3 являются компонентами типа А [1], каждый из которых содержит три резервированных реле и некоторые электронные компоненты для защиты реле и/или для обеспечения контроля состояния линии и нагрузки.
Из функциональных схем (рис. 3 и 4) видно, что в первой группе из трёх контактов для NE-нагрузки контакты соединены последовательно, – это означает, что нагрузка будет отключена, даже если работоспособно только одно из трёх реле (архитектура 1оо3); таким образом, функция безопасности с уровнем SIL 3 гарантирована для NE-нагрузок. Другая группа из трёх контактов для ND-нагрузок соединена параллельно – это означает, что нагрузка будет включена, даже если работоспособно только одно из трёх реле (архитектура 1оо3); таким образом, функция безопасности с уровнем SIL 3 гарантируется для ND-нагрузок.
Иными словами, для NE-нагрузки три последовательно соединённых релейных контакта обеспечивают функцию безопасности с уровнем SIL 3, в то же время остальные три контакта, соединённые параллельно, не обеспечивают никакую SIL-функцию (SIL 0); а для ND-нагрузки три параллельно соединённых релейных контакта обеспечивают функцию безопасности с уровнем SIL 3, в то же время остальные три контакта, соединённые последовательно, не обеспечивают никакую SIL-функцию (SIL 0).
Оба режима работы (с NE-нагрузкой или ND-нагрузкой) можно реализовать на одном и том же релейном модуле D1092S при разном подключении его выводов.
В случае использования ПЛК (или другого подобного устройства) для управления реле можно с помощью ПЛК контролировать линию до реле, но невозможно контролировать линию между реле и нагрузкой, поскольку ПЛК и нагрузка гальванически изолированы друг от друга посредством реле. Преодолеть это ограничение позволяет релейный модуль D1093S, который содержит диагностическую схему для контроля линии и нагрузки, запитываемую от отдельного источника 24 В пост. тока. Для аварийной сигнализации в этом модуле используется отдельное реле с нормально замкнутыми контактами, которые размыкаются при обнаружении неисправности.
Для управления NE-нагрузками имеется соответствующий уровню SIL 3 релейный модуль D1092S-069 (рис. 5 а) c одной группой нормально замкнутых и одной группой нормально разомкнутых контактов, что позволяет реализовать функцию SPDT-реле (реле с одиночным контактом на два направления). Двухканальным аналогом D1092S-069 является модуль D1092D-069, схема применения которого приведена на рис. 5 б.
При выборе релейных модулей важно также учитывать характеризующую их величину межтестового интервала Tproof.
Двухканальный искробезопасный изолирующий повторитель источника питания D1014D (рис. 6) соответствует уровню SIL 3 при межтестовом интервале Tproof, равном 1 году, или уровню SIL 2 при межтестовом интервале 10 лет, если его вклад в общую PFDavg функции безопасности SIF не превышает 10%.
Если же вклад модуля в функцию безопасности составляет 20%, то Tproof модуля для функции безопасности с уровнем SIL 3 увеличивается до 2 лет, и это справедливо для каждого канала.
Поскольку два канала полностью независимы, они могут использоваться в архитектуре 1oo2, чтобы обеспечить уровень SIL 4 для функции безопасности при Tproof, равном 1 году, или SIL 3 при Tproof, равном 10 годам. Ни один из подобных модулей других производителей не обеспечивает такой высокий уровень SIL.
Для того чтобы ПЛК системы безопасности, работающий с контактными датчиками («сухой» контакт), мог обнаружить короткое замыкание или обрыв входной линии, к контакту необходимо подключить цепочку из последовательного и параллельного резисторов. Эти резисторы должны устанавливаться непосредственно у контакта. Поскольку «сухой» контакт является простым электрическим аппаратом, не требуется какая-либо специальная сертификация для использования его во взрывоопасных зонах.
В системах с уровнем SIL 3, если два контакта не обеспечивают достаточный уровень безопасности, необходимо использовать три контакта, соединённых параллельно при нормально разомкнутом состоянии или последовательно при нормально замкнутом состоянии. Подобные условия применимы и для искробезопасного интерфейса с уровнем SIL 3, используемого с контактными датчиками.
Бесконтактные датчики положения (проксимиторы), производимые в настоящее время, сертифицируются до уровня не выше SIL 2, поскольку они не имеют встроенной диагностики своих цепей (низкое значение SFF). Однако производители этих датчиков декларируют соответствие их уровню SIL 3. Почему? И как это возможно? Очень просто: они рекомендуют включать между проксимитором и ПЛК системы безопасности интерфейсный модуль, который способен обнаруживать опасный отказ проксимитора и таким образом повышает долю безопасных отказов SFF до уровня, соответствующего SIL 3.
Примером такого интерфейса является модуль D1034D (рис. 7), который обнаруживает опасные отказы любых проксимиторов, имеющих уровень SIL 2, передаёт соответствующие сигналы на ПЛК и светодиодный монитор и таким образом обеспечивает уровень SIL 3. Контроль осуществляется по выходному току: 0 мА соответствует обрыву цепи, а 8 мА – короткому замыканию. В нормальных условиях выходной ток находится в пределах от 1 до 4 мА для нормально разомкнутого или нормально замкнутого проксимитора. Таким образом, сигнал от датчика и сигнал контроля линии поступают на один и тот же вход ПЛК.
Только интерфейсные модули D1034S или D1034D способны обеспечить уровень SIL 3 благодаря наличию сигнала контроля линии для ПЛК, поступающего на один вход с сигналом датчика. Интерфейсные модули других производителей используют отдельный сигнал контроля линии для ПЛК (уровень SIL 0). В этом случае требуется дополнительный вход у ПЛК системы безопасности, что существенно повышает общую стоимость системы.
Различные производители предлагают температурные датчики и измерительные потенциометры с уровнем SIL 2. Чтобы обеспечить функцию безопасности с уровнем SIL 3, для таких датчиков необходимы:
дублирование датчиков для каждой измерительной точки;
использование преобразователя сигнала датчика с уровнем SIL 2;
реализация схемы голосования в логическом устройстве ПЛК.
Преобразователь сигналов температурных датчиков D1072D (рис. 8) – это двухканальный полностью программируемый модуль.
Он принимает сигналы от термопар (ТП), термометров сопротивления, измерительных потенциометров и преобразует их в стандартный токовый сигнал 4...20 мА. Два таких модуля, используемых по схеме резервирования, могут обеспечить реализацию функции безопасности с уровнем SIL 3 в комбинации с ПЛК с таким же уровнем SIL 3.
Другой модуль – D1073S (рис. 9) содержит преобразователь сигналов температурных датчиков с уровнем SIL 2 и два пороговых усилителя. Это полностью программируемый модуль. Он обеспечивает стандартный выходной токовый сигнал 4...20 мА для преобразователя и имеет два релейных выхода для пороговых усилителей.
Для управления искробезопасными электромагнитными (ЭМ) клапанами (исполнительными устройствами) необходим искробезопасный интерфейс, в то время как электромагнитные клапаны с видом защиты «взрывонепроницаемая оболочка» или другим из числа подобных ей могут управляться ПЛК через реле с уровнем SIL 3, поскольку обычно они требуют не более 10 Вт для управления.
В искробезопасных системах возможно несколько решений.
Модули с уровнем SIL 2, c питанием от внешнего источника, для NE-нагрузок, без контроля состояния линии: D1040Q, D1042Q, D1043Q (рис. 10).
Модули с уровнем SIL 3, с питанием от внешнего источника, для NE-нагрузок, с контролем состояния линии: D1049S или D1049D.
Модули с уровнем SIL 3, с питанием от контура, для NE-нагрузок, с контролем состояния линии: D1048S или D1048D (рис. 11).
Модули с уровнем SIL 3, с питанием от контура, для NE-нагрузок, без контроля состояния линии: D1040Q, D1042Q, D1043Q.
Модули с уровнем SIL 3, с питанием от контура, для ND-нагрузок, с контролем состояния линии: D1047S (рис. 12).
Наиболее востребован вариант модуля с уровнем SIL 3 для управления ND-нагрузкой. Он подразумевает наличие в модуле трёх цепей с общей архитектурой 1oo3, схемы голосования и схемы аварийной сигнализации. Диагностическая схема в этом модуле должна питаться от отдельного источника 24 В пост. тока, в то время как питание для управления клапаном поступает от ПЛК. Как уже говорилось ранее в разделе о выборе реле с уровнем SIL 3, система противопожарной и газовой защиты, которая в нормальном состоянии не активна (ND), не должна включаться при безопасных отказах любых видов, поэтому ND-система активизируется только при аварийной ситуации. Из этого следует, что в нормальном состоянии, когда отсутствуют запросы на выполнение функции безопасности, модули не активны, поэтому питание диагностических схем, которое должно осуществляться непрерывно, производится от отдельного источника 24 В пост. тока.
Источники питания ошибочно считаются отказобезопасными, поскольку обычно они включаются параллельно с целью резервирования. Это справедливо только для отказов, приводящих к выходу напряжения за нижний допустимый предел, при которых выходное напряжение падает до нуля или близкого к нулю значения. В таких случаях резервный модуль берёт нагрузку на себя. Однако при некоторых отказах напряжение, наоборот, выходит за верхний допустимый предел и может достигать 60 В и более вместо номинальных 24 В. Это может привести к полному выходу из строя компонентов системы безопасности, питающихся от данного источника.
Чтобы избежать этого, в источнике должна быть предусмотрена защита от перенапряжения с двойным или лучше тройным резервированием. Также должны присутствовать резервированные силовые диоды для обеспечения параллельного включения источников совместно со схемой распределения нагрузки, чтобы снизить риск сбоев при автоматическом переключении параллельно включённых источников.
Для исключения наводок и помех в линии нагрузки источник питания должен быть с двойным импульсным преобразованием. Схема двойного импульсного преобразования обеспечивает хорошую синусоидальную форму напряжения с малым уровнем гармоник. Кроме того, можно обеспечить автоматическую коррекцию cos φ, чтобы снизить потребление энергии из сети переменного тока.
В качестве примера источника питания, который удовлетворяет всем перечисленным требованиям и соответствует уровню SIL 3, можно привести изолированный источник PSD1210 компании GM International (24 В пост. тока, 10 A). На рис. 13 приведена схема включения источников питания PSD1210 в конфигурации «1+1».
Рассмотрим один из способов расчёта вероятности отказа источника питания PSD1210 с выходом напряжения за верхний допустимый предел. В этом способе используется дерево отказов, представленное на рис. 14.
Когда используется дерево отказов, вероятность PFD должна вычисляться для множества временных интервалов (например, каждый час), а затем производится её усреднение за интересующий период времени. На каждом шаге вероятность отказа вычисляется следующим образом:
PFDavg_OC_Sys = PFD_OC_PS × PFD_OP × PFD_CB,
где: PFD_CB = PFD_CB1 × PFD_CB2 + b × PFD_CB12,
PFD_OC_PS (Tproof = 1 год) = 1.84 E–04,
PFD_OP (Tproof = 1 год) = 9.64 E–05,
PFD_CB1 (Tproof = 1 год) = PFD_CB2 (Tproof = 1 год) = 2.10 E–04,
PFD_CB12 (Tproof = 1 год) = 2.11 E–04,
b × PFD_CB12 (Tproof = 1 год) = 0,05 × 2.11 E–04 = 1.05 E–05,
откуда PFD_CB (Tproof = 1 год) = 1.06 E–05.
В результате получим:
PFDavg_OC_Sys (Tproof = 1 год) = 18.8 E–14.
В заключение вернёмся к названию статьи. Компоненты с уровнем SIL 3 являются одними из самым распространённых в системах обеспечения безопасности, примеры таких компонентов приведены в статье. Однако важно понимать, что упомянутые в названии системы РСУ и ПАЗ, используя компоненты такого уровня, сами не обязательно должны соответствовать только SIL 3, а могут иметь и больший или меньший уровень безопасности, что, в конечном счёте, определяется целым рядом условий эксплуатации и тестирования, особенностями общей структуры системы и взаимодействия её компонентов и т.д.
Более подробную информацию о принципах проектирования систем, связанных с обеспечением безопасности технологических процессов на взрывоопасных производствах, и методиках выбора компонентов для их построения Вы можете найти в [6]. ●
5. Analysis of module D1014 – Repeater Power Supply (HART compatible) // Verification Report R-IS-E-183645-01-D1014-Rev.1, July 31, 2008. – TU..V Italia, 2008.
6. Функциональная безопасность систем, связанных с обеспечением безопасности / Руководство по проектированию и обслуживанию. – GM International S.r.l., 2008. – 425 с.
Автор — генеральный директор компании GM International S.r.l. (Италия)
автоматизация
Однофазные источники бесперебойного питания Systeme Electric
Почти все современные сферы промышленности, IT-инфраструктура, а также любые ответственные задачи и проекты предъявляют повышенные требования к питающей сети – электропитание должно быть надёжным, стабилизированным и обеспечивать бесперебойную работу. В данной статье мы рассмотрим решения по однофазному бесперебойному питанию от российской компании Systeme Electric. 28.12.2023 СТА №1/2024 1099 0 0
автоматизация
Однопроводный канал телеметрии по PLC
В статье рассматриваются методы реализации однопроводных каналов передачи данных по силовым электросетям в жилых зданиях, загородных и промышленных помещениях. В качестве информационного провода предлагается использовать проводник «нейтраль» электропроводки. Приводятся анализ возможных конфигураций каналов передачи данных этого типа и результаты экспериментальных проверок. Рассматриваются преимущества новых методов по сравнению с традиционными PLC и области возможного применения данной технологии. 28.12.2023 СТА №1/2024 1222 0 0
автоматизация
BioSmart Quasar 7 — мал да удал
Компания BIOSMART в пандемийном 2020 году весьма своевременно представила свой первый лицевой терминал Quasar (рис. 1) с диагональю экрана 10 дюймов. Уже в следующем, 2021 году был представлен бесконтактный сканер рисунка вен ладони PALMJET (рис. 2). Ну а в текущем 2023 году компания представила новую уменьшенную модель лицевого терминала Quasar 7 (рис. 3), который смог в компактном корпусе объединить обе передовые технологии бесконтактной биометрической идентификации. 28.12.2023 СТА №1/2024 1130 0 0
автоматизация
Открытые сетевые платформы — когда сети и вычисления в одном устройстве
Открытая сетевая платформа (ONP) – это мощное средство для реализации как простых, так и масштабных сетей, а также инструмент, который позволяет в одном высокопроизводительном устройстве реализовать целый вычислительный комплекс, объединяющий внутри себя коммутаторы, маршрутизаторы, межсетевые экраны, а также сам сервер обработки данных. Используя все преимущества данной архитектуры, компания AAEON разработала своё решение, сетевую платформу FWS-8600, на базе высокопроизводительных процессоров Intel Xeon Scalable 2-го поколения. В статье раскрыты детали и особенности ONP, характеристики FWS-8600, а также почему использование процессоров Intel Xeon Scalable 2-го поколения значительно увеличивает потенциал платформы. 28.12.2023 СТА №1/2024 1455 0 0
