В настоящей статье описаны критерии выбора компонентов для использования в распределённых системах управления (РСУ) и различных системах обеспечения безопасности с уровнями SIL 2 и SIL 3, рекомендованные в стандартах МЭК 61508 и 61511, а также даны практические примеры применения этих критериев.
Как уже было рассказано в [1], определение уровня SIL для конкретной инструментальной функции безопасности SIF (Safety Instrumented Function) производится на основе результатов анализа опасностей и рисков, присущих контролируемому технологическому процессу. Анализ оценивает величину снижения риска, необходимую для того, чтобы достичь приемлемого уровня безопасности. Конструктивные требования к системе безопасности SIS (Safety Instrumented System) должны проверяться на соответствие выбранному уровню SIL.
Таблица 4, взятая из стандартов МЭК 61508 и 61511 [2, 3], используется для расчёта уровней SIL функций безопасности SIF отдельных компонентов, а затем — уровня SIL функции безопасности всей системы в целом. Из этой таблицы видно, что соответствующие граничные значения PFDavg для соседних уровней SIL отличаются в 10 раз (на порядок). Однако в пределах одного уровня SIL минимальное и максимальное значения PFDavg тоже отличаются в 10 раз (на порядок). Таким образом, при сравнении компонентов (систем) некорректно учитывать один лишь уровень SIL; для правильного сравнения необходимо опираться на значение PFDavg.
Так, устройство с уровнем SIL 3 (такое, например, как модуль D1014 повторителя источника питания производства компании GM International), вклад которого в общую PFDavg функции безопасности SIF составляет только 10%, имеет PFDavg для 1 года, эквивалентную уровню SIL 4. Это означает, что подобное устройство может использоваться в системах с уровнем SIL 3 при условии годового межтестового интервала Tproof или в системах с уровнем SIL 2 при условии 10-летнего межтестового интервала, что позволяет обеспечить значительное сокращение времени и стоимости обслуживания системы.
Многие инженеры думают, что для систем безопасности с уровнем SIL 3 необходимы компоненты тоже только с уровнем SIL 3 и, соответственно, для систем с уровнем SIL 2 все компоненты должны быть с уровнем SIL 2. Это ошибочное мнение, свойственное людям, не знакомым с расчётом уровня SIL для функций безопасности SIF [1].
Исходные данные для расчёта PFDavg и определения уровней SIL компонентов имеются в руководстве по функциональной безопасности, которое обязан предоставить производитель данных компонентов. Такие руководства производители должны предоставлять для каждого из устройств (датчика, контроллера или исполнительного элемента), которые используются в системах обеспечения безопасности и для которых требуется подтвердить соответствие стандартам МЭК 61508 и МЭК 61511.
Руководство по безопасности — это документ для пользователей продукции (компонента, устройства), в котором оговорена их ответственность за монтаж и эксплуатацию данного компонента или устройства в плане обеспечения проектного уровня безопасности.
Указанные стандарты обязывают производителя предоставить пользователям такое руководство.
Многие пользователи рассматривают руководство как предпродажный документ, поскольку ещё до покупки изделия они хотят знать, будут ли у них какие-либо серьёзные ограничения в его использовании.
Далее описаны основные требования к руководству по функциональной безопасности и сведения о содержащейся в нём информации.
Стандарт МЭК 61508 предъявляет производителям целый ряд требований.
Рекомендовать процедуры для выполнения диагностических тестов, необходимых для выявления известных опасных отказов, идентифицированных в результате анализа FMEDA [1]. Процедуры должны включать указание, что результаты этих тестов обязательно должны быть документированы. Должны быть указаны все инструменты и средства, необходимые для выполнения тестов. Также должен быть оговорён уровень квалификации специалистов, проводящих тесты. Для проводимых тестов должен быть указан фактор диагностического покрытия (эффективность тестов с точки зрения выявления опасных отказов, например 90%, 95%, 99%).
Рекомендовать процедуры по ремонту или замене изделия. Они должны включать указание, что обо всех отказах необходимо информировать производителя. Нужно перечислить все необходимые инструменты и средства. Также должен быть указан необходимый уровень квалификации персонала, выполняющего эти работы.
Рекомендовать тестовые процедуры при монтаже на объекте и при проведении приёмосдаточных испытаний, необходимые для обеспечения безопасности.
Если в изделии возможно обновление встроенного программного обеспечения (ПО), должны быть описаны процедуры, используемые для этого, с указанием всех необходимых средств. Также должен быть указан необходимый уровень квалификации персонала, выполняющего эти работы.
Руководство по безопасности должно содержать оценки интенсивности отказов (или ссылку на отчёт FMEDA) и оценку b-фактора в случае использования в системе безопасности резервированных устройств.
Если пределы срока службы изделия неизвестны, это должно быть указано. В противном случае должно быть отмечено, что присутствуют неизвестные механизмы износа.
Примечание. Хотя это не требуется, можно сделать некоторые замечания о сроках службы изделий, даже если механизмы износа неизвестны.
Все значения параметров, необходимые для обеспечения безопасности, должны быть указаны.
Должны быть отмечены все ограничения по применению и по условиям окружающей среды (или даны соответствующие ссылки на другой документ).
Для заявленного диагностического покрытия должен быть указан максимально допустимый временной интервал между диагностическими тестами.
В разделе 7.4.7.3 стандарта МЭК 61508-2 приведена информация, которая должна быть указана для каждой подсистемы, связанной с обеспечением безопасности:
спецификация функций и интерфейсов подсистемы, которые могут быть использованы для обеспечения безопасности;
оценки интенсивности отказов (связанных со случайными отказами оборудования) всех видов, которые могут стать причиной опасных отказов электрической/электронной/программируемой электронной (E/E/PE) системы безопасности, выявляемых с помощью диагностических тестов;
любые ограничения на условия окружающей среды для подсистемы, которые должны контролироваться с целью обеспечения достоверности оценок интенсивности отказов, обусловленных случайными отказами оборудования;
любые ограничения на срок службы подсистемы, которые не должны превышаться, с тем чтобы обеспечить достоверность оценок интенсивности отказов, обусловленных случайными отказами оборудования;
любые необходимые периодические диагностические проверочные тесты или процедуры обслуживания;
диагностическое покрытие;
интервал между диагностическими проверочными тестами;
любая дополнительная информация (например, время ремонта), необходимая для определения среднего времени восстановления (MTTR) после обнаружения диагностикой отказа;
вся информация, необходимая для расчёта доли безопасных отказов (SFF) подсистемы, используемой в составе E/E/PE системы безопасности;
устойчивость подсистемы к отказам оборудования (аппаратным отказам);
любые ограничения на использование подсистемы, которые должны соблюдаться, чтобы исключить систематические отказы;
наивысший интегральный уровень безопасности (SIL), который может быть заявлен для функции безопасности, использующей эти подсистемы, на основе:
методов, применяемых для предотвращения систематических отказов, заложенных на этапе проектирования, изготовления оборудования, создания ПО подсистемы,
конструктивных особенностей, которые делают подсистему устойчивой к систематическим отказам. Примечание. Это не требуется для подсистем, характеристики которых подтверждены на практике;
любая информация, необходимая для идентификации конфигурации оборудования и ПО подсистемы (управление конфигурацией оборудования и ПО вторичной системы обеспечивает возможность управления E/E/PE системой безопасности в соответствии с разделом 6.2.1 стандарта МЭК 61508-1);
документальное свидетельство о валидации подсистемы.
В разделе 1.2.4.4.7 стандарта МЭК 61511-1 изложены требования, которые должны быть отражены в руководстве по безопасности:
использование диагностики для обеспечения функций безопасности;
перечень сертифицированных/верифицированных библиотек безопасности;
обязательный тест и логика процедуры аварийного останова системы;
использование устройств сигнализации о неисправностях;
требования и ограничения на средства и языки программирования;
интегральный уровень безопасности, которому соответствует устройство или система.
В качестве примера можно привести руководство по функциональной безопасности, подготовленное компанией GM International для барьеров искробезопасности серии D1000, которые допускается использовать в системах безопасности с уровнями SIL 2 и SIL 3 [4].
Представленная в нём информация необходима для проектировщиков и инженеров по обслуживанию, системных интеграторов, а также для конечных пользователей, чтобы обеспечить правильное использование этих барьеров. Руководство по функциональной безопасности не заменяет руководства по монтажу и обслуживанию, а является дополнением к ним по части процедур верификации, которые выполняются при проведении диагностических проверочных тестов. Оно также полезно на этапе проектирования для выбора, например, барьера искробезопасности, пригодного для использования в системе с заданным уровнем SIL.
При выборе компонентов для системы безопасности рекомендуется ответить на все вопросы контрольных листов для каждого компонента. Данные для заполнения опросного листа берутся из руководства по функциональной безопасности.
В качестве примера в табл. 5 приведены вопросы контрольного листа. Эта таблица отличается от полноформатного контрольного листа только отсутствием полей для ответов на перечисляемые вопросы: «Да», «Нет», «Нет данных», «Комментарии/значения».
Контрольный лист предназначен для проверки наличия всех данных, необходимых для расчёта уровня SIL функции SIF. Данные из контрольных листов для простых подсистем будут группироваться в таблицу, из которой затем можно получать окончательные значения для функции безопасности всей системы в целом. ●
3. Стандарт МЭК 61511. Системы обеспечения безопасности для перерабатывающих отраслей промышленности.
4. Functional Safety Manual for Safety Related Systems and SIL 2, SIL 3 Applications according IEC 61508 & IEC 61511 Standards. GM International D1000 Series Intrinsically Safe Interface Modules and Switching Power Supply PSD1206, PSD1210 // Document ISM0071-9. — GM Internatio-nal, 2009. — 54 p.
Автор — генеральный директор компании GM International S.r.l. 88 (Италия)
Однофазные источники бесперебойного питания Systeme Electric
Почти все современные сферы промышленности, IT-инфраструктура, а также любые ответственные задачи и проекты предъявляют повышенные требования к питающей сети – электропитание должно быть надёжным, стабилизированным и обеспечивать бесперебойную работу. В данной статье мы рассмотрим решения по однофазному бесперебойному питанию от российской компании Systeme Electric. 28.12.2023 СТА №1/2024 1021 0 0Однопроводный канал телеметрии по PLC
В статье рассматриваются методы реализации однопроводных каналов передачи данных по силовым электросетям в жилых зданиях, загородных и промышленных помещениях. В качестве информационного провода предлагается использовать проводник «нейтраль» электропроводки. Приводятся анализ возможных конфигураций каналов передачи данных этого типа и результаты экспериментальных проверок. Рассматриваются преимущества новых методов по сравнению с традиционными PLC и области возможного применения данной технологии. 28.12.2023 СТА №1/2024 1137 0 0BioSmart Quasar 7 — мал да удал
Компания BIOSMART в пандемийном 2020 году весьма своевременно представила свой первый лицевой терминал Quasar (рис. 1) с диагональю экрана 10 дюймов. Уже в следующем, 2021 году был представлен бесконтактный сканер рисунка вен ладони PALMJET (рис. 2). Ну а в текущем 2023 году компания представила новую уменьшенную модель лицевого терминала Quasar 7 (рис. 3), который смог в компактном корпусе объединить обе передовые технологии бесконтактной биометрической идентификации. 28.12.2023 СТА №1/2024 1061 0 0Открытые сетевые платформы — когда сети и вычисления в одном устройстве
Открытая сетевая платформа (ONP) – это мощное средство для реализации как простых, так и масштабных сетей, а также инструмент, который позволяет в одном высокопроизводительном устройстве реализовать целый вычислительный комплекс, объединяющий внутри себя коммутаторы, маршрутизаторы, межсетевые экраны, а также сам сервер обработки данных. Используя все преимущества данной архитектуры, компания AAEON разработала своё решение, сетевую платформу FWS-8600, на базе высокопроизводительных процессоров Intel Xeon Scalable 2-го поколения. В статье раскрыты детали и особенности ONP, характеристики FWS-8600, а также почему использование процессоров Intel Xeon Scalable 2-го поколения значительно увеличивает потенциал платформы. 28.12.2023 СТА №1/2024 1258 0 0