Фильтр по тематике
В статье рассмотрены основные показатели функциональной безопасности систем, связанных с обеспечением безопасности производственных технологических процессов на предприятиях перерабатывающих отраслей промышленности, приведены примеры их оценки в соответствии с рекомендациями стандартов МЭК 61508 и 61511, а также проанализирована их зависимость от организации технического обслуживания и диагностики этих систем.
На текущий момент в России нет единой нормативной базы, регламентирующей требования по выбору технических средств для построения систем безопасности промышленных объектов. Существуют лишь далеко не всегда увязанные между собой нормативные документы контрольно-надзорных и сертификационных органов, отраслевые документы и корпоративные стандарты крупных компаний.
Все перечисленные нормативные документы, как правило, ориентированы на обеспечение конкретных задач, в них отсутствуют единая терминология и комплексный подход к задаче обеспечения безопасности промышленных объектов. Поэтому в последнее время разработчики корпоративных документов, регламентирующих проектные работы, вносят в требования по выбору оборудования обязательное соответствие средств автоматизации, используемых в системах, связанных с обеспечением безопасности производственных процессов, европейским стандартам МЭК 61508 и 61511 [1, 2].
Эти стандарты в настоящее время широко используются в странах Европейского Союза и в ряде в других стран для регламентации требований к оценке уровня потенциальной опасности объектов и оценке соответствия электрического, электронного, программируемого электронного оборудования систем обеспечения безопасности уровню опасности объекта.
Зона действия этих стандартов подошла уже к границам России. Вступление республик Балтии в Евросоюз, начавшийся процесс гармонизации национальных стандартов Украины, Казахстана и других стран СНГ обуславливает интерес к данным стандартам у российских системных интеграторов и собственников опасных промышленных объектов.
В этой связи настоящая статья, подготовленная автором на основе опыта компании GM International в разработке и производстве оборудования для АСУ ТП и систем противоаварийной защиты взрывоопасных производств нефтяной и нефтехимической отраслей, может быть полезной для специалистов, занимающихся системами обеспечения безопасности объектов в перерабатывающих отраслях промышленности.
Безопасность определяется как «свобода от неприемлемых рисков». При этом под риском понимается комбинация вероятности возникновения ущерба и тяжести этого ущерба. Опасность – это потенциальный источник ущерба. Допустимым считается риск, приемлемый в данных обстоятельствах, с учётом существующих в настоящее время социальных ценностей (рис. 1).
Все эти понятия подробно описаны в части 4 стандарта МЭК 61508.
Первым параметром, определяющим интегральный уровень безопасности SIL (Safety Integrity Level), является средняя вероятность отказа на запрос выполнения функции безопасности PFDavg (Probability of Failure on Demand).
Фактор снижения риска RRF (Risk Reduction Factor), представляющий собой отношение частоты инцидентов без принятия мер защиты и допустимой частоты инцидентов, является величиной, обратной PFDavg:
RRF = Частота инцидентов без принятия мер защиты / Допустимая частота инцидентов = 1 / PFDavg.
Это означает, что если, например, количество инцидентов в год без принятия мер защиты равно 10, а допустимое количество инцидентов равно 1 в 100 лет, то RRF должен быть равен 1000 и, со-ответственно, PFDavg равна 0,001 в год. Это значение согласно стандарту МЭК 61508 соответствует уровню SIL 2. С учётом того, что в году приблизительно 10 000 часов (8760), это означает, что неготовность инструментальной функции безопасности SIF (Safety Instru-mented Function) равна примерно 10 часам в год, то есть в течение в среднем 10 часов в год невозможно будет обеспечивать перевод контролируемого технологического процесса в безопасное состояние при возникновении такой необходимости. Если это время слишком велико и неготовность SIF должна быть снижена, например, до 1 часа в год, её интегральный уровень безопасности должен быть более высоким, например SIL 3.
MTTF (Mean Time To Failure) – среднее время наработки на отказ – является показателем среднего времени успешной работы устройства (системы) до наступления отказа любого вида. Этот показатель может интерпретироваться и как срок службы устройства, если оно не подлежит восстановлению или ремонту.
Характеристикой ремонтопригодных устройств является среднее время их восстановления MTTR (Mean Time To Repair).
Среднее время между двумя последовательными отказами MTBF (Mean Time Between Failures) обычно выражается в годах.
Между данными показателями су-ществуют следующие соотношения (рис. 2):
MTBF = MTTF + MTTR;
MTTF = MTBF – MTTR.
Почему так важен показатель MTBF? Потому что обратная ему величина λ = 1/MTBF – это интенсивность отказов компонента или устройства:
MTBF = 1/λ;
Интенсивность отказов = λ = Количество отказов в единицу времени / Количество компонентов, подверженных отказу.
Общая интенсивность отказов λtot делится на две основные категории: интенсивность безопасных отказов λs и интенсивность опасных отказов λd.
λtot =λs +λd.
Опасными являются отказы, которые приводят к потере функциональной безопасности системы и/или к потере её безопасного состояния. Применительно к системам, в нормальном режиме находящимся во включённом состоянии (например, системам противоаварийной защиты), безопасными считаются отказы, которые приводят к ошибочному отключению выхода и останову контролируемого технологического процесса (ложное срабатывание). Опасными отказами, наоборот, является отказы, препятствующие отключению выхода и останову процесса при возникновении аварийной ситуации.
В каждой из указанных категорий отказы, в свою очередь, подразделяются на детектируемые (λsd, λdd) и недетектируемые (λsu, λdu) онлайновой диагностикой:
λs = λsd + λsu;
λd = λdd + λdu;
λtot = λsd + λsu + λdd +λdu.
Величина, обратная λs, – это MTBFs, или среднее время (в годах) между возможными ложными остановами. В свою очередь, величина, обратная λd, – это MTBFd, среднее время (в годах) между возможными опасными отказами.
Рассмотрим, как определяются интенсивности отказов различных категорий.
Эта работа обычно выполняется на этапе проектирования конкретных устройств.
Для этой цели проводится анализ видов отказов и диагностики (Failure Mode Effect and Diagnostic Analysis – FMEDA). Для пояснения принципов FMEDA обратимся к диаграмме, представленной на рис. 3.
Датчик-преобразователь давления с токовым выходом 4...20 мА тестируется для определения значений λsd, λsu, λdd, λdu. Предположим, приемлемый диапазон допуска определён равным 0,8 мА (5% от рабочего диапазона).
На датчик подаётся питание и устанавливается выходной сигнал 12 мА. Один за другим по очереди моделируются отказы различных видов (короткое замыкание, обрыв, девиация и т.д.) для каждого электронного и механического компонента датчика. Например, если это резистор 1 кОм, сопротивление его устанавливается равным 0, 500, 2000 Ом, а затем он размыкается. Происходящие при этом изменения выходного тока фиксируются. Если диапазон изменений менее 0,8 мА, отказ классифицируется как безопасный недетектируемый (su). Если сигнал выходит за пределы допуска, но находится в диапазоне 4...20 мА, отказ классифицируется как опасный недетектируемый (du). Если же сигнал ниже 4 мА или выше 20 мА, отказ может быть безопасным или опасным в зависимости от условий применения данного датчика, но в любом случае он будет классифицироваться как детектируемый.
Такое тестирование и анализ выполняются для каждого компонента, затем полученные результаты суммируются для получения общих зна-чений интенсивностей отказов λsd, λsu, λdd, λdu.
Необходимо отметить, что для определения неготовности системы безопасности (PFDavg) в основном имеет значение интенсивность опасных недетектируемых отказов (du). Это означает, что чем она ниже, тем более высокий интегральный уровень безопасности SIL может быть достигнут для данного устройства.
Вторым параметром, определяющим интегральный уровень безопасности, является доля безопасных отказов SFF (Safety Failure Fraction).
В соответствии со стандартом МЭК 61508 компоненты или подсистемы от-носятся к типу А или В (см. табл. 1 и табл. 2):
компоненты типа А – это простые устройства, поведение и виды отказов которых хорошо известны;
компоненты типа В – это комплексные компоненты с потенциально неизвестными видами отказов, например микропроцессоры, специализированные процессоры и т.п.
Фактически в табл. 1 и 2 представлены ограничения на использование простых и резервированных архитектур в системах с различными уровня-ми SIL.
Значение SFF определяется по формуле:
SFF = ( ∑λdd + ∑λsd + ∑λsu ) / ( ∑λdd + ∑λdu + ∑λsd + ∑λsu ) = 1 – ∑λdu / ( ∑λdd + ∑λdu + ∑λsd + ∑λsu ) .
Чтобы увеличить значение SFF, суммарное значение ∑λdu должно быть как можно меньше.
Для систем с архитектурой 1oo1 формула расчёта PFDavg имеет вид:
PFDavg(TI) = λdd × RT + λdu × TI/2, где
RT – время восстановления в часах (обычно 8 часов);
TI – интервал времени между функциональными проверочными тестами (1–5–10 лет), обозначаемый также Tproof;
λdd – интенсивность опасных детектируемых отказов;
λdu – интенсивность опасных недетектируемых отказов.
Для TI = 1 год = 8760 ч и RT = 8 ч:
PFDavg = λdd × 8 + λdu × 8760/2.
Поскольку слагаемое (λdd × 8) существенно меньше, чем (λdu × 4380), формулу можно упростить:
PFDavg = λdu × TI/2 = λdu × 8760/2.
В табл. 3 приведены значения PFDavg для двух режимов: низкой и высокой интенсивности запросов.
Режим низкой интенсивности запросов – режим, когда частота запросов на выполнение функции безопасности не превышает одного запроса в год и не более чем в два раза превышает частоту проведения проверочных тестов.
Режим высокой интенсивности запросов – режим, когда частота запросов на выполнение функции безопасности больше одного запроса в год и больше чем в два раза частоты проведения проверочных тестов.
Частота проведения проверочных тестов показывает, как часто производится функциональное тестирование системы безопасности, чтобы гарантировать её полную работоспособность.
Хотя непрерывный режим кажется более жёстким, следует помнить, что значения вероятностей для него приведены исходя из количества отказов в час. Для режима низкой интенсивности запросов приведённые значения соответствуют временному интервалу, равному примерно одному году. Учитывая, что в году примерно 10 000 часов (точно 8760), значения PFDavg для этих двух режимов примерно одинаковые.
Необходимо также отметить, что поскольку фактор снижения риска RRF является величиной, обратной PFDavg, для оценки уровней SIL вместо PFDavg проще использовать RRF, так как целые положительные значения более наглядны для понимания.
Приведённые в табл. 3 значения относятся к функции безопасности SIF в целом, а не к отдельным её компонентам.
Разница между соседними уровнями SIL равна одному порядку (10).
Такая же разница в один порядок (10) существует между минимальными и максимальными значениями для каждого уровня SIL. Например, RRF = 120 соответствует SIL 2 и RRF = 980 тоже соответствует SIL 2, но между ними существует большая разница, поэтому данные значения несопоставимы, несмотря на то что они оба относятся к уровню SIL 2.
Зачастую думают, что уровень SIL (1–2–3–4), определённый для инструментальной функции безопасности SIF, будет таким всегда. Это заблуждение, поскольку интегральный уровень безопасности SIL зависит от значения вероятности PFD, которое увеличивается со временем. Уровень SIL остаётся неизменным только в течение определённого периода времени Tproof – это временной интервал между проведением проверочных диагностических тестов системы безопасности, обычно он составляет 1, 3, 5, 10, 15 лет (для удобства представления параметр Tproof обозначен в формулах как TI).
На рис. 4 показаны PFD и PFDavg для системы с архитектурой 1oo1 и Tproof, равным 1 году. PFD – вероятность отказа на запрос выполнения функции безопасности без учёта проведения диагностических тестов с целью выявления недетектируемых отказов, а PFDavg – усреднённая вероятность отказа на запрос выполнения функции безопасности с учётом выполнения диагностических тестов.
Существуют специальные процедуры проведения проверочных тестов с целью определения для каждого устройства интенсивности опасных недетектируемых отказов Σλdu, которые не выявляются обычными онлайновыми диагностическими тестами. Если не выполнять такие периодические тесты, значение PFD функции безопасности SIF перейдёт из заданного уровня SIL в более низкий уровень, например из SIL 3 в SIL 2, SIL 1, SIL 0.
Уровень SIL, который соответствует межтестовому интервалу 1 год, существенно отличается от уровня, соответствующего интервалу 10 лет, хотя оба уровня относятся к одной и той же функции безопасности.
Для повышения уровня SIL конкретной SIF существуют два способа: снижение межтестового интервала Tproof и использование резервирования компонентов, кроме того, возможно комбинирование обоих этих способов.
В данном примере показан порядок расчёта PFDavg и уровня SIL как для отдельных компонентов SIF, так и для SIF в целом.
Рассчитаем значения MTBF, MTBFs для ложных срабатываний, PFDavg, RRF и возможный уровень SIL для функции безопасности SIF системы, представленной на рис. 5.
Эта система состоит из датчика-преобразователя Тх, барьера искробезопасности, программируемого логического контроллера (ПЛК) и электромагнитного клапана, который является оконечным исполнительным элементом.
В качестве исходных данных при расчёте использованы значения параметров компонентов системы (MTBF, λdu, λdd, λs), которые можно найти в руководствах по безопасности, предоставляемых их производителями.
Исходные и расчётные данные сведены в табл. 4 и табл. 5. Из таблиц видно, что основным критерием определения уровня SIL является PFDavg или фактор снижения риска RRF.
В данном примере заведомо низкие характеристики оконечного исполнительного элемента (клапана) были выбраны для лучшей иллюстрации условий реальных применений, соответствующих промышленному производству.
По поводу расчёта характеристик SIF необходимо сделать ряд замечаний.
Различие между табл. 4 (SIL 1 для клапана) и табл. 5 (SIL 2 для клапана) состоит в величине межтестового интервала TI для клапана. В первом случае он равен 1 году, а во втором – 4 месяцам.
Выбранный клапан не сертифицирован на соответствие SIL. Стандарт МЭК 61508 допускает его использование и позволяет принять λs = λd = λtot/2. Но поскольку в этом случае он не соответствует даже уровню SIL 1, необходимо проводить онлайновое тестирование клапана с неполным ходом (Partial Stroking Test – PST) при диагностическом покрытии не менее 52% (λdu /λs ×100%), чтобы перевести часть опасных недетектируемых отказов Σ λdu в детектируемые Σ λdd и таким образом обеспечить для клапана, как минимум, уровень SIL 1.
В случаях, когда значение PFDavg оконечного элемента такое высокое, как в рассматриваемом примере, другие компоненты системы должны иметь уровни безопасности не ниже SIL 3. Таким образом, компоненты с уровнем SIL 3 используются не только тогда, когда необходимо обеспечить уровень SIL 3 для всей системы, но и в тех случаях, когда для системы требуется уровень SIL 1, а один из её компонентов, имея высокую интенсивность отказов, вносит большой вклад в общую PFDavg. Вклад каждого из компонентов в общую PFDavg системы показан на рис. 6.
Датчик, который имеет высокий RRF (2500), тем не менее, пригоден только для использования в системах с уровнем не выше SIL 2 (компонент типа B с устойчивостью к аппаратным отказам 0 – табл. 2), поскольку его SFF не соответствует применениям с уровнем SIL 3.
Что нужно сделать, если необходимый уровень SIL 2 для SIF должен обеспечивать фактор снижения риска RRF примерно равным 900? Возможным решением является использование для клапана архитектуры с резервированием 1оо2. При проведении периодических тестов клапаны по очереди могут включаться в обход и проверяться без остановки процесса. В этом случае межтестовый интервал для клапана может быть сокращён, например, до 4 месяцев. Принимая фактор отказов по общей причине равным 5% и межтестовый интервал TI = 4 месяца, получим RRF системы с уровнем SIL 2, равный 970.
Таким образом, минимальный межтестовый интервал в рассмотренной системе имеет клапан, для других компонентов системы межтестовые интервалы при данном RRF существенно выше (табл. 6).
Стандарт МЭК 61508 требует, чтобы в результате периодических проверочных тестов устройство восстанавливало характеристики до состояния «нового». Другими словами, эти тесты должны выявлять все опасные недетектируемые отказы, существующие в устройстве. Поскольку на практике это невозможно, эффективность таких тестов варьируется от 99 до 50%.
Для каждого компонента SIF, когда эффективность периодических тестов по выявлению опасных отказов равна 100%, формула для расчёта PFDavg упрощается:
PFDavg=λdu×TI/2.
Если эффективность не равна 100%, формула имеет вид:
PFDavg=Et×λdu×TI/2+(1–Et)×λdu×SL/2, где
Et – эффективность теста по выявлению опасных отказов (например, 90%);
SL – интервал между периодическими проверочными тестами с эффективностью 99–100% или между двумя полными заменами устройства, либо срок жизни системы или устройства, если они никогда полностью не тестируются и не заменяются.
Для TI = 1 году и SL = 12 годам формула для PFDavg имеет вид:
PFDavg|TI=1, SL=12=Et×λdu /2+(1–Et)×λdu×12/2,
λdu = 0,01/год;
TI = 1 год;
Et = 90% = 0,9;
SL = 12 лет.
Для новой системы:
PFDavg = 0,01/2 = 0,005;
RRF = 1/PFDavg = 1/0,005 = 200 (SIL 2).
После 1 года:
PFDavg = (0,9 × 0,01/2) + (0,1 × 0,01 × 6) = 0,0105;
RRF = 1/PFDavg = 1/0,0105 = 95 (SIL 1).
Вывод: после года работы (или после каждого межтестового интервала) уровень меняется с SIL 2 на SIL 1.
λdu = 0,01/год;
TI = 1 год;
Et = 99% = 0,99;
SL = 12 лет.
После 1 года:
PFDavg = (0,99 × 0,01/2) + (0,01 × 0,01 × 6) = 0,0056;
RRF = 1/PFDavg = 1/0,0056 = 178 (SIL 2).
Вывод: после одного года (или после каждого межтестового интервала) уровень SIL 2 остаётся практически неизменным (исходные значения PFDavg и RRF такие же, как в первом примере).
Для тестирования системы безопасности в онлайновом режиме (то есть без остановки технологического процесса) часть системы ставится в режим обхода, чтобы исключить какие-либо ложные срабатывания и отключения. Длительность тестирования может оказывать существенное влияние на общие характеристики системы безопасности, так как во время тестирования система не способна перевести процесс в безопасное состояние при возникновении такой необходимости. Длительность тестирования может дополнительно увеличиться, если по результатам теста устройство подлежит замене, и ещё более возрасти, если при этом компоненты, необходимые для замены, отсутствуют и их необходимо заказывать.
На время тестирования симплексная система 1оо1 должна быть отключена от процесса. Её готовность во время тестирования равна нулю. Однако резервированная система при тестировании не должна полностью включаться в обход. В дублированной системе на время теста можно поставить в режим обхода только одну ветвь (или модуль) системы, в результате на это время система превратится из дублированной в простую симплексную. Соответственно, троированная система при таких условиях превратится в дублированную.
Таким образом, упрощённое выражение для расчёта PFDavg
PFDavg=λdu×TI/2.
должно быть модифицировано с учётом задержки на время тестирования TD:
PFDavg=λdu×TI/2+TD/TI.
λdu = 0,002/год;
TI = 1 год;
TD = 8 ч (временной интервал).
PFDavg = 0,001 + 0,0009 = 0,0019;
RRF = 1/0,0019 = 526 (SIL 2).
Вывод: после одного года (или после каждого межтестового интервала) уровень SIL 2 остаётся неизменным.
λdu = 0,002/год;
TI = 1 год;
TD = 96 часов.
PFDavg = 0,001 + 0,01 = 0,011;
RRF = 1/0,011 = 90 (SIL 1).
Вывод: после года работы (или после каждого межтестового интервала) уровень меняется с SIL 2 на SIL 1.
С учётом эффективности и длительности проверочного теста выражение для расчёта PFDavg системы с архитектурой 1oo1 в общем случае имеет следующий вид:
PFDavg=Et×λdu×TI/2+TD/TI(1–Et)×λdu×SL/2.
Более подробную информацию по рассмотренным в статье вопросам можно найти в книге [3] и руководстве [4], которые написаны инженерами компании GM International. ●
Стандарт МЭК 61508. Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью.
Стандарт МЭК 61511. Системы обеспечения безопасности для перерабатывающих отраслей промышленности.
Функциональная безопасность систем, связанных с обеспечением безопасности: руководство по проектированию и обслуживанию. — GM International S.r.l., 2008. — 425 стр.
Руководство по функциональной безопасности барьеров GM International серии D1000 в применениях с уровнями SIL 2 и SIL 3 согласно стандартам IEC 61508 и IEC 61511. — GM International S.r.l., 2008. — 72 стр.
Автор — генеральный директор компании GM International S.r.l. (Италия)
автоматизация
Однофазные источники бесперебойного питания Systeme Electric
Почти все современные сферы промышленности, IT-инфраструктура, а также любые ответственные задачи и проекты предъявляют повышенные требования к питающей сети – электропитание должно быть надёжным, стабилизированным и обеспечивать бесперебойную работу. В данной статье мы рассмотрим решения по однофазному бесперебойному питанию от российской компании Systeme Electric. 28.12.2023 СТА №1/2024 1021 0 0
автоматизация
Однопроводный канал телеметрии по PLC
В статье рассматриваются методы реализации однопроводных каналов передачи данных по силовым электросетям в жилых зданиях, загородных и промышленных помещениях. В качестве информационного провода предлагается использовать проводник «нейтраль» электропроводки. Приводятся анализ возможных конфигураций каналов передачи данных этого типа и результаты экспериментальных проверок. Рассматриваются преимущества новых методов по сравнению с традиционными PLC и области возможного применения данной технологии. 28.12.2023 СТА №1/2024 1135 0 0
автоматизация
BioSmart Quasar 7 — мал да удал
Компания BIOSMART в пандемийном 2020 году весьма своевременно представила свой первый лицевой терминал Quasar (рис. 1) с диагональю экрана 10 дюймов. Уже в следующем, 2021 году был представлен бесконтактный сканер рисунка вен ладони PALMJET (рис. 2). Ну а в текущем 2023 году компания представила новую уменьшенную модель лицевого терминала Quasar 7 (рис. 3), который смог в компактном корпусе объединить обе передовые технологии бесконтактной биометрической идентификации. 28.12.2023 СТА №1/2024 1060 0 0
автоматизация
Открытые сетевые платформы — когда сети и вычисления в одном устройстве
Открытая сетевая платформа (ONP) – это мощное средство для реализации как простых, так и масштабных сетей, а также инструмент, который позволяет в одном высокопроизводительном устройстве реализовать целый вычислительный комплекс, объединяющий внутри себя коммутаторы, маршрутизаторы, межсетевые экраны, а также сам сервер обработки данных. Используя все преимущества данной архитектуры, компания AAEON разработала своё решение, сетевую платформу FWS-8600, на базе высокопроизводительных процессоров Intel Xeon Scalable 2-го поколения. В статье раскрыты детали и особенности ONP, характеристики FWS-8600, а также почему использование процессоров Intel Xeon Scalable 2-го поколения значительно увеличивает потенциал платформы. 28.12.2023 СТА №1/2024 1255 0 0
