Глава 2. Современная концепция автоматизации
107
Целостность, полнота безопасности (Safety integrity) -
термин IEC 61508. Вероятность того, что система безопасно- сти удовлетворительно (?! - так и формулируется стандар-
том IEC) выполняет требуемые функции безопасности по всем предопределенным условиям в течение установленного интервала времени. В ISA 84.01-96 данное понятие соответст- вует понятию "Reliability" - надежности (см. определение На- дежности).
При определении целостности ВСЕ причины отказов, - и случайные отказы оборудования, и систематические отказы, которые ведут к небезопасному состоянию, - должны быть учтены. Например, отказы оборудования, отказы, наведенные программным обеспечением, отказы вследствие электромаг- нитного воздействия.
Некоторые из подобных отказов, в частности случайные отказы оборудования, поддаются количественной оценке с помощью таких показателей, как:
1. Вероятность (интенсивность) опасных отказов в час
(Probability, Intensity of failure per hour)
PFH
AVG
, или
A
>AVG
•
2. Вероятность опасного отказа выполнения требуемой функции в течение предопределенного межповерочно- го интервала - интервала автономного функциональ- ного тестирования (например, 1год) - Probability of
failure on demand
PFD
AVG
.
Первый показатель используется в том случае, когда не- обходимо определить характеристику способности системы к осуществлению непрерывного контроля и защиты объекта, то есть без привязки к конкретному временному межповероч- ному интервалу. Второй показатель используется, как усред- ненная мера готовности системы обеспечить защиту (останов) процесса в течение предопределенного интервала межпове- рочного тестирования.
Полнота безопасности системы зависит от очень многих факторов. Некоторые, как например, человеческий фактор, не поддаются количественной оценке, но могут быть только ка- чественно оценены.
В общем виде Целостность, полнота безопасности оце- нивается как состоящая из двух компонент:
108
Справочник инженера по А СУТП: Проектирование и разработка 1.
Аппаратная целостность безопасности;
2. Систематическая целостность безопасности.
И данное определение наиболее полно соответствует понятию надежности выполнения системой функций безопасности.
Примечание К сожалению, очень трудно дать количественные оценки вероятности и частоты систематических отказов. И совер-шенно невозможно предугадать надежность человека даже в обычных для него обстоятельствах. Аппаратная целостность безопасности (Hardware safety integrity). Термин IEC 61508. Часть интегральной безопасно- сти системы, относящаяся к случайным опасным отказам обо- рудования.
Систематическая целостность безопасности (Systematic safety integrity). Термин IEC 61508. Часть интегральной безо- пасности системы, относящаяся к систематическим опасным отказам. Систематическая целостность безопасности, в отли- чие от аппаратной целостности, как правило, не может быть оценена количественно.
Программная целостность безопасности (Software safety integrity). Термин IEC 61508. Показатель, который означает степень доверия к тому, что программное обеспечение в про- граммируемой электронной системе выполняет функции безопасности при всех предопределенных условиях в течение установленного интервала времени.
Интегральный уровень безопасности SIL (Safety Integ-rity Level - SIL, - термин ISA 84.01-96, IEC 61508). Дискретная величина от единицы до четырех, предназна- ченная для определения уровня требований к интегральной безопасности, целостности функций безопасности, реализуе- мых системой безопасности. Иными словами, SIL является мерой, определяющей степень безопасности самой системы безопасности.
Спецификация требований безопасности (Safety Re-quirements Specification). Важнейший документ, необходимый для создания системы - и АСУТП в целом, и системы безо- пасности в отдельности.
Непосредственный отечественный аналог - Техническое задание на создание АСУТП. В контексте стандарта IEC, спе-
Глава 2. Современная концепция автоматизации
109 цификация должна содержать ВСЕ требования, которым должна соответствовать система безопасности. Спецификация подразделяется на:
1. Спецификацию требований к функциям безопасности,
2. Спецификацию требований к интегральной безопасно- сти - комплексной надежности системы безопасности.
Спецификация требований к функциям безопасности
(Safety Functions Requirements Specification).
Определяет требования к функциям безопасности, кото- рые должны выполняться системой безопасности, и содержит точное и детальное представление функций безопасности в виде текстов, таблиц, блок-схем, матриц (таблиц решений), логических диаграмм и т.д., обеспечивающих ясное описание функций системы - контуров управления и защиты.
Спецификация требований к интегральной безопасно-
сти (Safety Integrity Requirements Specification).
Определяет требования к интегральной безопасности - надежности системы безопасности, с которой должны выпол- няться функции системы безопасности, и содержит детальное представление данных изготовителя и разработчика системы в виде текстов, таблиц, блок-схем, расчетов и т.д., обеспечи- вающих ясное представление о надежности системы.
Режим работы (Mode of operation - IEC 61508). Режим, в котором будет использоваться система безопасности в зави- симости от частоты запросов к системе на обеспечение безо- пасности.
Различают два режима работы системы безопасности:
1. Режим низких требований безопасности (Low de-
mand mode of operation), когда частота запросов на вы- полнение системой безопасности функций защиты НЕ
БОЛЬШЕ, чем один раз в год, и не превышает частоту проведения процедур диагностического тестирования более чем в два раза.
2. Режим высоких требований безопасности (High de-
mand mode of operation), когда частота запросов на вы- полнение системой безопасности функций защиты
БОЛЬШЕ, чем один раз в год, или превышает частоту проведения процедур диагностического тестирования более чем в два раза.
1 1 0 Справочник инженера по А С У Т П : Проектирование и разработка
Целевая мера отказов (Target failure measure). Целевая мера вероятности опасных отказов, которая должна быть дос- тигнута по отношению к требованиям интегральной безопас- ности (НАДЕЖНОСТИ). Количественно определяется сле- дующими показателями:
Вероятность опасного отказа выполнения требуемой
функции (Probability of failure on demand PFD
AVG
) - для ре- жима низких требований.
Вероятность (интенсивность) опасных отказов в час
(Probability (Intensity) of failure per hour PFH
AVG
, или A
avg
) - для режима высоких, или непрерывных требований. Конкрет- ные значения этих показателей регламентируются таблицами
2.1 и 2.2 (соответствующие таблицы 2 и 3 из пункта 7.6.2.9
стандарта IEC 61508).
Таблица 2.1
Safety integrity levels: target failure measures for a safety
function operating in low demand mode of operation
Safety integrity level
Low demand mode of operation
(Average probability of failure to perform its
design function on demand)
4
> 10
5
to < 10
u
3
> 10"
4
to < 1СГ
3
2
> 10"
3
to < 10"
2
1
> 10"
2
to < 10
1
Таблица 2.2
Safety integrity levels: target failure measures for a safety
function operating in high demand or continuous mode of op-
eration
Safety integrity level
High demand or continuous mode of operation
(Probability of a dangerous failure per hour)
4
> 10"
9
to < 10"
8
3
> 10"
8
to < 10"
7
2
> 10"
7
to < 10"
6
1
> 10
6
to < 10"
5
Глава 2. Современная концепция автоматизации
111
Межповерочный интервал, интервал межповерочного
тестирования (prove Test Interval) - TI или T,. Временной межповерочный интервал периодического автономного (off-
line) функционального тестирования, который служит для вы- явления сбоев и отказов с целью проверки и восстановления исходной функциональности и надежности системы.
Примечание
В формулировке стандарта IEC 61508 слово "off-line"
отсутствует. Однако, исходя из контекста и дальнейшего
использования, оно как бы "подразумевается".
Интервал диагностического тестирования (Diagnostic
test interval). Временной интервал оперативного (on-line)
функционального тестирования с целью выявления сбоев сис- темы безопасности, имеющих специфицированный уровень диагностического охвата.
Примечание
В формулировке стандарта IE С 61508 слово "on-line" в
данном случае присутствует.
Интенсивность отказов Я (Fault rate). Измеряется в ко- личестве отказов, отнесенном к одному часу работы системы
(отказ/час, или просто 1/час).
Среднее время между отказами - MTBF (Mean Time
Between Failures). В стандарте IEC 61508-4 не определяется. В предположении Я = Const, MTBF наряду с MTTF определяет- ся как величина, обратная к Я .
Данный показатель является статистическим представле- нием потенциальной возможности отказа компонента, устрой- ства или системы в течение определенного интервала време- ни. Данная величина практически всегда вычисляется на ос- нове теоретических предпосылок. К сожалению, это часто приводит к совершенно нереальным значениям. Иногда MTBF
отражает данные, полученные в результате тестирования при искусственном ускорении темпа жизни оборудования в более жестких условиях. В редчайших случаях MTBF может быть представлено на основе статистики реальных отказов.
В силу того, что реальные условия на процессе могут сильно отличаться от лабораторных, а полная, законченная статистика отказов никому не известна, то главным принци- пом отбора был и остается естественный отбор - применять только зарекомендовавшее себя на практике оборудование.
112 Справочник инженера по А СУТП: Проектирование и разработка Среднее время работы до отказа -
MTTF (Mean Time То Failure). В стандарте IEC 61508-4 не определяется. В отечест- венной практике соответствует понятию "Среднее время на- работки на отказ".
Определяется, как Среднее время от запуска работоспо- собной системы до момента отказа. Строго говоря, понятие
MTTF должно применяться только для тех компонент обору- дования, которые не подлежат восстановлению, в то время как понятие
MTBF - для тех компонент, которые могут быть за- менены (восстановлены) и возвращены в работу.
Но на практике
MTTF обычно участвует в определении
Среднего времени работы между отказами
MTBF в сочетании со Средним временем восстановления после отказа
MTTR (Mean Time То Restore, Repair): MTBF = MTTF + MTTR Поскольку
MTTR по сравнению с
MTTF достаточно мало, то в
обоснованных случаях считается, что
MTBF MTTF. В самом общем виде
MTTF определяется как
.Total_sy$tem(s)_operation_ time MI I г — Total _ number _of _ failures Важно правильно понимать смысл этого показателя. Час- то считается, что
MTTF определяет среднее, или даже гаран- тированное время безотказной работы устройства. Покажем, что, к сожалению, это не так.
Классическое проявление случайных отказов описывается экспоненциальным законом распределения надежности:
R(t) = e* =e-(/MTTF При
t = MTTF надежность устройства составит
R(t) = e'MTTF/MTTF = в'1 = 0.367879 37% Этот результат можно интерпретировать несколькими способами:
1. Для единичного устройства это означает, что вероят- ность того, что устройство останется в работе по исте- чению
MTTF составляет всего лишь 37%.
2. Для группы однотипных устройств это означает, что только 37% из них переживут рубеж
MTTF. 3. Можно также сказать, что устройство проработает в течение
MTTF с 37% уровнем доверия.
Глава 2. Современная концепция автоматизации 113
Пусть, например, для датчика
Л = 1.0 *10'51 / час. Это оз- начает, что
MTTF -11.4 лет. Но посмотрим, каково будет количество отказов для п =
1000 датчиков в течение 1 года: n-A-t = n t/MTTF = 1000 1/11.4 = 87.60 « 88 отка-зов за год. Если не производить восстановление и замену, то через
10 лет в работе останется лишь
Ехр (-10/11.4) =41.6% = 416 датчиков. Среднее время восстановления MTTR (Mean Time То Restore). Складывается из интервала времени, в начале кото- рого было обнаружено, что система безопасности находится в неработоспособном состоянии, времени определения причины отказа, времени восстановления работоспособности, и време- ни автономного тестирования.
Это значение в высшей степени зависит от обстоятельств и условий, в которых работает система. Система, которая ра- ботает без минимального
набора необходимых запасных час- тей, будет иметь невероятное время восстановления.
В расчетах стандарта IEC 61508
MTTR принимается в ин- тервале от 8 до 24 часов.
Частота восстановления ju (Repair rate, restoration rate). Определяется как чисто формальная величина, обратная к
MTTR: {1 = 1/ MTTR Средняя вероятность (интенсивность) опасных отка-зов в час PFHAVG = Aavg (Probability, Intensity of failure per hour). Величина, характеризующая частоту опасных отказов в час. Применяется для характеристики высокого уровня требо- ваний к системе безопасности. См. Режим высоких требова- ний безопасности.
Примечание В предварительной версии стандарта IEC 61508 данная характеристика имела вполне оправданное название "Интен-сивность, частота", и обозначалась как Aavg
. Однако в окон-чательной версии она обозначена как PFHAVG, хотя по всем канонам вероятность - величина безразмерная.
114 Справочник инженера по А СУТП: Проектирование и разработка
Фактор снижения риска RRF (Risk Reduction Factorj.
Величина, обратная интенсивности опасного отказа при высо- ком уровне требований:
RRF = 1 /PFH.
Готовность (Safety Availability - термин ISA 84.01-96).
Важное замечание
Фактически, это понятие часто используется без ясного
понимания того, что оно включает в себя два аспекта:
• Динамическая, или как ее еще называют, мгновенная
готовность, как функция времени существования то-
го технического устройства, к которому оно отно-
сится, и
• Стационарная готовность, как усредненная характе-
ристика надежности за какой-то период времени.
Стандарты ISA 84.01-96 и IEC 61508 используют только
Стационарную готовность, точнее, Неготовность, и определя- ют ее как Среднюю вероятность опасного отказа выполне-
ния требуемой функции Probability of failure on demand -
PFD
AVG
,
то есть пользуются только стационарными решения- ми, полученными к тому же полуэмпирическим путем, а не в результате решения динамических моделей.
Важное замечание
Реальное понимание процессов, происходящих с оборудо-
ванием систем безопасности, а уж тем более исследование их
поведения невозможно без динамики. Ведь вполне может
статься, что в реальности стационарное состояние ока-
жется вообще недостижимым. Исследование поведение базо-
вых архитектур систем безопасности на основе динамиче-
ских моделей Маркова требует специальной подготовки.
Динамическая готовность - это величина, характери- зующая вероятность того, что система выполнит предопреде- ленную функцию защиты в момент возникновения необходи- мости ее выполнения в течение наперед заданного интервала времени. Динамическая готовность A(t) - это надежность R(t)
во времени:
A(t) = R(t),
тогда
PFD(t) = 1-R(t).
Глава 2. Современная концепция автоматизации 115
Стационарная готовность выражается в процентах, и определяется средним временем работы до отказа
MTTF и средним временем восстановления после отказа
MTTR по сле- дующей формуле:
a =_ m t t f 100о/о=Ш^.100% MTTF +
MTTR MTBF Готовность систем существенно возрастает для малых времен обнаружения неисправности. Быстрое обнаружение неисправности в современных электронных системах достига- ется применением автоматических процедур оперативного тестирования и выводом подробной диагностической инфор- мации.
Однако необходимо подчеркнуть, что если отказ привел к останову процесса, то
время восстановления может сильно увеличиться, поскольку запуск производства "несколько" от- личается по времени от времени замены модулей.
Готовность системы защиты может быть увеличена по- средством резервирования, например, при параллельной рабо- те центральных устройств, модулей ввода-вывода, и примене- нием нескольких сенсоров в каждой точке измерения.
Резервированные элементы встраиваются в систему та- ким образом, чтобы отказ отдельного элемента не сказывался на общей функциональности системы. Очень важным компо- нентом готовности является подробный вывод диагностиче- ской информации.
Уже стандарт ISA 84.01-96 рекомендовал вместо готовно- сти использовать более точное понятие "
Вероятность опасно-го отказа выполнения требуемой функции -PFD В IEC 61508 понятие готовности вообще отсутствует. Вероятность опасного отказа выполнения требуемой функции (Probability of failure on demand - PFD). Величина, характеризующая вероятность того, что система не выполнит предопределенную функцию защиты в момент возникновения необходимости ее выполнения.
По сути j
PFD - это усредненная по времени вероятность
НЕГОТОВНОСТИ системы защиты в самый нужный момент.
Для системы безопасности по каждой функции безопасности она определяется как сумма
PFDAVG = PFDSE + PFDLS + PFDFE , г д е
116 Справочник инженера по А СУТП: Проектирование и разработка Средняя вероятность отказа выполнения тре- буемой функции защиты,
Средняя вероятность отказа выполнения тре- буемой функции связной группы сенсоров и входного интерфейса (входных модулей),
Средняя вероятность отказа выполнения тре- буемой функции самого логического устрой- ства,
Средняя вероятность отказа выполнения тре- буемой функции выходного интерфейса (вы- ходных каналов) и группы конечных (испол- нительных) элементов.
Вероятностное определение стационарной готовности
(Safety Availability) выражается как
(1-PFDAVG)100%. Кроме всего прочего, данный показатель зависит от со- стояния самого технологического процесса, полевого обору- дования, системы защиты и ее компонентов, интервала тести- рования, и от того, насколько часто возникает потребность в выполнении функций защиты.
MooN (М out ofN). Специфическая аббревиатура для обо- значения и определения архитектуры систем безопасности.
Данное сокращение обозначает, что для
правильного функ- ционирования системы необходимо, чтобы
М из
N каналов работали нормально. Если система построена на
N каналах, и для нормальной работы системы необходимо М каналов, то это означает, что система способна пережить
(N - М) отказов без потери функциональности. Соответственно для отказа системы необходимо, чтобы отказали ( N - M + 1) каналов.
MooND (М out of N with Diagnostic). В данном контексте символ
D добавляется к мнемонике архитектуры в двух случа- ях:
• Для архитектуры
loolD, символизируя во множестве случаев наличие обыкновенного сторожевого таймера;
• Для выделения архитектуры
loo2D, которая имеет принципиальные отличия от архитектуры
1оо2, опре- деляемые не только наличием диагностических цепей, но особой спецификой архитектуры.
I
pfdAV(
-
I
PFDse -I
PFDls -
I PFDFE - 
Скачать 6.47 Mb.