Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

118 Справочник инженера по А СУТП: Проектирование и разработка
2.5. Сбои и отказы
Сбой (Fault). Ненормальная ситуация, которая может привести к снижению или потере способности функциональ- ного узла к выполнению предопределенной функции, то есть к отказу.
Отказобезопасность (Fail-safe - ISA 84.01-96). Способ- ность системы к переходу в предопределенное безопасное со- стояние в случае своего собственного отказа.
Важное замечание
Для систем безопасности на опасных технологических
процессах в данное определение вкладывается не сразу осоз-
наваемый, но крайне неприятный смысл: в случае так назы-
ваемого безопасного отказа системы безопасности процесс
переводится в "безопасное состояние", которое, по сути, яв-
ляется состоянием немотивированного, ложного останова
процесса.
Устойчивость к сбоям, Отказоустойчивость (Fault tol-
erance).
IEC 61508: Способность функционального узла продолжать выполнение требуемой функции в присутствии сбоев и оши- бок.
ISA 84.01-96 в очередной раз дает абсолютно точное опреде- ление: Встроенная способность системы обеспечивать непре- рывное и корректное выполнение предопределенных функций в присутствии ограниченного количества программных и аппаратных сбоев.
Примечание
Следует иметь в виду, что понятия Резервирование и Отка-
зоустойчивость несколько отличаются одно от другого:
• Системы с резервированием имеют самостоятельно
выделенные дублированные (или более того) элемен-
ты, а также ручные или автоматические средства
для выявления отказов и переключения на резервные
элементы.
• Комплектные отказоустойчивые модули или системы
имеют внутренне резервированные (параллельные)
компоненты и встроенную логику для выявления и об-
хода неисправностей без негативного воздействия на
выходы.

Глава 2. Современная концепция автоматизации
119
Отказ (Failure). Прекращение способности функциональ- ного узла к выполнению предопределенной функции. Отказ должен определяться системой, иметь возможность исправле- ния или замены on-line без воздействия на функциональность системы как до, так и после восстановления (замены).
Случайный отказ оборудования (.Random hardware fail-
ure). Отказ, проявляющийся в произвольный момент времени, приводящий к запуску одного или более механизмов скачко- образной деградации оборудования. Реальные условия работы оборудования приводят к тому, что элементы системы отка- зывают по разным механизмам отказа и в произвольные мо- менты времени. Поэтому оценить можно всего лишь часто-
ту отказов, но не конкретные моменты их появления.
Систематический отказ (Systematic failure). Отказ, про- являющийся вполне определенным образом по определенной причине, от которой можно избавиться только изменением конструкции, технологических процедур, документации, или других определяющих факторов. Систематические отказы иногда могут быть устранены путем моделирования причин и условий отказа. Однако профилактическое обслуживание без внесения радикальных изменений, как правило, не устраняет первопричины отказа.
В стандарте IEC 61508 приводятся следующие примеры причин систематических отказов:
• Ошибки спецификации.
• Ошибки конструкции, технологии производства обо- рудования, пуско-наладки, условий эксплуатации.
• Ошибки проекта, разработки, программного обеспече- ния.
Главная разница между случайными и систематическими отказами заключается в следующем:
• Частота отказов системы, возникающая в результате случайных отказов элементов оборудования, в отличие от систематических отказов, как это ни парадоксально, может быть предсказана с приемлемой точностью.
• Систематические отказы системы, которые появились вследствие случайных отказов оборудования, также можно оценить. Но отказы системы, которые возникли в результате систематических ошибок, очень сложно оценить статистически, поэтому наличие и проявление

120 Справочник инженера по А СУТП: Проектирование и разработка
систематических отказов трудно предсказать - они де- терминированы.
Следующие два определения настолько важны, что при- ведем их формулировки из стандарта IEC 61508, Part 4 "Defini-
tions and abbreviations", Стр. 41, целиком:
"3.6.7. Dangerous failure
Failure which has the potential to put the safety-related system in a
hazardous or fail-to-function state
NOTE - Whether or not the potential is realized may depend
on the channel architecture of the system; in systems with multiple
channels to improve safety, a dangerous hardware failure is less
likely to lead to the overall dangerous or fail-to-function state".
"3.6.8. Safe failure
Failure which does not have the potential to put the safety-related
system in a hazardous or fail-to-function state
NOTE - Whether or not the potential is realized may depend
on the channel architecture of the system; in systems with multiple
channels to improve safety, a safe hardware failure is less likely to
result in an erroneous shutdown ".
И перевод:
Опасный отказ (Dangerous failure). Отказ, который имеет потенциал привести систему безопасности к опасному состоя- нию, или к неспособности осуществлять функции защиты.
Замечание создателей стандарта
Будет или не будет реализован этот потенциал, может за- висеть от архитектуры каналов системы. В системах с не- сколькими каналами для увеличения безопасности менее по-
хоже (?! - так и написано - is less likely, - Ю. Ф.), что опасный отказ оборудования приведет к общему опасному состоянию, или к неспособности осуществлять функции защиты.
"Безопасный" отказ (Safe failure). Отказ, который не имеет потенциала привести систему безопасности к опасному состоянию, или к неспособности осуществлять функции безо- пасности.
Замечание создателей стандарта
Будет или нет, реализован этот потенциал, может зависеть от архитектуры каналов системы. В системах с несколькими каналами для увеличения безопасности менее похоже (так и
написано - is less likely, - Ю.Ф.), что безопасный отказ обору- дования приведет к ошибочному останову.

Глава 2. Современная концепция автоматизации
121
Важное замечание
За этой, вроде бы успокаивающей и обтекаемой форму-
лировкой кроется крайне опасный смысл, который не сразу
обнаруживается. Гораздо "более похоже", что "безопасный"
отказ в лучшем случае будет означать ложный останов про-
изводства. Можно сказать, что Safe failure - это самый не-
удачный термин стандартов МЭК для тех, кто использует
оборудование и системы безопасности. Фактически он оз-
начает самоустранение - "безопасность" самой системы
безопасности от технологического процесса.
Ложное срабатывание (Spurious trip, nuisance trip, false
shut down). Ложное, беспричинное срабатывание блокировки, или немотивированный останов процесса по причинам, не связанным с действительными событиями на процессе (см.
ANSI/ISA 84.01-1996, стр. 22, п. 3.1.59).
В стандарте IEC 61508 определение ложного срабатывания
отсутствует.
Ложное срабатывание может произойти по множеству причин:
• По причине отказа оборудования;
• Ошибки программного обеспечения;
• Ошибки обслуживания, неправильной калибровки;
• Отказа полевого оборудования;
• Отказа модулей ввода-вывода;
• Отказа центрального процессора;
• Электрического сбоя;
• Электромагнитной наводки и т. д.
Сбой общего порядка (общей причины) - ISA 84.01
(Common cause fault). Единый источник, единая первопричина, которая может привести к отказу группы элементов системы.
Единый источник отказа может быть как внутренним, так и внешним по отношению к системе.
Отказ общего порядка (общей причины) - IEC 61508
(Common cause failure). Редчайший случай, когда определение
IEC 61508 оказывается лучше определения ISA 84.01:
Отказ, который является результатом одного или не- скольких событий, приводящих к одновременному отказу
двух или более отдельных каналов в многоканальной сис-
теме, приводящему к отказу системы в целом.

122 Справочник инженера по АСУТП: Проектирование и разработка
Примеры общих отказов:
• Неквалифицированное обслуживание;
• Не откалиброванные единичные датчики;
• Коррозия, эрозия деталей клапанов;
• Забивка импульсных линий;
• Неблагоприятные условия окружающей среды;
• Перебои электроэнергии;
• Электромагнитное воздействие и т.д.
Замечание
Как мы видим, основные причины отказов, которые ока-
зывают общее катастрофическое воздействие на систему
безопасности, это:
• Люди. Вне конкуренции.
• Полевое оборудование.
• Энергообеспечение.
Причины разных отказов существенным образом пересе- каются и, как правило, вызывают их нарастание. Экономия на подготовке квалифицированного персонала, на модернизации полевого оборудования с использованием современных средств оперативной диагностики (Plant Asset Management% на резервировании ключевых компонентов системы, на источни- ках бесперебойного электропитания и кондиционировании рабочей среды сводит на ноль любые затраты на суперсовре- менное основное оборудование АСУТП.
Ошибка {Error). Расхождение между вычисленным, на- блюдаемым или измеренным значением или условием, и пра- вильным, специфицированным, или теоретически ожидаемым значением или условием.
Человеческая ошибка (Human error). Человеческое дей- ствие или бездействие, которое может привести к негативным результатам.
Вскрытый сбой, или отказ
(Detected\ Revealed\ Overt fault).
Определение IEC 61508: По отношению к оборудованию
- это ошибки, которые могут быть классифицированы как оп- ределенные, объявленные, проявленные, выявленные с помо- щью диагностических тестов, поверочного тестирования, вмешательства оператора.
(Во время нормальной эксплуатации, или во время физиче- ской инспекции и ручного тестирования).

Глава 2. Современная концепция автоматизации
123
Определение ISA 84.01: Ошибки, которые могут быть классифицированы как определенные, объявленные, прояв- ленные.
Скрытый сбой, или отказ
{Undetected, Unrevealed, Covert fault).
Определение IEC 61508:
По отношению к оборудованию - это ошибки, которые могут быть классифицированы как скрытые, не проявленные, не определенные, не выявленные с помощью диагностических тестов, поверочного тестирования, вмешательства оператора.
(Во время нормальной эксплуатации, или во время физиче- ской инспекции и ручного тестирования).
Определение ISA 84.01: Ошибки, которые могут быть классифицированы как неопределенные, необъявленные, не проявленные.
Останов по отключению питания (De-energize to trip).
Определение ISA 84.01 (в IEC 61508 отсутствует):
Отключение источника питания (электроэнергия, воздух
КИП), приводящее к переводу процесса в безопасное состоя- ние по физически предопределенной последовательности опе- раций. Предполагается, что в нормальных условиях выходные цепи системы защиты запитывают выходные устройства.
Останов по включению питания (Energize to trip).
Включение источника питания (электроэнергия, воздух КИП), приводящее к переводу процесса в безопасное состояние по физически предопределенной последовательности операций.
Предполагается, что в нормальных условиях выходные цепи системы защиты не запитывают выходные устройства.
Запрос, потребность (Demand). Условие, или событие, которое требует от системы защиты предпринять соответст- вующие действия, направленные на предотвращение опасного события - как от появления, так и от распространения послед- ствий опасного события.
Степень диагностического охвата (Diagnostic coverage).
Доля уменьшения вероятности опасного отказа оборудования в результате автоматического диагностического тестирования.
Согласно ISA 84.01-96 определяется, как отношение ко- личества обнаруживаемых средствами диагностики системы защиты сбоев к общему количеству сбоев.

124 Справочник инженера по А СУТП: Проектирование и разработка
Согласно IEC 61508 - доля уменьшения вероятности опасных отказов за счет автоматического диагностического тестирования. Определяется отношением суммарной частоты обнаруженных опасных отказов к общему количеству опасных отказов:
= где A
D
=A
DD
+A
SD
.
Повышение степени диагностического охвата DC имеет первостепенное значение для систем управления и защиты технологических процессов. В современных системах DC
может достигать уровня 99,95%.
Деблокировка, байпас, обход блокировки (Bypassing) -
термин ISA 84.01. Действие по временному отключению функции защиты в системе. Осуществляется по инициативе обслуживающего или оперативного персонала с целью диаг- ностики, определения неисправности системы, технического обслуживания и ремонта.
Принудительное изменение состояния входов-выходов
(Forcing). Функция системы, которая дает возможность изме- нить состояние входов-выходов системы в обход прикладного программного обеспечения.
Функциональное тестирование (Functional testing). Пе- риодически проводимые проверки работоспособности техни- ческого и программного обеспечения системы на соответствие
Спецификации требований безопасности.
Аппаратная реализация (Hard-wired). Схемные реше- ния; работа оборудования без применения программных средств.
Предупредительное обслуживание (Preventive mainte-
nance). Практика технического обслуживания, при которой оборудование обслуживается в соответствии с фиксирован- ным графиком по рекомендациям производителя оборудова- ния или на основе накопленного опыта работы и статистики отказов.
Доля (фракция) безопасных отказов (Safe Failure Frac-
tion - SFF). Стандартом IEC 61508 не определяется. Доля безопасных отказов устройства или подсистемы определяется как отношение суммы средней частоты безопасных отказов и обнаруженных опасных отказов к средней общей частоте от- казов устройства или подсистемы:

Глава 2. Современная концепция автоматизации
125
SFF = X ^S + Z ^РР _
Z
^S
+
Z
^ОР
+ Z Л
ои
_ Z
^S
+
X
^РР
_ Z + X
^РР
S ^ S + I ^ D
Замена в реальном времени (On-line repair). Замена от- казавших элементов оборудования on-line без отключения системы безопасности, и без потери функциональности.
Замена не должна воздействовать на остальные элементы системы. Резервные компоненты должны уже находиться на своих рабочих местах или, в крайнем случае, на специально выделенных местах для размещения резервных компонентов.
Динамическое тестирование (Dynamic testing). Демонст- рация работоспособности программного обеспечения и/или оборудования с тем, чтобы удостовериться в правильности и отсутствии неправильных действий.
Независимое отделение, департамент (Independent de-
partment).Отделение (департамент) предприятия, существую- щее отдельно и независимо от подразделений, отвечающих за действия, которые предпринимаются во время какой-либо фа- зы, или в целом на жизненном пути электрической / электрон- ной / программируемой электронной системы (E/E/PES%
предметом деятельности которого является оценка или под- тверждение функциональной безопасности.
Независимая организация (Independent organization).
Организация, существующая отдельно и независимо и в руко- водстве, и по другим ресурсам от организаций, отвечающих за действия, которые предпринимаются во время какой-либо фазы, или в целом на жизненном пути электрической / элек- тронной / программируемой электронной системы (E/E/PES),
предметом деятельности которой является оценка или под- тверждение функциональной безопасности. Непосредствен- ный отечественный аналог - Федеральная служба по экологи-
ческому, технологическому и атомному надзору (Ростехнад-
зор).

126 Справочник инженера по А СУТП: Проектирование и разработка
2.6. Обозначения и сокращения
МЭК
Международная
электротехническая
комиссия
IEC
International electro
technical commission
д и н
Немецкие промыш-
ленные нормы
DIN
Deutche Industri
Normen
TUV
Немецкая
ассоциация
технического
надзора
TUV
Technischer
UberwachungsVerein
(Technical Inspection ,
Association)
ANSI
Американский инсти-
тут стандартизации
ANSI
American national
standard institute
ISA !
Американское
общество
приборостроителей
ISA
Instrument society of ,
America
NPD
Норвежский
нефтяной
директорат
NPD
Norwegian Petroleum ;
Directorate
SINTEF I
Фонд научных и про- ,
мышленных иссле-
дований, Норвегия
SINTEF
Foundation of
Scientific and
Industrial Research
OREDA
Справочник данных
о надежности,
Норвегия
OREDA
Offshore Reliability
Data Handbook
NORSOK
Норвежская
организация
стандартов
нефтяной
промышленности
NORSOK
Norwegian Oil Indus- ;
try Standards
Organization
NUREG
Комиссия
по ядерному
регулированию
NUREG
Nuclear Regulatory
Commission