Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

148 Справочник инженера по А СУТП: Проектирование и разработка
Стандарт определяет концепцию Модели жизненного
цикла системы безопасности, аналогичную ISA 84.01-96 (см. рис. 2.7 - 2.9).
Общая схема модели жизненного цикла, которую воспро- изводит и структура самого стандарта IEC 61508, приведена в первой главе настоящей работы "Постановка задач автомати- зации", рис. 1.7.
Модель жизненного цикла системы устанавливает, что уровень допуска системы не ограничивается изначальным уровнем допуска входящих в нее устройств, включая датчики и исполнительные механизмы.
Уровень допуска системы, точно так же, как и уровень
допуска человека, должен определяться и подтверждаться
для всех стадий и этапов на всем жизненном пути:
• Зарождение идеи;
• Предварительное обследование и оценка;
• Проектирование;
• Эксплуатация;
• Испытания, проверка и техобслуживание.
Стандарт представляет безопасность как "свободу от не- приемлемого риска". Иными словами, абсолютной безопасно- сти достичь невозможно, можно только снизить риск до при- емлемого уровня.
Стандарт определяет 4 уровня интегральной безопасно-
сти (Safety Integrity Level - SIL) в зависимости от конкретной вероятности отказа выполнения требуемой функции (Probabil-
ity of Failure on Demand - PFD):
УРОВНИ
безопасного допуска
S I L
по стандарту
I E C 6 1 5 0 8
4 - Защита от общей катастрофы
3 - Защита обслуживающего персонала и населения
2 _ Защита оборудования и продукции, защита от травматизма
1 - Защита оборудования и продукции

Глава 2. Современная концепция автоматизации
149
Модель жизненного цикла электрической, электронной,
программируемой электронной системы безопасности
(E/E/PES)
Box9infigi*«2
E/E/PES safety lifecyde
I
E/E/PES safety requirements
specification
SulBty lmUk»i» ВИ IkMnlifrulU
requirennnte ЦЦ roquirenunts
Spill III I III ll|llllllll lllllll
EE/HtS dnigi i
I anddMlopmanl
ДЁ
E
В
To box 14
in figure 2
To box 12 In figure 2
Puc. 2.7
Модель жизненного цикла программного обеспечения
safety
Hfecych
(seeffgum3)
Ф
Ф
Software safety tifecyde
I
Software safety requirements
specification
jafuly foiUuw HH -мМуЬйц^
^HtHlutoi aptWctWoH
To box 14
in figure 2
To box 12 In figure 2
Puc. 2.8

150 Справочник инженера по А СУТП: Проектирование и разработка
Взаимодействие моделей жизненного цикла электриче-
ской, электронной, программируемой электронной систе-
мы безопасности (E/E/PES) и программного обеспечения
Booc9ofouaraff
safety lifecyde
(see figure 2)
*
Software
safe*
Hteyde
(яве figure 3)
(see figure 4)
Рис. 2.9
При этом необходимо понимать, что, например, принятие уровня допуска SIL1 означает, что уровень опасности процес- са и ограничения на экономические потери при отказе систе- мы защиты низки настолько, что системе разрешается 10% отказов выполнения функций защиты (см. таблицу 2.3).
Соответственно, 90% надежность будет означать, что из каждых десяти случаев превышения, например, уровня в ем- кости, в одном случае из этих десяти произойдет переполне- ние емкости.
Фактор снижения риска также нуждается в правильной интерпретации. Например, увеличение фактора снижения рис- ка до 100 и более лет при уровне допуска SIL2 вовсе не озна- чает, что данная конкретная система способна проработать без опасных отказов и ложных срабатываний эту самую сотню лет. Данное значение означает, что из сотни одновременно работающих систем одна система в течение одного года при- ведет процесс к опасному отказу.
В конечном итоге, задание уровня допуска SIL основыва- ется на требуемой величине снижения риска, определяемой в ходе анализа опасности процесса.
Конечно, каждое предприятие вольно самостоятельно принимать решения, и устанавливать свои требования к сис- темам безопасности на основе собственной технической поли-

Глава 2. Современная концепция автоматизации
151 тики. Однако современные стандарты безопасности устанав- ливают и требуют от предприятий соответствия предписани- ям, выработанным на основе опыта эксплуатации и анализа причин аварий большого числа взрывопожароопасных произ- водств. Сказанное означает, что в любом случае выбор уровня интегральной безопасности и соответствующей ему системы защиты должен быть тщательно проанализирован, обоснован и точно документирован. Диаграмма рисков и уровни допуска стандарта IEC 61508 представлены на рис. 2.10.
П а р а м е т р ы р и с к а
j ОпОСЛЕДСТВИЯ АВАРИИ:
!С1 - Незначительные травмы
С2 - Серьезные травмы одного или нескольких
• человек, смерть одного человека
СЗ - Смерть нескольких человек
| С4 - Катастрофические последствия
1 большие человеческие потери
®ЧАСТОТА И ВРЕМЯ НАХОЖДЕНИЯ
В ОПАСНОЙ ЗОНЕ;
И - От редкого до относительно частого
F 2 - Частое или постоянное
j ® ВОЗМОЖНОСТЬ ИЗБЕЖАТЬ ОПАСНОСТЬ;
pi - Возможно при определенных
обстоятельствах
Р2 - Невозможно
ВЕРОЯТНОСТЬ НЕЖЕЛАТЕЛЬНОГО
I СОБЫТИЯ',
»W1 - Крайне низкая
W 2 - Низкая
W 3 - Высокая
Д и а г р а м м а р и с к о в п о
с т а н д а р т у I E C 6 1 5 0 8
W3 W2 W1
Рис. 2.10
Важное дополнение
Стандарт определяет требования к профессиональной
подготовке и квалификации специалистов, определяющих уро-
вень требований к системам безопасности для конкретного
процесса.
В отличие от всех предыдущих стандартов безопасности, стандарт IEC 61508 предусматривает непосредственное уча- стие технологического персонала в обеспечении функций безопасности. Вместе с тем, в стандарте делается оговорка, что конкретные требования к технологическому и обслужи- вающему персоналу должны устанавливаться в отраслевых

152 Справочник инженера по А СУТП: Проектирование и разработка
стандартах (и в стандартах предприятия - Ю.Ф.), которые должны разрабатываться с учетом общей методологии безо- пасности, определяемой данным стандартом.
В самом общем виде, стандарт IEC 61508:
1. Определяет Модель развития системы безопасности.
2. Определяет два подхода к системам безопасности:
- Системы, обеспечивающие защиту и непрерыв- ность контроля по средней частоте опасных отка- зов, и
- Системы, обеспечивающие защиту и контроль по средней вероятности опасного отказа в течение предопределенного интервала времени.
3. Определяет концепцию безопасного допуска.
4. Устанавливает 4 уровня безопасного допуска (SIL).
Структура и параметры риска стандарта IEC 61508 заимство- ваны запросто и без церемоний из немецкого стандарта DIN
19250. При этом структуры диаграмм параметров риска для
DIN и IEC полностью совпадают (сравните рис. 2.4 и 2.10).
Параметры риска по стандарту IEC 61508 (см. рис. 2.10):
Травматизм
Незначительные травмы
Серьёзные травмы одного или нескольких человек, смерть
одного человека
Смерть нескольких человек
Катастрофические последствия, большие человеческие
потери.
Продолжительность нахождения в опасной зоне
F1 - От редкого до относительно частого
F2 - Частое или постоянное.
С1
С2
СЗ
С4
Предотвращение опасности
Р1 - Возможно при определённых обстоятельствах
Р2 - Невозможно.

Глава 2. Современная концепция автоматизации
153
W2
Вероятность нежелательного события
W1 - Крайне низкая
W2 Низкая
W1
W3 - Высокая.
2.15. Стандарт IEC 61511 "Функциональная безопасность:
Оборудованные под безопасность системы для перераба-
тывающего сектора промышленности"
Стандарт IEC 61511 "Functional Safety: Safety Instrumented
Systems for the Process Industry Sector" - это международный стандарт, разработанный для совместного использования с IEC
В дополнение к стандарту IEC 61508, который определяет общие требования безопасности, в 2004 году МЭК приняла стандарт безопасности технологических процессов IEC 61511.
Стандарт IEC 61508 изначально предназначался для про- изводителей и поставщиков оборудования.
Стандарт IEC 61511 предназначен для проектировщиков систем безопасности, специалистов по их интегрированию в процесс - разработчиков, и пользователей систем управления производственными и технологическими процессами.
Стандарту IEC 61511 должны соответствовать систе-
мы безопасности, предназначенные для защиты техноло-
гических процессов в нефтяной, газовой, химической,
нефтехимической и других отраслях промышленности.
Сенсоры, логические устройства и исполнительные эле- менты стандартом IEC 61511 также рассматриваются как со- ставные элементы системы безопасности.
Стандарт также рассматривает интерфейсы с другими
уровнями контроля и управления на соответствие общим
требованиям безопасности производства и даже человече- ского сообщества (см. рис. 2.11).
Аналогично стандарту IEC 61508, стандарт IEC 61511 оп- ределяет две главных концепции, которые лежат в основе его практического применения:
1. Жизненный цикл системы безопасности;
2. Интегральный уровень безопасности.
61508.

154 Справочник инженера по АСУТП: Проектирование и разработка
Концепция уровней защиты согласно IEC 61511
Рис. 2.11

Глава 2. Современная концепция автоматизации
155
Стандарт охватывает полный жизненный цикл системы:
• Проектирование;
• Сборка;
• Внедрение;
• Эксплуатация;
• Обслуживание;
• Модификация;
• Списание системы.
При рассмотрении жизненного цикла системы:
• Количественно оцениваются риски технологического процесса,
• Определяются требования к системе безопасности, включающей сенсоры и исполнительные элементы,
• Рассматриваются и проектируются уровни управления и защиты и, наконец,
• Определяется архитектура системы безопасности, обеспечивающая защиту от рисков процесса.
Так же, как и стандарт IEC 61508, стандарт IEC 61511 имеет 4 уровня интегрального допуска.
Но в отличие от стандарта общего назначения IEC 61508,
стандарт IEC 61511 не рекомендует рассматривать катаст-
рофические процессы, соответствующие наивысшему
уровню требований SIL4, в качестве области применения
программируемых электронных систем.
Идентификация интегрального уровня безопасности
SIL. Позиция автора. Уровень допуска системы безопасно- сти может рассматриваться как статистическое представление соответствия системы заданному интегральному уровню безопасности.
При этом необходимо ясно понимать, что данные требо- вания относятся изначально к каждой
отдельной функции,
включающей в себя и сенсоры, и логические устройства, и исполнительные элементы. Некорректно утверждать, что от- дельная единица оборудования имеет некий собственный ин- тегральный уровень безопасности.
Некоторый компонент оборудования системы может быть одобрен на применение по определенному уровню SIL, но на- личие сертификата составляет всего лишь незначительную часть общих усилий по безопасности, поскольку на соответст-

156 Справочник инженера по А СУТП: Проектирование и разработка
вие требуемому уровню должны быть проверены значения вероятностей отказа всех комплексных критических функ- ций в конкретном приложении. И только потом могут быть определены значения интегральных показателей надежности всего программно-технического комплекса системы.
Система только тогда способна достичь требуемого уров- ня интегральной безопасности, когда весь технологический цикл был рассмотрен на соответствие данному уровню.
Необходимо удостовериться и закрепить документально, что:
• Архитектура системы соответствует спецификации;
• Все компоненты системы находятся на своих местах и правильно работают;
• Функции системы реализованы в соответствии с Тех- ническим заданием;
• Документация разработана в соответствии с проектом.
Только в таком случае может появиться уверенность, что
SIL действительно является интегральным показателем соз- данной системы, и учитывает все жизненно необходимые фак- торы:
• Уровень допуска и отдельных устройств, и системы в целом;
• Описание и идентификация возможных отказов, и от- казов общего происхождения;
• Процедуры предварительных и периодических испы- таний;
• Требования к эксплуатации;
• Метрологическое обеспечение;
• Диагностика и техническое обслуживание;
• Обучение и квалификация персонала.

/ )iaea 3. Архитектура систем управления и защиты
157
Глава 3
АРХИТЕКТУРА СИСТЕМ УПРАВЛЕНИЯ
И ЗАЩИТЫ
3.1. Безопасные ПЛК
Безопасные программируемые логические контролле-
ры (ПЛК) - это техника специального назначения, которая используется для обеспечения задач безопасности и критиче- ского управления в системах автоматизации. Эти контроллеры являются центральным компонентом систем безопасности, и предназначены для выявления потенциально опасных техно- логических ситуаций, и предотвращения их дальнейшего раз- вития. В том случае, если подобная ситуация все-таки возни- кает, система безопасности программируется таким образом, чтобы автоматически перевести процесс в безопасное состоя- ние.
Существуют серьезные ограничения на использование
ПЛК, в особенности при временных ограничениях на восста- новление работоспособности после сбоя. ПЛК общего назна- чения, не имеющие специального допуска на применение в системах защиты, не могут использоваться в критичных по отношению к безопасности приложениях.
Рассмотрим разницу между безопасным ПЛК и обычным, и зададимся вопросом: почему обычные ПЛК не могут ис- пользоваться для реализации функций защиты и критичного по отношению к безопасности управления. Доктор William М.
Goble, лидер независимой группы экспертов Exida, чей авто- ритет котируется в профессиональном мире уж никак не ниже пресловутого TUV, в статье "Conventional PLC vs. Safety PLC",
Exida, 2000, указывает на принципиальную разницу между обычными и безопасными ПЛК.

158 Справочник инженера по А СУТП: Проектирование и разработка
Безопасные программируемые логические контроллеры специально спроектированы для достижения двух важнейших целей:
• Обеспечение безотказности за счет достаточного уровня резервирования и, если отказа все же не удает- ся избежать,
• Отказ должен сказываться на процессе только пред- сказуемым, безопасным образом.
Для того чтобы наделить системы данным набором ка- честв, предпринимается ряд специальных проектных решений.
Безопасные ПЛК имеют изощренную внутрисистемную аппа- ратную и программную диагностику, которая позволяет про- граммно-техническому комплексу с большой степенью досто- верности определять собственную нештатную работу:
• Безопасные ПЛК имеют специальные средства для проверки правильности и надежности программного обеспечения.
• Безопасные ПЛК по определению используют резер- вирование, которое позволяет поддерживать безопас- ность технологического процесса даже при отказе час- ти оборудования.
• Безопасные ПЛК имеют дополнительные средства за- щиты операций чтения и записи по каналам связи.
Однако доктор Goble не упоминает о самом важном каче- стве систем безопасности, ядро которых составляют безопас- ные ПЛК: