Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

246 Справочник инженера по АСУТП: Проектирование и разработка
Таблица 4.11
Механизмы деградации промышленных систем
безопасности и действия при отказах
Исходная структура
Системы
(нормальное состояние)
Структура и действие
Системы при наличии единичного отказа оборудования
Структура и действие
Системы при наличии двух отказов оборудования
Сертификация
TUV и категория взрывоопасности
2ооЗ
1оо2,
Восстановление исходной конфи- гурации с ограни- чением по вре- мени, либо программно- управляемый останов
Аппаратный останов процесса
Аттестована по:
5-6 классу DIN,
3 уровню SIL
1, II категория взрывоопасности
1oo2D
1oo1D,
Восстановление исходной конфи- гурации с ограни- чением по вре- мени, либо программно- управляемый останов
Аппаратный останов процесса
Аттестована по:
5-6 классу DIN,
3 уровню SIL
1, II категория взрывоопасности
1oo1D
Аппаратный останов процесса
Аттестована по:
4 классу D1N,
2 уровню SIL
III категория взрывоопасности
1оо2
Аппаратный останов процесса
Аттестована по
4 классу DIN,
2 уровню SIL
III категория взрывоопасности

Глава 4. Общие требования при создании АСУТП
247
4.18. Временные ограничения на применение ПЛК
Стандарты DIN V 19250, IEC 61508, ISA 84.01 не предпи- сывают каких либо конкретных рекомендаций по допустимо- му времени пребывания систем безопасности в неполной кон- фигурации в случае частичной потери оборудования.
Поэтому максимально разрешенный интервал однока- нальной работы должен в каждом конкретном случае опреде- ляться индивидуально - в зависимости от специфики конкрет- ного процесса. TUV устанавливает нижеследующие ограниче- ния на применение различных архитектур программируемых логических контроллеров в неполной конфигурации.
III категория взрывоопасности - 4 класс требований
RC, уровень SIL2. При использовании дублированных цен- тральных процессоров, модулей ввода-вывода, сетевых ин- терфейсов, источников питания разрешается использовать расширенный вариант системы loolD. При отказе одного из центральных процессоров - немедленный аппаратный останов процесса. В настоящей работе предлагается следующий далее альтернативный вариант.
Для объектов III категории взрывоопасности функции за- щиты технологического процесса могут быть реализованы на
стандартных контроллерах РСУ при выполнении следую- щих условий:
1. Система защиты построена на физически выделенных из РСУ (но не из состава АСУТП!) технических сред- ствах (выделенные стойки ПАЗ);
2. Система защиты имеет резервирование по всем ос- новным компонентам:
- Модули ввода-вывода;
- Платы контроллеров;
- Сетевые интерфейсы;
- Источники питания.
Данное техническое решение в обязательном порядке со- гласовывается с территориальным органом Ростехнадзора при оформлении Технического задания на создание АСУТП.
I и II категория взрывоопасности - 5 и 6 класс требо-
ваний RC, SIL3. Стандарты общего назначения IEC 61508,
DIN 19250 и DIN 0801 не дают конкретных значений или ре- комендаций по времени работы в неполной конфигурации для

248 Справочник инженера по А СУТП: Проектирование и разработка
случаев обнаружения отказов в системе, и последовавшей в результате этого отказа деградации системы. Максимальный интервал времени одноканальной работы для резервирован- ных систем, который устанавливает TOV в своих общих реко- мендациях "Product Independent Conditions and Restrictions",
www.tuv-fs.com /plcgen4.htm, если оперативного восстановле- ния исходной конфигурации системы не произведено, таков:
• Для уровня требований АК5 (II категория взрывоопас- ности по предлагаемой в данной работе классифика- ции) в одноканальном режиме работы - останов после
72 часов работы в контролируемом режиме, то есть под наблюдением (supervised operation).
• Для уровня требований АК6 (I категория взрывоопас- ности по предлагаемой в данной работе классифика- ции) в одноканальном режиме работы - останов после
1 часа работы в контролируемом режиме, то есть под наблюдением (supervised operation).
При этом подчеркивается, что в одноканальном вари-
анте работа системы возможна только в режиме под на-
блюдением.
Вместе с тем к каждой системе TUV подходит индивиду- ально (см. например, отчет TUV U 0012 40001 003, стр.11-15):
Для 5 и 6 класса требований (объекты I и II категории
взрывоопасности - Ю. Ф.) - восстановление системы в тече-
ние интервала времени, определенного для конкретной сис-
темы на основе представленных производителем данных о
вероятности опасного отказа, либо программно-
контролируемый останов не более чем через 72 часа.
Максимальный интервал времени работы в неполной конфигурации для системы 2ооЗ, который устанавливает TUV для 5-6 класса требований (отчет TUV 968/EZ 105.03/01, стр.8):
При отказе одного канала — восстановление конкретной
системы в течение заданного для нее производителем обору-
дования интервала времени, при отказе двух каналов - оста-
нов процесса через 1 час.
Таким образом, общее правило состоит в следующем:
Постоянная одноканальная работа системы защиты для
объектов I и II категории взрывоопасности запрещена.

Глава 4. Общие требования при создании АСУТП
249
Сказанное означает, что для объектов I и II категории
взрывоопасности при частичной потере исходной конфигу- рации программно-управляемая защита процесса возможна только для архитектур 2ооЗ и loo 2D, причем с резервирова- нием сенсоров и исполнительных устройств, определяющих безопасность процесса.
Время восстановления работоспособности системы
безопасности после ее полного отказа с последующим ос-
тановом процесса. Стандартами DIN, ISA, IEC никак не рег- ламентируется, хотя стандарт IEC 61508 оперирует интерва- лом 8-24 часа. TUV также не дает никаких конкретных реко- мендаций. Исходя из реальных возможностей по времени:
• Определения причин отказа системы защиты,
• Времени замены дефектных компонентов системы за- щиты,
• Времени на пробный запуск и тестирование системы, предлагается определить в качестве ориентира для объектов всех категорий взрывоопасности интервал в 8 часов на восста- новление готовности системы безопасности к выполнению своих функций, и к запуску технологического процесса.
Авторское понимание ограничений TUV на применение различных архитектур программируемых логических кон- троллеров в сочетании с предложенным взаимно однозначным соответствием классов и уровней допуска отечественным ка- тегориям взрывоопасности (таблица 4.9) представлено в таб- лице 4.12. Еще раз: очень важно понимать принципиальную, границу, разделяющую loolD и системы с архитектурами loo2D и 2ооЗ:
• Для одноканальных систем частичный отказ означает одновременно жесткий физический останов процесса.
• Системы с резервированием позволяют в случае час- тичного отказа провести оперативную замену отка- завшего модуля, либо произвести программно- управляемый останов процесса.
Данное качество резервированных систем является опре- деляющим при выборе архитектуры систем управления и за- щиты непрерывных технологических процессов для нефтега- зодобывающих, химических, нефтехимических и нефтепере- рабатывающих производств.

250 Справочник инженера по А СУТП: Проектирование и разработка
Таблица 4.12
Ограничения на применение различных архитектур про-
мышленных систем противоаварийной защиты для взры-
воопасных производств
Ыш^ттммж
Ограничения на применение
различных архитектур ПЛК
противоаварийной защиты
взрывоопасных
производств
Важное замечание
Федеральная служба по экологическому, технологическо-
му и атомному надзору (Ростехнадзор) при выдаче Разреше-
ний на применение технических устройств для создания ав-
томатизированных систем управления и противоаварийной
защиты не делает подразделения по категориям взрывоопас-
ности объекта.
Таким образом, Разрешение Ростехнадзора подразумева-
ет право на применение технических устройств на объектах
всех категорий взрывоопасности.
Поэтому технические решения по выбору конкретной ар-
хитектуры систем защиты и управления для данного техно-
логического объекта должны быть обоснованы в Техническом
задании на создание АСУТП.
Техническое задание на создание АСУТП в обязательном
порядке согласовывается с территориальным органом
Ростехнадзора. И самое главное:
Вне зависимости от наличия и содержания западных сер-
тификатов, разрешение Ростехнадзора имеет безоговороч-
ный приоритет.

Глава 4. Общие требования при создании АСУТП
251
4.19. Резервирование полевого оборудования
Все сказанное по поводу резервирования центральной части систем безопасности - ПЛК - в полной мере относится и к полевому оборудованию. Согласно IEC 61508, минималь- ная смысловая единица системы управления и защиты - функция, или контур безопасности. Под контуром безопасно- сти (<Safety Loop) в самом тривиальном случае понимается це- почка элементарного контура управления и защиты:
Сенсор - ПЛК - Исполнительное устройство.
Становится понятным, почему системы безопасности с не резервированными сенсорами и исполнительными устройст- вами аттестуются TUV не выше 4 класса защиты DIN, и 2 уровня безопасности SIL независимо от архитектуры ПЛК, то есть имеют право на существование только на объектах III категории взрывоопасности.
Поэтому нет особого смысла на объектах III категории взрывоопасности с одним сенсором и одним исполнительным устройством в каждом канале ставить специализированные системы loo2D или 2ооЗ. В данном случае вполне можно обойтись резервированным оборудованием того же типа, ко- торое используется для реализации функций РСУ.
Таким образом, для объектов III категории взрывоопасно- сти функции защиты технологического процесса могут быть реализованы на стандартных контроллерах РСУ при выполне- нии следующих условий:
• Система защиты реализована на специально выделен- ных аппаратных средствах;
• Система защиты имеет резервирование по всем основ- ным компонентам:
- Модули ввода-вывода
- Платы контроллера
- Сетевые интерфейсы
- Источники питания.
Как и все решения, связанные с применением техниче- ских устройств на взрывоопасных объектах, данное техниче- ское решение в обязательном порядке согласовывается с тер- риториальным органом Ростехнадзора при оформлении Тех- нического задания на создание АСУТП.

252 Справочник инженера по А СУТП: Проектирование и разработка
4.20. Выбор архитектуры систем безопасности
Архитектура системы оказывает основное влияние на об- щий уровень безопасности. Архитектура также определяет надежность системы. Ниже приводятся некоторые решения, которые необходимо сделать при определении архитектуры:
• Выбор идентичного или альтернативного резервирова- ния для сенсоров, логических решающих устройств, и исполнительных элементов;
• Выбор избыточности для источников и блоков пита- ния;
• Выбор компонентов интерфейса оператора (например, станция технолога-оператора, оперативные панели системы противоаварийной защиты, кнопки, извеща- тели) и метод взаимосвязи с системой защиты;
• Выбор сопряжений между системой защиты и другими системами, например, РСУ, и метод доступа (напри- мер, "только чтение" яш "чтение /запись").
Архитектуры, которые могут удовлетворять требованиям взрывобезопасности различного уровня, включают нижесле- дующие конфигурации.
Для объектов III категории взрывоопасности (SIL2 и RC4)
от системы требуется наличие самодиагностики, сторожевого таймера. Дополнительно не исключается возможность резер- вирования сенсоров, и с одним конечным управляющим уст- ройством.
Приемлемый вариант по согласованию с территориаль- ным органом Ростехнадзора - выделенное резервированное оборудование РСУ с резервированием модулей ввода-вывода, модулей управления, сетевых плат, источников питания.
Для объектов I и II категории взрывоопасности (SIL3 и RC
5-6) классический выбор - системы защиты с архитектурами loo2D и 2ооЗ с дублированием сенсоров и управляющих уст- ройств.
Для объектов всех категорий взрывоопасности настоя- тельно рекомендуется применение системы обслуживания полевого оборудования - Plant Asset Management System. Для объектов I и II категории взрывоопасности это должно быть обязательное требование.

Глава 4. Общие требования при создании АСУТП
253
Существует множество поставщиков оборудования, "ин- жиниринговых" фирм, собственных разработчиков предпри- ятия, которые способны заложить контроллер, который, судя по рекламным проспектам, выставкам и презентациям, вроде бы вполне отвечает требованиям безопасности. Но при этом не поясняется, что под безопасностью, понимается, в том чис- ле, и ложное срабатывание.
Например, одноканальная система может 10 раз в месяц останавливать процесс по ложной причине, и отвечать тре- буемому классу безопасности, обеспечивая "безаварийный", ничем не контролируемый физический останов. И при этом мгновенно перезапускаться и демонстрировать потрясающую "готовность" к новому останову процесса! Более того, стерео- тип мышления, навязанный неуемной дилетантской или пред- намеренной рекламой достоинств ПЛК, приводит к тому, что заказчик совершенно упускает из виду, либо оставляет "на потом" решение вопросов, которые как раз-то и являются пер- востепенными - модернизация полевого оборудования.
Важно понимать следующее:
Надежность и готовность системы безопасности озна- чают, что система может находиться в режиме on-line, будучи устойчивой к одному или нескольким отказам, и при этом со- храняет способность производить необходимые действия для безопасного программно-управляемого останова процесса,
- в то время как отказ элемента системы будет идентифициро- ван, и будет произведена замена дефектного оборудования.
При выборе конкретной архитектуры системы безопасности разработчик должен определить полноту диагностического охвата, промежутки времени между испытаниями, резервиро- вание и т.п. и оценить конкретную конфигурацию оборудо-
вания с обязательным учетом полевой части системы на соответствие требуемому уровню безопасности.
Хорошо спроектированные системы для решения крити- ческих задач безопасности находят баланс между безопасно-
стью и надежностью посредством выбора адекватного резер- вирования, и высоким уровнем диагностики полевого обору- дования и программируемых логических устройств. Целост- ность системы после запуска обеспечивается правильным вы- бором частоты и глубины тестирования.
Но самое главное - квалифицированным персоналом.

254 Справочник инженера по А СУТП: Проектирование и разработка
4.21. Западные документы специального допуска
Хотя во всех европейских странах и на американском рынке применение программируемых электронных систем в качестве систем противоаварийной защиты жестко регламен- тировано существующими национальными и международны- ми стандартами, и требует специальной сертификации для определения допуска к применению, тем не менее, возмож- ность их применения для конкретного технологического про- цесса должна быть тщательно проверена. Жесткие требования связаны со спецификой электронной техники, которая обеспе- чивает функциональные преимущества перед щитовыми и релейными схемами, но имеет гораздо более высокую цену отказа. От поставщиков западного оборудования систем ПАЗ необходимо требовать документы, подтверждающие право использования на аналогичных технологических объектах с учетом категории взрывоопасности:
• Сертификат безопасности TUV, определяющий пред-
варительный уровень допуска на систему безопасно- сти по стандарту 1ЕС 61508;
• Технический отчет TUV, определяющий технические требования при проектировании, программировании и эксплуатации для заданной конфигурации системы;
• Руководство по безопасности (Safety Manual).
Еще раз укажем, что очень важно понимать следующее:
Когда поставщик импортного оборудования гордо заяв- ляет, что его "система" имеет сертификат TUV на работу по уровню SIL3 (а какой же еще?!), то вы должны ясно понимать, что в данном случае речь идет всего лишь о разрозненном на- боре модулей для данного брэнда - по одной штуке каждого типа. Кроме модулей, проверке и сертификации подлежит программное обеспечение на минимально необходимой для этого конфигурации системы, и соответствующая системная документация.
В лучшем случае вы получаете следующие документы:
• Certificate,
• List of approved modules,
• Safety Reference Manual.
Вы сами можете в этом легко убедиться, если наберете http://www.tuv-fs.com/plclist.htm, и выберете любую из пред-