Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

5 3 0 Справочник инженера по АСУТП: Проектирование и разработка
Таблица 8.9
Форма отчета о проблемах тестирования
Номер
отчета
Ссылка на раздел
Программы и методики
испытаний
Дата
Описание
Описание проблемы:
Предпринятые действия:
Дата
проведения
теста
Успешно /
Безуспешно
Подпись
неп осредствен н ых
исполнителей
Подпись
ответственного
лица

Глава Р. Особенности проектирования систем безопасности
531
Глава 9
ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ СИСТЕМ
БЕЗОПАСНОСТИ
9.1. Жизненный цикл системы безопасности
Началом жизненного цикла и основой проекта системы безопасности является разработка Спецификации требова-
ний к системе безопасности.
Спецификация требований состоит из:
• Функциональных требований безопасности;
• Интегральных требований безопасности.
Функциональные требования безопасности определяют:
• Логику и действия, которые должна выполнить систе- ма безопасности, и
• События на технологическом процессе, которые ини- циируют эти действия.
Эти требования также должны включать в себя такие по- зиции, как описание процедуры ручного останова, действия при исчезновении питания, и т.д.
Интегральные требования безопасности определяют:
• Интегральный уровень безопасности (SIL), и
• Исполнение системы безопасности, требуемое для осу- ществления функций защиты.
Интегральные требования безопасности включают:
• Требуемый интегральный уровень безопасности для каждой функции защиты;
• Требования к диагностике;
• Требования к обслуживанию и тестированию;
• Требования к надежности для исключения ложных срабатываний.

532 Справочник инженера по АСУТП: Проектирование и разработка
Особые требования. Часть требований оговаривается особо:
• Логическое устройство защиты должно быть обособ- лено от РСУ;
• Сенсоры системы безопасности должны быть отделе- ны от сенсоров РСУ;
• Для всех главных компонент системы безопасности, включая датчики и исполнительные устройства, по- ставщик должен предоставить:
- Данные по среднему времени наработки на отказ,
- Данные по интенсивности появления выявленных отказов.
• Каждое полевое устройство должно иметь свою собст- венную линию связи с модулем ввода-вывода;
• Рекомендуется использование "интеллектуальных" датчиков, исполнительных устройств и протоколов
HART и Fieldbus, чем обеспечивается расширенный уровень диагностики и тестовых испытаний полевого оборудования, и что приводит к радикальному повы- шению надежности системы. Однако требование ин-
дивидуальных каналов взаимосвязи с полевым
оборудованием системы защиты пока сохраняется;
• Для объектов I и II категории взрывоопасное™ (по классификации, предложенной в настоящем руково- дстве, это 5-6 класс DIN, третий уровень SIL) исполь- зование одного запорно-регулирующего клапана и для
РСУ, и для ПАЗ запрещается;
• Операторский интерфейс, в отличие от инженерного, не должен давать возможности изменить прикладное программное обеспечение системы безопасности;
• Если требуется проведение процедуры тестирования
ПАЗ в рабочем, функционирующем состоянии on-line,
тестовые процедуры должны быть встроены в систему безопасности при проектировании;
• Для обслуживания полевых устройств рекомендуется применение специальной выделенной системы обслу- живания КИП - Plant Asset Management System - сис- темы управления оборудованием производства.

Глава Р. Особенности проектирования систем безопасности
533
9.2. Отказы общего порядка (общей причины)
Отказы общего порядка могут быть вызваны каким-либо единственным, нерезервированным компонентом системы, или общими систематическими ошибками в резервированных компонентах.
Некоторые из причин общих отказов включают:
• Ошибки спецификации;
• Ошибки проектирования оборудования;
• Дефекты при изготовлении оборудования;
• Ошибки программирования;
• Групповые линии связи с полевыми устройствами;
• Ошибки проектирования человеко-машинного интер- фейса;
• Неблагоприятные условия окружающей среды (темпе- ратура, влажность, давление, вибрация, коррозия);
• Отсутствие резервирования (единственные источники энергии, единичные полевые устройства, и т.п.);
• Ненадлежащая эксплуатация и техническое обслужи- вание.
Для уменьшения вероятности отказов общего порядка или систематических ошибок могут использоваться следующие методы:
• Резервирование;
• Разделение на подсистемы;
• Тестирование и проверка.
Функционально разделенные подсистемы ПАЗ могут ис- пользовать однотипное оборудование:
• интерфейс оператора,
• инженерный интерфейс, поскольку эти подсистемы, как правило, требуют физического разделения
• источников питания,
• логического решающего устройства,
• модулей ввода-вывода, и позволяют выполнять независимое тестирование или моди- фикацию.

534 Справочник инженера по А СУТП: Проектирование и разработка
9.3. Ложные срабатывания
Ложные срабатывания и остановы процесса не только приносят убытки, но и в большинстве случаев представляют значительную опасность. Опыт показывает, что на процессах с большим количеством ложных сигналов технологический персонал теряет бдительность и реагирует на предупреждения с опозданием, или вовсе не реагирует на действительно ава- рийную ситуацию.
Примеры предпосылок для ложного срабатывания:
• Неправильная калибровка датчика;
• Нормально закрытые контакты имеют неожиданно вы- сокое сопротивление;
• Отказ модуля ввода-вывода;
• Отказ микропроцессора;
• Отказ какого-либо электронного компонента полевого устройства.
Большое количество ложных событий связано со сбоями
питания - электропитания и обеспечения киповским возду- хом. Отсутствие резервных источников питания - ведущая причина ложных срабатываний. Например, потеря воздуха
КИП - это всегда критическое событие на производстве, по- скольку приводит не просто к ложному срабатыванию, но к аварийной ситуации. Другая частая причина ложных срабаты- ваний - оперативное техническое обслуживание в реаль-
ном времени, - калибровка, тестирование полевых приборов, замена неисправных модулей, переключение кабеля и т.д.
9.4. Отказы полевых устройств
Многие общие причины сбоя систем защиты из-за отказа полевых устройств можно избежать с помощью правильно организованного резервирования. Примером такого решения может быть установка дополнительных сенсоров с другим принципом действия, или даже приборов других изготовите- лей. Для контроля критичных параметров могут быть исполь- зованы следующие варианты:
• Два аналоговых сенсора,
• Два дискретных сенсора (реле), или
• По одному каждого типа.

Глава Р. Особенности проектирования систем безопасности
535
Однако надо иметь в виду, что если выбран третий вари- ант - одно аналоговое устройство и одно дискретное устрой- ство, - то по сравнению с двумя однотипными устройствами теряется преимущество непрерывного сравнения сигналов.
Правильность работы дискретного устройства может быть проверена с помощью тестирования, или в случае изменения состояния со стороны процесса. Если выбраны два различных аналоговых устройства, то их показания можно сравнивать непрерывно. Это сравнение значительно минимизирует сред- нее время обнаружения отказа, и таким образом обеспечивает более качественную защиту и повышает надежность системы.
Итак, следующие меры, относящиеся к полевым устрой- ствам, способствуют повышению безопасности:
• Непрерывное сравнение показаний резервированных устройств в течение всего времени работы системы, приводящее к сигналу тревоги или останову процесса в случае слишком большого расхождения;
• Сравнение измеренных значений критических по от- ношению к безопасности параметров и других взаимо- связанных переменных процесса с последующей сиг- нализацией оператору процесса;
• При каждом предаварийном останове процесса - про- граммный контроль показаний сенсоров на согласо- ванность с предполагаемыми условиями останова. При этом должен осуществляться контроль над срабатыва- нием и положением клапанов по концевым выключа- телям;
• И непременное условие - сигнализация оператору про- цесса при любом нарушении регламентной процедуры останова технологического процесса;
• Все данные, которые поступают в РСУ из системы за- щиты, должны использоваться и отображаться на опе- раторских станциях только по своему действительно- му, фактическому значению, и не должны подвергать- ся какой-либо дополнительной обработке или "интер- претации";
• Обязательное извещение оператора технологического процесса в случае, если исполнительный элемент сис- темы защиты не выполнил команду переключения в течение предопределенного интервала времени;

536 Справочник инженера по А СУТП: Проектирование и разработка
• Обязательное извещение оператора технологического процесса в случае, если полевое устройство самопро- извольно изменило свое состояние без команды от системы защиты;
• Отслеживание данных оборудования по среднему вре- мени наработки на отказ - MTTF, и между отказами -
MTBF;
• Периодическое тестирование позиций, долгое время находящихся в неизменном состоянии;
• Идентификация, сигнализация и регистрация на РСУ всех событий, происходящих с системой защиты.
9.5. Резервирование как средство противодействия сбоям
Как сказано, система защиты может отказать одним из следующих способов:
"Безопасный" отказ - ложное срабатывание - возника- ет в том случае, когда система защиты функционирует, и от системы не требуется производить каких-либо действий по обеспечению безопасности, однако система производит бес- причинный, немотивированный, неоправданный останов про- цесса, хотя на процессе никаких отклонений от регламента не произошло.
Опасный отказ - опасное НЕ срабатывание - возникает в том случае, когда система защиты не функционирует, или ее функции подавлены, хотя внешне это никак не проявляется. В результате система НЕ производит останова процесса, хотя это требуется. Отказы такого рода определяются только авто- номным тестированием.
Другой, очень перспективный вариант - тестирование
в оперативном режиме путем частичного открытия-
закрытия отсечных клапанов с помощью специальных
систем обслуживания полевого оборудования.
Замечание
Приведенные далее рекомендации по резервированию одинако-
во относятся ко всем компонентам системы безопасности:
• Сенсорам;
• Исполнительным элементам;
• Логическим устройствам.

Глава 9. Особенности проектирования систем безопасности
537
9.6. Общие рекомендации по выбору архитектуры
1. Одноканальные системы lool - ненадежны и небезопас- ны. Единственный промышленный вариант данной кате- гории, сертифицированный по классу RC4 и SIL2 - сис- тема loolD.
В общем случае, необходимо избегать одноканальных систем для задач защиты и критичного управления - даже для объектов III категории взрывоопасности.
2. Дублированные системы с голосующей архитектурой "один отказ из двух возможных" (1оо2) могут быть безо- пасны, но имеют высокую интенсивность ложных сраба- тываний, то есть необоснованных остановов процесса:
- Частота НЕ срабатывания (вероятность отказа выпол- нения требуемой функции - PFD) уменьшается (по- вышается безопасность), но зато
- Интенсивность ложных срабатываний и, соответствен- но, беспричинных, немотивированных остановов по сравнению с архитектурой lool УДВАИВАЕТСЯ.
3. Дублированные системы с голосующей архитектурой "два отказа из двух возможных" - 2оо2 - имеют повы- шенную опасность:
- Частота НЕ срабатывания, и риск возникновения ава- рийных ситуаций по причине НЕ срабатывания (веро- ятность отказа выполнения требуемой функции - PFD) по сравнению с архитектурой lool УДВАИВАЕТСЯ.
- Однако уменьшается интенсивность и вероятность ложного срабатывания, и, соответственно, беспричин- ного останова процесса.
4. Системы loo2D, сочетающие достоинства систем 1оо2 и
2оо2, а также системы с тройным модульным резервиро- ванием 2ооЗ с голосующей архитектурой "два отказа из трех возможных" обеспечивают приемлемый баланс безопасности и надежности.
Системы loo2D и 2ооЗ аттестуются по классам RC 5-6
и уровню безопасности SIL3.

538 Справочник инженера по А СУТП: Проектирование и разработка
9.7. Резервирование - однородное и альтернативное
Резервирование (избыточность) используется, чтобы обеспечить расширенную безопасность и увеличить устойчи- вость к отказам. Разработчик должен определить требования избыточности, чтобы достигнуть требуемого уровня безопас- ности и надежности для всех компонентов ПАЗ, включая сен- соры, логические решающие устройства, и конечные управ- ляющие элементы.
Избыточность должна рассматриваться как примени-
тельно к аппаратным средствам, так и к программному
обеспечению. Резервирование является эффективным средст- вом борьбы с отказами общего порядка, общей причины - с
отказами единичных элементов системы (Common Cause
Failure - CCF). Устранение или уменьшение влияния источ- ника сбоев, или использование резервирования на альтерна- тивных аппаратных средствах, - методы, способные устранить отказы общего порядка.
При альтернативном резервировании используется другая технология, конструкция, другое системное программ- ное обеспечение, прикладное программное обеспечение, что- бы уменьшить вероятность отказов общего порядка.
Альтернативное резервирование не должно использо- ваться в тех случаях, когда это связано с использованием ком- понентов с более низкой надежностью, которая не удовлетво- ряет системным требованиям по надежности.
Меры, которые могут использоваться для альтернативно- го резервирования, включают, но не ограничиваются следую- щими приемами:
• Использование различных типов измерений (напри- мер, давление и температура), когда известно соотно- шение между ними;
• Использование других технологий измерения той же самой переменной (например, диафрагма и вихревой расходомер);
• Использование различных типов контроллеров для каждого канала резервирования;
• Использование географического разделения (напри- мер, альтернативные маршруты для линий связи).

Глава Р. Особенности проектирования систем безопасности
539
Типичные аспекты проектирования, при рассмотрении которых может быть использовано альтернативное резервиро- вание, состоят в следующем:
• Аппаратные средства;
• Производители;
• Компоненты системы;
• Операционные системы;
• Каналы связи;
• Стандартное и прикладное программное обеспечение.
9.8. Разделение и распределение функций АСУТП
Разделение функций между РСУ и ПАЗ способно сущест- венно уменьшить вероятность того, что обе функции АСУТП
- и управляющие, и функции защиты станут недоступными одновременно, и что невнимательные или неквалифицирован- ные действия персонала повлияют на выполнение функций защиты. Функциональное разделение РСУ и ПАЗ дает допол- нительное преимущество за счет уменьшения вероятности систематических ошибок и влияния общих дефектов - показа- тель, особенно важный в приложениях I и II категории взры- воопасности для SIL3 и RC5-6.
Существует четыре области, где разделение функций осо- бенно необходимо для удовлетворения требований функцио- нальной безопасности АСУТП:
1) Полевые приборы (сенсоры);
2) Конечные исполнительные устройства;
3) Логические решающие устройства;
4) Связь между РСУ и ПАЗ.
Для каждой из этих четырех областей должен быть опре- делен и обеспечен необходимый уровень требований безо- пасности.
9.9. Сенсоры
Объекты III категории взрывоопасности. Для объектов
III категории взрывоопасности (SIL2 и RC4), как правило, чтобы обеспечить требуемый уровень безопасности, необхо- димо разделение функций и, соответственно, сенсоров между
РСУ и ПАЗ.

540 Справочник инженера по А СУТП: Проектирование и разработка
Объекты I и II категории взрывоопасности. Для объек- тов I и II категории взрывоопасности (SIL3 и RC5-6), чтобы обеспечить требуемый уровень безопасности, необходимо полное разделение функций и, соответственно, сенсоров меж- ду РСУ и ПАЗ.
Некоторые рекомендации при выборе сенсоров:
• В общем случае аналоговые устройства предпочти- тельные дискретных;
• Там, где это оправдано, и где это возможно, нужно ис- пользовать резервирование или альтернативные спо- собы получения данных, дублирующих свидетельство об одном и том же нерегламентированном событии;
• Устройства, которые выбраны в качестве альтернатив- ных, должны иметь достаточную надежность, чтобы можно было считаться и с их показаниями;
• Каждый сенсор, определяющий безопасность процес- са, должен иметь свою собственную (не групповую) связь с контроллером;
• Необходимо тщательно взвесить использование уст- ройств, которые являются совершенно новыми в экс- плуатационной истории завода;
• Сенсоры (трансмиттеры) должны иметь сертификацию на право использования в системах защиты данного класса.
9.10. Регулирующие и отсечные клапаны
Объекты III категории взрывоопасности. Для объектов
III категории взрывоопасности (SIL2 и RC4) единственный запорно-регулирующий клапан может быть использован как для РСУ, так и ПАЗ, если соблюдены требования безопасно- сти, то есть не возникает противоречия при выполнении функций управления и защиты.
Объекты I и II категории взрывоопасности. Для объек- тов I и II категории взрывоопасности (SIL3 и RC5-6) необхо- димо полное разделение функций и, соответственно, установ- ка собственных клапанов РСУ и ПАЗ, чтобы обеспечить тре- буемый уровень безопасности.
Дополнительный запорно-регулирующий клапан может быть использован как для РСУ, так и ПАЗ, если соблюдены