Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия
 Скачать 6.47 Mb.
|
745 твии со стандартом IEC 61508 расчеты ля основного оборудования защиты - его контура безопасности - от датчика еханизма. Расчеты HIMA проводятся ных начальных условий: ) интеовап между процедурами авто- вания. Надо ли объяснять, что увели- это интервала с одного года до десяти ятикратному увеличению базовой ин- а по всем компонентам системы, их отказов. 10, специалисты HIMA в своих рас- ке при полном резервировании всех 2НОСТИ от трубы до трубы сводный езопасности вовсе не обязательно энному SIL3. В расчетах исполь- щины и понятия (табл. 11.16). Таблица 11.16 jiiure rate (per hour) s failure rate (per hour) -ate (per hour) e common-cause failure ommon-cause failure ck actor. Is the proportion of the dangerous ed to all dangerous failures 3 rogrammab!e Electronic Systems rol згапсе 746 Справочник инженера по А СУТП' Проектирование и разработка PFD Probability of Failure on Demand (A function is requested up to a maximum of twice per year) PFH Probability of Failure per Hour (A function is requested more than two times per year) SFF Safe Failure Fraction Part of safe failures and dangerous detectable failures related to ail failures SIL Safety Integrity Level. Discrete level (one out of a possible four) for specifying the safety integ- rity requirements of the safety functions to be allocated to the E/E/PE safety-related systems, where safety integrity level 4 has the highest level of safety integrity and safety integrity level 1 has the lowest. Современный подход к оценке надежности систем безо- пасности радикальным образом отличается от методики ISA. Принципиальная разница состоит не в том, что вместо логиче- ских блок-схем используется некий иной инструмент - логи- ческие блок-схемы также используются. Принципиальная раз- ница состоит в тонком анализе интенсивности и вероятности отказа с декомпозицией отказов на: • На опасные и безопасные, • На обнаруженные, и необнаруженные: As - A SD + A su Безопасные обнаруженные отказы I « п Безопасные необнаруженные отказы I Опасные необнаруженные отказы I П1( Опасные обнаруженные отказы I „„ Ad — A dd + A du Рис. 11.17 Причем основное внимание уделяется оценке вероятности опасных необнаруженных отказов. Следующее принципиальное отличие - это расчет не только средней интенсивности отказов, но и вероятности от- Глава 11. Проектная оценка надежности системы 747 каза в течение межтестового интервала - интервала ме&ду процедурами автономного тестирования. При этом вводится еще один важный настроечный фактор - уровень диагности- ческого охвата. И, наконец - сделана серьезная попытка учесть влияние общих отказов. И для них также вводится подразделение на долю обнаруженных и необнаруженных общих отказов. Претензии, высказанные ранее к стандарту IEC 61508, сводятся к следующим обстоятельствам: • Недовведенное до конца исследование поведения раз- личных архитектур в зависимости от уровня диагно- стики. Таковое исследование возможно только при ис- ключении влияния общих отказов. При этом можно показать, что соотношения IEC вносят ошибку при вы- соких уровнях самодиагностики. • Второе, еще более важное обстоятельство — это отсут- ствие оценок для вероятности ложного срабатывания. Эти претензии ни в коей мере не умаляют попытки созда- телей стандарта найти универсальные методы для оценки на- дежности современных систем безопасности технологических процессов. Программный пакет SILence. Образцом воплощения ре- комендаций МЭК является пакет SILence фирмы HIMA. В 2003 году этот программный продукт получил сертификат TUV на право проведения расчетов надежности систем безо- пасности в полном соответствии с требованиями стандарта IEC 61508. Детальное описание пакета приводится в фирменном Ру- ководстве HI 800 131 ВЕА "SILence Manual2004. Есть и от- крытые публикации с результатами практических расчетов. Например, Отчет "Safety considerations" одного из создателей пакета доктора J. Borcsok, HIMA Paul Hildebrandt GmbH + Co KG, 2002, а также описание системы защиты морских трубо- проводов "Critical Aspects of Safety, Availability and Communi- cation in the control of a sub sea pipeline, Requirements and Solu- tions". 2000. Программное обеспечение SILence позволяет определить интегральный уровень безопасности SIL для каждого проек- тируемого контура - от сенсора до исполнительного устрой- ства. 748 Справочник инженера по А СУТП' Проектирование и разработка Ф SILence является первым инструментальным продуктом, который получил благословение TUV на вычисление SIL в соответствии со стандартом IEC 61508. SILence позволяет сде- лать проектную оценку SIL по каждому новому контуру безо- пасности, документировать и сохранять результаты в архиве, и использовать эти данные для расчета сводного уровня безо- пасности системы в целом. В основе расчета находятся базо- вые соотношения вероятности и интенсивности отказов по методике IEC 61508-6 (Приложение В1 стандарта). Архитектура lool. Средняя вероятность опасного отказа - 01каза выполнить требуемую функцию защиты: PFD G = Я 0 • t c£ = (Л ои + A dd )• t CE , где t CE = ^ - ^ + MTTRy^-MTTR Средняя интенсивность отказов в час: PFH a = A DU Архитектура 1оо2, loo2D (!). PFD C = 2-[(1 - p D ) A dd +(1 - P)-A du ] 2 • t CE • t GE + + p D • kn • MTTR + p • Я о и + MTTR j *ce = —' f — + MTTR\ + • MTTR CE Л„ I 2 ) Л 0 tos (y + MTTRj + ^ • MTTR PFHe =2 [(1-/1 d ) A dd +(1-P) A du } 2 t CE + + PD ' A od + p • A du Архитектура 2oo3. PFD g =6-[(i-fi D yz m +(i-fi )-Z ou y-t CE t SE + + P D • Л т • MTTR + P-A du MTTR j tcr=— f — + MTTR ) + • MTTR CE A d [2 J Л 0 t GE = ^l.(L-+MTTR) + ^--MTTR G£ л 0 [3 ) A d PFH C =6[(1-P D ) A dd +(1- P)A du } 2 • t CE + Po-A dd+ P- A du Глава 11. Проектная оценка надежности системы 749 Замечательно, что HIMA оставляет без внимания вы- чурные соотношения IEC 61508 для расчета вероятностных характеристик архитектуры loo2D: все расчеты проводят- ся по единым соотношениям для архитектуры 1оо2. Более того, нигде даже вскользь не упоминается мифическая архи- тектура QMR "2оо4". Получить подтверждение своей пози- ции из первых рук дорогого стоит: "Я же говорил, скрипач не нужен". Надо ли говорить, что данная глава написана по- следней из всех глав настоящей работы - примерно через год после фактического завершения книги. Но знакомство с по- следними разработками фирмы HIMA заставило дополнить работу современным образцом не умозрительных, а реальных, и очень убедительных расчетов. Первая из представленных в данной главе методик преду- сматривает оценку вероятности только обнаруженных опас- ных отказов, и восстановление в течение MTTR. Оценка ве- роятности опасного необнаруженного отказа на межпове- рочном интервале 7 f не производится. Кроме того, в отличие от первой методики расчета по упрощенным соотношениям (без учета отказов общего порядка и доли диагностического охвата), в пакете SILence использованы непосредственно со- отношения стандарта 1ЕС 61508. Оценка фирмы HIMA выгод- но отличается еще и тем, что расчеты проведены не для наи- более выигрышного годового или даже полугодового межпо- верочного интервала, как это делают многие фирмы, а для наиболее жесткого 10-летнего интервала. И самое главное, расчеты проведены для всего контура безопасности - от датчика до исполнительного устройства. Большинство производителей, если и предоставляет данные по вероятностям отказа, то только для основного оборудова- ния РСУ и ПАЗ - без учета поля. Для расчета средних вероятностей отказа по каждой под- системе необходимо определить следующие данные: • Базовую архитектуру, • Базовую интенсивность отказов для каждого канала, • Фактор диагностического охвата DC для каждого ка- нала, • Доли опасных и безопасных отказов общего порядка (общей причины) /? и /3 D . 750 Справочник инженера по А СУТП' Проектирование и разработка Для всех подсистем должны быть приняты идентичные условия расчета. HIMA проводит свои расчеты при следую- щих параметрах: Таблица 11.17 Parameter Description Values Р Dangerous undetectable common-cause failure 2 % Ро Dangerous detectable common-cause failure 1 % Т1 Proof-test interval 10 years MTTR Mean Time To Repair 8 hours В качестве ключевых компонент контура безопасности рассматриваются: • Дискретные и аналоговые датчики • Входные дискретные и аналоговые модули • Коммуникационные модули • Модули центрального процессора • Выходные дискретные и аналоговые модули • Исполнительные устройства (приводы). 11.7. Краткое описание возможностей пакета SILence Пользователь имеет возможность создавать, сохранять и загружать проекты. Проект состоит, по крайней мере, из од- ной системы (контура), который состоит из единичных сис- тем: • Сенсор; • Логическое устройство; • Исполнительное устройство (Привод). Программное обеспечение пакета позволяет определить категорию SIL, а также MTTF, PFD, PFH и SSF для отдельных компонентов системы (модулей) и системы в целом. Каждый проект может содержать до 20 систем. Если требуется боль- шее количество, то системы разбиваются на несколько проек- тов. Далее представлена процедура создания проекта SILence - от собственно самого проекта и до функционального компо- нента. Глава 11. Проектная оценка надежности системы 751 11.8. Структура проекта в SILence Проект. В SILence проект состоит из конфигурируемых систем: System 01 l i S I M System 20 Рис. 11.18 Системы. Системы состоят из единичных систем: Single system Рис. 11.19 Единичные системы. Для каждой из единичных систем определяется архитектура, состоящая из одного или несколь- ких модулей: Single System Рис. 11.20 752 Справочник инженера по АСУТП: Проектирование и разработка Модули. Пользователь может выбрать предопределенные модули из библиотеки, или сконфигурировать собственные модули: Компоненты. Модуль состоит из компонентов, таких, как CPU, сторожевой таймер, блок питания и т.д. На рис. 11.22 представлен модуль, состоящий из трех компонент. Module Устройства. Компонент имеет собственную архитектуру (lool, 1оо2, 2оо2, 2ооЗ), состоящую из индивидуальных эле- ментов - устройств. Эти устройства описываются в парамет- рах интенсивностей отказа: Л 0 0 ,Л Ш ,Л 3 . На рис. 11.23 пред- ставлен компонент, состоящий из двух элементов. Рис. 11.21 Components Рис. 11.22 Units Рис. 11.23 Глава 11. Проектная оценка надежности системы 753 Таблица 11.18 Конфигурационные параметры модуля Module Parameter Description Name Name of the selected module (max 15 characters) Description Description of the module Type Type A / В Module SIL Certified SIL (1 to 4) (according to the module manufacturer's specifications) Property Module type (e g Sensor, Input, CPU, Output, Actuator ) Subtype (0 to 9999) Only modules of the same subtype may be interconnected Redundantly MTTR (Default 8 h) Mean Time To Repair MTTF Mean Time To Failure P Weighting factor for dangerous undetectable common-cause fail- ures of the module Po Weighting factor for dangerous detectable common-cause failures of the module Согласно IEC 61508, для модулей сторонних производи- телей, аттестованных на применение в системах безопасности, перечисленные параметры должны присутствовать в техниче- ской документации, и предоставляться производителями обо- рудования. Следует обратить внимание, что в качестве среднего времени наработки на отказ выбрана правильная характери- стика - MTTF, а не MTBF. В отечественной практике часто происходит смешение при переводе этих терминов. Недоразумения возникают еще и по той причине, что интенсивность отказов в равной сте- пени определяется и через MTBF, и через MTTF. 754 Справочник инженера по А СУТП' Проектирование и разработка Параметры конфигурации компонентов модуля. Мо- дуль состоит из компонентов модуля, для которых определе- ны соответствующие значения Л & /3. Все компоненты модуля (CPU, шина ввода-вывода, стабилизатор питания и т.д.) вос- производятся на экране и могут быть отредактированы. Таблица 11.19 Component Parameters Description Name Name of the selected component Architecture Select the component architecture in the drop-down list (1oo1, 1oo2, 2oo2, 2oo3) p Weighting factor for dangerous undetectable common-cause fail- ures of the module Po Weighting factor for dangerous detectable common-cause failures of the module Примечание Для модулей сторонних производителей, аттестованных на применение в системах безопасности, перечисленные па- раметры должны присутствовать в технической докумен- тации, и предоставляться производителями оборудования. Не надо упускать из виду, что /3 - факторы компонента мо- гут отличаться от /3 - факторов модуля. Конфигурирование параметров устройства. В зависи- мости от архитектуры (lool, 1оо2, 2оо2, 2ооЗ), компонент может состоять из четырех устройств. Для каждого компонен- та задаются следующие параметры: Таблица 11.20 Unit Parameters Description Description Name of the unit К Safe failure rate (per hour) Ku Undetected dangerous failure rate (per hour) Add Detected dangerous failure rate (per hour) Глава 11. Проектная оценка надежности системы 755 Все параметры устройства воспроизводятся на экране, и могут быть отредактированы. Замечание Модули третьих производителей могут быть сконфигу- рированы по своему усмотрению. Естественно, ответствен- ность за результат возлагается в таком случае на разработ- чика, производившего расчет. Модули HIMA и аттестованные модули с известными характеристиками стороннего производителя предопределе- ны, и их характеристики изменить нельзя. Таблица 11.21 Примеры единичных систем Single System Description Input Input module Output Output Module Input and Output Input / Output Module Input —>CPU -^Output H! Matrix Compact System CPU CPU Module Connector Coupling Module Transmitter Current, Voltage Transmitter Sensor Pressure, Temperature, Gas Sensor Actuator Valve, Pump, Motor Power supply unit Power Supply Unit Booster Booster 11,9. Конфигурирование систем в SILence Функции безопасности (контуры) конфигурируются как системы. Система должна быть сконфигурирована для каждо- го контура в контроллере. Один проект может состоять не бо- лее чем из 20 систем. Если требуется более чем 20 систем, они распределяются по другим проектам. Оборудование систем HIMA H41q/H51q предустановлено в библиотеках пакета. Модули единичных систем могут выбираться из контекстного меню. 756 Справочник инженера по А СУТП' Проектирование и разработка Таким образом, единичные системы, добавленные к пре- допределенным системам HIMA, могут быть переконфигури- рованы. Конфигурация контура SILence представлена на рис. 11.24. Слева от системы H51q-HRS - единичная система "Сен- сор" с архитектурой 1оо2. Справа от системы H51q-HRS - единичная система "При- вод", также с архитектурой 1оо2. Пример предопределенной системы H51q-HRS Рис. 11.24 Таблица 11.22 Единичные системы и модули для создания контура Single System Architecture ! Module ! Module Description Sensor 1oo2 Pressure Sensor Standard Pressure Sensor Input 1oo2 F 3238 8-channel Input Mod- ule, safety related CPU 1oo2 с occnc ! Central Module, safety F 8 6 5 0 E I related Connector 1oo2 F 7553 | Connector module Output 1oo2 f ooon I 8-channel Output Mod- * * * * | ule, safety related Actuator I 1 oo2 Valve Standard Valve Результаты расчета контура системы H51q-HRS для низ- кого и высокого уровня требований приведены в Таблицах 11.23 и 11.24. |