Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

Глава 11. Проектная оценка надежности системы
769
Подсистема 9: Аналоговый вход, Аналоговый выход.
Рис. 11.33
Таблица 11.35
тМШаШжл
i« 'a$
V .... fffl
Pressure
switch
2oo3
1.00E-04
2.22E-08
3
3
Temperature
switch
2oo3
1.56E-04
3.47E-08
3
3
Al: F6214
1oo2
1.00E-06
3.44E-09
4
3
Connector: F
7553
1oo1
9.78E-06
5.76E-10
4
4
CPU: F 8650E
1oo1
2.94E-05
4.08E-09
3
3
AO: F 6705
1oo1
1.86E-05
6.17E-10
3
4
Actuator:
Valve
1oo2
3.33E-05
7.40E-09
4
3
_ i
I ! I I I S
System with-
out sensor
and actuator
5.88E-05
8.71 E-09
4
4
System with
sensor and
actuator
3.48E-04
7.30E-08
3
!
3
ШШ
i
f
/
,
у ^ж^м
m
m
25—3110

770 Справочник инженера по А СУТП' Проектирование и разработка
Подсистема 10: Аналоговый вход, Аналоговый выход.
Рис. 11.34
Таблица 11.36
ш
ш
т
^щшММшшщ
&
tm
ш
Pressure
switch
2ооЗ
1.00Е-04
2.22Е-08
3
3
Temperature
switch
2ооЗ
1.56Е-04
3.47Е-08
3
3
Al: F 6214
1оо2
1.00Е-06
3.44Е-09
4
3
Connector: F
7553
1оо1
9.78 Е-06
5.76Е-10
4
4
CPU: F 8650E
1оо2
3.08Е-06
7.24Е-09
4
3
AO: F 6705
1оо1
1.86Е-05
6.17Е-10
3
4
Actuator:
Valve
1оо2
З.ЗЗЕ-05
7.40Е-09
4
3
i s i
i
i
i
System with-
out sensor
and actuator
3.25Е-05
1.19Е-08
4
3
System with
sensor and
actuator
3.22Е-04
7.62Е-08
3
3
tern* w£thrai*
щттттШ
£ ^
§ ц

Глава 11. Проектная оценка надежности системы
771
Подсистема 11: Аналоговый вход, Аналоговый выход.
Рис. 11.35
Таблица 11.37
^
в
п о т
I
^
%
^
!
Л Ш ;
i i c ;
Pressure
switch
2oo3
1.00E-04
I I I
2.22E-08 | 3 | 3
Temperature
switch
2oo3
1.56E-04
3.47E-08
3
3
Ai: F 6214
2oo3
1.01 E-06
3.50E-09
4
3
Connector: F
7553
1oo1
9.78E-06
5.76E-10
4
4
CPU: F 8650E
1oo1
2.94E-05
4.08E-09
3
3
AO: F 6705
1oo2
3.78E-07
2.26E-09
4
3
Actuator:
Valve
1oo2
3.33E-05
7.40E-09
4
3
i i s i i i
System with-
out sensor
and actuator
4.06E-05
1.04E-08
4
I
3
System with
sensor and
actuator
3.30E-04
7.47E-08 I 3
I
3
Ш

772 Справочник инженера по А СУТП' Проектирование и разработка
Подсистема 12: Аналоговый вход, Аналоговый выход.
Рис. 11.36
Таблица 11.38
И И
Pressure
switch
2oo3
1.00E-04
2.22E-08
3
3
Temperature
switch
2oo3
1.56E-04
3.47E-08
3
3
Al: F 6214
2oo3
1.01E-06
3.50E-09
4
3
Connector: F
7553
1oo1
9.78E-06
5.76E-10
4
4
CPU: F8650E
1oo2
3.08E-06
7.24E-09
4
3
AO: F 6705
1oo2
3.78E-07
2.26E-09
4
3
Actuator:
Valve
1oo2
3.33E-05
7.40E-09
4
3
I
I
I
l
l
i
System with-
out sensor
and actuator
1.43E-05
1.36E-08
4
3
System with
sensor and
actuator
3.04E-04
7.79E-08
3
3
Шк
i s s f i i s
ЩЩ
1 Й 1 1

Глава 11. Проектная оценка надежности системы
773
11.11. Оценка SIL по доле безопасных отказов (SFF)
и по отказоустойчивости
В контексте интегральной безопасности уровень SIL, ко- торый может быть объявлен и для отдельной функции безо- пасности, и для системы безопасности в целом, ограничивает- ся отказоустойчивостью и долей безопасных отказов подсис- темы, осуществляющей данную функцию безопасности.
Таблицы 2 и 3 IEC 61508-2, стр. 47, определяют предель- ный SIL, который может быть приписан для функции безо- пасности подсистемы исходя из доли безопасных отказов и отказоустойчивости подсистемы. Соответствие этим требова- ниям должно проверяться для каждой подсистемы.
Определение 1
Отказоустойчивость оборудования - N - означает, что
N+1 сбой приводит к потере функции безопасности. При оп-
ределении отказоустойчивости оборудования не должно
предприниматься никаких дополнительных действий, кото-
рые могут оказать воздействие на результаты отказов, на-
пример, таких, как диагностика.
Таким образом, отказоустойчивость подсистемы опре-
деляется максимальным числом случайных отказов оборудо-
вания (random hardware failures), которое не приводит к
опасному отказу системы безопасности в целом. При этом
считается, что даже если одиночный сбой (fault) является
причиной одного или нескольких последующих сбоев, сбой
считается одиночным.
Определение 2
Подсистема - это сенсор, логическое устройство, или
исполнительное устройство. Комплектная система безопас-
ности состоит из набора идентифицируемых и самостоя-
тельных подсистем, которые в совокупности воплощают
функцию безопасности системы.
Требования к отказоустойчивости могут быть ослаблены для систем с резервированием, допускающих оперативную замену on-line. Однако и в этом случае вероятности отказа должны быть просчитаны с учетом необходимого времени на восстановление MTTR.

774 Справочник инженера по А СУТП' Проектирование и разработка
Определение типов подсистем по IEC 61508-2:
Согласно IEC 61508-2, пункт 7.4.3.1.2,
Подсистема относится к типу А, если для всех компо- нентов, участвующих в осуществлении функции безопасно- сти:
• Режимы отказов всех компонентов подсистемы хоро- шо определены;
• Поведение подсистемы при возникновении отказа пол- ностью детерминировано;
• Имеются достаточные экспериментальные данные о поведении подсистемы, дающие уверенность, что обеспечивается необходимая мера обнаруженных и необнаруженных отказов.
Согласно IEC 61508-2, пункт 7.4.3.1.3,
Подсистема относится к типу В, если для всех компо- нентов, участвующих в осуществлении функции безопасно- сти:
• Режимы отказов хотя бы для одного из компонентов подсистемы не определены полностью;
• Поведение подсистемы при возникновении отказа не полностью детерминировано;
• Нет достаточных экспериментальных данных о пове- дении подсистемы, дающих уверенность, что обеспе- чивается необходимая мера обнаруженных и необна- руженных отказов.
Из этих определений следует, что если хотя бы один из компонентов подсистемы относится к типу В, то и вся подсис- тема будет типа В.
Таблица 11.39
Ограничения по SIL для подсистем типа А
Safe failure
Hardware fault tolerance (see note 2) J
fraction
0
1 I
| 2 |
< 60 %
SIL1
| SIL2 |
I SIL3 |
60 % - < 90 % I
| SIL2 [ SIL3 | SIL4 |
90 % - < 99 % !
| SIL3 I SIL4 |
I SIL4 |
>99% |
I SIL3 I
S I L 4
I SIL4 |

Глава 11. Проектная оценка надежности системы
775
Таблица 11.40
Ограничения по SIL для подсистем типа В
Safe failure
Hardware fault tolerance (see note 2) |
fraction
0
1
j
2
< 60 %
Not allowed 1
SIL1 | SIL2 |
60 % - < 90 %
SIL1
SIL2 | SIL3 |
90 % - < 99 %
SIL2 |
| S1L3 | SIL4 |
> 99 %
SIL3
| SIL4 | SIL4 |
11Л2. SIL единичного канала
(Пример 1 из стандарта IEC 61508-2, Пункт 7.4.3.1.5)
Общее правило: Если функция безопасности исполняется посредством единичного канала, то максимальное значение интегрального уровня безопасности SIL для оборудования всей системы по отношению к данной функции определяется подсистемой с самым низким уровнем SIL, определенным по таблицам 11.39 и 11.40. Предположим, что одноканальная функция защиты состоит из подсистем 1, 2 и 3. Архитектура этой системы приведена на рис. 11.37.
Пример определения интегрального уровня безопасности
для одноканальной функции
- Subsystems implementing safety function (see note 1 ) -
" L l J Type A
Table 2 SIL1
[2] Type В "
Table 3 S I L 2 |
Н
Ы Type в |
Table 3 -> S1L11
Architecture
reduces to
C o m p l e t e system
m e e t s the h a r d w a r e
fault requirements
of SIL1
NOTE 1 The subsystems mnptementing the safety function will be ai
in terms of ranging from the sensors to the 8'
NOTE 2 For details on interpreting this figure see the example to 7 4 5 5
s the enlire E^E/PE safety-related system
Рис. 11.20

776 Справочник инженера по А СУТП' Проектирование и разработка
Пусть каждая из подсистем обеспечивает следующие тре- бования безопасности, определенные по таблицам 11.39 и
11.40:
• Подсистема 1 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности SIL1, тип А.
• Подсистема 2 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности SIL2, тип В.
• Подсистема 3 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности SIL1, тип В.
Несмотря на то, что SIL подсистемы 2 равен двум, об-
щий уровень безопасности для этой архитектуры будет
лимитирован SIL подсистем 1 и 3, и в целом для всей сис-
темы (контура) равен единице. Более того, контур относится к самому низкому типу - типу В, то есть к типу с неопреде- ленным и недетерминированным поведением, и вполне соот- ветствует контуру с характеристиками человеческих существ.
11.13. SIL многоканальной функции безопасности
(Пример 2 из стандарта IEC 61508-2, Пункт 7.4.3.1.6)
Для систем, реализующих функции безопасности посред- ством многоканальных подсистем, общий уровень безопасно- сти определяется с помощью следующих шагов:
• Выбор по таблицам 11.39 и 11.40 для каждой из под- систем уровня SIL, соответствующего уровню диагно- стики и отказоустойчивости подсистемы;
• Группировка подсистем и назначение соответствую- щего уровня SIL для группы;
• Анализ и определение общего SIL для оборудования системы.
Предположим, что функция безопасности обеспечивается пятью подсистемами по двум путям (см. рис. 11.38):
• Последовательность подсистем 1, 2 и 3, или
• Последовательность подсистем 4, 5 и 3.
В этом случае комбинации подсистем (1+2), и (4+5) име- ют одинаковую функциональность, и обеспечивают самостоя- тельный выход на подсистему 3.

Глава 11. Проектная оценка надежности системы
778
Пример определения интегрального уровня безопасности
для многоканальной функции
- Subsystems implementing safety function (see note 2)-
LU Type В
| LU TypeA
Table 3 SIL3
J Table 2 SIL2
I I LU TypeA
L l l Type В
[ 5 j Type В
| j Table 2 S1L2
Table 3 SIL2
Table 3 SIL1
Combination of
subsystems
meets the
hardware fault
requirements of
SIL2
SIL3
SIL2
I llll
[ l a n d 2 |
Шф
|1, 2, 4 and 5f"
Architecture
reduces to
LU Type A
Table 2 -> SIL2
Architecture
reduces to
LU Type A
Table 2 SIL2
Architecture
reduces to
11,2, 3,4andsT
NOTE 1 Subsystems 1 and 2 and subsystems 4 and 5 have the same functionality as regards implementing the
safety function, and provide separate inputs into subsystem 3
NOTE 2 The subsystems implementing the safety function will be across the entire E/E/PE safety-related system
in terms of ranging from the sensors to the actuators
NOTE 3 For details on interpreting this figure, see the example to 7 4 5 6
Puc. 11.38

778 Справочник инженера по А СУТП' Проектирование и разработка
Функция безопасности будет исполняться следующим образом:
• В случае отказа подсистемы 1 или 2 - подсистемами 4 и 5.
• В случае отказа подсистемы 4 или 5 - подсистемами 1 и 2.
Предположим, что каждая из подсистем обеспечивает следующие требования безопасности, определенные по таб- лицам 11.39 и 11.40:
• Подсистема 1 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности SIL3, тип В.
• Подсистема 2 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности SIL2, тип А.
• Подсистема 3 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности SIL2, тип А.
• Подсистема 4 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности S1L2, тип В.
• Подсистема 5 при конкретном уровне диагностики и отказоустойчивости способна обеспечить интеграль- ный уровень безопасности S1L1, тип В.
Этот пример совсем не так прост, как может показаться:
• Как следует из Примера 1, комбинация подсистем 1 и
2 имеет максимально разрешенный SIL=2.
• Комбинация подсистем 4 и 5 имеет максимально раз- решенный SIL-1.
Однако в случае отказа комбинации (1+2) функция
безопасности будет обеспечена комбинацией (4+5). Поэто-
му отказоустойчивость комбинации (1+2) автоматически
повышается на 1. Следовательно,
• Общий SIL для комбинации подсистем 1, 2, 4, 5 имеет максимальный уровень интегральной безопасности
SIL3.
Найдем общий SIL для системы в целом:
• Общий SIL определяется комбинацией SIL3 (общий
SIL для подсистем 1, 2, 4, 5) и SIL2 подсистемы 3.