Огрехи стандарта IEC 61508 

Огрехи стандарта IEC 61508

Завышение оценок вероятности и частоты опасных отказов - PFD и PFH. Стандарт IEC 61508 подразделяет отказы системы безопасности на опасные и безопасные - обнаруженные и необнаруженные, - и в части 4 дает их определения. Стандарт в шестой части приводит соотношения для средней вероятности опасного отказа на запрос PFDAVG в течение преопределенного межповерочного интервала (в отечественной практике - 1 год), и средней интенсивности (частоты) опасных отказов PFHAVG , однако дает их без каких бы то

ни было объяснений, откуда они взялись.

Примечание

Необходимо понимать, что все рассмотренные в стандарте модели систем безопасности в полной мере относятся:

  • И к конфигурации измерительных устройств,
  • И к собственно логическим устройствам,
  • И к исполнительным устройствам,
  • И к системе в целом.

Анализ этих соотношений показывает, что они дают завышенные оценки вероятности отказа для высоких уровней самодиагностики. Это довольно странно, если учесть, что для соответствия, например, уровню SIL3 надежность системы по определению должна быть выше 99.9%, и система должна обладать исключительно высоким уровнем самодиагностики.

В настоящей работе в главе 5 "IEC 61508 - Вероятность отказа. Альтернативные решения" приводятся соотношения PFDAVG и PFHAVG для граничных значений степени диагностического охвата, то есть для DC=0 и DC=1, подтверждающие неточность оценок IEC 61508 для высоких уровней самодиагностики.

Отсутствие оценок вероятности ложного срабатывания. Наиболее серьезным пробелом стандарта является не доведенное до конца исследование структуры отказов систем безопасности. Стандарт не дает никаких рекомендаций по оценке вероятности так называемых "безопасных" отказов, которые фактически означают немотивированный, неоправданный останов процесса, и как раз-то и могут представлять значительную опасность.

По непонятным причинам в стандарте вообще отсутствует важнейшее понятие ложного срабатывания, которому мы только что уделили столько времени, когда рассматривали пример. Зато в стандарте есть очень расплывчатое определение безопасного отказа. Согласно стандарту,

Безопасный отказ (Safe failure) - это "Отказ, который потенциально не способен привести систему безопасности к опасному состоянию или к неспособности осуществлять функции безопасности". Можно смело утверждать, что отказов, потенциально не способных привести систему безопасности к опасному состоянию, в природе не существует. Напротив, авторская позиция прямо противоположна: При построении систем безопасности необходимо исходить из того, что ЛЮБОЙ ОТКАЗ СИСТЕМЫ ПОТЕНЦИАЛЬНО СПОСОБЕН ПРИВЕСТИ К ОПАСНОМУ СОСТОЯНИЮ.

Можно представить, что произойдет с технологическим блоком, если в ответ на дребезг контакта система защиты произведет отсечку выхода блока, но не сработает отсекатель на входе в блок. Далее стандарт дает тавтологическое определение Безопасного состояния (Safety state):

"Состояние контролируемого оборудования, при котором безопасность достигается" (буквальный перевод).

За всеми этими вроде бы спокойными и обтекаемыми формулировками кроется крайне неприятный смысл, который не сразу обнаруживается: для реального производства практически во всех случаях "безопасный" отказ в лучшем случае означает ложный останов производства.

Можно сказать, что в стандарте МЭК понятие "безопасный отказ" - самое неудачное понятие для тех, кто использует оборудование и системы безопасности. И в то же время это понятие очень удобно для производителей и поставщиков оборудования. Фактически оно означает безопасность самой системы безопасности от технологического процесса:

Система защиты просто снимает с себя какую бы то ни было ответственность за факт и результат ложного срабатывания.

В отличие от стандарта МЭК, американский стандарт ANSI/ISA 84.01-96 дает вполне корректные определения. Согласно этому стандарту, ложное срабатывание определяется как Spurious trip, nuisance trip, false shut down:

Ложное, беспричинное срабатывание блокировки, или немотивированный останов процесса по причинам, не связан-ным с действительными событиями на процессе.

Ложное срабатывание может произойти:

  • По причине отказа оборудования,
  • Из-за ошибки программного обеспечения,
  • Из-за ошибки обслуживания,
  • Неправильной калибровки,
  • Неправильной предаварийной уставки,
  • Отказа полевого оборудования,
  • Отказа модулей ввода-вывода,
  • Отказа центрального процессора,
  • Электрического сбоя,
  • Электромагнитной наводки, и т. д.
  • Короче - из-за чего угодно.

Доступность и наглядность стандарта. Фантастически изощренная терминология, как будто авторы специально стремились забыть все привычное и общепринятое, и непременно изобрести нечто необыкновенное. Всего один, но чрезвычайно важный пример.

Авторы не просто избегают понятия "Надежность". Трудно поверить, но понятие надежности вообще отсутствует в части 4 "Определения и сокращения" стандарта IEC 61508. Но всмотримся внимательно: Целостность, полнота безопасности - термин IEC 61508:

Safety integrity
Вероятность того, что система безопасности удовлетворительно (?!) выполняет требуемые функции безопасности по всем предопределенным условиям в течение установленного интервала времени.

Сравниваем, Надежность - термин ISA 84.01-96:

Reliability
Вероятность того, что система может выполнять определенные функции при всех предопределенных условиях в течение установленного интервала времени.

Направленность стандарта. Как сказано, стандарт ориентирован, прежде всего, на производителей, проектировщиков, разработчиков систем безопасности, но не на потребителя.

Поэтому в стандарте отсутствуют простые и наглядные процедуры для оценки границ применимости конкретных систем. В настоящей работе приводятся процедуры, диаграммы, таблицы и графики, которые могут служить ориентиром для живых пользователей.