Степень доверия к заявленному уровню интегральной безопасности 

Степень доверия к заявленному уровню интегральной безопасности

При выборе приемлемой системы безопасности часто рассматривается только часть системы - собственно программируемый контроллер, да и то лишь его центральная часть, и совершенно упускается из виду надежность всего контура безопасности, начиная от датчика, и заканчивая исполнительным элементом. Стандарты IEC 61508 и IEC 61511 предписывают рассматривать систему безопасности комплексно, целиком. Причем подчеркивается, что в общей структуре отказов существенную долю отказов несут именно полевые устройства. Поэтому при создании систем безопасности основной упор должен делаться на модернизацию и резервирование специального полевого оборудования с возможностью оперативной диагностики в режиме on-line на основе протоколов HART и Fieldbus. Главное, что необходимо предусматривать при создании, и обеспечивать при эксплуатации систем безопасности - это возможность оперативной диагностики и тестирования, как в ручном, так и в автоматическом режиме. Увеличение частоты тестирования за счет использования систем оперативного обслуживания полевого оборудования - один из ключевых факторов повышения надежности системы.

Полевое оборудование сертифицируется на допуск для применения в системах безопасности наравне с ПЛК. При этом основной упор делается на уровень самодиагностики. Использование протоколов типа HART и Fieldbus позволяет создать самостоятельную подсистему обслуживания полевого оборудования, независимую от РСУ и ПАЗ. Это решение при грамотном применении способно на порядки повысить уверенность в дееспособности полевого оборудования.

Однако необходимо помнить, что смысл имеет только ВЕСЬ КОНТУР безопасности. Датчик - это всего лишь один из компонентов контура.

Надо просчитать SIL для всего контура, и затем для ВСЕХ критических функций безопасности при конкретной конфигурации системы. Общий уровень SIL для комбинации из трех групп компонентов:

совсем не обязательно будет соответствовать желанному уровню SIL3. Сводный SIL должен просчитываться для каждого конкретного случая.

Строго говоря, априорно заданное значение интегрального уровня безопасности для любого из компонентов систем безопасности противоречит самому определению данного понятия стандартами МЭК.

Пример из стандарта ANSI/ISA 84.01-1996.
В целом высококачественный стандарт американского общества приборостроителей ANSI / ISA 84.01-1996 приводит диаграмму АЛ (Приложение А, секция A3, стр.50).
При этом на диаграмме (см. рис. 1.41) заранее и без всякого обоснования рядом со схемами (слева) приводятся конкретные значения уровня интегральной безопасности SIL.
Как мы могли убедиться при рассмотрении нашего примера, априорное задание уровня безопасности, принятое только на основе количества оборудования, совершенно некорректно, и способно ввести в заблуждение.

И хотя эта диаграмма в стандарте имеет подзаголовок "Example only" - "Только для примера" - она активно используется дилетантами от автоматизации в качестве конкретной рекомендации авторитетного зарубежного стандарта.

К детальному обсуждению этого важнейшего аспекта применимости электронных средств в промышленности мы будем постоянно возвращаться в последующих главах настоящего руководства.

Интегральный уровень безопасности может определяться только в реальной конфигурации оборудования. Технические характеристики отдельных устройств должны содержать не абстрактное значение SIL, взятое с потолка, а исходные данные по частоте опасных и безопасных отказов, на основе которых и будет определен интегральный уровень безопасности оборудования в конкретном приложении.

В этой связи очень важно понимать следующее: когда поставщик импортного оборудования гордо заявляет, что его система имеет сертификат TUV на работу по уровню SIL3 (а какой же еще?!), то вы должны ясно понимать, что в данном случае речь идет вовсе не о "системе", а всего лишь о разрозненном наборе устройств или модулей для данного брэнда -по одной штуке каждого типа.

Рис. 1.41

Кроме модулей, проверке и сертификации подлежит программное обеспечение на минимально необходимой для этого конфигурации системы, и соответствующая системная документация. В лучшем случае вы получаете следующие документы:

  • Certificate,
  • List of approved modules,
  • Safety Reference Manual,

в чем легко убедиться, если набрать http://www.tuv-fs.com/plclist.htm, и выбрать любую из представленных в таблице "List of Type Approved Programmable Electronic Systems (PES, PLCs)" торговых марок. Повторяю: именно торговых марок, брэндов, шильдиков, а вовсе не некую базовую, или потенциально возможную, или какую-то еще систему, а тем более уж никак не какую-либо конкретную конфигурацию. Поэтому для нашего потребителя речь может идти только о потенциальной возможности того разрозненного оборудования, которое проходит под данным брендом, соответствовать заявленному уровню. Более того, очень полезно обратить внимание на ремарку, набранную самым мелким шрифтом, и на которую никто не обращает внимания:

Remark
There are considerable restrictions on the use of the PES in safety related applications, especially for the timing restrictions after faults have been detected. These timing restrictions are depending on calculations or applications. Refer to the detailed test reports of the respective TTJV test institute.

Зная это, перепродавцы продолжают предлагать индивидуальные устройства, будь то контроллеры или полевые устройства, как сертифицированные на определенный уровень SIL продукты. Те производители и поставщики, которые дорожат своей репутацией, даже после всеобъемлющего тестирования в испытательных лабораториях рекомендуют применять новые устройства только в некритичных приложениях, чтобы и пользователь, и производитель могли выявить все ошибки, не обнаруженные в лабораторных условиях. Применение совершенно новых, нигде не испытанных технических устройств только на основе эффектных презентаций - большой риск. И пусть эти устройства испытываются где-нибудь в другом месте, но не на наших технологических объектах.