Временные ограничения на применение ПЛК
Стандарты DIN V 19250, IEC 61508, ISA 84.01 не предписывают каких либо конкретных рекомендаций по допустимому времени пребывания систем безопасности в неполной конфигурации в случае частичной потери оборудования.
Поэтому максимально разрешенный интервал однока-нальной работы должен в каждом конкретном случае определяться индивидуально - в зависимости от специфики конкретного процесса. TUV устанавливает нижеследующие ограничения на применение различных архитектур программируемых логических контроллеров в неполной конфигурации.
III категория взрывоопасности - 4 класс требований RC, уровень SIL2.
При использовании дублированных центральных процессоров, модулей ввода-вывода, сетевых интерфейсов, источников питания разрешается использовать расширенный вариант системы loolD. При отказе одного из центральных процессоров - немедленный аппаратный останов процесса. В настоящей работе предлагается следующий далее альтернативный вариант.
Для объектов III категории взрывоопасности функции защиты технологического процесса могут быть реализованы на стандартных контроллерах РСУ при выполнении следующих условий:
- Система защиты построена на физически выделенных из РСУ (но не из состава АСУТП!) технических средствах (выделенные стойки ПАЗ);
- Система защиты имеет резервирование по всем основным компонентам:
- Модули ввода-вывода;
- Платы контроллеров;
- Сетевые интерфейсы;
- Источники питания.
Данное техническое решение в обязательном порядке согласовывается с территориальным органом Ростехнадзора при оформлении Технического задания на создание АСУТП.
I и II категория взрывоопасности - 5 и 6 класс требований RC, SIL3.
Стандарты общего назначения IEC 61508, DIN 19250 и DIN 0801 не дают конкретных значений или рекомендаций по времени работы в неполной конфигурации для случаев обнаружения отказов в системе, и последовавшей в результате этого отказа деградации системы. Максимальный интервал времени одноканальной работы для резервированных систем, который устанавливает TUV в своих общих рекомендациях "Product Independent Conditions and Restrictions", www.tuv-fs.com /plcgen4.htm, если оперативного восстановления исходной конфигурации системы не произведено, таков:
- Для уровня требований АК5 (II категория взрывоопасности по предлагаемой в данной работе классификации) в одноканальном режиме работы - останов после 72 часов работы в контролируемом режиме, то есть под наблюдением (supervised operation).
- Для уровня требований АК6 (I категория взрывоопасности по предлагаемой в данной работе классификации) в одноканальном режиме работы - останов после 1 часа работы в контролируемом режиме, то есть под наблюдением (supervised operation).
При этом подчеркивается, что в одноканальном варианте работа системы возможна только в режиме под наблюдением.
Вместе с тем к каждой системе TUV подходит индивидуально (см. например, отчет TUV U 0012 40001 003, стр. 11-15): Для 5 и 6 класса требований (объекты I и II категории взрывоопасности - Ю. Ф.) - восстановление системы в течение интервала времени, определенного для конкретной системы на основе представленных производителем данных о вероятности опасного отказа, либо программно-контролируемый останов не более чем через 72 часа.
Максимальный интервал времени работы в неполной конфигурации для системы 2ооЗ, который устанавливает TUV для 5-6 класса требований (отчет TUV 968/EZ 105.03/01, стр.8):
При отказе одного канала — восстановление конкретной системы в течение заданного для нее производителем оборудования интервала времени, при отказе двух каналов - останов процесса через 1 час.
Таким образом, общее правило состоит в следующем:
Постоянная одноканальная работа системы защиты для объектов I и II категории взрывоопасности запрещена.
Сказанное означает, что для объектов I и II категории взрывоопасности при частичной потере исходной конфигурации программно-управляемая защита процесса возможна только для архитектур 2ооЗ и loo 2D, причем с резервированием сенсоров и исполнительных устройств, определяющих безопасность процесса.
Время восстановления работоспособности системы безопасности после ее полного отказа с последующим остановом процесса.
Стандартами DIN, ISA, IEC никак не регламентируется, хотя стандарт IEC 61508 оперирует интервалом 8-24 часа. TUV также не дает никаких конкретных рекомендаций. Исходя из реальных возможностей по времени:
- Определения причин отказа системы защиты,
- Времени замены дефектных компонентов системы защиты,
- Времени на пробный запуск и тестирование системы, предлагается определить в качестве ориентира для объектов всех категорий взрывоопасности интервал в 8 часов на восстановление готовности системы безопасности к выполнению своих функций, и к запуску технологического процесса.
Авторское понимание ограничений TUV на применение различных архитектур программируемых логических контроллеров в сочетании с предложенным взаимно однозначным соответствием классов и уровней допуска отечественным категориям взрывоопасности (таблица 4.9) представлено в таблице 4.12. Еще раз: очень важно понимать принципиальную, границу, разделяющую 1oo1D и системы с архитектурами 1oo2D и 2ооЗ:
- Для одноканальных систем частичный отказ означает одновременно жесткий физический останов процесса.
- Системы с резервированием позволяют в случае частичного отказа провести оперативную замену отказавшего модуля, либо произвести программно-управляемый останов процесса.
Данное качество резервированных систем является определяющим при выборе архитектуры систем управления и защиты непрерывных технологических процессов для нефтегазодобывающих, химических, нефтехимических и нефтеперерабатывающих производств.
Таблица 4.12 Ограничения на применение различных архитектур промышленных систем противоаварийной защиты для взрывоопасных производств
Таким образом, Разрешение Ростехнадзора подразумевает право на применение технических устройств на объектах всех категорий взрывоопасности.
Поэтому технические решения по выбору конкретной архитектуры систем защиты и управления для данного технологического объекта должны быть обоснованы в Техническом задании на создание АСУТП.
Техническое задание на создание АСУТП в обязательном порядке согласовывается с территориальным органом Ростехнадзора. И самое главное:
Вне зависимости от наличия и содержания западных сертификатов, разрешение Ростехнадзора имеет безоговорочный приоритет.