Выбор архитектуры систем безопасности 

Выбор архитектуры систем безопасности

Архитектура системы оказывает основное влияние на общий уровень безопасности. Архитектура также определяет надежность системы. Ниже приводятся некоторые решения, которые необходимо сделать при определении архитектуры:

  • Выбор идентичного или альтернативного резервирования для сенсоров, логических решающих устройств, и исполнительных элементов;
  • Выбор избыточности для источников и блоков питания;
  • Выбор компонентов интерфейса оператора (например, станция технолога-оператора, оперативные панели системы противоаварийной защиты, кнопки, извеща-тели) и метод взаимосвязи с системой защиты;
  • Выбор сопряжений между системой защиты и другими системами, например, РСУ, и метод доступа (например, "только чтение" или "чтение/запись").

Архитектуры, которые могут удовлетворять требованиям взрывобезопасности различного уровня, включают нижеследующие конфигурации.

Для объектов III категории взрывоопасности (SIL2 и RC4) от системы требуется наличие самодиагностики, сторожевого таймера. Дополнительно не исключается возможность резервирования сенсоров, и с одним конечным управляющим устройством.

Приемлемый вариант по согласованию с территориальным органом Ростехнадзора - выделенное резервированное оборудование РСУ с резервированием модулей ввода-вывода, модулей управления, сетевых плат, источников питания.

Для объектов I и II категории взрывоопасности (SIL3 и RC 5-6) классический выбор - системы защиты с архитектурами loo2D и 2ооЗ с дублированием сенсоров и управляющих устройств.

Для объектов всех категорий взрывоопасности настоятельно рекомендуется применение системы обслуживания полевого оборудования - Plant Asset Management System. Для объектов I и II категории взрывоопасности это должно быть обязательное требование. Существует множество поставщиков оборудования, "инжиниринговых" фирм, собственных разработчиков предприятия, которые способны заложить контроллер, который, судя по рекламным проспектам, выставкам и презентациям, вроде бы вполне отвечает требованиям безопасности. Но при этом не поясняется, что под безопасностью, понимается, в том числе, и ложное срабатывание.

Например, одноканальная система может 10 раз в месяц останавливать процесс по ложной причине, и отвечать требуемому классу безопасности, обеспечивая "безаварийный", ничем не контролируемый физический останов. И при этом мгновенно перезапускаться и демонстрировать потрясающую "готовность" к новому останову процесса! Более того, стереотип мышления, навязанный неуемной дилетантской или преднамеренной рекламой достоинств ПЛК, приводит к тому, что заказчик совершенно упускает из виду, либо оставляет "на потом" решение вопросов, которые как раз-то и являются первостепенными - модернизация полевого оборудования. Важно понимать следующее:

Надежность и готовность системы безопасности означают, что система может находиться в режиме on-line, будучи устойчивой к одному или нескольким отказам, и при этом сохраняет способность производить необходимые действия для безопасного программно-управляемого останова процесса, - в то время как отказ элемента системы будет идентифицирован, и будет произведена замена дефектного оборудования. При выборе конкретной архитектуры системы безопасности разработчик должен определить полноту диагностического охвата, промежутки времени между испытаниями, резервирование и т.п. и оценить конкретную конфигурацию оборудования с обязательным учетом полевой части системы на соответствие требуемому уровню безопасности.

Хорошо спроектированные системы для решения критических задач безопасности находят баланс между безопасностью и надежностью посредством выбора адекватного резервирования, и высоким уровнем диагностики полевого оборудования и программируемых логических устройств. Целостность системы после запуска обеспечивается правильным выбором частоты и глубины тестирования. Но самое главное - квалифицированным персоналом.