Ведущие производители промышленных систем безопасности 

Ведущие производители промышленных систем безопасности

Ниже приводятся списки производителей программируемых электронных систем, имеющих разрешения TUV на применение определенных моделей PLC для целей защиты технологических процессов.

Ведущие фирмы-производители систем класса 1oo2D:

  • ABB
  • ABB
  • Honeywell
  • Siemens Energy & Automation
  • Yokogawa.

Фирмы-производители систем класса 2ооЗ:

  • ABB
  • GE-Fanuc
  • ICS
  • Triconex.

Текущий перечень производителей сертифицированного TUV оборудования систем безопасности можно посмотреть на сайтах http://www.tuvasi.com, http://www.tuv-fs.com

Замечание 1
Информация на сайтах TUV обновляется достаточно редко, и может не соответствовать реальному статусу оборудования. Согласно требованиям стандартов МЭК, TUV Rheinland отмечает продукцию, соответствующую IEC 61508 "Functional Safety of Е/Е/РЕ safety-related systems", следующим знаком:
Замечание 2
Необходимо внимательно проверять методики расчета вероятностей отказов в технической документации изготовителей и поставщиков оборудования и программного обеспечения систем безопасности. Например, в руководствах фирмы GE Fanuc Automation "Genius Modular Redundancy. Users Manual (February 2002)", Appendix F "PFD Calculations", и "Genius Modular Redundancy for Fire and Gas Applications", Appendix В "PFD Calculations" вместо соотношений для расчета вероятности опасного отказа системы 2ооЗ приведены соотношения для системы loo2D!

Кроме того, в расчетах использовано значение для интервала функционального (межповерочного) тестирования Т1 =только 6 месяцев, и нет расчетов для одного года, двух лет, 10 лет, как это рекомендовано стандартом МЭК. Надо ли напоминать, что искусственное сокращение интервала Т1 с одного года до полугодия приводит к снижению вероятности опасного отказа в ДВА РАЗА, то есть к искусственному завышению характеристик надежности системы.

Притом, что на западе стандартный интервал между остановами на капремонт измеряется 2-4 годами (рекорд - 12(!) нет для одной из этиленовых установок).

Кроме того, параметр ß - доля общих отказов - принят в расчетах равным 1%, тогда как МЭК рассматривает диапазон от 1 до 10%, а для необнаруженных общих отказов - до 20%. Примеров подобных ухищрений можно привести множество.

Представитель фирмы HIMA J.Borcsok в документе "Safety Consideration", 2003, приводит результаты расчетов вероятности отказа для различных конфигураций контроллеров HIM А в совокупности с полевым оборудованием. При этом во всех расчетах принимается, что все датчики имеют конфигурацию 2ооЗ, а клапаны - 1оо2. При всем уважении к авторитету фирмы HIM А, интересно было бы посмотреть: много ли в США или Германии таких систем.

Замечание 3
Ко всем подкрепляющим аргументам, исходящим от заинтересованного лица, надо относиться с известной осторожностью. Как правило, используется испытанный прием:
Данные, полученные в одних условиях, применяются для подкрепления утверждений в собственных обстоятельствах, но при этом, естественно, не упоминается, что обстоятельства поменялись. Поэтому необходимо критически относиться к сведениям из проспектов поставщиков систем безопасности, и всегда понимать, что фактический уровень допуска конкретной конфигурации оборудования и формальное соответствие последним международным стандартам - /ЕС 61508, /ЕС 61511 - это далеко не одно и то же. Применение технических устройств только на основе эффектных презентаций - большой риск. И пусть эти устройства испытываются где-нибудь в другом месте, но не на наших взрывоопасных объектах.

К сожалению, сертификаты не гарантируют соответствие фактических характеристик заявленным характеристикам оборудования. В стандартах IEC 61508 и 61511 прямо указывается на необходимость опыта непосредственного применения конкретных систем безопасности в течение достаточного интервала времени на различных процессах как одного из решающих условий выбора. В особенности это касается комплексных компонент системы с многочисленными функциями. Заказчик должен знать, какие из этих функций действительно были проверены на практике. Если отказы оборудования не имитировались в процессе пуско-наладки и не отрабатывались во время эксплуатации, то невозможно утверждать, что эти функции на самом деле будут выполнены.

В заключение еще раз приведем чрезвычайно жесткие требования стандартов МЭК к полевым испытаниям оборудования и программного обеспечения систем безопасности. Эти требования настолько важны, что должны в обязательном порядке присутствовать в наших нормативных документах. Стандарты IEC 61508 (Часть 7, п. В.5.4) и IEC 61511 (Часть 4) требуют: Для того чтобы система считалась прошедшей полевые испытания, должны быть выполнены следующие требования (For field experience to apply, the following requirements must have been fulfilled):

  • Неизменная спецификация.
  • 10 систем в различных приложениях.
  • 105 отработанных рабочих часов (11,42 года) и, как минимум, 1 год сервисного обслуживания.

Сведения о том, что система прошла испытания на практике, должны быть предоставлены в виде документов изготовителем или поставщиком системы. Эта документация должна содержать, как минимум:

  • Точное предназначение системы и ее компонентов, включая контроль версии оборудования;
  • Послужной список системы с указанием потребителей и даты внедрения;
  • Время эксплуатации;
  • Процедуры для выбора системы и ее компонент, и процедуры, достаточные для проверки;
  • Процедуры для выявления отказов, их регистрации, а также их устранения.

В части проверки программного обеспечения Стандарты IEC 61508 (часть 7, С2.10) и IEC 61511 (часть 4) требуют:

Программное обеспечение не ломается, однако подвержено систематическим ошибкам, поэтому компонентам программного обеспечения или программным модулям можно доверять, если они уже проверены на соответствие требуемому уровню интегральной безопасности. Например, если для определения отказов оборудования предусмотрена процедура самотестирования, но отказы оборудования не имитировались в процессе пуско-наладки и не отрабатывались во время эксплуатации, то невозможно утверждать, что функции обнаружения неисправностей проверены на практике. Для исключения расширенной перепроверки или перепроектирования системных программных модулей при каждом новом применении, должны быть выполнены следующие требования, которые позволят удостовериться, что программные модули свободны от систематических ошибок проектирования и от опасных отказов. Программное обеспечение должно отвечать следующим жестким критериям:

  • Неизменная спецификация.
  • 10 систем в различных приложениях.
  • Вероятность неопасных отказов в течение года 10 -5 с доверительной вероятностью 99,9%.
  • Отсутствие опасных отказов.

Для проверки того, что компонент или модуль программного обеспечения отвечает всем этим критериям, следующие позиции должны быть документированы (must be documented):

  • Точная идентификация системы и ее компонентов, включая контроль версии и программного обеспечения, и оборудования;
  • Послужной список системы с указанием потребителей и даты внедрения;
  • Время эксплуатации;
  • Процедуры для выбора системы под конкретные применения, и варианты применения;
  • Процедуры для выявления отказов, их регистрации и устранения.
Замечание 4
Полевое оборудование сертифицируется на допуск к применению в системах безопасности наравне с ПЛК. При этом основной упор делается на уровень самодиагностики. Использование протоколов типа HART и Fieldbus позволяет создать самостоятельную систему обслуживания полевого оборудования, независимую от РСУ и ПАЗ. Это решение на порядки повышает надежность и готовность полевого оборудования. Однако необходимо помнить, что смысл имеет только ВЕСЬ КОНТУР безопасности, и общий SIL для комбинации из многих элементов - датчики, барьеры, логические контроллеры, клапаны - должен просчитываться для каждой конкретной функции (контура).