Временные ограничения на применение ПЛК

Стандарты DIN V 19250, IEC 61508, ISA 84.01 не предписывают каких либо конкретных рекомендаций по допустимому времени пребывания систем безопасности в неполной конфигурации в случае частичной потери оборудования.

Поэтому максимально разрешенный интервал однока-нальной работы должен в каждом конкретном случае определяться индивидуально - в зависимости от специфики конкретного процесса. TUV устанавливает нижеследующие ограничения на применение различных архитектур программируемых логических контроллеров в неполной конфигурации.

III категория взрывоопасности - 4 класс требований RC, уровень SIL2.
При использовании дублированных центральных процессоров, модулей ввода-вывода, сетевых интерфейсов, источников питания разрешается использовать расширенный вариант системы loolD. При отказе одного из центральных процессоров - немедленный аппаратный останов процесса. В настоящей работе предлагается следующий далее альтернативный вариант.

Для объектов III категории взрывоопасности функции защиты технологического процесса могут быть реализованы на стандартных контроллерах РСУ при выполнении следующих условий:

1. Система защиты построена на физически выделенных из РСУ (но не из состава АСУТП!) технических средствах (выделенные стойки ПАЗ);
2. Система защиты имеет резервирование по всем основным компонентам:
   - Модули ввода-вывода;
   - Платы контроллеров;
   - Сетевые интерфейсы;
   - Источники питания.

Данное техническое решение в обязательном порядке согласовывается с территориальным органом Ростехнадзора при оформлении Технического задания на создание АСУТП.

I и II категория взрывоопасности - 5 и 6 класс требований RC, SIL3.
Стандарты общего назначения IEC 61508, DIN 19250 и DIN 0801 не дают конкретных значений или рекомендаций по времени работы в неполной конфигурации для случаев обнаружения отказов в системе, и последовавшей в результате этого отказа деградации системы. Максимальный интервал времени одноканальной работы для резервированных систем, который устанавливает TUV в своих общих рекомендациях "Product Independent Conditions and Restrictions", www.tuv-fs.com /plcgen4.htm, если оперативного восстановления исходной конфигурации системы не произведено, таков:

• Для уровня требований АК5 (II категория взрывоопасности по предлагаемой в данной работе классификации) в одноканальном режиме работы - останов после 72 часов работы в контролируемом режиме, то есть под наблюдением (supervised operation).
• Для уровня требований АК6 (I категория взрывоопасности по предлагаемой в данной работе классификации) в одноканальном режиме работы - останов после 1 часа работы в контролируемом режиме, то есть под наблюдением (supervised operation).

При этом подчеркивается, что в одноканальном варианте работа системы возможна только в режиме под наблюдением.

Вместе с тем к каждой системе TUV подходит индивидуально (см. например, отчет TUV U 0012 40001 003, стр. 11-15): Для 5 и 6 класса требований (объекты I и II категории взрывоопасности - Ю. Ф.) - восстановление системы в течение интервала времени, определенного для конкретной системы на основе представленных производителем данных о вероятности опасного отказа, либо программно-контролируемый останов не более чем через 72 часа.

Максимальный интервал времени работы в неполной конфигурации для системы 2ооЗ, который устанавливает TUV для 5-6 класса требований (отчет TUV 968/EZ 105.03/01, стр.8):

При отказе одного канала — восстановление конкретной системы в течение заданного для нее производителем оборудования интервала времени, при отказе двух каналов - останов процесса через 1 час.

Таким образом, общее правило состоит в следующем:

Постоянная одноканальная работа системы защиты для объектов I и II категории взрывоопасности запрещена.

Сказанное означает, что для объектов I и II категории взрывоопасности при частичной потере исходной конфигурации программно-управляемая защита процесса возможна только для архитектур 2ооЗ и loo 2D, причем с резервированием сенсоров и исполнительных устройств, определяющих безопасность процесса.

Время восстановления работоспособности системы безопасности после ее полного отказа с последующим остановом процесса.
Стандартами DIN, ISA, IEC никак не регламентируется, хотя стандарт IEC 61508 оперирует интервалом 8-24 часа. TUV также не дает никаких конкретных рекомендаций. Исходя из реальных возможностей по времени:

• Определения причин отказа системы защиты,
• Времени замены дефектных компонентов системы защиты,
• Времени на пробный запуск и тестирование системы, предлагается определить в качестве ориентира для объектов всех категорий взрывоопасности интервал в 8 часов на восстановление готовности системы безопасности к выполнению своих функций, и к запуску технологического процесса.

Авторское понимание ограничений TUV на применение различных архитектур программируемых логических контроллеров в сочетании с предложенным взаимно однозначным соответствием классов и уровней допуска отечественным категориям взрывоопасности (таблица 4.9) представлено в таблице 4.12. Еще раз: очень важно понимать принципиальную, границу, разделяющую 1oo1D и системы с архитектурами 1oo2D и 2ооЗ:

• Для одноканальных систем частичный отказ означает одновременно жесткий физический останов процесса.
• Системы с резервированием позволяют в случае частичного отказа провести оперативную замену отказавшего модуля, либо произвести программно-управляемый останов процесса.

Данное качество резервированных систем является определяющим при выборе архитектуры систем управления и защиты непрерывных технологических процессов для нефтегазодобывающих, химических, нефтехимических и нефтеперерабатывающих производств.

Таблица 4.12 Ограничения на применение различных архитектур промышленных систем противоаварийной защиты для взрывоопасных производств

Техническое задание на создание АСУТП в обязательном порядке согласовывается с территориальным органом Ростехнадзора. И самое главное:
Вне зависимости от наличия и содержания западных сертификатов, разрешение Ростехнадзора имеет безоговорочный приоритет.