Выбор архитектуры систем безопасности
Архитектура системы оказывает основное влияние на общий уровень безопасности. Архитектура также определяет надежность системы. Ниже приводятся некоторые решения, которые необходимо сделать при определении архитектуры:
- Выбор идентичного или альтернативного резервирования для сенсоров, логических решающих устройств, и исполнительных элементов;
- Выбор избыточности для источников и блоков питания;
- Выбор компонентов интерфейса оператора (например, станция технолога-оператора, оперативные панели системы противоаварийной защиты, кнопки, извеща-тели) и метод взаимосвязи с системой защиты;
- Выбор сопряжений между системой защиты и другими системами, например, РСУ, и метод доступа (например, "только чтение" или "чтение/запись").
Архитектуры, которые могут удовлетворять требованиям взрывобезопасности различного уровня, включают нижеследующие конфигурации.
Для объектов III категории взрывоопасности (SIL2 и RC4) от системы требуется наличие самодиагностики, сторожевого таймера. Дополнительно не исключается возможность резервирования сенсоров, и с одним конечным управляющим устройством.
Приемлемый вариант по согласованию с территориальным органом Ростехнадзора - выделенное резервированное оборудование РСУ с резервированием модулей ввода-вывода, модулей управления, сетевых плат, источников питания.
Для объектов I и II категории взрывоопасности (SIL3 и RC 5-6) классический выбор - системы защиты с архитектурами loo2D и 2ооЗ с дублированием сенсоров и управляющих устройств.
Для объектов всех категорий взрывоопасности настоятельно рекомендуется применение системы обслуживания полевого оборудования - Plant Asset Management System. Для объектов I и II категории взрывоопасности это должно быть обязательное требование. Существует множество поставщиков оборудования, "инжиниринговых" фирм, собственных разработчиков предприятия, которые способны заложить контроллер, который, судя по рекламным проспектам, выставкам и презентациям, вроде бы вполне отвечает требованиям безопасности. Но при этом не поясняется, что под безопасностью, понимается, в том числе, и ложное срабатывание.
Например, одноканальная система может 10 раз в месяц останавливать процесс по ложной причине, и отвечать требуемому классу безопасности, обеспечивая "безаварийный", ничем не контролируемый физический останов. И при этом мгновенно перезапускаться и демонстрировать потрясающую "готовность" к новому останову процесса! Более того, стереотип мышления, навязанный неуемной дилетантской или преднамеренной рекламой достоинств ПЛК, приводит к тому, что заказчик совершенно упускает из виду, либо оставляет "на потом" решение вопросов, которые как раз-то и являются первостепенными - модернизация полевого оборудования. Важно понимать следующее:
Надежность и готовность системы безопасности означают, что система может находиться в режиме on-line, будучи устойчивой к одному или нескольким отказам, и при этом сохраняет способность производить необходимые действия для безопасного программно-управляемого останова процесса, - в то время как отказ элемента системы будет идентифицирован, и будет произведена замена дефектного оборудования. При выборе конкретной архитектуры системы безопасности разработчик должен определить полноту диагностического охвата, промежутки времени между испытаниями, резервирование и т.п. и оценить конкретную конфигурацию оборудования с обязательным учетом полевой части системы на соответствие требуемому уровню безопасности.
Хорошо спроектированные системы для решения критических задач безопасности находят баланс между безопасностью и надежностью посредством выбора адекватного резервирования, и высоким уровнем диагностики полевого оборудования и программируемых логических устройств. Целостность системы после запуска обеспечивается правильным выбором частоты и глубины тестирования. Но самое главное - квалифицированным персоналом.