ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
пнет
366.4—
2019
ПРЕДВАРИТЕЛЬНЫЙ
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМЫ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ И ИНТЕГРАЦИЯ
Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами
Часть 4
Верификация полноты аппаратных средств автоматизированной системы безопасности
Издание официальное
Москва Стандартинформ 2019
Предисловие
1 РАЗРАБОТАН ООО «НИИ экономики связи и информатики «Интерэкомс» (ООО «НИИ «Интер* экомс») совместно с ООО «Корпоративные электронные системы» (ООО «КЭЛС-центр»)
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 «Стратегический и инновационный менеджмент» и ТК 058 «Функциональная безопасность»
3 УТВЕРЖДЕН И 8ВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому ре* гулированию и метрологии от 19 сентября 2019 г. Не 40-лнст
Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16—2011 (разделы 5 и 6).
Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта. Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 4 мве до истечения срока его действия разработчику настоящего стандарта по адресу: info@interecoms.ru и/или в Федеральное агентство по техническому регулированию и метрологии по адресу: 109074 Москва. Китайгородский проезд. д. 7. стр. 1.
В случае отмены настоящего стандарта соответствующая информация будет опубликована в ежемесячном информационном указателе «Национальные стандарты» и также будет размещена на официальном сайте Федерального агентства по техническому регулированию и метрологии сети Интернет (www.gost.ru)
© Стзцдартинформ, оформление. 2019
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии
Содержание
1 Область применения....................................................................................................................................1
2 Нормативные ссылки....................................................................................................................................1
<ч «ч сч «о ю ю <о s. оо со а> а> о
3 Сокращения и обозначения.........................................................................................................................
4 Термины и определения...............................................................................................................................
5 Конструкция приборной системы безопасности.........................................................................................
6 Работоспособность конструкции, требования к отказоустойчивости аппаратных средств....................
7 Вероятность возникновения отказа по запросу устройства обеспечения безопасности........................
7.1 Допущения. Основные положения........................................................................................................
7.2 Общая процедура определения вероятности PFD..............................................................................
7.3 Приближенная формула определения вероятности наступления отказа в гомогенных
системах..................................................................................................................................................
8 Определение характеристик надежности устройств.................................................................................
8.1 Данные изготовителя..............................................................................................................................
8.2 Базы данных, составленные по результатам полевых испытаний.....................................................
9 Типовые конструкции приборной системы безопасности.........................................................................
10 Полнота безопасности аппаратных средств опытного образца конструкции......................................1
10.1 Верификация конструкции, содержащей группу датчиков типа 2ооЗ и группу пусковых устройств типа 1оо2. с помощью полевых устройств с качеством
«проверено-на-практике»................................................................................................................10
10.2 Верификация конструкции, содержащей группу датчиков типа 1ооЗ и две группы пусковых устройств типа 1оо2. с помощью полевых устройств с качеством «проверено-на-практике»..........................................................................11
10.3 Верификация конструкции, содержащей группу датчиков типа 1оо2 и группу пусковых устройств типа 1оо2. с помощью полевых устройств с качеством «проверено-на-практике», сертифицированных на уровень обеспечения безопасности SIL..............................................................................................................................13
Введение
Комплекс национальных стандартов по тематике «обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами» состоит из следующих частей:
- Часть 1. Основные положения, принципы и понятия;
- Часть 2. Системы менеджмента;
- Часть 3. Подготовка, запуск и эксплуатация устройств безопасности;
- Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности (настоящий стандарт);
- Часть 5. Руководство по практическому применению;
-Часть 6. Приложения для обеспечения безопасности промышленных предприятий с повышенным уровнем опасности.
Настоящий стандарт не предназначен для целей сертификации и носит исключительно рекомендательный характер. Использование настоящего стандарта предполагает, что при организации производства, при практической реализации (наладке и вводе в эксплуатацию) и функционировании производственного оборудования в обязательном порядке соблюдаются все законодательные нормы, необходимые и достаточные меры технической безопасности, меры по предотвращению опасных инцидентов. а также прочие требования, установленные в национальных стандартах и других нормативных и технических документах.
ПНСТ 366.4—2019
ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
СИСТЕМЫ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ И ИНТЕГРАЦИЯ
Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами
Часть 4
Верификация полноты аппаратных средств автоматизированной системы безопасности
Industrial automation systems and integration. Safety arrangements of industrial plants by means of process control engineering. Part 4. Verification of the hardware of safety instrumented system
Срок действия — с 2020—01—01 до 2022—01—01
1 Область применения
Настоящий стандарт устанавливает метод верификации требуемого уровня полноты безопасности (SIL) аппаратных средств приборной системы безопасности (SIS) и применяется совместно с другими стандартами настоящего комплекса стандартов.
Процедура верификации в соответствии с настоящим стандартом должна состоять из двух этапов. На первом этале осуществляется оценка работоспособности конструкции приборной системы безопасности. На втором этапе рассматриваемой приборной системе безопасности назначается уровень полноты безопасности. Данный уровень зависит от вероятности возникновения отказа устройств (PFD). связанных с обеспечением безопасности. Необходимо учитывать влияние нижеследующих факторов:
- выбор оборудования и его надежность;
* конструкция устройства;
- интервалы между контрольными проверками приборной системы безопасности.
Примечание — Существуют два класса технологических процессов: 1) с качеством «проверено-на-практике» (на основе опыта предшествующего применения). 2) с проверенным типом. Они должны исключать наступление систематических сбоев соответствующих устройств. Устройства с качеством кпроверено-на-практихе» и устройства с проверенным типом должны рассматриваться одинаково в части устранения 1) систематических сбоев и 2) мнимых сбоев.
2 Нормативные ссылки
8 настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р МЭК 61511-1 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования
ГОСТ Р МЭК 61508-6—2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3
Примечание — При пользованш настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии 8 сети Интернет или по ежегодному информационному указателю «Национальные стандарты», который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя «Национальные стандарты» за текущий гад. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения
Издание официальное
(принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссыпса, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять а части, не затрагивающей эту ссылку.
3 Сокращения и обозначения
В настоящем стандарте использованы следующие сокращения и обозначения:
FMEDA — метедика анализа отказов, их последствий и диагностики (failure mode effect and diagnostics analysis);
HFT — отказоустойчивость аппаратных средств (hardware fault tolerance):
НРС — контроллер с жестко зашитой программой (hard-wired programmed controller);
MDT — среднее время простоя (mean downtime);
MooN (M-out-of-N) — комбинация M элементов из N. Комбинация справедлива при MSN: MTBF — среднее время наработки на отказ (mean time between failures);
MTTD — среднее время обнаружения отказа (mean time to detection): MTTF — среднее время наработки до отказа (mean time to failure); MTTR — среднее время до восстановления (системы после отказа) (mean time to restoration); PFD — вероятность отказа при наличии запроса (probability of failure on demand);
PFDfe — вероятность PFD отказа конечного элемента подсистемы (PFD of subsystem final element); PFDt — PFD of subsystem logic solver (вероятность PFD отказа логического решателя подсистемы); PFDMw>n — вероятность PFD наступления отказа комбинации М элементов из N (MooN) в подсистеме приборной системы безопасности (PFD of MooN group in a subsystem of an SIS);
PFDS — вероятность PFD наступления отказа датчика подсистемы (PFD of subsystem sensor); PFDToul — вероятность PFD наступления неисправности приборной системы безопасности SIS в целом (PFD of complete SIS);
SFF — доля безопасных отказов (safe failure fraction);
SIF — функция безопасности приборной системы безопасности (safety instrumented function);
SIL — уровень полноты безопасности (safety integrity level);
SPLC — программируемый логический контроллер устройства обеспечения безопасности (safety related programmable logic controller);
T, — интервал между контрольными проверками;
р — доля не выявленных пассивных сбоев с общей причиной;
X — интенсивность наступления всех (как активных, так и пассивных) сбоев;
kg — интенсивность наступления опасных пассивных сбоев;
XqD — интенсивность наступления опасных выявленных пассивных сбоев;
Ави — интенсивность наступления опасных не выявленных пассивных сбоев;
Х$ — интенсивность наступления безопасных активных сбоев.
Примечание — Также достаточно часто используются аббревиатуры РСЕ (устройства автоматического управления производственными процессами). МС (управление и контроль). ЕМС (электрические, управляющие и контрольные устройства).
4 Термины и определения
В настоящем стандарте применен следующий термин с соответствующим определением:
4.1
отказоустойчивость (fault tolerance): Способность функционального элемента продолжать выполнять требуемую функцию при наличии сбоев или ошибок.
(ГОСТ Р МЭИ 61511-1. статья 3.2.21)
5 Конструкция приборной системы безопасности
Приборная система безопасности должна состоять из трех основных подсистем (см. рисунок 1):
- подсистема датчиков;
- программируемый логический контроллер;
- подсистема пусковых устройств приводных механизмов (исполнительные элементы). Подсистемы датчиков и подсистемы пусковых устройств могут, в свою очередь, включать несколько групп датчиков и несколько групп пусковых устройств.
Для обеспечения работы функции безопасности необходима каждая из указанных групп. Группа М элементов из N включает N каналов, из которых требуется выбрать М элементов.
Примечание — Обычно датчжи (определенных типе») отдельно и пусковые устройства (определенных типов) отдельно как части приборной системы безопасности образуют одну отдельную группу для каждого типа.
Рисунок 1 — Структура приборной системы безопасности
6 Работоспособность конструкции, требования к отказоустойчивости аппаратных средств
Обеспечение работоспособности конструкции приборной системы безопасности невозможно без обеспечения отказоустойчивости HFT ее аппаратных средств (см. раздел 4).
И наоборот, обеспечение отказоустойчивости HFT аппаратных средств — необходимое условие надлежащего функционирования приборной системы безопасности.
Подсистемы датчиков, логические устройства и подсистемы пусковых устройств приборной системы безопасности должны иметь минимальную отказоустойчивость HFT в соответствии с ГОСТ Р МЭК 61511-1.
Примечание 1 — Отказоустойчивость HFT — это способность устройства (подсистемы) выполнять требуемые функции, связанные с обеспечением безопасности даже при наличии одного или нескольких опасных сбоев аппаратных средств. Аббревиатура HFT 1 означает, что имеется, например, два устройства и опасный сбой одного устройства не препятствует принятию мер обеспечения безопасности.
Примечание 2 — Отказоустойчивость HFT компенсирует возможные отказы, возникающие при задействовании приборной функции безопасности (SIF). Отказоустойчивость — базовое свойство конструкции.
Она должна обеспечиваться в условиях неизвестной заранее интенсивности наступлешя отказов устройств (подсистем) в различных приложениях производственного промесса.
Примечание 3 — Важно, чтобы выполнение требовании обеспечения отказоустойчивости HFT не сводилось к бесконечному запараллеливанию устройств (подсистем). Тем не менее для подтверждения назначенного уровня SIL (функции безопасности SIF) может оказаться необходимым запараллелить рассматриваемое устройство (в зависимости от вида приложения, интенсивности наступления отказов и интервала между контрольными проверками и т. п.).
Для логических подсистем целесообразно использовать сертифицированные логические контроллеры устройств обеспечения безопасности SPLC, для которых изготовителем уже приняты соответствующие меры обеспечения отказоустойчивости HFT. Использование сертифицированных контроллеров НРС с «жестко зашитой» программой в настоящем стандарте не рассматривается.
Если большинство сбоев полевых устройств (подсистем датчиков, подсистем пусковых устройств и т. п.) сравнительно безопасны (в зависимости от приложения, а также для устройств, работающих по принципу «обесточить для аварийного отключения») или легко выявляются (например, путем соответствующей диагностики), то можно использовать архитектуру, указанную в таблице 1. Необходимо принять во внимание:
- место полевого устройства в технологическом процессе;
- значимость диагностической информации о полевом устройстве для валидации его рабочих сигналов:
- возможность использования доступных свойств отказоустойчивости полевого устройства (например. реализацию принципа «обесточить для аварийного отключения» и т. п.).
Таблица 1 — Минимагъно допустимое значение отказоустойчивости HFT и примеры архитектуры полевых устройств с назначенным уровнем полноты безопасности Sll-для заданной приборной функции безопасности SIF.
SiL | HFT | Примеры архитектуры полевых устройств |
1 | 0 | 1оо1. 2оо2 |
2 | 1 | 1оо2. 2ооЗ |
3 | 2 | 1ооЗ |
4 | Не рекомендуется |
Если указанные условия не выполняются, то отказоустойчивость HFT приобретает значение НЕТ 1, увеличенное на 1 (см. примечание 1 выше). Отказоустойчивость уровня HFT1 может оказаться необходимой для достижения уровня полноты безопасности SIL 1.
При определенных обстоятельствах значение отказоустойчивости HFT. определенное таблицей 1, можно уменьшить на 1 (см. таблицу 2). Обязательными условиями этого являются:
- использование только устройств на основе опыта предшествующего применения («проверено-на-практике»), см. раздел 11.5.3 ГОСТ Р МЭК 61511-1—2018:
• устройствам можно задавать настройки, только относящиеся к технологическому процессу (например. диапазон управления, направление прохождения сигнала в случае отказа и т. п.):
- задание настроек параметров технологического процесса должно быть защищено от несанкционированного доступа (например, перемычкой, паролем и т. п.}.
Таблица 2 — Минимальное значение отказоустойчивости HFT и примеры архитектур специально квалифицированных полевых устройств на основе опыта предшествующего применения (с качеством «проверено-на-практже») для назначенного уровня полноты безопасности SIL приборной системы безопасности SIF.
S1L | HFT | Примеры архитектур специально квалифицированных полевых устройств (с качеством «проверено-на-практике») |
1 | 0 | 1оо1. 2оо2 |
2 | 0 | 1оо1. 2оо2 |
3 | 1 | 1оо2. 2ооЗ |
4 | Не рекомендуется |
7 Вероятность возникновения отказа по запросу устройства обеспечения безопасности
Приборные системы безопасности обычно вмешиваются в производственный процесс только в случае крайней необходимости. Соответственно, вероятность PFD возникновения отказа самого устройства обеспечения безопасности — это мера его простоя. Перед вычислением значения вероятности PFD упрощенным методом, описанным далее, необходимо принять некоторые допущения, обыч* но справедливые для производственного процесса.
7.1 Допущения. Основные положения
а) Интенсивность наступления отказов аппаратных средств устройств не изменяется с течением времени (является константой).
б) Значения интенсивности наступления отказов аппаратных средств (исходные данные) задаются только для одного канала (подсистемы). Они основаны на стандартизованных данных изготовителя и/или на коммерческих статистических оценках.
в) Интервал диагностики должен быть на порядок меньше интервала между испытаниями. Интенсивность наступления выявленных (дополнительной диагностикой) опасных пассивных сбоев пренебрежимо мала по сравнению с интенсивностью наступления не выявленных (указанной диагностикой) опасных пассивных сбоев обнаруживаемых только испытаниями рабочих функций (с учетом заданного интервала между испытаниями).
г) Время между двумя запросами должно быть на порядок больше среднего времени восстановления.
д) Только пассивные сбои создают угрозу безопасности:
е) Интервал между испытаниями достаточно мал по сравнению со средним временем наработки на отказ, то есть Т, « MTBF.
ж) Среднее время до восстановления (системы после отказа) достаточно мало по сравнению с интервалом между испытаниями, то есть MTTR « Т}.
и) В соответствии с допущениями (е) и (ж) среднее время простоя достаточно мало по сравнению со средним временем наработки до отказа, то есть MDT « MTTF.
к) Все сбои, возникающие во время испытаний, обнаруживаются во время данных испытаний. После ремонта номинальный статус безотказной работы установки восстанавливается.
л) Результат умножения интенсивности наступления выявленных пассивных сбоев на интервал между испытаниями всегда много меньше единицы, то есть Aqu • Т, « 1.
Указанные допущения сохраняют силу во всех нижеследующих разделах настоящего стандарта.
Рабочие данные ниже объясняются в контексте значений надежности приборной системы безопасности SIS.
Среднее время простоя MDT — это сумма среднего времени обнаружения отказа MTTD и среднего времени до восстановления (системы после отказа) установки MTTR:
МОТ = MTTD ♦ MTTR.
Сумма среднего времени наработки до отказа MTTF и среднего времени простоя МОТ — это среднее время наработки на отказ MTBF:
MTBF = MTTF + MDT.
В соответствии с допущением (h) можно считать, что:
MTBF * MTTF.
Среднее время штатной работы технологической линии до наступления очередного отказа MTTF — величина обратная общей интенсивности наступления отказов А:
MTTF=-1.
л
Порядок сопряжения рассматриваемых интервалов времени приведен на рисунке 2.
Выяпнмвогавв | < / ■ | > | |
мпо | итт . | МПР | *—> | |
лют |
Рисунок 2 — Порядок сопряжения интервалов времени
Рассматриваемые интервалы ограничены наступлением очередного не выявленного пассивного сбоя (см. перечисление в)). Вероятность наступления неисправности приборной системы безопасности SIS в целом PFDfefaj может быть вычислена по формуле (5):
mttdpu + mttr мртоц
Total MTTF0(J+MTTDOU+ MTTR ” MTBFOU ’
7.2 Общая процедура определения вероятности PFD
Пассивный сбой может как заблокировать аварийный сигнал, так и вызвать отключение техно» логической установки (от источника напряжения) при превышении предельного значения параметра. 8 соответствии с допущениями, указанными в подразделе 7.1. только пассивные, не выявленные сбои влияют на безопасность производственного процесса.
Примечание — Ниже приведены приближенные формулы определения вероятности PFD. спрааедгм-еью для большинства случаев и приложений.
Вероятность PFD можно верифицировать с помощью соответствующего коммерческого программ* ного обеспечения. Данные об отказах конкретных устройств (компонентов) следует хранить в рабочих базах данных. Уровень детализации данных может отличаться от продукта к продукту. Пользование указанными программами требует дополнительных затрат на повышение квалификации персонала.
В общем случае для оценки вероятности PFD рекомендуется нижеследующий подход.
Вероятность наступления неисправности всей приборной системы безопасности SIS в целом (PFDTotal) определяется путем независимого вычисления и суммирования значений PFD подсистемы датчиков, логического устройства и подсистем пусковых устройств.
В соответствии с допущением (j) величина PFDToUll может быть вычислена по формуле (6):
PFDt<)1111 = PFDs + PFDl + PFDfe. (6)
Кроме того, для определения вероятности PFDTols, может быть использована нижеследующая пошаговая процедура:
Шаг 1
На рисунке 1 показаны приборная система безопасности SIS. структура ее подсистем и все соответствующие устройства. Подсистема датчиков и подсистема пусковых устройств могут быть разбиты на несколько групп датчиков и групп пусковых устройств. Каждая группа соответствует комбинации каналов, сгруппированных по правилу MooN.
Шаг 2
Для каждой группы датчиков 0=1.....X. см. рисунок 1) и каждой /-й группы пусковых устройств
(/ = 1.....Y. см. рисунок 1) вероятность PFDGi и вероятность PFDG| можно вычислить для соответству
ющей комбинации каналов MooN. Соответствующие упрощенные формулы приведены в подразделе 7.3. Принято допущение, что все каналы рассматриваемой группы идентичны, интенсивности наступления отказов Aqu во всех каналах одинаковы. Интервалы между испытаниями Т, также одинаковы.
Соответствующие интенсивности наступления отказов д^и в каналах определяются путем суммирования интенсивностей наступления отказов соответствующих устройств. Интервалы между испытаниями Т, и количество неисправностей с общей причиной 8 обычно определяются самим пользователем.
Если параллельные группы датчиков и параллельные группы пусковых устройств являются диверсифицированными, то приближенные формулы подраздела 7.3 можно использовать только для консервативной оценки вероятности PFD. Для этого интенсивности наступления отказов соответствующих групп всех рассматриваемых каналов следует принять равными их наибольшему значению. Для упрощенной формулы подраздела 7.3 данный диверсифицированный случай можно рассматривать только путем редуцирования фактора не выявленных пассивных сбоев с общей причиной.
Чтобы получить совокупную вероятность PFDS подсистемы датчиков, необходимо просуммировать парциальные вероятности PFD6i по i-м группам датчиков. Аналогично, чтобы получить совокупную вероятность PFDfe подсистемы пусковых устройств, надо просуммировать парциальные вероятности PFDGj по j-м группам пусковых устройств:
PFDS = £PFDG1 и PFDkE = £PFDQ). (7)
• i
Шаг 3
Значение вероятности PFDL логической подсистемы, а также соответствующие интервалы между испытаниями Т, должны определяться изготовителем.
Данное значение может учитывать работу входных и выходных модулей контроллера устройства обеспечения безопасности SPLC. Данное значение формально закрепляется за соответствующими каналами. содержащими рассматриваемые датчики и пусковые устройства. Отметим, что данное уточнение (предоставляется изготовителем) является несущественным, так как значения вероятности PFDt обычно пренебрежимо малы по сравнению с суммарной вероятностью PFD приборной системы безопасности.
Шаг 4
Значение вероятности PFDTotal определяется формулой (6).
Рассмотренный метод применим для большинства случаев и приложений. Однако если нужны точные значения вероятности PFD для диверсифицированных параллельных систем, а также для систем повышенной сложности, то рекомендуется использовать и другие процедуры анализа надежности:
• анализ дерева отказов;
- модель Маркова;
- метод статистических испытаний Монте-Карло;
- блок-схемы надежности.
7.3 Приближенная формула определения вероятности наступления отказа в гомогенных системах
Формулы, приведенные в таблице 3. — это упрощенные формулы, приведенные в ГОСТ Р МЭК 61508-6. Они служат инструментом оценки вероятности PFD наступления неисправности различных гомогенных запараллеленных устройств.
Таблица 3 — Приближенные формулы определения вероятности PFD наступления отказа
Формулы, основанные на вычислении иигеисивиост» наступления опасных, не выявленных пассивных сбоев | *-ои | Формулы, основанные на вычислении вероятности РГО(001 наступления отказов для комбинации tool |
pfdmoi'^Xdu Т1 | (8) | |
pFDtert-^lL.+p.lAou.T1 | (9) | PFDtoo2ei.PFD?ool+pPFD10<l1 |
pfd1oo3т, | (Ю) | PFDws-2-PFD^,+H-PFDIoo1 |
PFD2<k); ч Лцу-Т) | (11) | ррОгоф2 *2-PFDiaoi |
PFD^-XL T.M'-Hou Ti | (12) | pFD2)W3 ■ 4-РРО^о1+p-PFDlftOl |
Общая формула оценки вероятности наступления отказов комбинации MooN имеет вид:
Ремсен г
Из нее можно вывести упрощенные формулы для различных вариантов расчета. Например, если М s N. то второе слагаемое формулы (13). содержащее р. может быть опущено.
Фактор Р определяет число не выявленных пассивных сбоев с общей причиной. Существует также фактор общей причины CCF. В запараллеленной приборной системе безопасности он оказывает влияние на все каналы одновременно. Метод оценки фактора р описан в приложение D ГОСТ Р МЭК 61506-6— 2012. На практике значение р обычно лежит в диапазоне от 1 % до 5 %.
Примечание — Если внутренняя структура производственного модуля неизвестна, то указанная формула не дает возможности определить интенсивность Хэд по заданному значению вероятности PFO.
Если рассматриваются сбои с общей причиной, то их количество нужно вычесть из количества сбоев с произвольной (независимой) причиной. Полученная величина, равная (1 - Р). в вышеуказанные формулы не входит. Она достаточно мала, и ею можно пренебречь.
При увеличении интервалов между испытаниями и неизменном уровне полноты безопасности можно добиться:
* уменьшения интенсивности наступления не выявленных пассивных сбоев Лду путем дополни* тельной диагностики. Некоторые типы сбоев, учитываемые интенсивностью л^. могут, при необходимости. диагностироваться и выявляться автоматически. Такие сбои переводятся в разряд выявленных пассивных сбоев Aqq. В соответствии с вышеуказанным допущением (в) вероятность PFO их наступления пренебрежимо мала. Существуют типы сбоев, которые можно протестировать, не останавливая производственный процесс. Например, тестирование достоверности измеренных значений, мониторинг невязок значений величин, измеренных в параллельных структурах и т. л.;
- повышения отказоустойчивости путем надлежащего запараллеливания.
На практике часто выбирают стандартные интервалы между испытаниями. Как правило, это относится к подсистемам датчиков и подсистемам пусковых устройств приборной системы безопасности. Также возможно тестировать группы подсистем с различными интервалами между испытаниями.
Необходимо отметить, что при увеличении интервалов между испытаниями в приложениях уточнения расчетов можно добиться, привлекая разумные инженерные гипотезы и соображения. Рассмотренные выше приемы вычислений вероятности PFD наступления отказов приборной системы безопасности — не единственный критерий принятия решения.
8 Определение характеристик надежности устройств
Необходимые для расчета характеристики надежности устройств приборной системы безопасности можно получить из различных источников. Указанные источники разнятся по методам вычислений и условиям эксплуатации установок. Далее рассмотрены две категории источников.
8.1 Данные изготовителя
В большинстве случаев требуемые характеристики надежности устройств предоставляются изготовителем. Базовая характеристика — интенсивность наступления сбоев устройства. Значения указанных интенсивностей определяются следующим образом:
Метод №1
Интенсивность наступления сбоев устройства оценивается по методике анализа устройств FMEDA. В соответствии с данной методикой изготовитель сначала рассматривает компоненты своего устройства на предмет возможных сбоев, оценивает влияние данных сбоев на поведение устройства. Каждому конкретному сбою компонента изготовителем назначается значение интенсивности наступления данного сбоя, взятое из стандартизованной базы данных рассматриваемого компонента. Если устройство электронное, то значение интенсивности наступления его сбоев зависит, как правило, от таких факторов, как средняя температура окружающей среды, относительная влажность. Оператор установки должен прежде всего уделить внимание факторам и параметрам, определяющим интенсивность наступления сбоев электронных устройств. Соответствующие рекомендации даются изготовителем в руководстве пользователя.
Характеристики надежности устройства, получаемые методом №1, относятся к конкретным условиям эксплуатации установки. Данные условия указываются изготовителем в руководстве пользователя. Условия эксплуатации установки на практике могут существенно отличаться. В ряде случаев необходима адаптация установки к реальным условиям. Это необходимо учитывать на этапе планирования производства.
Метод N92
Изготовитель предоставляет данные, взятые не из стандартизованной базы данных, а из коммерческой базы данных, составленной по результатам полевых испытаний конкретного устройства. Важным условием является условие сравнимости данных, полученных в различных тестовых условиях эксплуатации устройства.
8.2 Базы данных, составленные по результатам полевых испытаний
Данные, взятые из стандартизованной базы данных полевых испытаний изготовителя, можно дополнить данными, взятыми из базы данных полевых испытаний, выполненных другой коммерческой организацией. При коммерческом подходе уровень детализации данных растет, он может доходить до отдельных устройств (шаровых клапанов, датчиков давления и т. п.). В некоторых случаях данные определяются конкретным типом приложения (например, устройство аварийного отключения установки и т. п.).
При использовании различных баз данных необходимо удостовериться в их сравнимости (например. сравнимости условий окружающей среды, сравнимости рабочих условий эксплуатации со стандартными условиями эксплуатации и т. л.).
Для производственного процесса пример базовых значений характеристик надежности полевых устройств с качеством «лроверено-на*практике» приведен в таблице 4.
Таблица 4 — Базовые значения для характеристик надежности подсистем датчиков и подсистем пусковых устройств на основе предшествующего опыта («проверено-на-практике»)
Тил канала | Интенсивность наступления не выявленных пассивных сбоев еханале | Рекомендуемый интераал Т( между испытаниями | Доля 0 не выявленных пассивных сбоев с общей причиной |
Подсистема датчиков, измеряемый параметр Р | 1 • 10 « - (MTBFOU= 114а) | 8760 час = 1 год | 5% |
Подсистема датчиков, измеряемый параметр Т | 5 • 10'7 • h-’fMTBFjxj =228а) | ||
Подсистема датчиков, измеряемый параметр L | 4 • 10-’ • h-’tMTBFpg = 285а) | ||
Подсистема датчиков, измеряемый параметр F | 1-10-в-h-’tMTBFpg» 114а) | ||
Подсистема пусковых устройств | 4 • 10-7 • h’^MTBFjxj = 285а) |
9 Типовые конструкции приборной системы безопасности
Приборная система безопасности обычно содержит группу датчиков и группу пусковых устройств, соединенных программируемым логическим контроллером устройства обеспечения безопасности SPLC. Группа датчиков образует структуру, включающую не более трех каналов. Группа пусковых устройств образует структуру, включающую не более двух каналов (см. рисунок 3).
Типы конструкций, рассмотренные на рисунке 3. относятся к большинству приложений. Это могут быть изолированные варианты конструкций, где подсистемы датчиков (подсистемы пусковых устройств) включают несколько групп. Указанные взаимосвязи, например, необходимы для выполнения аварийных отключений.
/------------------\
: гдоладатчмшв *
2 •
• •
; I к™ |4 : 1 1 ■
Оцааа : пивбмации 1о©1J •••• It МММММ О •
• • • • * • • ••••
: Группа датчиков ■
! I-------------------’
• I Канал 1
□ 8PLC ЕНГ Каял |
! пцч>
момва нации ^wtetttttete* title i«^
! Группе датчиков ;
: [ Канал 1
?□
= [ Каш 2
• | Канал 9 ~ -»• J
: Оцм =
* маыбмнацмыхооз•
^btwtettwtteiiittetiW'
^aaaatt ■iniei eeeeitp
: гдопадошкеа ■
: | Кашл1
Ккл2 -»-П
SPLC
SPCC
Е-Н
КДЖЛ 1 |
с 44 к*«лд""]
Пщ—1
• мыбм нации 1оа2
■ :
а •
t Групда пусковых *: устройств При К0М; асиинаса
E4"l temnl"] I
Е-Н
Кашл2~|
Оценка : «авинацм' 1мв а а
I в а а а
I
•
• а а а
Рисунок 3 — Обзор типов конструкций
10 Полнота безопасности аппаратных средств опытного образца конструкции
10.1 Верификация конструкции, содержащей группу датчиков типа 2ооЗ и группу пусковых устройств типа 1оо2, с помощью полевых устройств с качеством «проверено*на*практике»
Если давление установки больше допуска, то приборная система безопасности (см. рисунок 4) закрывает два шаровых клапана, установленных последовательно в трубе. Достаточная герметичность обеспечивается уже одним закрытым шаровым клапаном. Для подсистемы датчиков и подсистемы пусковых устройств принято, что конструкция является гомогенной.
Программируемый логический контроллер SPLC (включая его входные и выходные модули} сертифицирован изготовителем на уровень полноты безопасности SIL 3. Интервал между испытаниями составляет в среднем десять лет.
Подсистема датчиков и подсистема пусковых устройств включают устройства с качеством «проверено-на-практике». По данной причине значения, рекомендуемые в таблице 4. могут использоваться в комбинации с формулами (12) и (9).
С учетом результатов оценки отказоустойчивости НЕТ и вероятности PFD (см. таблицу 5) рассматриваемой конструкции может быть назначен уровень полноты безопасности SIL 3.
Рисунок 4 — Блок-схема конструкции, содержащей группу датчиков типа 2ооЭ и группу пусковых устройств типа 1оо2
10.2 Верификация конструкции, содержащей группу датчиков типа 1ооЗ и две группы пусковых устройств типа 1оо2, с помощью полевых устройств с качеством «проверено-на-практике»
Рассматриваемая приборная система безопасности (см. блок-схему на рисунке 5) обслуживает две линии, идущие к реактору. Линии отключаются, если уровень заполнения реактора превышает установленный допуск. В каждой линии последовательно установлены два шаровых клапана. Достаточная герметичность обеспечивается уже одним закрытым шаровым клапаном. Для подсистемы датчиков и подсистемы пусковых устройств принято, что конструкция является гомогенной.
Программируемый логический контроллер SPLC (включая его входные модули и выходные модули) сертифицирован изготовителем на уровень полноты безопасности SIL 3. Интервал между испытаниями составляет десять лет.
В соответствии с 10.1 подсистема датчиков и подсистема пусковых устройств включают устройства с качеством «проверено-на-практике». Значения, рекомендуемые в таблице 4, могут комбинироваться с устройствами типа MooN. вероятность PFD наступления отказа данной подсистемы датчиков соответствует вероятности PFD наступления отказа подсистемы датчиков, рассмотренной в разделе 10.1. Вероятность PFD всей подсистемы пусковых устройств получается путем суммирования парциальных вероятностей PFD отдельных групп пусковых устройств.
Таблица 5 — Требуемый уровень полноты безопасности аппаратных средств конструкции
Общая информация о рассматриваемой приборной системе безопасности | ||||
Подсистема датчиков | Логическая подсистема | Подсистема пусковых устройств | ||
Датчик Р | Сепаратор | SPLC. включая входной и выходной модули | Электромагнитный клапан | Привод с шаровым клапаном |
С качеством «провер ено- на-практике» | С качеством «проверено-на-практике» | Изготовитель | С качеством «проверено-на-практике» | С качеством «провер ено- на-практике» |
2ооЗ | — | 1оо2 | ||
Требования к отказоустойчивости HFT аппаратных средств | ||||
HFT1 | — | HFT1 | ||
Требуемый уровень SIL 3 (таблица 2) | Требуемый уровень SIL 3 | Требуемый уровень SIL 3 (таблица 2) | ||
Требуемый уровень SIL 3 |
Вероятность PFD возникновения отказа по запросу | ||
Лои = 1.0 • 10"® • ч"1 | — | Лои = 4.0Ю-7ч-’ |
Т, = 6760 ч = 1 год | Т, = 87600 ч = 10 лет | Tf = 8760 ч = 1 год |
Р = 5% | — | ₽ = 5% |
PFD§ = 3.0 • 10-4 | PFD. = 1.0 - 10-s | PFDpg = 9.2 • 10-5 |
PFDTp>1| = 4,0 • 10-4 — требуемый уровень S1L 3 |
С учетом результатов оценки отказоустойчивости HFT и вероятности PFD (см. таблицу 6) рассматриваемой конструкции может быть назначен уровень полноты безопасности SIL 3.
Рисунок 5 — Блок-схема конструкции, содержащей группу датчиков типа 1ооЗ и дев группы пусковых устройств типа 1оо2
Таблица 6 — Требуемый уровень полноты безопасности аппаратных средств конструкции
Общая информация о рассматриваемой приборной системе безопасности | ||||
Подсистема датчиков | Логическая подсистема | Подсистема пусковых устройств | ||
Датчик L | Сепаратор | SPLC. включая входные и выходные модули | Электромагнитный клапан | Привод с шаровым клапаном |
С качеством «проеерено-на-прэктике» | С качеством апроверено-на-практике» | Изготовитель | С качеством «проваре но-ма-практике» | С качеством « проев рено -на-практике» |
1ооЗ | — | 1оо2 для каждой линии | ||
Требования к отказоустойчивости HFT аппаратных средств | ||||
HFT2 | — | HFT 1 для каждой линии | ||
Требуемый уровень S1L 3 (табгмца 2) | Требуемый уровень SIL 3 | Требуемый уровень SIL 3 (таблица 2) | ||
Требуемый уровень SIL 3 |
Вероятность PFD возникновения отказа по запросу | ||
Лру = 4.0 • 10-7 • ч-’ | — | = 4.0 • IO’? • Чи |
Т, = 8760ч = 1 год | Т, = 87600 ч = 10 лет | Т, = 8760 ч = 1 год |
0 = 5% | — | Р=5% |
PFDs = 9.2-105 | PFD, = 1.0 - 10 5 | PFD-, = 2-9,2-W5 |
PFDy^ = 2.8 • 10-> -* требуемый уровень SIL 3 |
10.3 Верификация конструкции, содержащей группу датчиков типа 1оо2 и группу пусковых устройств типа 1оо2, с помощью полевых устройств с качеством «проеерено-на-практике», сертифицированных на уровень обеспечения безопасности SIL
Блок-схема рассматриваемой приборной системы безопасности приведена на рисунке 6. Если температура превышает допуск, то парозаборкик закрывается. Достаточная герметичность обеспечивается уже одним закрытым шаровым клапаном. Для подсистемы датчиков и подсистемы пусковых устройств принято, что конструкция является гомогенной.
Программируемый логический контроллер SPLC (включая его входные и выходные модули) сертифицирован изготовителем на уровень полноты безопасности SIL 3. Интервал между испытаниями составляет десять лет.
Подсистема датчиков и электромагнитные клапаны подсистемы пусковых устройств имеют декларации (сертификаты) изготовителя. Качество «проверено-на-практике» обеспечено. Если устройство имеет декларацию (сертификат) изготовителя, то его отказоустойчивость HFT соответствует требованиям комплекса стандартов ГОСТ Р МЭК 61508. Данная процедура сертификации отличается от процедуры. установленной в разделе 6. В дальнейшем также предполагается, что отказоустойчивость HFT устройств соответствует требованиям комплекса стандартов ГОСТ Р МЭК 61508. В данном конкретном примере изготовитель считает, что даже для повышенной отказоустойчивости HFT датчика Т (датчика температуры) данному устройству может быть назначен только уровень полноты безопасности SIL 2 (см. таблицу 7).
Рисунок 6 — Блок-схема конструкции, содержащей группу датчиков типа 1оо2 и группу пусковых устройств приводного механизма типа 1оо2
Таблица 7 — Оценка полноты безопасности аппаратных средств конструкции
Общая информация о рассматриваемой приборной системе безопасности | ||||
Подсистема датчиков | Логическая подсистема | Подсистема пусковых устройств | ||
Датчик Т | Сепаратор | SPLC. включая входной и выходной модули | Электромагнитный клапан | Привод с шаровым клапаном |
Требуемый уровень SIL 2. отказоустойчивость HFT 0 в соответствии со стандартом изготовителя | Требуемый уровень SIL 2. отказоустойчивость HFT 0 в соответствии со стандартом изготовителя | Изготовитель | Требуемый уровень SIL 2. отказоустойчивость HFT 0 в соответствии со стандартом изготовителя | С качество*, «про8ерено-ма-прзхтике» |
1оо2 | — | 1оо2 | ||
Требования к отказоустойчивости HFT аппаратных средств | ||||
HFT 1 | — | HFT 1 | ||
Максимально допустимый уровень SIL 2 в соответствии со стандартом изготовителя | Требуемый уровень SIL 3 в соответствии со стандартом изготовителя | Требуемый уровень SIL3 | Требуемый уровень SIL 3 в соответствии со стандартом изготовителя | Требуемый уровень SIL 3 (таблица 2) |
Требуемый уровень SIL 2 | ||||
Вероятность PFD возникновения отказа по запросу | ||||
= 1.5 • 10’7 • ч-’ + 1.0 • 10"7 • ч-’ | — | Ару = 1.0 • 10-7 • h"1 + 4.0 • 10-7 • h-’ | ||
Т( = 8760 ч=1 год | Т, = 87600 ч=10 лет | Т f = 8760 ч=1 год | ||
Р = 5% | — | 6 = 5% | ||
PFD§ = 5.6 • 10-5 | PFD. = 1.0 • 10 5 | PFD„ = 1.2 • 10“* | ||
PFDTpt|t, = 1.9 • 10-4 —Требуемый уровень SIL 3 |
Приводной механизм и шаровой клала» подсистемы пускового устройства имеют качество «проверено'на-лрактике». В таблице 4 приведены рекомендуемые значения используемых величин. Рекомендуемые значения вероятности PFD наступления отказа подсистемы датчиков (подсистемы пусковых устройств) соответствуют значениям вероятности PFD наступления отказа подсистемы датчиков (подсистемы пусковых устройств), установленным в 10.1.
При вычислении вероятности PFDS (изготовителем) принято следующее допущение. 8 рассматриваемом канале значение интенсивности наступления отказов датчика Т (датчика температуры) и значение интенсивности наступления отказов сепаратора равны соответственно 1.5 -10~7 ■ ч-1 иЮ-КГ^ч-1.
Приводной механизм и шаровой клапан имеют качество «проверенона-лрактике». Поэтому при вычислении вероятности PFDf6 (изготовителем) принято следующее допущение. В рассматриваемом канале рекомендуемое значение интенсивности XDU наступления отказов приводного механизма и шарового клапана равно 4.0 ■ 10‘7 ■ ч-1 (см. таблицу 4). 8 отличие от них значение интенсивности наступления отказов Aqu электромагнитного клапана принято равным 1,0 -10-7 ■ ч-1.
Значения указанных величин, принятые изготовителем, представляются реалистичными.
В заключение отметим, что в рассматриваемом примере для заданной отказоустойчивости HFT максимально допустимый уровень полноты безопасности равен SIL 2 (в соответствии со стандартом изготовителя). И это несмотря на то, что формально расчетному значению вероятности PFD наступления отказа по запросу соответствует уровень полноты безопасности SIL 3.
УДК 658.52.011.56:006.354
ОКС 25.040.40, 35.240.50
Ключевые слова: системы автоматического управления производственными процессами: производственные процессы; приборные системы безопасности; уровень полноты безопасности, верификация полноты аппаратных средств автоматизированной системы безопасности
БЗ 10—2019/8
Редактор П.К. Одинцов Технический редактор В.Н. Прусакова Корректор Л.С. Лысенко Компьютерная верстка Е.О. Астатина
Сдано я набор 24.09 2019. Подписано а печать 15.10 2019. Формат 50«64bg Гарнитура Ариал Усл. поч. п. 2.32. Уч.-изд. л. 2.10.
Подготовлено на основе электронной версии, предоставленной разработчиком стандарта
Создано я единичном исполнении во . 117410 Москва. Нахимовский пр-т, д. 31. к. 2.
www.90stinto.ru into@90stinto.ru
