1. Резервирование и безопасность систем

Существующие международные стандарты для систем противоаварийной защиты:

USA - Occupational Safety and Health Administration (OSHA) - Государственное Управление США по профессио­нальной безопасности и здоровью.

29 CRF Part 1910 - «Безопасное управление процессами опасных химических производств и производств взрывчатых компонентов».

USA - ANSI/ISA-S84.01-1996 - Стандарты безопасности (ANSI- Американский институт стандартизации).

Немецкая Электротехническая Комиссия.

DIN V VDE 19250 - «Фундаментальные аспекты безопасности». DIN V VDE 0801 - «Требования для систем, связанных с безо­пасностью»

IEC 61508 - Стандарт международной электротехниче­ской комиссии (МЭК), разработанный на основе американского стандарта ANSI/ISA-S84.01-1996.

OSHA касается процессов, которые связаны с опасной химией, горючими жидкостями или горючими газами и опреде­ляет следующие требования:

• Требует исходного анализа опасности процесса, выполнен­ного за пять лет.

• Анализ опасности должен производиться каждые пять лет.

• Должна быть разработана процедура управления и обслужи­вания.

• Допуск к работам имеет только персонал, прошедший обу­чение по безопасности.

• Должна быть выполнена проверка безопасности на предва­рительном пуске нового или модифицированного процесса.

• Должны выполняться периодические инспекции и тестиро­вания оборудования.

• Документирование.

• Должна быть разработана письменная процедура внесения каких- либо изменений в опасный процесс.

• Каждый инцидент должен быть расследован и записан в от­чет.

• Каждые 3 года должен выполняться технический аудит.

• Стандарт безопасности ISA-S84.01-1996 определяет:

• Стандарт безопасности для индустриальных процессов.

• Стандарт для электрических (электронных) систем (E/E/PES).

• Использует «модель развития систем безопасности» и «уров­ни допуска системы» (SIL).

• Стандарт рассматривает сенсоры и исполнительные элемен­ты так же, как, программируемые электронные системы (PES).

• Используется технический отчет (dTR84.02) безопасного технического допуска, разработанный подкомиссией ISA (SP84.02)

• Технический отчет представляет методику анализа Систем Безопасности:

• • анализ структуры отказа;

• • блок-диаграмму надежности;

• • модели Маркова.

• Технический отчет обеспечивает сравнение E/E/PES архи­тектур.

• Технический отчет определяет уровень допуска по степени диагностики, по требуемой периодичности тестирования, средней вероятности отказа выполнения требуемой функции (PFDavg) и наработке на ложное срабатывание (MTTFspurios)

• Стандарт ANSI/ISA-S84.01-1996 определяет следующую модель разработки систем безопасности (рис.1).

Рис.1. Модель разработки систем безопасности по стандарту

ANSI/ISA-S84.01-1996 (ОСБ - оборудование систем безопасности)

Степень риска по немецкому стандарту DIN V 19250 оп­ределяется четырьмя факторами, каждый из которых конкрети­зируется указанным ниже путем.

1. Вероятность аварийного события, связанная с работой средств автоматизации (W):

W1 - крайне низкая вероятность, W2 - низкая вероятность, W3 - относительно высокая вероят­ность.

2. Продолжительность нахождения людей в опасной зоне (А): А1 - редкое нахождение, А2 - частое или постоянное нахо­ждение.

3. Возможный травматизм от аварии (S): S1 - незначи­тельные травмы, S2 -серьезные травмы нескольких человек, смерть одного человека, S3 - смерть нескольких человек, S4 -катастрофа с большим числом жертв.

4. Предотвращение аварии (G): G1 - возможно при опре­деленных обстоятельствах, G2 - невозможно.

С учетом указанных факторов степени риска стандарт предполагает восемь классов требований к средствам автомати­зации по безопасности их работы (рис.2).

Рис.2. Требуемые классы безопасности DIN 19250 (TUV)

Согласно этим параметрам риска можно выписать сле­дующие классы безопасности:

1 класс: S1, W3 или S2, A1, G1, W2 или S2, A1, G2, W1.

2 класс: S2, A1, G1, W3 или S2, A1, G2, W2 или S2, А2, G1, W1.

3 класс: S2, A1, G2, W3 или S2, А2, G1, W2 или S2, А2, G2, W1.

4 класс: S2, А2, G1, W3 или S2, А2, G2, W2 или S3, A1, G1, W1.

5 класс: S2, А2, G2, W3 или S3, A1, W2 или S3, А2, W1.

6 класс: S3, A1, W3 или S3, А2, W2 или S4, W1

7 класс: S3, А2, W3 или S4, W2.

8 класс: S4, W3.

Наряду с этими стандартами также используется IEC 61508, определяющий функциональную безопасность програм­мируемых электронных систем (PES), связанных с безопасно­стью. Устанавливает два подхода к системам безопасности:

• Системы, обеспечивающие защиту и непрерывность управ­ления.

• Системы, обеспечивающие защиту.

С учетом вышеуказанных факторов степени риска выде­ляют четыре уровня безопасного допуска (рис.3).

Рис.3. Диаграмма рисков по стандарту IEC 61508(SIL)

Определены следующие промышленные уровни безопас­ного допуска IEC 61508 (SIL): «4»- Защита от общей катастрофы.

«3»- Защита обслуживающего персонала и населения.

«2»- Защита оборудования и продукции. Защита от травматиз­ма.

«1»- Защита оборудования и продукции.

«*»- При комбинации S4 и W3 означает, что применение элек­трических, электронных систем и ПЛК недостаточно.

Таблица 1

Уровни безопасного допуска (SIL) и заданные измерения ошибок

Уровень безопасного допуска (SIL)	Вероятность ошибки выполнения требуемой функциональности PVDavg	Требуемая надежность/готовность
4	Более 10.000 лет	>99.99%
3	От 1.000 до 10.000 лет	99.90 – 99.99%
2	От 100 до 1.000 лет	99.0 – 99.90%
1	От 10 до 100 лет	90.00 – 99.00%

Покажем соответствие между классами оборудования систем безопасности по сертификатам TUV, которое определя­ет ограничения и рекомендации на каждый тип систем безопас­ности, и международными стандартами, в том числе и с россий­скими правилами взрывобезопасности ПБ 09-170-97 (схема предложена Ю.Н.Федоровым - главным специалистом отдела проектирования АСУТП ЦА ОАО «НКНХ»).

Рис.4. Соответствие между классами систем безопасности и международными стандартами

Следует выделить специальные типы контроллеров, вы­пускаемых для противоаварийной защиты процессов и оборудо­вания и отличающиеся высокой надежностью, живучестью, бы­стродействием. В приложении приводятся архитектуры систем защиты в соответствии с указанными выше стандартами. Воз­можны следующие кодировки архитектур систем защиты (D-означает диагностику):

• 1oo1D ~ одноканальная архитектура (замечание: дубли­рование центральных процессоров вовсе не означает, что это система защиты типа 1oo2D, если не дублированы датчики и исполнительные механизмы, то это однока­нальная система 1oo1D);

• 1oo2D - резервированная архитектура (горячий резерв всех компонентов и/или контроллера в целом, при непро­хождении теста в рабочем контроллере управление без­ударно переходит ко второму контроллеру);

• 2ооЗ - архитектура с тройным модульным резервирова­нием (троирование основных компонентов и/или кон­троллера в целом с «голосованием» результатов обработ­ки сигналов всех контроллеров, выходной сигнал прини­мается тот, который дало большинство, а контроллер, давший другой результат, объявляется неисправным).

Некоторые требования на средства автоматизации по безопасности их работы по материалам немецкого совета по технического' управлению (TUV) указаны ниже:

1. В 1-4-ых классах требований допускается одноканальная, не резервируемая работа средств автоматики.

2. В 5-м классе требований предел времени одноканальной работы центральных процессоров контроллеров не более 72-х часов (допустимое время восстановления резервного про­цессора); остальное время обязательно горячее резервирование. По всем остальным модулям контроллера, блоков ввода/вывода, сетям, датчикам и исполнительным органам требуются полная их диагностика и перевод в безопасный режим при обнаружении любой ошибки.

3. В 6-м классе требований допускается одноканальная работа дублированной системы в течение 1 часа: при этом пред­полагается, что в течение этого часа будет восстановлена исход­ная конфигурация системы. Иначе контроллер переводит объект в «безопасный» режим (например, останавливает).

При использовании троированного контроллера в 6 клас­се требований, в случае сбоя одного из процессоров, контроллер продолжает управлять процессом и обеспечивает безопасное управление. Время устранения неисправности не должно пре­вышать 2 месяца.

4. Единственная из систем защиты, аттестованная по классу АК 6 и 7 (TUV) и по классу SIL 4 (IEC 61508), это сис­тема ProSafe-DSP фирмы Yokogawa. Система имеет уникаль­ную архитектуру, существенным отличием которой является от­сутствие системного и диагностического программного обеспе­чения. Вместо этого используется уникальная технология встро­енного самотестирования всех элементов ПАЗ. Полупроводни­ковая технология основывается на ферритовой логике, опреде­ляющей принцип встроенного самотестирования и отказоустой­чивости. Основным элементом ферритовой логики является кольцеобразно намотанный сердечник из намагничивающего материала, который выполняет как логические функции (И, ИЛИ, НЕТ), так и выступает в роли гальванического изолятора. За счет этого система способна обеспечить цикл сканирования в 1 миллисекунду.

В России также существуют документы, определяющие требования Госгортехнадзора по системам противоаварийной защиты (ПАЗ), ПБ 09-170-97 - «Общие правила взрывобезопас-ности для взрывопожарных химических, нефтехимических и нефтеперерабатывающих производств». Рассмотрим некоторые пункты требований, их недостатки и следствия:

«5.2. Системы управления технологическим процессом.

5.2.2. Автоматизированная система управления техноло­гическими процессами (АСУТП) на базе средств вычислитель­ной техники должна соответствовать требованиям ГОСТ 24.104-85, техническому заданию на них и обеспечивать:

• постоянный контроль за параметрами процесса и управле­ние режимом для поддержания их регламентированных значений;

• регистрацию срабатываний и контроль за работоспособ­ным состоянием ПАЗ;

• постоянный контроль за состоянием воздушной среды в пределах объекта;

• постоянный анализ изменения параметров в сторону кри­тических значений и прогнозирование возможной аварии; действия средств управления ПАЗ, прекращающих разви­тие опасной ситуации;

• действия средств локализации аварийной ситуации, выбор и реализацию оптимальных управляющих воздействий; проведение операций безаварийного пуска, остановки и всех необходимых для этого переключений.

5.3. Система противоаварийной автоматической защиты.

5.3.1. Надежность и время срабатывания систем противо­аварийной автоматической защиты определяются разработчи­ком систем ПАЗ с учетом требований технологической части проекта. При этом учитывается категория взрывоопасности тех­нологических блоков, входящих в объект, и время развития воз­можной аварии. Время срабатывания систем защиты должно быть таким, чтобы исключить опасное развитие процесса. В системах ПАЗ запрещается применение многоточечных прибо­ров контроля параметров, определяющих взрывоопасность про­цесса.

5.3.3. Выбор систем ПАЗ технологических объектов и ее элементов осуществляется исходя из условий обеспечения ее работы при выполнении требований по эксплуатации, обслужи­ванию и ремонту в течение всего межремонтного пробега за­щищаемого объекта. Нарушение работы системы управления не должно влиять на работу системы ПАЗ.

5.3.4. Системы ПАЗ и управления технологическими процессами должны исключать их срабатывание от случайных и кратковременных сигналов нарушения нормального хода техно­логического процесса, в том числе и в случае переключений на резервный или аварийный источник электропитания.

5.3.10. Надежность систем ПАЗ обеспечивается аппара­турным резервированием различных типов (дублирование, троирование), временной и функциональной избыточностью и наличием систем диагностики и самодиагностики. Достаточность резервирования и его тип обосновывается разработчиком проекта ».

Выделим недостатки российских правил безопасности по системам ПАЗ:

1. Отсутствует четкое разделение функциональности сис­тем ПАЗ и систем управления (пункт 5.2.2), правил безопасно­сти трактуется проектными организациями и заказчиками как функциональность систем управления.

2. Отсутствует методическое указание по классификации архитектур ПЛК и их применению, отсутствует единая методика расчета надежности архитектур контроллеров и какие-либо ог­раничения по безопасному применению в случаи отказов ком­понентов резервирования систем ПАЗ. Также нет трактования терминов резервирования: дублирование, троирование.

3. Категорийность производств не определяет безопасные требования для технологических объектов, представляющих химическую и другую опасность, не являющихся взрывопожа-роопасными.

Следствие:

1. Систематические ошибки при проектировании систем ПАЗ и систем управления.

2. Массовое применение российскими поставщиками и проектировщиками в качестве систем ПАЗ контроллеров, кото­рые несут техногенную опасность.

3. Осуществление западными фирмами поставщиками политики «Двойных стандартов в области промышленной безо­пасности»:

поставка более дешевых контроллеров, не сертифициро­ванных TUV для безопасного управления; внедрение контролеров ПАЗ, сертифицированных TUV, без выполнения требований безопасности на эти системы.

4. Остаются невостребованными российские технологии, обеспечивающие высокий уровень безопасного управления.

Следовательно, для выбора средств автоматики, цепей противоаварийной защиты необходимо экспертным путем оце­нить класс требований объекта по безопасности, а также допус­тимое время реакции на события (в том числе на ошибку в рабо­те средства), готовность средства, полноту и качество диагно­стики.

Рассмотрим общую структуру резервирования АСУТП на рис.5.

Рис.5. Общая структура резервирования АСУТП

Далее рассмотрим на примере контроллеров Apacs+, Quad-log и V9 Tricon фирм Siemens Moore Products и Triconex реали­зацию резервирования контроллера.

В разделе 4 рассмотрим, как происходит резервирование на уровне станций оператора и резервирование линий связи.

В разделе 5 рассматривается реализация резервирования сервера технологических данных.

В приложении приводится архитектуры программируемых электронных систем в соответствии со стандартами IEC 61508 и DIN V 19250.

2. Контроллеры Apacs+ и Quadlog