файл с расчетами, таблицами и графиками
Подбор оборудования и построение контуров безопасности
После проведения HAZOP и формирования контуров безопасности ПСБ с определением целевого уровня полноты безопасности, нам, как инженерам реализующим систему безопасности прислали исходные данные: технологическая схема с КИП, перечень контуров безопасности, матрица причинно-следственных связей, значение целевого УПБ. Мы, как подготовленные инженеры, понимаем из чего могут быть построены контура безопасности, отвечающие заданному целевому УПБ. Осталось подобрать оборудование, собрать контура, посчитать результирующее значение УПБ и сравнить его с целевым.
Если подходить к решению задачи правильно и грамотно, ПСБ еще на предыдущих этапах должна быть разделена на систему аварийного останова ESD и систему технологических защит PSD. ESD предназначена именно для предотвращения катастрофы, аварии и гибели людей. PSD предназначена для защиты оборудования и технологического процесса (например, не дает загубить катализатор в реакторе или выпустить некачественную продукцию). Позже, когда будем разбираться, в чем разница между ESD и ПАЗ разберем этот вопрос подробнее.
Когда мы говорим о снижении риска до целевого значения и расчете уровня полноты безопасности, мы говорим про ESD.
Весь перечень контуров безопасности сразу делим на две части: контура с целевым УПБ1 и ниже, и контура с целевым УПБ2,3. При объективно проведенном анализе рисков контуров УПБ3 будет очень ограниченное количество, обычно несколько единиц. Подобрать оборудование для обеспечения УПБ3 контура в целом достаточно сложно.
В качестве более наглядного примера возьмем простую технологическую схему защиты бытового водогрейного котла.
При отсутствии мер безопасности, газ может поступать в топку котла и образовывать взрывоопасную смесь, а при некоторых обстоятельствах смесь может образоваться и за пределами топки во всем помещении котельной. При наличии источника воспламенения произойдет взрыв, и если в зоне взрыва будут люди, они могут погибнуть (еще раз, безопасность – это не защита котла от поломки или системы отопления от размораживания зимой, безопасность это защита жизни людей. Чтобы не допустить взрыв, если газ подается в топку он должен сгорать, т.е. должно быть наличие устойчивого горения. А для устойчивого горения газ к горелке должен подаваться с давлением в рабочем диапазоне, в топку должен подаваться воздух на горение в соответствии с объемом газа, на горелке должно быть устойчивое пламя. Котел оснащен несколькими контурами безопасности: контроль наличия пламени (может быть оптический датчик пламени и/или датчик температуры в зоне горелки), контроль подачи воздуха в топку, контроль давления топливного газа, еще может быть датчик метана в помещении котельной. Соответственно можно построить несколько контуров безопасности, но мы упростим себе задачу и будем рассматривать только один контур, защита по минимальному давлению газа: сигнализатор давления (реле давления) газа, реле безопасности, электромагнитный клапан на линии газа к горелке. При низком давлении газа отключаем котел, во избежание нестабильного горения, погасания пламени, образования взрывоопасной концентрации с последствиями.
Если проведем HAZOP с пристрастием, получим целевой УПБ не выше УПБ2 (и то это сильно натянуто).
Пример рассматриваем больше для того, чтобы «поиграть» с исходными данными и посмотреть, к чему это приводит.
Для большей наглядности ниже приведен возможный внешний вид устройств в контуре безопасности, вид фрагмента технологической схемы и фрагмент принципиальной электрической схемы (все исключительно в качестве примера для наглядности).
Все элементы относятся к типу А, поэтому к ним применима таблица.
SFF (доля безопасных отказов)
| Устойчивость к аппаратным отказам
| ||
0 | 1 | 2 | |
<60% | SIL 1 | SIL 2 | SIL 3 |
60-90% | SIL 2 | SIL 3 | SIL 4 |
90-99% | SIL 3 | SIL 4 | SIL 4 |
>99% | SIL 3 | SIL 4 | SIL 4 |
Исходные данные для расчета параметров контура безопасности можно получить из Руководства по безопасности для каждого устройства, если оно конечно есть.
В соответствии с МЭК в руководстве по безопасности (или в приложении к сертификату) должна содержаться следующая информация:
оценки интенсивности отказов (или ссылку на отчёт FMEDA) и оценку β-фактора в случае использования в системе безопасности резервированных устройств;
все значения параметров, необходимые для обеспечения безопасности, должны быть указаны;
оценки интенсивности отказов (связанных со случайными отказами оборудования) всех видов, которые могут стать причиной опасных отказов электрической/ электронной/ программируемой электронной (E/E/PE) системы безопасности, выявляемых с помощью диагностических тестов;
вся информация, необходимая для расчёта доли безопасных отказов (SFF) подсистемы, используемой в составе E/E/PE системы безопасности;
устойчивость подсистемы к отказам оборудования (аппаратным отказам);
любые ограничения на использование подсистемы, которые должны соблюдаться, чтобы исключить систематические отказы;
любые ограничения на условия окружающей среды для подсистемы, которые должны контролироваться с целью обеспечения достоверности оценок интенсивности отказов, обусловленных случайными отказами оборудования;
любые ограничения на срок службы подсистемы, которые не должны превышаться, с тем чтобы обеспечить достоверность оценок интенсивности отказов, обусловленных случайными отказами оборудования;
любые необходимые периодические диагностические проверочные тесты или процедуры обслуживания;
диагностическое покрытие;
для заявленного диагностического покрытия должен быть указан максимально допустимый временной интервал между диагностическими тестами.
если пределы срока службы изделия неизвестны, это должно быть указано. В противном случае должно быть отмечено, что присутствуют неизвестные механизмы износа.
рекомендации по проведению диагностических тестов, необходимых для выявления известных опасных отказов, идентифицированных в результате анализа FMEDA [1]. Процедуры должны включать указание, что результаты этих тестов обязательно должны быть документированы. Должны быть указаны все инструменты и средства, необходимые для выполнения тестов. Также должен быть оговорён уровень квалификации специалистов, проводящих тесты. Для проводимых тестов должен быть указан фактор диагностического покрытия (эффективность тестов с точки зрения выявления опасных отказов, например 90%, 95%, 99%);
наивысший интегральный уровень безопасности (SIL), который может быть заявлен для функции безопасности, использующей эти подсистемы, на основе методов, применяемых для предотвращения систематических отказов, заложенных на этапе проектирования, изготовления оборудования, создания ПО подсистемы;
любая информация, необходимая для идентификации конфигурации оборудования и ПО подсистемы;
Просмотрев более 10 руководств по безопасности и сертификатов «отечественных» производителей реле, я не нашел ни в одном ни параметров необходимых для расчета контура безопасности, ни процедур по тестированию, ни данных о сроке службы и межтестовых интервалах. Может вам повезет больше.
Небольшое пояснение по сроку службы устройств. Есть вот такой график из учебника показывающий изменение интенсивности отказов по времени.
Показывает он следующее:
При выходе из производства устройство может оказаться бракованным (нарушен технологический процесс, ошибки при сборке, некачественные комплектующие, залита не та версия ПО и т.д.), поэтому вероятность отказа сразу после включения достаточно высокая. Если устройство сразу не сгорело и проработало устойчиво некоторое время, значит оно изготовлено качественно и будет служить в течении расчетного срока, т.е. интенсивность отказов снижается до средней расчетной на протяжении расчетного срока службы (как разбирали ранее, например 2 отказа на 1000 приборов в год). По истечению расчетного срока службы интенсивность отказов будет возрастать в силу старения и естественного износа, поэтому по истечению срока службы устройство требует замены или ремонта с восстановлением значения интенсивности отказов до средней расчетной.
Исходя из выше сказанного можно сделать вывод – срок службы это не цифра, которую продавец «от фонаря» указал в паспорте, а момент времени когда начинает увеличиваться интенсивность отказов. Пока интенсивность отказов не увеличивается, устройство можно уверенно эксплуатировать (это правда противоречит ФНИП «в системах ПАЗ не допускается использовать устройства с истекшим сроком службы, срок службы должен быть указан в паспорте»). И второй момент, срок службы должен быть определен не для системы в целом, а для каждого отдельного компонента, контроллера, модуля ввода/вывода, блока питания, барьера, позиционера, соленоида и т.д. Понятно, что блок питания с его электролитическими конденсаторами и нагревом стареет гораздо раньше, чем контроллер. Ремонт, замена быстро стареющих компонентов, позволяет поддерживать интенсивность отказов на постоянном уровне в течении длительного времени, т.е. продлят срок службы системы.
Возвращаясь к нашему примеру с газовым водогрейным котлом, берем те устройства, которые смогли найти на рынке. Пусть нам повезло, и для каждого устройства мы нашли данные по вероятности отказа в целом, среднее время между отказами (MTBF). Поскольку устройства простые, мы пренебрегаем временем восстановления и ремонта. MTBF указывается в годах и зачастую выглядит просто астрономически: MTBF=500лет. Это не означает, что устройство после включения в работу можно 500 лет не трогать и оно будет гарантировано работать. Это вероятность случайного отказа в течении установленного срока службы при условии соблюдения всех регламентов технического обслуживания и ремонта, например для электромагнитного клапана указано каждые 100 часов проверять сопротивление изоляции катушки – обязаны проверять, и если при этом сопротивление ниже нормы – выполняйте ремонт, меняйте катушку. Положено каждые 500 часов протирать уплотнительную поверхность золотника спиртом или коньяком – обязаны протирать. Соблюдение регламентов и процедур максимально исключает систематический отказ. Все отказы типа «заклинило золотник», «замяло уплотнение», «закоксовался из-за грязного газа», «перегрелась катушка» относятся к систематическим, т.е. вовремя не провели регламентные мероприятия или нарушили условия эксплуатации. А 500 лет – это вероятность случайного отказа, который невозможно избежать даже при условии соблюдения всех регламентов, и надо понимать, если у вас установлено 500 одинаковых устройств, у вас возможен 1 отказ в год.
Итак, мы нашли для наших устройств только один параметр – среднее время между отказами и приняли ее как MTBF (нашли в паспорте производителя или приняли ее сами по «эмпирическим статистическим данным», т.е. от фонаря.) Больше никаких исходных данных у нас нет.
компонент | MTBF(лет) |
сигнализатор давления | 45 |
реле безопасности | 50 |
клапан | 36 |
Я специально не добавляю в перечень оборудования блоки питания, проходные клеммы и прочее, чтобы не раздувать объем расчетов, в нашем примере ничего принципиально они не изменят.
При отсутствии в полном объеме исходных данных и не претендуя на высокий УПБ контура можно пойти следующим путем:
MTBF(год) делим на 8760 часов, получаем MTBF(час), то же среднее время между отказами, только в часах
по MTBF(час) рассчитываем общую интенсивность отказов в час, λ(час)=1/MTBF(час)
половину отказов считаем безопасными λs(час)=λ/2
поскольку устройства примитивные, считаем что диагностики отказов у них нет λdd(час)=0 и доля безопасных и диагностируемых отказов SFF=50%
первоначально примем межтестовый интервал Ti в 1 год или 8760 часов (проверка контура безопасности раз в год, при проверке выявляются 100% скрытых отказов)
рассчитываем среднюю вероятность опасного скрытого отказа в год при условии межтестовых интервалов 1 год PFDavg=λdu*Ti/2
Сводим все параметры в таблицу и рассчитываем интенсивности отказов для контура в целом, интенсивности просто складываем, MTBF контура рассчитываем по интенсивности отказов MTBF=1/λ . Вероятность опасного отказа контура PFDavg также получаем сложением PFDavg всех устройств. Для наглядности строим графики PFD и PFDavg.
По расчету средней вероятности опасного отказа PFDavg всем устройствам можно было бы присвоить УПБ2 (PFDavg меньше 0,01 или 10-2), но поскольку доля безопасных отказов меньше 60% (SSF=50%), то для всех устройств будет УПБ1, что и логично, так как собрали контур безопасности непонятно из чего.
Вероятность опасного отказа контура в целом PFDavg по расчету соответствует УПБ1 (выше 0,01 или 10-2).
Если хоть одно устройство в контуре будет УПБ1, то и весь контур не выше УПБ1.
Итог – наш контур соответствует УПБ1. Но у нас целевое значение УПБ2, значит надо что то менять.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Ti(час) | PFDavg=λdu*Ti/2 | УПБ, доспустимый для компонента |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | λs=λ(час)*50% | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем из предположения SFF=50% | интервал между проверками | PFDavg=λdu*Ti/2 | присваиваем по таблице |
сигнализатор давления | 45 | 394200 | 2,54E-06 | 1,27E-06 | 1,27E-06 | 0 | 1,27E-06 | 50% | 8760 | 5,56E-03 | УПБ 1 |
реле безопасности | 50 | 438000 | 2,28E-06 | 1,14E-06 | 1,14E-06 | 0 | 1,14E-06 | 50% | 8760 | 5,00E-03 | УПБ 1 |
клапан | 36 | 315360 | 3,17E-06 | 1,59E-06 | 1,59E-06 | 0 | 1,59E-06 | 50% | 8760 | 6,94E-03 | УПБ 1 |
для контура | 14 | 125143 | 7,99E-06 | 4,00E-06 | 4,00E-06 | 0 | 4,00E-06 |
|
| 1,75E-02 | УПБ1 |
Синий – PFD, оранжевый – PFDavg, красная линия соответствует уровню УПБ2.
Начнем с шаманства (это не совсем корректно, позже поймем почему).
Все наши устройства очень простые, конструктивно примитивные, поэтому величина безопасных отказов SFF=50% наверно принята через чур пессимистично. Предположим, мы нашли, что производитель все таки указал величину безопасных отказов в документации SFF=65% (или мы приняли это значение эмпирически исходя из опыта..., так решили). Тогда все наши устройства формально соответствуют значению УПБ2.
Диагностики у нас все также нет, поэтому λdd=0.
Таблица теперь выглядит так.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Ti(час) | PFDavg=λdu*Ti/2 | УПБ, доспустимый для компонента |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | λs=λ(час)*65% | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем из предположения SFF=50% | интервал между проверками | PFDavg=λdu*Ti/2 | присваиваем по таблице |
сигнализатор давления | 45 | 394200 | 2,54E-06 | 1,65E-06 | 8,88E-07 | 0 | 8,88E-07 | 65% | 8760 | 3,89E-03 | УПБ 2 |
реле безопасности | 50 | 438000 | 2,28E-06 | 1,482E-06 | 7,99E-07 | 0 | 7,99E-07 | 65% | 8760 | 3,50E-03 | УПБ 2 |
клапан | 36 | 315360 | 3,17E-06 | 2,06E-06 | 1,11E-06 | 0 | 1,11E-06 | 65% | 8760 | 4,86E-03 | УПБ 2 |
для контура | 14 | 125143 | 7,99E-06 | 5,19E-06 | 2,80E-06 | 0 | 2,80E-06 |
|
| 1,23E-02 | УПБ1 |
После пересчета с учетом SFF=65% средняя вероятность отказа на выполнение функции безопасности PFDavg для каждого отдельного устройства тоже уменьшилась (при сохранении того же межтестового интервала 8760 часов), но итоговая PFDavg для контура (сумма PFDavg всех элементов) остается на уровне УПБ1. То, что все элементы в контуре соответствуют УПБ2 не означает, что контур будет соответствовать УПБ2, все зависит от конкретного значения PFDavg составляющих контура.
УПБ2 соответствует широкий диапазон значений PFDavg с разбегом в 10 раз. Значение PFDavg=1*10-3 и PFDavg=9,9*10-3 оба соответствуют УПБ2. Но ведь контур состоит ка минимум из двух элементов, и значения PFDavg элементов будут суммироваться.
Для PFDavg=1*10-3 сумма двух элементов будет PFDavg=1*10-3+1*10-3=2*10-3, что тоже соответствует УПБ2.
Для PFDavg=9,9*10-3 сумма двух элементов будет PFDavg=9,9*10-3+9,9*10-3=19,8*10-3=1,98*10-2, что соответствует уже УПБ1.
Поэтому когда производитель указывает в документации «соответствует УПБ2», это ни о чем не говорит и абсолютно ничего не значит. Рассчитать среднюю вероятность отказа на выполнение функции безопасности при заданном межтестовом интервале по утверждению «соответствует УПБ2» невозможно. Должно быть указано значение PFD с условиями или исходные значения интенсивности отказов для расчета PFDavg.
Возвращаясь к газовому котлу, нам надо получить для нашего контура безопасности УПБ2. Можно конечно еще увеличить значение доли безопасных отказов, например принять SFF=80%, но это будет уже «совсем нагло и притянуто за уши». Можно выполнить резервирование элементов, всех или нескольких, и пересчитать PFDavg для многоканальной архитектуры, это несколько сложнее реализовать и этот вариант мы рассмотрим позже. Самый простой способ улучшить значение PFDavg контура это уменьшить межтестовый интервал Ti. Ну котел водогрейный, можно просто прописать в инструкцию по функциональной безопасности «не реже чем раз в 6 месяцев перед началом и по окончания отопительного сезона проводить функциональные испытания контура безопасности по низкому давлению топливного газа. Для этого разжечь горелку котла, вывести на рабочий режим, убедиться в наличии устойчивого горения, нажать кнопку «Тест» на панели управления, убедиться в отключении горелки, полном погасании пламени, отсутствию поступления газа в топочное пространство котла». Соответственно надо добавить в схему кнопку «Тест», которая, например, будет размыкать электрическую цепь от сигнализатора давления до реле безопасности. При таком включении кнопки мы не можем проверить реле давления, но можем выполнить функциональный тест реле безопасности и электромагнитного клапана, т.е. для реле безопасности и электромагнитного клапана межтестовый интервал будет Ti=4380 часов.
Долю безопасных отказов примем на уровне SFF=65%, при значении менее 60% УПБ2 не может получиться по определению.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Ti(час) | PFDavg=λdu*Ti/2 | УПБ, доспустимый для компонента |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | λs=λ(час)*65% | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем из предположения SFF=50% | интервал между проверками | PFDavg=λdu*Ti/2 | присваиваем по таблице |
сигнализатор давления | 45 | 394200 | 2,54E-06 | 1,65E-06 | 8,88E-07 | 0 | 8,88E-07 | 65% | 8760 | 3,89E-03 | УПБ 2 |
реле безопасности | 50 | 438000 | 2,28E-06 | 1,48E-06 | 7,99E-07 | 0 | 7,99E-07 | 65% | 4380 | 1,75E-03 | УПБ 2 |
клапан | 36 | 315360 | 3,17E-06 | 2,06E-06 | 1,11E-06 | 0 | 1,11E-06 | 65% | 4380 | 2,43E-03 | УПБ 2 |
для контура | 14 | 125143 | 7,99E-06 | 5,19E-06 | 2,80E-06 | 0 | 2,80E-06 |
|
| 8,07E-03 | УПБ 2 |
И вот она, заветная цифра PFDavg контура безопасности, пусть на грани, но все таки соответствует УПБ2.
Теперь для общего понимания давайте рассмотрим вариант с многоканальной схемой. Возьмем устройства из первой таблицы с долей безопасных отказов SFF=50%, с межтестовым интервалом Ti=8760 часов и сделаем полностью резервированный контур. Схема выглядит несколько странно, два реле давления и две катушки реле безопасности включены последовательно, контакты реле безопасности и два электромагнитных клапана также включены последовательно, каждый элемент (реле давления, реле безопасности, электромагнитный клапан) получается подключенным по схеме 1оо2.
Для расчета многоканальной схемы с однородным резервированием (используются одинаковые устройства), мы должны указать β-фактор, учитывающий отказы по общей причине. В идеале берем из руководства по безопасности, в нашем случае берем эмпирически, т.е. от того же фонаря, пусть будет β=3%. Для схемы 1оо2 устойчивость к аппаратным отказам HFT=1, и по таблице для компонентов типа А при SFF менее 60% УПБ может достигать УПБ2.
Для более корректных результатов будем использовать полную формулу расчета PFDavg для схемы 1оо2 для каждого компонента PFDavg=1/3*((1-β)*λdu*Ti)^2+1/2(β*λdu*Ti)
Получаем следующую таблицу.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | β-фактор, коэффициент отказа по общей причине | Ti(час) | PFDavg=1/3*((1-β)*λdu*Ti)^2+1/2(β*λdu*Ti) | УПБ, доспустимый для компонента |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | λs=λ(час)*50% | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем из предположения SFF=50% | Задаем по документации производителя | интервал между проверками | PFDavg=1/3*((1-β)*λdu*Ti)^2+1/2(β*λdu*Ti) | присваиваем по таблице |
сигнализатор давления (1oo2) | 45 | 394200 | 2,54E-06 | 1,27E-06 | 1,27E-06 | 0 | 1,27E-06 | 50% | 0,03 | 8760 | 2,05E-04 | УПБ 2 |
реле безопасности | 50 | 438000 | 2,28E-06 | 1,14E-06 | 1,14E-06 | 0 | 1,14E-06 | 50% | 0,03 | 8760 | 1,81E-04 | УПБ 2 |
клапан | 36 | 315360 | 3,17E-06 | 1,59E-06 | 1,59E-06 | 0 | 1,59E-06 | 50% | 0,03 | 8760 | 2,69E-04 | УПБ 2 |
для контура | 14 | 125143 | 7,99E-06 | 4,00E-06 | 4,00E-06 | 0,00E+00 | 4,00E-06 |
|
|
| 6,56E-04 | УПБ 2 |
Получаем очень красивые значения полной PFDavg для контура безопасности в целом, которое соответствует даже УПБ3, но ... поскольку доля безопасных отказов для элементов SFF=50%, т.е. ниже 60%, УПБ двухканальной схемы не может быть выше УПБ2.
В результате применения двухканальной схемы мы также достигли для контура итогового уровня полноты безопасности УПБ2.
Если у вас нет подтвержденного значения параметров безопасности устройств, в первую очередь интенсивности отказов и доли безопасных отказов, то единственный честный способ получить контур соответствующий УПБ2, это использовать многоканальную схему (1оо2, 1оо3).
Схема 2оо3 тоже является многоканальной, обеспечивает значение PFDavg почти такое же, как схема 1оо2, зато эксплуатационная готовность (безотказность, устойчивость к ложным сработкам) у нее выше.
Есть хороший наглядный рисунок.
«Честные» производители приборов для систем безопасности часто указывают на маркировке обозначение SIL2(3), это означает, что устройство может применяться в контурах до SIL2 в одно-канальной схеме и в контурах до SIL3 при двух-канальной или многоканальной схеме с однородным резервированием.
В рассмотренных примерах есть один тонкий момент, параметры безопасности, среднее время между отказами MTBF и долю безопасных отказов SFF мы приняли эмпирически, сами взяли и присвоили какое то значение. А что мешает производителям сделать тоже самое?
Многие производители, а тем более продавцы, продающие ноу-наме изделия под своим брендом, ради продаж готовы написать любые цифры в документацию на свои устройства, абсолютно не понимая, что эти цифры означают. На российском рынке сейчас таких устройств не то что много, правильно сказать ВСЕ!
Чтобы не допускать необоснованного указания параметров безопасности производителями или продавцами, МЭК предусматривает определенную схему подтверждения параметров безопасности компонентов и устройств (интересно, сколько человек смогли дочитать МЭК61508 и МЭК61511 до конца? Честно скажу, я не смог!)
Схемы подтверждения УПБ
SIL1 – независимый специалист (эксперт), как правило в штате производителя. Если исследование проводит независимая организация, то достаточно одного эксперта, который проведет анализ и подготовит заключение.
SIL2 – независимый отдел (несколько экспертов, возможно с разной специализацией, например эксперт по схемотехники, эксперт по системному ПО, эксперт по регламентам и процедурам и т.д.). Независимый отдел – это значит специалисты не занимаются разработкой устройства и по схеме подчиненности не пересекаются с разработчиками (независимы технически и административно). Если исследование и сертификацию проводит независимая организация, для каждого объекта исследования должна быть организована группа экспертов, каждый из которых должен провести свой независимый анализ.
SIL3 – независимая организация, которая обладает необходимым количеством экспертов с подтвержденными компетенциями. Вот тут начинаются сложности – кто и как должен подтвердить компетенции экспертов, как определить необходимое количество экспертов для конкретного объекта исследования? В мире есть авторитетные экспертные организации, типа TUV Nord или Exida, которым доверяют большинство западных компаний. Многие крупные западные компании, использующие в большом количестве системы безопасности, имеют свои департаменты по функциональной безопасности, с очень опытными и реально компетентными специалистами, и эти специалисты несут реальную ответственность за реализацию функциональной безопасности внутри компании. Поэтому эти эксперты от заказчика способны качественно и «по настоящему» провести аудит в части соблюдения требований функциональной безопасности на всех этапах разработки, сертификации, производства и эксплуатации устройства, аудит как производителя устройств, так и экспертной организации.
В российской действительности сертификация по функциональной безопасности выглядит примерно так: производитель (а чаще продавец) предоставляет пародию на «руководство по функциональной безопасности» с заявленными значениями (хорошо, если в руководстве будут все параметры, чаще только MTBF и всякий мусор, не относящийся к функциональной безопасности), а недо-эксперт проверяет какому уровню УПБ эти значения соответствуют и выдает сертификат. Какого то реального анализа оборудования и ПО не проводится в принципе, да и компетенции экспертов не позволяют проводить такой анализ. Любой эксперт единолично может выдать сертификат на УПБ2 или УПБ3, ни а какой группе или отделе даже речи нет. Ни в одном сертификате вы не увидите группу экспертов или ссылку на отчет FMEDA, утвержденный группой экспертов.
Нормальному инженеру невозможно понять, как эксперт в лучшем случае немного знакомый только с текстом МЭК, не имеющий познаний в электронике, схемотехнике, разработке ПО, промышленной автоматизации, за частую вообще не имеющий технического образования, может проводить исследования, что то оценивать и формировать заключения. Понятно, он может только «печатать и подписывать сертификаты за скромное вознаграждение».
И еще более непонятно, как уважаемые люди, супер специалисты крупных холдингов, основной хлеб которых это функциональная безопасность, могут принимать такие «неликвидные» сертификаты.
В целом схема аккредитации экспертных организаций в области функциональной безопасности, обучения и подготовки специалистов и экспертов в России не очень понятна. Откуда они берутся, как нарабатывают опыт в части исследований FMEDA, как и кто подтверждает их компетенции, почему сертификатам этих экспертов можно доверять, все это остается загадкой.
Если оставить лирику и вернуться к нашему примеру с отключением газа на котел, то получается, что если вы, как независимый специалист по функциональной безопасности проведете оценку простого компонента типа А (реле давления), найдете в справочнике значения интенсивности отказов или примете их «по аналогам», то вы имеете право присвоить своему компоненту уровень максимум УПБ1. А если на серьезном производстве организовать отдел из экспертов по функциональной безопасности и пройти аккредитацию (только непонятно как), то устройствам можно будет присвоить максимум УПБ2.
Производитель (независимый эксперт или независимый отдел производителя) имеет право выдать только ДЕКЛАРАЦИЮ – заверение производителя о соответствии. Насколько можно верить такой декларации, решает пользователь оборудования. Серьезные заказчики конечно должны провести аудит производителя, прежде чем поверить его декларации. Производитель должен подтвердить, как у него получились значения интенсивности отказов, доли безопасных отказов, межтестовый интервал, срок службы и т.д. МЭК подробно описывает все возможные схемы подтверждения параметров (кто бы его читал).
СЕРТИФИКАТ может выдать только специализированная экспертная организация, имеющая в штате необходимое количество компетентных экспертов. Верить или не верить сертификату экспертной организации – также решает заказчик. Но ведь всегда можно запросить перечень документации, которая передавалась на сертификацию, как минимум посмотреть в перечне наличие технической документации, принципиальных электрических схем, наличие перечня компонентов (микросхем, процессоров) в составе устройства, наличие руководства по функциональной безопасности для основных комплектующих, версии и контрольные суммы ПО для программируемых устройств (хотя бы не саму документации, а просто перечень, убедиться что он есть и содержит минимум необходимой информации). Просто понять, какой комплект документов был передан для исследования FMEDA. И конечно, необходимо запросить отчет FMEDA, так как именно отчет содержит все результаты исследований и значение интенсивности отказов всех типов в одно- и много-канальной схеме. Мне пока не повезло, ни один производитель (продавец) ничего вменяемого предоставить не смог.
Определение из МЭК: исследование FMEDA (Failure modes, effects, and diagnostic analysis) – метод систематического анализа для получения частоты отказов на уровне подсистем/устройств, видов отказов и возможностей диагностики или анализ опыта эксплуатации.
Понятно, что для простых устройств, которые используются на протяжении 150 лет (типа реле давления или простое реле без чипов), все виды отказов давно изучены и задокументированы, отчет FMEDA займет 1 лист, а можно его вообще не проводить и использовать данные «по опыту эксплуатации». Для многих простых компонентов данные приведены в справочниках по функциональной безопасности.
Для сложного устройства с микроконтроллером, несколькими чипами в обвязке, с бесконечным количеством транзисторов и пассивных элементов, с многозадачной операционной системой, исследование FMEDA должно составлять несколько томов.
В российской сертификации промышленных контроллеров для систем безопасности меня очень сильно смущают некоторые технические аспекты, может я и не прав, но есть повод задуматься.
Сейчас почти у всех «российских производителей» есть в линейке «контроллер ПАЗ». И не важно, где он фактически изготавливается, в России , материковом Китае или островном Китае, выглядит он примерно так:
Контроллер (центральный процессор, вычислительный модуль ..) на базе ARM процессора китайского, тайваньского или американского производства (Texas Instruments, Analog Devices);
В качестве операционной системы Linux с ядром реального времени (и то не всегда);
Функции управления реализованы на библиотеках CoDeSys или самописные;
Модули ввода/вывода также реализованы на процессорах китайского реже американского производства, все тот же Texas Instruments, Analog Devices;
Из такого набора достаточно просто собрать вычислительное управляющее устройство, для процессоров и остальных чипов производитель поставляет библиотеку для Linux, собрать ядро с поддержкой нужных чипов труда не составляет. Организации обмена с модулями ввода/вывода тоже реализована с применением уже готовых библиотек, конечно, приходится изучать data-sheet и экспериментировать, но это не писать на ассемблере или Си собственную операционку под специализированный процессор.
Вопрос про отсутствие каких-либо процедур по устранению систематических ошибок в таком наборе я уже раскрывал в предыдущей главе, а сейчас попробуем понять, на какой максимальный уровень УПБ может претендовать такой набор.
Сам контроллер будет компонентом типа В, соответственно в одно-канальной схеме применяться не может вообще. Поскольку руководство по функциональной безопасности для ARM микропроцессора не существует (вообще не существует), нет подтвержденных вероятностей отказов, описания тестовых процедур и прочего, то долю безопасных отказов можно принять не выше SFF=50%, потому что подтвердить другое значение просто невозможно. Производитель контроллера будет рассказывать, что их контроллер обладает высокой степенью диагностики, сторожевыми таймерами, контролем четности по шине данных и т.д., но без руководства по функциональной безопасности микропроцессора все эти утверждения беспочвенны. Линукс тем более никак не исследован и не сертифицирован в части функциональной безопасности.
Производители все как один утверждает, что контроллер работает в двух-канальной схеме 1оо2D. Звучит красиво. Вам с гордостью показывают схему из пары резервированных контроллеров, но для начала надо понять, как выполнено резервирование. Если по схеме рабочий-резервный (горячий резерв, одновременно работает только один контроллер, и только с одного контроллера результаты вычислений передаются на модули вывода), то это одно-канальная схема с горячим резервированием, устойчивость к аппаратным отказам HFT=0 и такая схема не может иметь никакого уровня УПБ.
А если схема резервирования выполнена «по честному», реально контроллеры работают параллельно, каждый получает данные со своего входного модуля, выполняет вычисления и передает результаты на свой отдельный модуль вывода, и для выходов выполнена схема 1оо2, и реализована схема со сравнением результатов вычислений в нескольких точках (а для схемы 2оо3 реализована схема голосования для формирования результата), тогда УПБ вашего контроллера будет УПБ1, так как устойчивость к аппаратным отказам HFT= 1 и доля безопасных отказов SFF=50% (схема 2оо3 тоже имеет устойчивость к аппаратным отказам HFT=1).
Получается, при честном подходе к расчету уровня полноты безопасности, максимально получаем УПБ1.
Возможно производитель конечно осознал все абсурдность сертификации по части функциональной безопасности контроллеров с ARM процессором и установил отдельный «простой» процессор, который работает в простом однозадачном режиме, просто в цикле выполняя все алгоритмы контуров безопасности, простой алгоритм и конфигурация позволили исключить все систематические отказы, придумал контрольные точки и сторожевые таймеры, на основной ARM процессор возложил функции диагностики, описал процедуры тестирования и смог авторитетно доказать, что доля безопасных отказов составляет SFF=85% (доказать, что 25% опасных скрытых отказов переведены в опасные диагностируемые). Вы можете назвать хоть одного такого российского производителя?
Тоже самое будет касаться и модулей ввода/вывода, это отдельные микропроцессорные устройства и требуют отдельного исследования и сертификации.
В итоге получается состав подсистемы ПЛК как минимум из 3 устройств – модуль ввода, контроллер, модуль вывода. Чтобы получить итоговый УПБ подсистемы необходимо иметь интенсивности отказов всех типов, долю безопасных отказов и β-фактор по каждому компоненту для одно-канального режима, и описание работы в много-канальном режиме (описание, как реализуется схема 1оо2 или 2оо3). А еще должно быть описание тестовых процедур по выявлению систематических отказов и процедур по выявлению скрытых опасных отказов.
Если мы «поверим на слово» производителю и примем долю безопасных отказов SFF=65%, и согласимся, что компоненты подсистемы, процессор и модули в/в соответствуют УПБ2, а потом добавим барьеры искрозащиты УПБ2, датчики УПБ2, исполнительные механизмы УПБ2, сложив вместе интенсивности отказов всех компонентов контура безопасности, мы скорее всего получим на интервале в 1 год для контура безопасности УПБ1. А кому нужны контура с УПБ1?
Проводить полноценное исследование FMEDA микропроцессорного устройства с «нуля» – это титанический труд, занимающий не меньше года и требующий больших ресурсов, привлечение десятков профессиональных специалистов. Соответственно стоимость такого исследования не по-карману компании, продающей 10 систем ПАЗ в год.
Вот поэтому в мире и существует только один микропроцессор для систем безопасности, для которого были проведены исследования FMEDA и который имеет реальное руководство по функциональной безопасности (возможно есть и еще, но я знаю только про один).
Если внимательно посмотреть контроллеры для систем безопасности мировых производителей, с настоящей сертификацией на SIL3, вы увидите, что все они очень похожи.
У производителей SIL-контроллеров всегда есть перечень модулей с архаичной конфигурацией, но честно сертифицированных на SIL3, и модули более современные, но без сертификации. Перечень сертифицированных модулей, с указанием аппаратной и программной ревизии, указывается в честном сертификате (приложение к сертификату) и в руководстве по безопасности. Только этот набор модулей с этими версиями ПО будет соответствовать параметрам безопасности, указанным в сертификате. В случае применения любого другого модуля, блока, шлейфа и т.д. ваш контур безопасности не будет соответствовать никакому SIL. Модули SIL как правило низкой плотности, 8-ми канальные, но стоят в 3-5 раз дороже 16-ти (32) канальных не сертифицированных по SIL.
Как правило руководство по безопасности не запрещает в одном шасси (крейте) располагать и сертифицированные по SIL модули, и обычные. Но контура безопасности должны строится только на сертифицированных модулях. Аналогично программные блоки, в контурах безопасности могут применяться только те блоки, которые указаны в руководстве (это все вытекает из использования специального микропроцессора безопасности с его закрытой библиотекой).
Например, когда в контуре безопасности есть отсечной клапан, управление соленоидом входит в контур безопасности и соленоид подключается через сертифицированный модуль, а конечные выключатели клапана в контуре безопасности не участвуют (положение клапана носит информационный характер), соответственно конечные выключатели можно подключить к этому же контроллеру, но через не сертифицированный модуль.
Если в сертификате (приложении к сертификату) для «контроллера ПАЗ» не указан код аппаратной реализации и прошивки модулей, грош цена такому сертификату (обидно, но это все российские сертификаты на УПБ).
После очередных нововведений в Федеральных нормах и правилах (ФНиП), сертификаты на УПБ стали обязательным атрибутом для любого контроллера в системах ПАЗ, и не важно что содержится в этом сертификате, нужно просто его наличие. При этом для 99,99% объектов никогда не проводился анализ рисков и контуров безопасности с целевым УПБ не существует как класса ВООБЩЕ! И если провести объективный анализ рисков, то на 99,98% объектов контуров выше УПБ1 не будет, а для контуров с УПБ1 можно использовать любой, даже самый неправильный «контроллер ПАЗ», главное избежать предписаний от Ростехнадзора, потому что вы в действительности ничем не рискуете. Поэтому оценка риска, производство контроллеров ПАЗ из ноу-наме комплектующих, сертификация на УПБ2 – все это превратилось в отдельный самодостаточный бизнес, который не имеет никакого отношения к реальной функциональной безопасности.
Но если на вашем производстве есть процессы и оборудование, несущие реальный риск аварии, катастрофы и гибели людей, и вам в действительности необходима приборная система безопасности с контурами SIL2 и SIL3, то стоит сильно задуматься при подборе контроллеров и остального оборудования для построения контуров безопасности.
Комментарии инженера
Если посмотреть взглядом «практикующего инженера» на всю теорию надежности в цифрах и бесконечно длинных формулах, то сразу появляется много вопросов. Первый и основной – откуда получены все исходные значения: от вероятностей отказов отдельных простых элементов (транзисторы, резисторы, конденсаторы, контакты и т.д.), до доли безопасных отказов, отказов по общей причине, время восстановления и ремонта, и прочее. И выясняется, что все значения приняты эмпирически, условно, экспертно, с большой долей допущения, приблизительно, в среднем по миру за всю историю наблюдений... Не то, чтобы совсем «от фонаря», но очень близко к этому.
Если посмотреть задачи по теории надежности (которые зачем то решают на курсах по системам безопасности?), то они все начинаются с исходных условий: пусть вероятность опасного отказа элементов равна... Или значение вероятности отказа тонкопленочного резистора возьмем из справочника.., но ведь резисторы бывают разные, разных производителей и изготовлены по разным технологиям. Или когда производитель реле безопасности указывает долю безопасных отказов 65%, а почему не 63 или 67? Есть конечно методики определения этих значений, но эти методики также содержат бесконечное количество условно принятых значений и коэффициентов.
С точки зрения точной инженерной науки, значения в теории надежности как и в любой вероятностной науке, все исходные и вычисляемые значения носят очень условный и неопределенный характер.
Для нормального «практикующего инженера», который ежедневно работает с точными и осязаемыми величинами, когда 4мА это «4мА», а 20мА это «20мА», трудно понять менеджера по надежности (или метролога).
Есть реальный объект, есть контура безопасности, есть ПЛК, алгоритмы – все настроено, проверенно и нормально работает. Перешли о реального объекта к математическому описанию, подключились менеджеры по надежности, все начинают оперировать абстрактными понятиями, аббревиатурами, математическими терминами и формулами, откуда то появляются значения все возможных параметров, что считают, получают какие то расчетные значения и свято им верят. И ни кто уже не помнит и не понимает, с чего все началось и какая практическая цель была поставлена изначально. Для «живой» и нормально работающей системы получили для контура безопасности интервал между тестами в 256 дней для обеспечения УПБ3 и авторитетно заявляют, что на 255 день система обеспечивает требуемый уровень безопасности, а на 256 день уже нет. Но у нормального инженера есть логичный вопрос: чем вчера, на 255 день после проверки, наша система безопасности отличается от системы сегодня? Ответ простой – ничем!
В инженерном расчете если вы получили у шестерни 26 зубьев, то их и должно быть 26. Нет никаких условно принятых значений, все четко и однозначно.
А в теории надежности, когда расчетные значения вероятности отказов двух компонентов отличаются в два раза, можно считать эти вероятности однозначными, так как сама методика расчета имеет бесконечную доля допущений, и различие в два раза – это не различие.
И полученное в расчетах значение средней вероятности отказа на межпроверочном интервале также нельзя воспринимать за «абсолютно точное и неоспоримое» значение.
Поэтому если у вас получился расчет PFDavg в 6 месяцев до деградации ниже целевого уровня безопасности, это не значит что на седьмой месяц после проверочного теста у вас обязательно произойдет авария или система безопасности не выполнит свою функцию. У вас просто увеличивается вероятность отказа выполнения функции, а поскольку все исходные значения приняты эмпирически, как при расчете целевого значения УПБ, так и при расчете УПБ контуров безопасности, то реальности вы ничем не рискуете. Нет необходимости бежать и что то срочно проверять или останавливать. Понятно, когда расчетный УПБ контура на порядок ниже целевого значения, то уже стоит задуматься.
Теория надежности, на которой построен весь анализ рисков, это серьезная и объемная наука, требующая определенного математического мышления и специальной подготовки. Если вы разрабатываете приборы или ПЛК для систем безопасности с большим количество элементов и планируете «честно» сертифицировать свои изделия на высокий УПБ, то без специально подготовленных специалистов вам не обойтись.
Если вы инженер АСУТП или специалист по безопасности систем управления на производстве, то вряд ли вы обладаете математическим мышлением и захотите погружаться в теорию надежности. Это не ваш профиль, да и задачи у вас несколько другие. Поэтому для «практикующих» инженеров давно уже написаны справочники и минимальный набор готовых формул для расчета необходимых на практике параметров. К сожалению, на всех курсах которые мне удалось посмотреть по приборным системам безопасности, упор всегда сделан на математическую основу теории надежности без акцента на практическое применение.
В большинстве случаев контура безопасности состоят из трех подсистем: подсистема измерений (контрольно-измерительные приборы КИП), решающая подсистема (программируемый логический контроллер, ПЛК включая модули ввода/вывода, искробезопасные барьеры, разделительные реле, блоки питания и тд, подсистема исполнительных устройств (клапаны, отключающие реле, пускатели, электроприводы, пневмоприводы и соленоиды и тд). Подсистемы включены последовательно, т.е. полная вероятность отказа контура получается суммой вероятностей отказов подсистем.
Каждая подсистема может быть построена по схеме:
1 из 1 (1оо1) – одно канальная схема;
1 из 2 (1оо2) – двухканальная схема;
1 из 3 (1оо3) – трехканальная схема;
2 из 3 (2оо3) – двухканальная схема с повышенной отказоустойчивостью;
2 из 4 (2оо4) – более сложная многоканальная схема.
Схема «2 из 2» или «3 из 3» в системах безопасности не используются.
Для многоканальных схем в аббревиатуру могут добавлять букву D (1оо2D), указывая на расширенный функционал диагностики, но принципиально это ничего не меняет.
В многоканальных схемах могут использовать однородное или неоднородное резервирование (использовать однотипные или разные элементы), практически везде приводятся формулы для однородного резервирования, для неоднородного готовых формул я не нашел.
Надо помнить, что в функциональной безопасности мы рассчитываем вероятность того, что наша система или контур безопасности не выполнит свою функцию – функцию безопасности, т.е. в нужный момент при наступлении опасного события (запросе на выполнение функции безопасности) система будет не способна выполнить эту функцию. Неспособно не только потому что она не исправна, а возможно в это время проводилось тестирование, выполнялся ремонт или техническое обслуживание или .. При желании можно придумать множество причин. Придумыванием этих причин и занимаются теоретики функциональной безопасности. Каждую такую причины превращают в слагаемое вероятности отказа на выполнение функции безопасности и формула, максимально учитывающая все причины может «вытягиваться» до бесконечности.
Для примера можно рассмотреть «полную» формулу расчета средней вероятности отказа выполнения функции безопасности PFDavg на интервале времени Ti для схемы 1оо2 с однородным резервированием:
PFDavg= 2*((1-βD)*λdd+ (1-β)*λdu)2 tCEtGE+ βD λdd MTTR + +β*λdu*(Ti/2+MRT)
где:
βD – доля отказов, обнаруживаемых диагностическими тестами, при обнаружении такого отказа система деградирует до схемы 1оо1 на время восстановления (ремонта);
β – процент отказов по общей причине, учитывает наличие причины по которой одновременно откажут 2 канала;
λd – интенсивность опасных отказов;
λdd – интенсивности опасных диагностируемых отказов;
λdu – интенсивности опасных скрытых отказов;
tCE – среднее время простоя канала, учитывает время ремонта, тестирования, диагностики одного канала, на это время система работает по схеме 1оо1, рассчитывается по формуле tCE = λdu/ λd(T1/2+MRT)+ λdd/ λd MTTR;
tGE – среднее время простоя голосующей группы, время ремонта, диагностики, тестирования, когда отключена вся голосующая группа, рассчитывается по формуле tGE = λdu/ λd(T1/3+MRT)+ λdd/ λd MTTR;
MTTR – среднее время восстановления, время необходимое на восстановление системы (канала системы), отсчитывается от момента возникновения неисправности и до устранения, включая интервалы до момента обнаружения неисправности диагностикой, времени принятия решения что делаем, времени вывода в ремонт, время непосредственно ремонта, и время включения в работу;
MRT – среднее время ремонта, время потраченное непосредственно на ремонт.
Тi – интервал времени, на котором рассчитывается PFDavg.
На самом деле это не полная формула, она не учитывает эффективность частичного теста и периодичность между полными тестами с эффективностью 99-100%.
Для схемы 2оо3 формула «полная» формула выглядит так:
PFD= 6*((1-βD)*λdd+(1-β)*λdu)2tCEtGE+ βD λdd MTTR + β λdu*(Ti/2+MRT).
Можно применять полные формулы, дающие «более точный результат», учитывающие множество факторов, с бесконечным количеством слагаемых. Но если рассчитать реальный контур безопасности по этим формулам, то станет очевидно, что большинство слагаемых вносят ничтожный вклад в результирующее значение, а с учетом «экспертно принятых» исходных данных, использовать эти слагаемые в практических расчетах не имеет никакого смысла, т.е. для практических расчетов формулы можно значительно сократить.
Формулы средней вероятности отказа функции безопасности PFDavg на интервале времени Ti для одно канальной системы, при высокой интенсивности запросов.
Минимальный вариант:
PFDavg=λdu*Ti/2 – интенсивность опасных скрытых отказов в час λdu умножаем на интервал времени между контрольными тестами в часах Ti и делим пополам, предполагается, что эффективность проверочных тестов близка к 100%.
В реальности эффективность тестов всегда ниже 100%, например, для ПЛК нет тестов способных выявить все скрытые отказы. Для многих устройств возможна проведение частичного теста, например для расходомеров можно использовать беспроливной метод проверки, для клапанов тест частичного хода (PST). Производители обычно указывают, что частичный тест выявляет 60-90% скрытых опасных отказов, т.е. эффективность тестов Et будет 60-90%. Как производитель определяет это значение часто остается загадкой, а указанное значение остается на его совести. При проведении частичного теста вероятность скрытого отказа не падает до нулевого значения, так как остается доля не выявленных отказов, и с каждым частичным тестом это остаточное значение нарастает, поэтому «зубчатый график» средней вероятности отказа PFDavg имеет «тенденцию к росту».
С учетом эффективности проверочного теста формула выглядит так:
PFDavg=Et*λdu*Ti/2+(1-Et)*λdu*SL/2
Et – эффективность проверочного теста,
SL – время в часах между полными тестами (эффективность 99-100%), или время между заменой устройства.
В примере с клапаном, возможно раз в 3 месяца не снимая клапан с трубопровода выполнять частичный тест с эффективностью 20% в течении 2 лет, но через 2 года снять клапан, установить на стенд и провести полную проверку с эффективностью 100%.
У ПЛК «честных» производителей эффективность проверочного теста составляет 95-97% и больше быть не может, всегда есть опасные скрытые отказы, которые тестами не выявляются (оно и понятно, имею аппаратно миллиард транзисторов и программно миллионы строк кода). Поэтому график PFDavg для ПЛК должен быть «возрастающей зубчатой кривой», но при расчете контуров безопасности вклад ПЛК в PFD контура минимален, а влияние эффективности теста ПЛК будет заметно на отрезке времени 50 лет и более. Но ПЛК столько не работают. Поэтому на практике эффективностью тестов для ПЛК пренебрегают и для расчета PFDavg используют минимальную формулу.
Для многоканальных схем с однородным резервирование при 100% эффективности тестов минималистские и более полные практические формулы выглядят так:
1 из 2
PFDavg=1/3(λdu*Ti)^2 – без учета отказа по общей причине
PFDavg=1/3[(1-β)*λdu*Ti]^2+1/2*(β*λdu*Ti) – с учетом отказа по общей причине
1 из 3
PFDavg=1/4(λdu*Ti)^3 – без учета отказа по общей причине
PFDavg=1/4[(1-β)*λdu*Ti]^3+1/2*(β*λdu*Ti) – с учетом отказа по общей причине
2 из 3
PFDavg=(λdu*Ti)^2 – без учета отказа по общей причине
PFDavg=[(1-β)*λdu*Ti]^3+1/2*(β*λdu*Ti) – с учетом отказа по общей причине
2 из 2 (если кому то очень надо)
PFDavg=λdu*Ti – без учета отказа по общей причине (вероятность отказа в два раза выше, чем у схемы 1из2)
PFDavg=[(1-β)*λdu*Ti]+1/2*(β*λdu*Ti) – с учетом отказа по общей причине
На практике конечно правильно использовать формулы с учетом отказов по общей причине, если у вас нет достоверного значения β-фактора, можно принять β=0,03 (3%).
И еще один принципиальный момент
Итоговая PFDavg контура является суммой PFDavg всех подсистем, составляющих этот контур. Для каждой подсистемы расчет вероятности опасного скрытого отказа выполняется отдельно, и временной интервал проведения проверочных тестов для каждой подсистемы может быть свой, например для клапана каждые 6 месяцев, а для ПЛК один раз в 24 месяца. Получается, выполнить функциональный тест с целью выявления скрытых отказов можно для каждой отдельной подсистемы и нет необходимости проверять контур в целом (как это обычно делают при проверки ПАЗ, имитируют показания датчика и смотрят как закрывается клапан). ДА, ИМЕННО ТАК. Проверка контура в целом, включая правильность подключения кабелей, задание шкал и уставок проводится с целью выявления систематических отказов, все систематические отказы должны быть выявлены и устранены до пуска объекта, для этого должны быть разработаны и строго исполнены соответствующие процедуры (чек-листы, контрольные проверки разными инженерами и тд). Вы конечно можете периодически проводить повторные проверки на наличие систематических ошибок, или проверять только элементы, в которые вносились изменения, но с точки зрения функциональной безопасности необходимости в регулярном полном тестировании все подряд контуров нет.
Например, у вас есть насос, который «останавливается ПАЗ-ом» по 10 параметрам, включая кнопки на мнемосхеме «стоп», «аварийный стоп» и физическую кнопку «стоп», подключенную в ПАЗ. Вы переводите пускатель в режим тестирования, методично имитируете пуск насоса и останов по каждому параметру с «отваливанием» пускателя. Но ведь у вас от выходного реле ПЛК до пускателя идет одна цепь, зачем ее проверять 10 раз на наличие систематических ошибок? Достаточно проверить один раз, например по кнопке «стоп» на мнемосхеме, а по остальным 9 параметрам проверять только до выходного реле ПЛК, и это будет полностью соответствовать требованиям функциональной безопасности.
Поскольку ПЛК из всех подсистем имеет минимальную вероятность скрытых отказов и вносит минимальный вес в общую PFDavg контура, логично, что проводить функциональный тест ПЛК можно один раз в три года или даже в пять лет, это никак не снизит безопасность вашей системы. Получается, после полной проверки приборной системы безопасности, вы каждый год должны снимать датчики с «поля», если для датчиков установлен межтестовый интервал 1 год, проводить функциональный тест датчикам на стенде, устанавливать датчики на место, проверять отсутствие систематических отказов (проверить шкалу, проверить правильность электрического подключения, убедиться, что датчик подключен на свой вход ПЛК, проверить подключение к процессу и т.д.), и все!! «Щелкать весь ПАЗ» каждый год нет необходимости, поскольку это никак не повышает функциональную безопасность вашей системы.
Такой подход в корне ломает парадигму многих инженеров АСУТП и их руководителей, которые каждый остановочный ремонт проводят за методичной проверкой «блокировок ПАЗ» многие часы и сутки, по сути многократно проверяя то, что и так работает.
Возвращаемся к первоначальному примеру
с насосом высокого давления, возможным обратным потоком из контура высокого давления в контур низкого давления, разрушением емкости, аварией и гибелью людей.
Повторю: в результате анализа мы определили риски. Для снижения риска п.6с у нас предусмотрены обратный клапан, дополнительный обратный клапан, предохранительный клапан на емкости, клапан минимального расхода (который можно также считать частью ПСБ), но всех этих решений не достаточно, расчетный риск все равно остается выше приемлемого и необходим контур безопасности ПСБ, способный снизить риск до приемлемого значения. Для реализации контура безопасности добавляем на технологическую схему следующие элементы:
отсечной клапан с пневмоприводом, способный быстро перекрыть поток;
расходомер, контролирующий расход потока в прямом направлении (если расход ниже определенного значения, значит надо закрывать клапан);
датчик перепада давления на линии расхода после насоса (измеряем перепад давления на сборке «регулирующий клапан - обратный клапан - отсечной клапан», при работающем насосе и прямом расходе давление до сборки выше, чем после, т.е. перепад давления будет положительным, при обратном потоке перепад давления становится отрицательным).
Приборы и клапан включаем в общий контур безопасности, контуру присваиваем позицию IS-11. Ранее по матрице рисков мы определили, что этот контур должен соответствовать уровню полноты безопасности не ниже SIL3 (или УПБ3).
Также есть дополнительное требование: межремонтный пробег установки должен быть два года, т.е. система безопасности должна обеспечивать заданный уровень полноты безопасности всех контуров с межтестовым интервалом 24 месяца.
Понятно, что контур безопасности будем строить с применением контроллера, сертифицированного на уровень не ниже SIL3, имеющего сертификат TUV, полноценное руководство по функциональной безопасности, которое содержит вероятности отказов всех типов для всего набора модулей.
Найти датчик перепада давления и расходомер, соответствующие SIL3 очень сложно, скорее всего не получится. Поэтому в контуре безопасности датчик перепада давления и расходомер включаем по схеме 1из2, т.е. регистрируем наличие обратного потока двумя методами. Для определения наличия обратного потока получаем схему с неоднородным резервированием с устойчивостью к аппаратным отказам HFT= 1, это позволяет построить контур с уровнем до SIL3 использую датчик перепада давления и расходомер с уровнем SIL2. Понятно, что необходимо провести детальный расчет с использованием вероятности отказов всех типов и доли безопасных отказов, которые указаны в руководстве по безопасности приборов.
С клапаном еще сложнее.
Простой шаровой кран использовать не получится. Температура среды высокая поэтому применить уплотнения шара из эластомерных материалов невозможно (фторопласт, коксофторопласт, твердая резина, PTFE – все это работает до 100-200 градусов). При использовании уплотнения «металл-по-металлу» или «ламинарного уплотнения» очень высокая вероятность заклинивания шара, это классический пример систематического отказа и в нашем случае не применимо.
Для сложных условий эксплуатации (высокая температура, большой перепад давления, коксующаяся среда) была разработана специальная конструкция клапана, клапан с плавающим шаром, с одной уплотняющей поверхностью, с перемещением шара (шарового сегмента) без трения в седле за счет эксцентричного расположения вала, с не выбиваемым штоком. Часто конструкцию называют Orbit по торговому названию производителя Cameron (USA). Но клапан это не только запорный орган (шар, плунжер, золотник), а еще и привод (в нашем случае пневматический) и электромагнитный соленоид (или другое управляющее устройство), значит вероятности отказов всех видов должны быть рассчитаны для всей конструкции в целом.
У нас получается классическая схема контура безопасности с тремя подсистемами: подсистема датчиков (измерительная подсистема), решающая подсистема (логическая подсистема), подсистема исполнительных устройств.
Измерительная подсистема.
Измерительная подсистема состоит из расходомера и датчика перепада давления, включенных по схеме 1оо2. Найти готовую формулу для расчета схемы с неоднородным резервированием не удалось, поэтому попробовал вывести сам, сильно сомневаюсь что получилось правильно. В этой формуле нет эффективности проверочных тестов, считаем что для датчиков каждые два года выполняем тест с эффективностью 100%.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Et(%) эффективность частичного теста |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | Задаем по документации производителя | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем по документации производителя | Задаем по документации производителя |
PDT491 | 60 | 525600 | 1,90E-06 | 9,51E-07 | 9,51E-07 | 2,85E-07 | 6,66E-07 | 65% | 100% |
FT332 | 50 | 438000 | 2,28E-06 | 1,14E-06 | 1,14E-06 | 4,57E-07 | 6,85E-07 | 70% | 100% |
Формула расчета PFDavg выглядит примерно так:
PFDavg= 2*((1-βD)*λ1dd+ (1-β)*λ1du)*((1-βD)*λ2dd+ (1-β)*λ2du)*tCE*tGE+ βD*λdd*MTTR+ +β*λdu*(T1/2+MRT)
В расчетах для схемы 1оо2 примем следующие значения параметров:
βD=1%, отказ канала по общей причине
β=3%, отказ датчиков по общей причине
tCE=1 час, среднее время простоя канала
tGE=1 час, среднее время простоя голосующей группы
MTTR=1 час, среднее время восстановления
MTR=1 час, среднее время ремонта
Ti=17520 часов, интервал между тестами 2 года
Эффективность тестов в расчете для подсистемы датчиков не учитывается, для однозначности примем SL=Ti и Et=100%.
В результате получим для подсистемы датчиков PFDavg=1,75E-04, т.е. подсистема датчиков сохраняет уровень SIL3 на интервале 2 года.
Логическая подсистема (ПЛК)
Считаем, что поставщик логической подсистемы сам выполнил все расчеты с учетом всех элементов: процессоров, модулей В/В, барьеров, блоков питания и т.д., у нас от производителя есть итоговые значения всех параметров для расчета контуров безопасности.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Et(%) эффективность частичного теста |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | Задаем по документации производителя | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем по документации производителя | Задаем по документации производителя |
контроллер ESD (2oo3) | 500 | 4380000 | 2,28E-07 | 1,14E-07 | 1,14E-07 | 1,07E-07 | 6,85E-09 | 97% | 95% |
Для расчета возьмем формулу с учетом эффективности проверочного теста.
PFDavg=Et*λdu*Ti/2+(1-Et)*λdu*SL/2
Ti=17520 часов, интервал между тестами 2 года
SL=262800 часов или 30 лет, будем считать что это полный срок службы ESD системы, по истечению которого система должна быть заменена. Эффективность тестов составляет Et=95%, тестов с эффективностью 100% для контроллера не бывает.
В результате получим для логической подсистемы PFDavg=1,02E-04, т.е. логическая подсистема сохраняет уровень SIL3 на интервале 2 года и с очень большим запасом.
Подсистема исполнительных устройств
Подсистема исполнительных устройств в нашем случае состоит из клапана с пневмоприводом и навесным оборудованием, далее по тексту всю подсистему будем называть просто «клапан». Так же считаем, что производитель или поставщик клапана предоставил все значения для всей подсистемы с учетом пневмопривода и всего навесного оборудования (что можно считать чудом), предоставил не данные из паспорта на позиционер с функцией PST-теста (теста частичного хода), а полный расчет для всей подсистемы в целом. Интересно, в РФ такие поставщики существуют? Позиционер с PST тестом имеет обратную связь от штока и видит фактическое положение клапана, видит давление воздуха в приводе, расход воздуха на привод, может рассчитывать усилие на перемещение штока, и на основании всех данных строить какую то диагностику. Позиционер с PST тестом обеспечивает наличие диагностики клапана в целом на уровне выше 90% (обычно пишут 92%, иначе на SIL3 не вытянуть). Для клапана с шаровым сегментом при выполнении PST теста выполняется частичное закрытие, поворот на 5-10%, что никак не влияет на расход через клапан, но позволяет частично убедиться в рабочем состоянии клапана. Эффективность PST теста можно принять Et=50%. Без позиционера с PST тестом пришлось бы ставить два клапана для достижения УПБ3.
Считаем, что данные для клапана предоставил производитель.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Et(%) эффективность частичного теста |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | Задаем по документации производителя | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем по документации производителя | Задаем по документации производителя |
клапан | 35 | 306600 | 3,26E-06 | 1,63E-06 | 1,63E-06 | 1,37E-06 | 2,61E-07 | 92% | 50% |
Для расчета возьмем формулу с учетом эффективности проверочного теста.
PFDavg=Et*λdu*Ti/2+(1-Et)*λdu*SL/2
Предположим, что PST тест с эффективностью 50% выполняется каждые 6 месяцев (Ti=4380 часов), и каждые 2 года проводится тест клапана с полным закрытием с эффективностью 100% (SL=17520 часов).
В результате получим для клапана PFDavg=1,43E-03, т.е. на интервале 2 года уровень SIL3 не обеспечивается, даже с PST тестом каждые 6 месяцев.
Соответственно и для контура в целом PFDavg на интервале 2 года SIL3 обеспечиваться не будет.
Можно попробовать уменьшить интервал между PST тестом, например до 3 месяцев и пересчитать PFDavg.
Получается чуть лучше, но все равно уровень SIL3 для клапана на интервале 2 года не обеспечивается, соответственно не обеспечивается и для контура в целом.
Поскольку клапан вносит наибольший вклад в PFDavg контура, улучшать параметры подсистемы датчиков или логической подсистемы смысла не имеет, это ничего принципиально не изменит.
Бездарные проектировщики просто нарисуют второй клапан последовательно с этим, для проектировщика это просто «бабочка на линии». Подготовленные проектировщики должны понимать, что второй клапан это не только дорогое удовольствие, но и дополнительное оборудование, которое надо обслуживать, и дополнительные фланцы на линии высокого давления, в общем второй клапан не самое правильное решение.
В нашем случае проектировщик (лицензиар базового проекта) принял решение выполнить байпас клапана с установкой двойной отключающей арматуры (линия на схеме с двумя зелеными бабочками) и прописал в руководстве по безопасности установки процедуру периодического полного функционального теста клапана, который необходимо проводить раз в 12 месяцев. Можно проводить и чаще, но процедура сама по себе не очень безопасная, поэтому реже нельзя, а чаще не надо. И если быть честным, эффективность теста с полным закрытием без проверки герметичности будет не 100%, а примерно 95%, но в целом это ничего не меняет. Клапан надо проверять с полным закрытием 1 раз в год.
Теперь получается, PST тест с эффективностью 50% выполняется каждые 3 месяцев (Ti=2190 часов), и каждый год проводится тест клапана с полным закрытием с эффективностью 100% (SL=8760 часов).
В результате получим для клапана PFDavg=7,14E-04, т.е. на интервале 2 года при полном тесте каждые 12 месяцев с PST тестом каждые 3 месяца уровень SIL3 обеспечивается.
Теперь можно сложить PFDavg всех подсистем и посмотреть на PFDavg контура в целом.
компонент | MTBF(лет) | MTBF(час) | λ(час)=1/MTBF | λs(час) | λd(час) | λdd(час) | λdu(час) | SFF(%) | Et(%) эффективность частичного теста | SL (часов) периодичность между тестами 99-100% | Ti(час) | PFDavg=λdu*Ti/2 | доля в PFDavg контура |
| Задаем по документации производителя | MTBF(год)*8760 | λ(час)= 1/MTBF(час) | Задаем по документации производителя | λd=λ-λs | λdd=λ*(SFF-λs/λ) | λdu=λd-λdd | Задаем по документации производителя | Задаем по документации производителя | Задаем по документации производителя | интервал между проверками | PFDavg=λdu*Ti/2 | % |
PDT491 | 60 | 525600 | 1,90E-06 | 9,51E-07 | 9,51E-07 | 2,85E-07 | 6,66E-07 | 65% | 100% | 17520 | 17520 | 5,83E-03 |
|
FT332 | 50 | 438000 | 2,28E-06 | 1,14E-06 | 1,14E-06 | 4,57E-07 | 6,85E-07 | 70% | 100% | 17520 | 17520 | 6,00E-03 |
|
PT+FT(1oo2) |
|
|
|
|
|
| 2,00E-08 |
|
|
| 17520 | 1,75E-04 | 17,7% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
контроллер ESD (2oo3) | 500 | 4380000 | 2,28E-07 | 1,14E-07 | 1,14E-07 | 1,07E-07 | 6,85E-09 | 97% | 95% | 262800 | 17520 | 1,02E-04 | 10,3% |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
клапан | 35 | 306600 | 3,26E-06 | 1,63E-06 | 1,63E-06 | 1,37E-06 | 2,61E-07 | 92% | 50% | 8760 | 2190 | 7,14E-04 | 72,1% |
для контура | 15 | 130283 | 7,68E-06 | 3,84E-06 | 3,84E-06 | 2,22E-06 | 1,64E-06 |
|
|
|
| 9,91E-04 |
|
На графике наглядно видно, что целевой уровень SIL3 контура безопасности обеспечивается на интервале в 2 года и далее при условии выполнения функциональных тестов для всех подсистем с установленной периодичностью.
Получается, недостаточно просто поставить контроллер с сертификатом на УПБ3 и навесить на клапан позиционер с функцией PST теста тоже с сертификатом на УПБ3. Наличие устройств с сертификатами на любой УПБ еще не гарантирует вам необходимый УПБ контура. Необходимо рассчитать УПБ контура на заданном межтестовом интервале, а для этого нужны значения ключевых параметров из руководства по функциональной безопасности устройств. И не факт, что имея все устройства с сертификатом УПБ3 у вас получиться обеспечить контуру УПБ3 без дополнительных технических решений (резервирование датчиков, байпас клапана, снижение межтестового интервала).
И после того как вы рассчитали, спроектировали и реализовали контур безопасности с УПБ3, вы должны свято следовать руководству по безопасности вашей приборной системы и выполнять все регламентные процедуры и функциональные тесты с установленной периодичностью, иначе никакого УПБ у вас не будет (а кто из инженеров эксплуатации читал или хотя бы видел руководство по безопасности для технологического объекта? И это не документ АСУ-шников, это должна быть часть технологического регламента!)
На этом можно и остановиться, иначе эта статья не закончится никогда (получится еще один МЭК на 1500 страниц).
Надеюсь стало хоть немного понятно, что такое функциональная безопасность, для чего нужна оценка риска, откуда и зачем берется целевой уровень полноты безопасности и как он обеспечивается приборной системой.