Приборная или инструментальная система безопасности
Для снижения риска технологического процесса или технического устройства (защиты человека от гибели или травмирования), всегда задействованы несколько различных «слоев безопасности»: методы, мероприятия, технические решения, подходы направленные на обеспечение безопасности.
Можно выделить следующие слои безопасности:
- совершенствование технологического процесса с целью исключения опасных факторов – уменьшить давление в системе, снизить объем опасных веществ, изменить технологическую схему, уменьшить количество оборудования…;
- ОСУП (организация системы управления процессом) – контроль состояния оборудования, контроль за технологическим процессом, уменьшить количество персонала в потенциально опасной зоне, построить эффективную систему обучения и инструктажей …;
- система сигнализации о приближении к опасным границам и квалификация операторов – наладить полноценную систему сигнализации, выделить сигнализации приоритета 1, которые требуют незамедлительных действий от операторов, постоянно и квалифицированно вести анализ срабатывания сигнализации, максимально исключить ложные срабатывания, наладить систему постоянных тренингов для поддержания необходимой квалификации операторов (в правильно построенной системе, сигнализации уровня 1 срабатывают крайне редко при реальной угрозе аварии, количество параметров для крупного объекта не превышает 10-50, каждое ложное срабатывание детально исследуется, программа подготовки и квалификация операторов должны обеспечивать корректные действия персонала при срабатывании сигнализации). В правильно построенной системе, сигнализации должны быть разделены на аварийные и информационные, с разной схемой визуализации и разными журналами, но на практике все сигнализации собирают в один перечень, называют «Перечень сигнализаций и ПАЗ», и в системе управления нет разницы между сигнализацией о перегреве реактора и сигнализацией о низкой температуре теплофикационной воды в операторной. В результате в общий журнал сигнализаций каждый день пишется по 1000 записей, 999 из которых не имеют какого-то смысла.
- приборная или инструментальная система безопасности (это будем разбирать позже);
- средства сброса, механические предохранительные устройства – пред клапана, легко-сбрасываемые панели и тд;
- физическая защита персонала – размещение операторов во взрывоустойчивых зданиях, обеспечение спец одеждой с защитными свойствами, обеспечение средствами индивидуальной защиты;
- организационные меры для снижения последствий аварии – планы эвакуации персонала и ликвидации аварий.
Если процесс потенциально опасен, и нет возможности изменить технологию, придумать дополнительные организационные и технические мероприятия, чтобы снизить риск до приемлемых значений (снизить температуру и давление процесса, изменить компоновки установки, сократить период времени между контрольными проверками оборудования, повысить квалификацию операторов до ГЕНИЙ, убрать весь персонал из опасной зоны во взрывоустойчивую операторную, исключить обходы и осмотры оборудования и территории установки, уменьшить количество полевых операторов, применить герметичные насосы, установить дополнительные сборки предохранительных клапанов и увеличить пропускную способность факельной системы и т.д.), если все принятые мероприятия не позволяют снизить расчетный риск до приемлемого значения, значит надо придумать еще какой-нибудь слой защиты. В качестве такого дополнительного слоя защиты как правило реализуют приборную систему безопасности ПСБ (она же инструментальная система безопасности, это варианты перевода с зарубежных источников).
ПСБ – это комплекс технических решений на базе средств автоматизации и управления технологическим процессом. Поскольку стандарты безопасности технологических процессов и технических устройств относятся не только к взрыво-пожароопасным производствам, а охватывают любые сферы вплоть до утюгов и кондиционеров, то ПСБ это не обязательно зарубежная ESD (система аварийного отключения/останова) или российская ПАЗ (противоаварийная автоматическая защита). ПСБ – это любая система с применением измерительных приборов и средств автоматизации, снижающая риск аварии (травмирования или гибели).
Понятно, что ESD однозначно относится к приборным системам безопасности, но в определенных случаях и контура регулирования РСУ (DCS) рассматриваются как часть ПСБ. Так же к ПСБ могут относить и систему сигнализаций с выделением приоритетов.
В рассмотренном в предыдущей части примере, поддержание минимального расхода через насос – это контур регулирования РСУ, но этот контур не только обеспечивает стабильную работу насоса, но и снижает вероятность обратного перетока давления из-за отказа насоса, соответственно может быть отнесен к ПСБ. К ПСБ относят и регулятор температуры в утюге, и ABS на автомобиле, и систему предупреждения об опасном сближении самолетов и т.д.
На этапе HAZOP мы выявили все риски, определили вероятность наступления опасного события, оценили значение для каждого риска, проверили достаточность принятых технологический и организационных решений для снижения риска до приемлемого. В результате выявили, что для ряда рисков принятых мер недостаточно, и необходимо построить Приборную систему безопасности с выделением контуров безопасности. Для каждого риска строится свой контур безопасности.
В нашем примере на HAZOP были определены следующие риски:
3. Повышение уровня жидкости в емкости выше допустимого;
6а. Повышение давления в емкости выше расчетного - повышение давления выше по технологической схеме;
6с. Повышение давления в емкости выше расчетного - поступление продукта и газа из блока высокого давления, обратный поток через насос высокого давления.
Для риска п.3 у нас уже предусмотрен регулятор уровня (регулятор соответственно можно рассматривать как часть ПСБ), дополнительно можно предусмотреть в ПСБ предупредительную сигнализацию среднего приоритета. Это можно считать контуром безопасности, но как определили ранее по матрице рисков, никаких требований по УПБ к этому контуру не будет.
Для риска п.6а у нас предусмотрены механические предохранительные клапаны, которые защищают емкость от превышения давления выше расчетного. Дополнительно можно предусмотреть в ПСБ предупредительную сигнализацию среднего приоритета и как определили ранее по матрице рисков, никаких требований по УПБ к этому контуру тоже не будет.
Для риска п.6с у нас предусмотрены обратный клапан, дополнительный обратный клапан, предохранительный клапан на емкости, клапан минимального расхода (который можно также считать частью ПСБ), но всех этих решений не достаточно, расчетный риск все равно остается выше приемлемого и необходим еще один контур безопасности ПСБ, способный снизить риск до приемлемого. Для реализации дополнительного контура безопасности добавляем на технологическую схему следующие элементы:
отсечной клапан с пневмоприводом, способный быстро перекрыть поток;
расходомер, контролирующий расход потока в прямом направлении (если расход ниже определенного значения, значит надо закрывать клапан);
датчик перепада давления на линии расхода после насоса (измеряем перепад давления на сборке «регулирующий клапан - обратный клапан - отсечной клапан», при работающем насосе и прямом расходе давление до сборки выше, чем после, т.е. перепад давления будет положительным, при обратном потоке перепад давления становится отрицательным).
Приборы и клапан включаем в общий контур безопасности, контуру присваиваем позицию IS-11. Ранее по матрице рисков мы определили, что этот контур должен соответствовать уровню полноты безопасности не ниже SIL3 (или УПБ3)
Принципиальный момент: уровень полноты безопасности определяется не для ПСБ в целом, а для каждого отдельного контура безопасности. На данном этапе мы только определяем требуемый (целевой) УПБ для каждого контура, и при проектировании ПСБ необходимо будет подбирать приборы, оборудование и технические решения таким образом, чтобы обеспечить УПБ контура не ниже требуемого.
При построении технологического процесса мы уже приняли ряд мер, направленных на снижение риска до приемлемого значения (предотвращению катастрофы, разрушения и гибели людей). В частности, для снижения риска разрушения емкости в следствии обратного потока среды из блока высокого давления в блок низкого давления мы установили обратные и предохранительные клапаны. Но мы провели анализ рисков и понимаем, что вероятность отказа наших предохранительных устройств не обеспечивает приемлемый уровень риска, вероятность гибели людей из-за фактора «обратный поток из блока высокого давления» остается выше допустимого значения. Поэтому мы решили оборудовать наш объект приборной системой безопасности. Но ПСБ должна быть такой (контур безопасности ПСБ), чтобы риск аварии был снижен до приемлемого значения. Контур ПСБ должен выполнить свою функцию (функцию безопасности при запросе) с высокой долей вероятности. Проще говоря, мы должны быть уверены, что при каждом останове насоса и возникновении обратного потока, клапан гарантировано закроется и перекроет обратный поток. Но мы же инженеры и понимаем, что любое техническое устройство может отказать, соответственно слово «гарантировано» это вероятность, что клапан закроется, и соответственно «отказ» функции безопасности – это тоже вероятность того, что клапан не закроется.
Останов насоса в нашем примере – это запрос на выполнение функции безопасности, а незакрытый при этом клапан – это отказ выполнения функции безопасности при запросе. Чтобы в ПСБ был какой то реальный смысл, вероятность отказа выполнения функции безопасности должна быть такой, чтобы снизить риск аварии по соответствующему фактору риска до приемлемого значения. Вероятность отказа на запрос выполнения функции безопасности должна быть меньше, чем вероятность самого запроса на выполнение этой функции в течении всего жизненного цикла объекта. Например, вероятность запроса на выполнение функции безопасности 10 раз в год, контур безопасности должен гарантированно сработать 10 раз в год, т.е. вероятность отказа выполнения функции безопасности должна быть 0,1 раза в год, или 1 раз в 10 лет, т.е. вероятность отказа выполнения функции безопасности в 10 раз ниже, чем вероятность запроса на выполнение. При таком подходе получается, что за 10 лет может произойти 1 отказ, один раз ПСБ не выполнит функцию безопасности. Если последствия такого отказа действительно катастрофичные, то вероятность отказа выполнения функции безопасности при запросе должна быть еще ниже: 0,01 или 0,001 случая в год (1 отказ в 100 или 1000 лет).
Получается, то, что мы поставили измерительные приборы, клапан, контроллер, написали какую-то логическую программу – это еще не значит, что мы снизили уровень риска нашего технологического объекта до приемлемого значения. Мы должны обеспечить выполнения функции безопасности контуром нашей ПСБ при запросе с такой степенью вероятностью, чтобы риск аварии и гибели персонала был в итоге снижен до приемлемого значения.
Если излагать выше сказанное в терминологии МЭК, будет выглядеть так: после применения «основных» мер защиты остается риск аварии выше приемлемого, этот риск называют остаточным. Для снижения остаточного риска до приемлемого значения необходимо применение ПСБ. ПСБ должна быть построена с такой надежностью выполнения функции безопасности, чтобы была способной снизить остаточный риск до приемлемого значения.
Соответственно теперь мы плавно переходим от постановки задачи – создать приборную систему безопасности для снижения вероятности риска аварии и гибели до приемлемого уровня, к необходимости реализации этой ПСБ. И для этого нам надо формализовать абстрактные рассуждения в какие то числовые значения и конкретные требования.
До определенного момента контура безопасности строились на простых устройствах: термопары, реле давления, реле расхода, логические схемы на электромеханических реле, исполнительные механизмы с пружинным, пневматическим или электрическим приводом. Вероятности отказа таких устройств давно были установлены опытным путем, надежность контуров была не очень высокая, поэтому требовались постоянные проверки. В целом поведение контуров безопасности было интуитивно предсказуемо и многие отказы выявлялись простым визуальным осмотром. Но и технологические процессы были более простые и несли меньше риска.
С появлением логических электронных схем и микропроцессорных устройств все стало сложнее, состояние этих устройств нельзя было определить «на глаз», поведение их было непредсказуемо. К аппаратным ошибкам добавились программные ошибки (особенно при посредственных программистах). Широкое применение микропроцессорных устройств позволяло строить более сложные системы безопасности, но эффект от них был противоположный – риск серьезных аварий из-за отказа в непредсказуемый момент был гораздо выше, чем у «проверенных временем» релейных схем. С появлением «умных» измерительных приборов и исполнительных механизмов все стало еще сложнее.
Вот тогда и были разработаны стандарты МЭК61508 и МЭК61511, которые дали необходимую теоретическую базу для разработки и применения устройств и систем, направленных на обеспечение безопасности технических объектов и технологических процессов. Надо понимать, что эти стандарты не несут каких то конкретных требований к конкретному оборудованию, это теоретическая база, общие требования, описание методов и методик на основе которых должны быть разработаны конкретные требования к реальной ПСБ (это черным по белому прописано в тексте стандарта). МЭК61508 содержит 7 частей, МЭК61511 3 части, в общей сложности 1500 страниц текста, написан он очень тяжело, его прочитать то не каждый в силах, тем более понять и «свято соблюдать» каждую букву стандарта. Не надо путать стандарты типа ГОСТ Р с нашими ФНИП (федеральные нормы и правила). ФНИП обязательны для исполнения и надзорные органы «следят» за соблюдением ФНИП. ГОСТ Р носит рекомендательный характер, а в данном случае это исходный базовый теоретический материал, учебник для написания учебников для разработчиков и эксплуатирующего персонала.
Еще раз повторю подход к построению приборной системы безопасности:
Есть принятое для производства или территории приемлемое значение риска (риска аварии с травмированием гибелью людей);
Есть потенциально опасный технологический процесс, который без мер защиты несет потенциальный риск выше приемлемого (вероятность аварии с гибелью людей гораздо выше, чем принятое приемлемое значение);
Есть технические и организационные мероприятия, которые снижают риск, но остаточный риск все равно выше приемлемого, т.е. этих мероприятий недостаточно;
Нужно построить на объекте приборную систему безопасности которая в нужный момент переведет процесс в безопасное состояние. И эта ПСБ должна быть настолько надежна (вероятность отказа выполнения функции безопасности при запросе должна быть такой), что с учетом применения нашей ПСБ остаточный риск снизится и будет ниже приемлемого значения.
Для возможности формализации ПСБ ввели термин RRF (Risk Reduction Factor) фактор снижения риска, он показывает, во сколько раз снизился риск в результате применения ПСБ (отношение значения риска без ПСБ, к значению риска с применением ПСБ).
Если мы хотим снизить риск в 10 раз, фактор риска будет 10, а вероятность отказа функции безопасности в 10 раз меньше вероятности запроса на выполнение функции безопасности.
Фактор риска поделили на диапазоны с кратностью в 10 и .. получили начальную табличку SIL.
SIL |
RRF |
SIL 1 |
10-100 |
SIL 2 |
100-1000 |
SIL 3 |
1000-10000 |
SIL 4 |
10000-100000 |
Вот когда на анализе рисков мы получили целевое значение уровня полноты безопасности для контура SIL3, это означает, что контур безопасности ПСБ должен быть выполнен с фактором снижения риска 1000-10000, т.е. надежность выполнения функции безопасности контура должна быть такой, чтобы снизить риск аварии как минимум в тысячу раз.
Если на анализе рисков вы определили, что ваш контур безопасности должен снизить остаточный риск в 10-20 раз (что соответствует SIL1), то нет смысла в скрупулезном подборе оборудования и в каких то расчетах. Такое снижение риска обеспечивается просто наличием ПСБ.
Есть существенная техническая разница в реализации контуров с низким УПБ (нет требований по УПБ, УПБ0 или УПБ1) и контуров с высоким УПБ, поэтому контуры для которых требуется УПБ уровня 2 и выше выделяются в отдельную подсистему. В большинстве случаев это будет подсистема аварийного останова (ESD), которая должна что то отключить или закрыть для перевода процесса в безопасное состояние.
Теперь пора разобраться с критериям и терминами построения ПСБ
Временно трансформируемся из инженера в менеджера рисков и начнем сыпать непонятными терминами.
Для начала необходимо определиться с классификацией отказов системы безопасности инженерным языком.
Отказы по своей природе делятся на две категории:
random hardware failure (случайный отказ аппаратных средств) - отказ, возникающий в случайный момент времени, который является результатом одного или нескольких возможных механизмов ухудшения характеристик в аппаратных средствах. Это когда отказы происходят с предсказуемой частотой, но в непредсказуемые (т. е. случайные) моменты времени. Чтобы определить эту предсказуемую частоту, можно например взять 1000 приборов, установить их на экспериментальной установке, 5 лет набирать статистику. В первый год у вас отказывают 3 прибора, на второй год еще 5 приборов и т.д., т.е у нас набирается частота отказов, 3-5 приборов на 1000 в год. Мы не знаем, какой из 1000 приборов откажет в следующем году, но мы понимаем, что 3-5 приборов в год могут отказать. Появляется значение вероятность отказов, на основании которой можно рассчитывать надежность или безопасность системы. Избежать таких отказов невозможно (абсолютно надежного оборудования не бывает). И надо уложить в голове, что в бытовом определении случайность – это что то непредсказуемое, а в статистике случайность – это то, что имеет определенную вероятность и предсказуемость.
systematic failure (систематический отказ, может перевод некорректный, правильно наверно «системный» - отказ из-за неправильных технических или организационных решений, потому что в нормальном русском языке «систематически» - это то, что происходит с определенной повторяемостью, а в этом определении все наоборот) - отказ, связанный детерминированным образом с какой-либо причиной, которая может быть исключена только путем модификации проекта либо производственного процесса, операций, документации, либо других факторов.
Попробуйте перечитать это определение несколько раз, может станет более понятно!
Принципиальный момент – систематические отказы не поддаются статистике, их невозможно предсказать, потому что они возникают по непонятным и непредсказуемым причинам. Классический пример систематического отказа – неправильные действия персонала, например, инженер АСУТП при наладке системы поставил на аналоговый вход шунтирующий резистор, а потом забыл его убрать. Или на линию питания приборов 24DC по ошибке подали высокое напряжение 240AC. Неправильно настроили шкалу в датчике, например в датчике 20мА соответствует 1МПа, а в контроллере 1,6МПа. Для таких ошибок нет статистики.
Установили рефлексрадарный уровнемер на пенящуюся среду, поставили под датчик давления старую прокладку и получили пропуск, плохо обогрели импульсную линию, плохо закрутили клемму, на коррозионной среде применяют датчик с разделительной мембранной из простой нержавейки и она постоянно корродирует, применяют аналоговые модули без гальванической развязки да еще и с входами по напряжению и собирают все возможные наводки и помехи – это все систематические отказы, которые обусловлены низкой квалификацией персонала, плохой организацией технического обслуживания или какими то другими организационно человеческими причинами. Таких отказов можно избежать, если качественно организовать обучение, подготовку персонала, контроль за выполнением работ, добиться честного выполнение регламентов, опробования и испытания оборудования. При правильной организации технического обслуживания, именно для исключения систематических отказов должны проводиться расследования, выявление реальных технических причин отказов и формироваться компенсирующие мероприятия.
Избежать случайных отказов или придумать для них компенсирующие мероприятия невозможно по определению.
Дальше абзац из МЭКа:
основное различие между случайными отказами аппаратных средств и систематическими отказами состоит в том, что интенсивность отказов системы (или другие подобные характеристики таких отказов), связанная со случайными отказами аппаратных средств, может прогнозироваться с достаточной степенью точности, но систематические отказы по своей природе не могут быть предсказаны точно. Поэтому интенсивность отказов системы, связанных со случайными отказами аппаратных средств, может быть охарактеризована количественно с достаточной степенью точности, тогда как отказы системы, связанные с систематическими отказами, не могут быть статистически охарактеризованы с достаточной точностью, поскольку события, приводящие к таким отказам, не могут быть предсказаны. (Примерами причин систематических отказов являются ошибки человека).
Систематические отказы можно выявить, обнаружить и предупредить. В случае с бестолковым инженером АСУТП, нужно просто запретить установку шунтов (резисторов), а при наладке использовать программные форсировки входных сигналов в контроллере, и по окончанию наладки убрать все форсировки. В контроллере есть специальный флажок, указывающий на наличие активных форсировок, если у вас конечно нормальный контроллер, а ваш регламент должен запрещать работу установок с активными форсировками. Можно посмеяться и сказать, что мы далеко не всегда соблюдаем регламенты и процедуры – но именно нарушение процедур и приводит к систематическим отказам. Вся система управления безопасностью, все регламенты и процедуры должны быть составлены так, чтобы не было возможности и «производственной необходимости» в нарушениях этих регламентов. Если регламенты и процедуры написаны бестолково и формально, и вы вынуждены «отступать и нарушать», у вас неизбежно будут систематические отказы, и вся ваша система управления безопасности, все SIL, УПБ, HAZOP, ПСБ, ESD, ПАЗ – все это становится бессмысленным.
Одно из основных требований МЭК: порядок создания, ввода в эксплуатацию, проверки и испытаний, эксплуатации в течении жизненного цикла должен быть четко описан, регламентирован и неукоснительно соблюдаться, все регламенты и действия должны полностью исключать систематические отказы. ПСБ должна быть полностью свободна от систематических отказов.
Также отказы делятся по видам:
безопасный отказ – отказ, при котором система безопасности переводит объект в безопасное состояние. Например, измерительный прибор сгорел, показания прибора «упали в 0» и ... система безопасности остановила установку. Шум, крик, гам, ругань, расследование, наказание невиновных, в общем много неприятностей, но установка была ведь переведена в безопасное состояние, риска взрыва, пожара, гибели людей нет, поэтому такой отказ будет безопасным.
опасный отказ – это отказ, при котором функция безопасности не выполняется, который не приводит к переводу установки в безопасное состояние в нужный момент. Например, когда измерительный прибор вышел из строя, но показания застыли на последнем измеренном значении. О том, что прибор неисправен, вы сможете узнать либо при проведении проверочного теста, либо после того, как на установке произойдет авария и система безопасности не выполнить свою функцию.
Соответственно опасные отказы делят на детектируемые и недетектируемый. Поскольку термины переведены с английского Detected и Undetected в голове появляется путаница. Предлагаю принять более удобную терминологию.
Detected будем называть «Диагностируемые» – это которые можно выявить диагностическим средствами системы при работающей ПСБ. Наиболее развитые средства диагностики у микропроцессорных устройств: контроллеры, модули ввода/вывода, позиционеры, «умные» датчики и т.д. Например, датчик давления подключен на входной аналоговый модуль 4-20мА, вроде все нормально, показания с датчика приходят, контроллер чего то читает и обрабатывает, но внутренняя диагностика модуля показывает неисправность канала. Что теперь с этим делать решать вам. В резервированной системе можно заменить модуль на исправный, в нерезервированной либо провести проверочный тест канала, если возможно отключить защиты и заменить модуль, или проигнорировать ошибку и дождаться возможности отключить контроллер. В зависимости от сложности и опасности вашего объекта решения могут быть разные, отсюда выходит еще один термин: MTTR - ожидаемое время восстановления. Если вам надо просто переставить модуль без отключения чего либо, это будет 4-8 часов, а если необходимо остановить ваш сложный технологический объект время может достигать 50-100 часов.
Undetected будем называть «Скрытые» – которые никак себя не проявляют и внутренней диагностикой не обнаруживаются, но при наступлении критического момента система безопасности свои функции не выполняет. Выявить такие отказы можно только при проведении тестов, испытаний, опробования и т.д. Типичный пример – датчик, зависший с замороженным выходом, т.е. датчик неисправен, но выходной сигнал соответствует последнему измеренному значению. Понятно, что при проверке вы легко выявите неисправность. Или еще пример, закоксованная или забитая импульсная линия датчика давления, в технологическом процессе давление меняется, а показания датчика остаются неизменными. Или еще пример, закушенный шар у приводного шарового клапана, вы поймете что клапан неисправен, только когда попробуете его закрыть.
Не все скрытые отказы можно выявить в ходе тестов. Например – ошибка в программе контроллера, которая проявляется в определенных условиях. При проведении проверок и тестов такие условия не формируются, а возможны только при эксплуатации. Как вариант, какой то регистр накапливает значение со временем и при длительной работе контроллера из-за переполнения регистра какая то функция при определенных значениях входных параметров выполняется некорректно. Создать такие условия при проверочных тестах практически невозможно. А поскольку сейчас программируемые микроконтроллеры есть в каждом приборе и исполнительном механизме, такой отказ возможен в любом устройстве. Отсюда вытекает еще один термин – диагностическое покрытие, указывается в процентах. В «настоящем» руководстве по безопасности должен быть прописан порядок проведения диагностических тестов и диагностическое покрытие для каждого теста, т.е. какой процент скрытых отказов выявляется этим тестом.
Традиционно инженеры в эксплуатации путают понятия «надежность» и «безопасность», а это понятия абсолютно разные. Надежность (безотказность) это способность оборудования работать долгое время и не доставлять проблем. Безопасность – это способность системы при запросе выполнить функцию безопасности, а при отказе (неисправности) перевести процесс в безопасное состояние, т.е. ваша система безопасности может отказывать хоть 100 раз за день, но если при этом ваш объект каждый раз останавливается, значит система обеспечивает высокую безопасность (но вряд ли это спасет вас от увольнения).
С точки зрения безопасности наиболее опасным будет опасный скрытый отказ. Чем ниже вероятность такого отказа, тем выше уровень безопасности, который обеспечивает ваша система.
Опасные отказы, в результате которых контур ПСБ перестает выполнять функцию безопасности, это понятно сумма опасных диагностируемых и опасных скрытых отказов. Со скрытыми отказами можно бороться проводя контрольные проверки и испытания, соответственно чем чаще проводим проверки, тем меньше вероятность опасного отказа.
При построении приборной системы безопасности грамотные проектировщики должны максимально перевести опасные отказы в безопасные, для этого есть нехитрые типовые решения:
Все реле выполняются в нормальном состоянии «с катушкой под напряжением» и с замкнутыми контактами, для перевода процесса в безопасное состояние с катушки реле снимается напряжение контакты размыкаются. Соответственно, если катушка реле выходит из строя, «отваливается» контакт или провод, или напряжение «пропадает» по любой другой причине, реле переводит процесс в безопасное состояние. Да, это ложное срабатывание функции безопасности, но отказ будет безопасным.
Все сигнализаторы (реле давления, реле температуры, реле расхода, сигнализаторы уровня, сигнализаторы довзрывных концентраций) выполняются также с активным выходом в нормальном состоянии (замкнутый сигнал релейного выхода, катушка реле под напряжением или дискретный выход NAMUR 2-5мА), отказ сигнализатора, обрыв провода, и многие другие неисправности приводят к ложному срабатыванию функции безопасности, безопасному отказу.
Для аналоговых сигналов в контроллере устанавливается порог контроля исправности, например ниже 2,5мА и выше 21,5мА контроллер считает датчик неисправным и может перевести процесс в безопасное состояние (контроль обрыва, короткого замыкания, неисправности датчика).
Пневмоприводы клапанов выбираются одностороннего действия с пружинным возвратом с положением безопасности «нормально открытый» или «нормально закрытый», отказ клапана, позиционера, соленоида, кабельной линии, отсутствие воздуха КИП, при любом из этих отказов пружины переведут клапан в «безопасное состояние», что переведет процесс в безопасное состояние (например, закроется подача топливного газа на горелки печи).
Электроприводы также бывают с положением безопасности, с пружинным возвратом, с встроенной батареей, с конденсатором большой емкости на одно срабатывание, с дополнительной линией питания и т.д.
Есть менее очевидные решения. Например, датчик давления установлен на газовой линии, защита выполняется от превышения давления, но.. , в системе безопасности установлены уставки как по верхнему значению давления, так и по нижнему, а на импульсной линии датчика есть тройник с подключением к атмосфере (или специальной сбросной линии) через дроссель. В нормальном состоянии, когда в линии рабочее давление и импульсная линия к датчику чистая с полностью открытым отборным вентилем, очень незначительное количество газа стравливается через дроссель, но расход этот незначительный и никак не отражается на показаниях датчика или технологическом процесс. Если кто то по глупости закроет вентиль или импульсная линия загрязниться, датчик фактически окажется отключенным от газовой линии, давление через дроссель постепенно стравится и сработает защита «по низкому давлению». Без дросселя отключение импульсной линии будет опасным отказом, так как при повышении давления датчик просто не отреагирует, установкой дросселя и уставкой по минимальному давлению мы переводим этот отказ в разряд безопасных.
Аналогичный подход и при разработке электронных компонентов, в идеале отказ любого элемента электронной схемы участвующего в контуре безопасности, от процессора до транзистора и резистора, должен быть безопасным отказом или опасным диагностируемым (выявляться внутренней диагностикой).
В качестве одного из способов перевода опасных скрытых отказов в безопасные часто используют средства дополнительного контроля, например сторожевые таймеры для контроллеров (Watchdog Timer). Чем больше средств диагностики в контуре безопасности, тем меньше вероятность опасных скрытых отказов.
Общий подход для максимального перевода опасных отказов в безопасные, следующий: если из-за отказа любого элемента контура безопасности вы не можете контролировать состояние технологического процесса, вы должны перевести процесс в безопасное состояние.
Еще несколько терминов из МЭК для общего понимания:
common cause failure (отказ по общей причине) - отказ, являющийся результатом одного или нескольких событий, вызвавших одновременные отказы двух и более отдельных каналов в многоканальной системе, приводящих к отказу системы. Классический пример, когда вы используете «для повышения надежности» два прибора, подключенных по схеме 2из2. Приборы понятно умные, с процессором и ПО. Приборы одинаковые, из одной партии, с близкими серийными номерами и одной версии ПО, если в ПО была ошибка, она есть у обоих приборов – соответственно, есть вероятность одновременного отказа двух приборов, отказа по общей причине.
К отказам по общей причине можно отнести потерю электро- или пневмо- питания, нарушение сети обмена данными между процессором и модулями в/в и т.д., но при правильно спроектированной системе безопасности такие отказы должны быть безопасными, т.е. при отказе объект должен самостоятельно переходить в безопасное состояние.
Из понятия «отказа по общей причине» вытекает еще один термин - однородное и не однородное резервирование. Однородное – это когда в качестве основного и резервного канала вы используете одинаковое оборудование. Не однородное – это когда используется разное оборудование, например два датчика контроля давления разных производителей, или два уровнемера, один буйковый другой рефлексрадарный. При разнородном резервировании вероятность опасного отказа по общей причине кратно уменьшается.
опасный отказ (dangerous failure) - отказ элемента и/или подсистемы, и/или системы, влияющий на выполнение функции безопасности: препятствует выполнению функции безопасности, если необходимо ее выполнение (в режиме запроса), или вызывает прекращение выполнения функции безопасности (в непрерывном режиме), переводя УО в опасное или потенциально опасное состояние;
обнаруживаемый отказ (detected failure) – прекращение способности функционального блока выполнить требуемую функцию, которое может быть обнаружено диагностическими проверками, контрольными испытаниями, вмешательством оператора или в процессе нормального функционирования.
режим работы с низкой частотой запросов (Low demand mode, LDM) – запрос на выполнение функции безопасности не выше 1 раза в год, или когда проверочные тесты проводятся в два раза чаще, чем вероятен запрос на выполнение функции безопасности (классический пример – лабораторная печь, которую выключают каждый день, и каждый день перед включением проводят проверочный тест).
режим работы с высокой частотой запросов (High demand mode, HDM) – запрос на выполнение функции безопасности чаще одного раза в год, и запрос на выполнение функции безопасности будет между двумя проверочными тестами (все непрерывные технологические процессы, с остановом раз в пол года и реже)
непрерывный режим работы (continuous mode) – классический пример – смешение в реакторе компонентов, которые при нарушении пропорции образуют взрывоопасную смесь.
В зависимости от объекта защиты, система безопасности может работать в режиме с низкой интенсивностью запросов (реже 1 раза в год) и с высокой интенсивностью запросов или непрерывным запросом. Это важно при определении уровня полноты безопасности, если интенсивность запросов на выполнение функции безопасности низкая, то вероятность совпадения двух событий – запроса на выполнения и отказа системы безопасности, тоже будет низкая, и требования при «честной» сертификации несколько ниже. Но систем с низкой интенсивностью запросов очень не много. Недобросовестные производители (продавцы) часто обманывают неподготовленного заказчика, показывая красивый сертификат SIL3, но не уточняют, что система сертифицирована на уровень SIL3 для низкой интенсивности запросов (яркий пример – это широко известный и «условно уважаемый» Сименс).
Для систем с низкой интенсивностью запросов вероятность отказов указывают как «событий в ГОД», для систем с высокой интенсивностью «событий в ЧАС». При расчетах «события в ЧАС» могут домножать на 8760 для перевода в «события в ГОД».
Теперь переходим от общих слов к конкретным параметрам
Некоторые параметры относятся к функции безопасности в целом, а не к отдельным элементам в контуре безопасности. Другие могут характеризовать и систему в целом и отдельный элемент или устройство. И это тоже вызывает некоторую путаницу.
PFD (Probability of Failure on Demand) – вероятность опасного отказа по запросу (неготовность системы выполнить функцию безопасности при запросе), указывается как правило значением отказов в год (например 0,01 отказа в год или 1 отказ за 100 лет), для PFD строится зубчатая кривая. PFD учитывает опасные скрытые отказы. Поскольку скрытые отказы можно выявить контрольным тестом (проверкой контура), то значение этого параметра изменяется со временем, после полной контрольной проверки он минимальный и далее увеличивается со временем до следующей проверки.
Если вы провели полный контрольный тест, проверили весь контур безопасности от процесса (не выхода с датчика 4-20мА, а физически создав условия процесса и доведя значение в аппарате или трубопроводе до критического значения) до срабатывания исполнительного устройства (опять, не подачу управляющего сигнала на клапан, а полному перекрытию потока клапаном), и весь тест прошел удачно, то есть высокая вероятность, что через секунду при запросе функция безопасности будет выполнена, потому что вы только что убедились в отсутствии скрытых отказов. В первый момент после теста вероятность опасного скрытого отказа практически равна нулю. А через минуту после теста вероятность скрытого отказа уже несколько выше, а через час еще выше, а через месяц значительно выше. Если повторно провести полный контрольный тест, и он опять пройдет успешно, то вероятность опасного скрытого отказа снова будет равна нулю и заново начнет расти со временем. Отсюда и получается зубчатая кривая.
Поскольку PFD постоянно изменяется во времени, для удобства подбора и сравнения пользуются усредненным на определенном интервале времени параметром, PFDavg (усредняют на интервале времени между контрольными тестами, в примерах обычно на интервале в 1 год).
PFDavg – средняя вероятность отказа на запрос выполнения функции безопасности. При построении и расчете приборной системы безопасности все сводится к расчету и подтверждению этого параметра. Этот параметр можно уменьшить как изменяю конфигурацию и аппаратное оформление контура безопасности, так и меняя периодичность контрольных проверок. Это параметр не контроллера или отдельного устройства, а целиком контура безопасности. Этот параметр показывает насколько вероятно, что ваш контур ПСБ не сработает в нужный момент. PFDavg указывается вероятностью отказов на промежутке между контрольными тестами, поэтому значение сильно зависит от выбранного межпроверочного интервала. PFDavg указывается как для систем с низкой частотой запросов, так и для систем с высокой частотой запросов, просто добавляя размерность «событий в час», используют значение PFH и промежуток времени в часах (или указываю «PFDavg HDM»).
PFH - средняя частота опасного отказа в час (вероятность опасного отказа в час), средняя частота опасного отказа системы, связанной с безопасностью, выполняющей указанную функцию безопасности в течение заданного периода времени для систем с высокой частотой запросов. Часто этот параметр указывают как «PFDavg HDM».
PFD обычно составляет 10-2 - 10-4 событий в год, PFH 10-7 - 10-8 событий в час. Если PFH домножить на 8760 часов, получим практически те же значения, что и PFD.
MTBF – среднее время между отказами ( среднее время между двумя отказами), обычно выражается в годах (величина обратная интенсивности отказов). Обычно это параметр применяется к отдельным устройствам и элементам. Это сумма времени до отказа и времени на восстановление после отказа. Основное назначение этого параметра, рассчитать интенсивность отказов λ=1/MTBF. Интенсивность отказов отдельных элементов используется для расчета интенсивности отказа контура в целом (просто с интенсивностью проще вычисления).
MTTF (Mean Time To Failure) – среднее время до отказа в часах, среднее время наработки на отказ устройства или системы до наступления отказа любого типа (надо разделять, на любой отказ и на опасный отказ).
MTTR – ожидаемое время восстановления, время необходимое для ремонта, определяет ремонтопригодность. Это значение как правило много меньше времени наработки до отказа, поэтому им в расчетах пренебрегают.
failure rate (интенсивность отказов) - интенсивность отказов λ(t) объекта (отдельных компонентов или систем) определяется как вероятность отказа λ(t)dt этого объекта на отрезке времени [t, t+dt] при условии, что объект был работоспособен на временном отрезке [0, t]. Условная вероятность отказа в единицу времени на заданном временном интервале.
λtotal — общая интенсивность отказов, которая состоит из суммы безопасных отказов λs и опасных отказов λd. Безопасные приводят к ложному срабатыванию системы безопасности и переводят процесс в безопасное состояние без объективной необходимости. Они нам не интересны, потому что не влияют на риск аварии, катастрофы или гибели.
Интенсивность опасных отказов в свою очередь состоит из опасных диагностируемых λdd и опасных скрытых λdu.
Поскольку интенсивность отказов изменяется со временем, для расчетов используют среднее значение, принятое для отрезка времени (обычно интенсивность отказов в год). Как правило в формулах avg просто не пишут.
λs avg – средняя интенсивность безопасных отказов (avg – среднее), обратное значение MTBFs=1/λs – это среднее время между ложным срабатыванием контура безопасности.
λdd avg – средняя интенсивность опасных диагностируемых отказов.
λdu avg – средняя интенсивность опасных скрытых отказов.
proof test (контрольная проверка) - периодическая проверка (диагностический тест), проводимая для того, чтобы обнаружить опасные скрытые отказы в системе, связанной с безопасностью, с тем чтобы при необходимости система могла быть восстановлена настолько близко к «исходному» состоянию, насколько это возможно в данных условиях. На практике далеко не всегда можно провести полный функциональный тест всего контура безопасности или всех компонентов контура безопасности. В этом случае проводится частичный функциональный тест.
PTC (Proof Test Coverage) – эффективность частичного функционального, указывается в % относительно полного функционального теста. Считается, что это процент отказов, которые выявляются при частичном тесте, от общего количества возможных скрытых отказов (величина достаточно условная).
Tproof – периодичность проверок (контрольных тестов, испытаний), это один из ключевых параметров для контура безопасности.
Пример с лабораторной печью – периодичность проверок каждый вечер (закрываем кран с газом, отрабатывает защита по погасанию пламени, проверили), утром спокойно включаем в работу, система безопасности при погасании пламени с большой долей вероятности сработает правильно, мы ее проверили менее 10 часов назад. Периодичность между проверками составляет 24 часа, поэтому при построении системы безопасности можно рассчитывать как систему с низкой частотой запросов (и сертификат Сименса на SIL3 пригоден для объектов с низкой частотой запросов, типа лабораторной печки).
SFF (Safety Failure Fraction) доля безопасных отказов – свойство элемента, связанного с безопасностью, определяемое отношением суммы интенсивности безопасных отказов и опасных обнаруженных отказов к сумме интенсивности безопасных и опасных отказов.
Вообще, логично было бы указать именно процент опасных скрытых отказов, но решили все перевернуть, от 100% всех отказов отняли процент опасных скрытых, и получили SFF=1-(λdu / λtota)%. SFF показывает насколько качественно выполнена проработка оборудования, применяемого в контуре безопасности, насколько полноценной сделана система самодиагностики и насколько полноценными являются диагностические тесты. Как уже говорилось, при качественной разработки устройств для систем безопасности, конструкторы и проектировщики должны максимально перевести все отказы в разряд безопасных или, как минимум, в разряд опасных диагностируемых. Насколько им это удалось и показывает доля безопасных отказов. Понятно, если ваш объект несет потенциально высокий риск, не логично создавать контур безопасности на элементах, у которого каждый второй отказ будет опасным скрытым (SFF=50%). Поэтому ввели требованиях к элементам по значению SFF, которое ограничивает применение элемента в контурах с определенным уровнем безопасности.
Но и тут есть сложности, ведь и компоненты бывают разные (от реле и транзистора до микропроцессора), и можно ведь создать резервированную схему, поставив несколько элементов параллельно, создав определенную избыточность или аппаратное резервирование.
Избыточность назвали устойчивостью к аппаратным отказам (HFT): 0 – одно канальная схема, нет избыточности, 1 – двухканальная, 2 – трехканальная.
В контуре могут быть использованы элементы разной сложности, поэтому компоненты системы безопасности разделены на компоненты вида А (простые компоненты, поведение и виды отказов которых хорошо известны, типа резисторов, плавких вставок, реле и отдельных транзисторов, термопары, соленоидные клапаны) и компоненты вида В (сложные, комплексные, потенциально не понятные, типа микропроцессорных устройств)
В итоге получили две таблица, первая ограничивает применение простых компонентов типа А, вторая для компонентов типа В
Для компонентов типа А
|
SFF (доля безопасных отказов)
|
HFT (устойчивость к аппаратным отказам) |
||
0 |
1 |
2 |
|
<60% |
SIL 1 |
SIL 2 |
SIL 3 |
60-90% |
SIL 2 |
SIL 3 |
SIL 4 |
90-99% |
SIL 3 |
SIL 4 |
SIL 4 |
>99% |
SIL 3 |
SIL 4 |
SIL 4 |
Для компонентов типа В
|
SFF (доля безопасных отказов)
|
HFT (устойчивость к аппаратным отказам)
|
||
0 |
1 |
2 |
|
<60% |
Не допускается |
SIL 1 |
SIL 2 |
60-90% |
SIL 1 |
SIL 2 |
SIL 3 |
90-99% |
SIL 2 |
SIL 3 |
SIL 4 |
>99% |
SIL 3 |
SIL 4 |
SIL 4 |
Например, возьмем разделительное реле, поставим его в контур безопасности для управления соленоидом с контроллера. Реле относится к простым компонентам типа А. Надо понять долю безопасных отказов. Правильно взять этот параметр из руководства по безопасности на реле (если оно есть). Если производитель (продавец) указывает долю безопасных отказов >99%, можно посмеяться и унести это руководство в маленькую комнату для применения по назначению. Хотелось бы понять, как производитель и эксперт по сертификации определили значение SFF. Можно конечно взять 10 реле, каждой щелкнуть по 100 раз и, о чудо, нет ни одного отказа – значит SFF>99%. Конечно полный бред, абсолютно неправильный тест, полное несоответствие требованиям МЭК. Чтобы тест был объективным, выборка должна быть максимально полной (т.е. должно тестироваться от 1000 до 10000 реле), а количество срабатываний должно соответствовать полному сроку службы (это 20 лет или 1 млн срабатываний). Можно конечно продать миллион реле и по рекламациям от конечного заказчика в течении 10 лет определить среднею наработку на отказ (по стандарту и такой подход допускается). Если в тестах достоверно определить именно опасные скрытые отказы невозможно, то делают проще: определяют общее число всех отказов и половину от общего числа считают опасными скрытыми. При таком «честном» тесте может оказаться, что к концу теста 95% реле отказали, соответственно доля опасных отказов будет 47,5%, и SFF=100%-47,5%=52,5%.
Получается, что в одно канальной схеме это реле можно использовать только в контурах не выше SIL1, в контурах SIL2 должно использоваться 2 реле (по схеме 1из2, в нашем случае последовательное включение), в контурах SIL3 не менее 3 реле (по схеме 1из3), а лучше такие реле в SIL2,3 вообще не использовать. Ну и декларации и сертификаты российских экспертов надо рассматривать очень скептически, практически ни один продавец и эксперт не смог внятно объяснить, как проводилось тестирование и откуда берутся значения в сертификате.
С контроллерами или другими микропроцессорными устройствами еще сложнее. Сейчас практически все контроллеры на российском рынке выполнены по следующей схеме: процессор ARMv7 или что-нибудь аналогичное (тайваньский или китайский), ядро Linux (сборка ядра с поддержкой реального времени RTLinux), CoDeSys в качестве среды исполнения приложений управления, реже самописный код реализующий функционал управления, множество других чипов вокруг процессора. Понятно, что у процессора есть свой микрокод. Тестирование процессора преимущественно выполняется на пользователях, по мере выявления ошибок патчится ядро Linux. Ядро собирается из огромного количества модулей и библиотек, написанных огромным количество неизвестных программистов. Тестирование ядра Linux также выполняют пользователи, это открытая система поддерживаемая как крупными компаниями, так и сообществом свободных художников (система замечательная, респект и уважение Линус Бенедикт Торвальдсу и всей его команде). Получается, что ни процессор, ни микрокод, ни модули и библиотеки Linux, никто и никогда не тестировал на предмет систематических отказов, никто не анализировал архитектуру процессора на возможность опасных отказов, никто не знает полный код ядра и всех его модулей (они пишутся разными людьми в разное время и в разном месте). Патчи к ядрам выпускаются регулярно и их никто так же не анализирует. Linux по своей сути никогда не был предназначен для применения в системах безопасности. Даже процедур, описывающих порядок тестирования и выявления системных отказов для процессора, для ядра, перечня модулей и библиотек, протестированных на наличие ошибок, вообще не существует. Аналогично с CoDeSys и самописным кодом – кто, когда и по каким процедурам тестировал их на наличие систематических ошибок, на интенсивность отказов всех типов. Остается загадкой, откуда разработчики контроллеров и эксперты по сертификации берут значения соответствующих параметров. Еще интереснее, когда при общении с российскими «производителями» контроллеров, большинство из них не могут назвать марку и производителя процессора, понятно, что плата целиком куплена в Китае и поставлена с готовым ядром Linux.
В реальности, в мире существует только один производитель процессоров безопасности, и понятно, он американский. Разработка, тестирование и сопровождение очень затратно, а объем продаж ограничен (это ж не игровой процессор). Для второго производителя просто нет спроса на рынке. Этот процессор был разработан давно, реально протестирован, имеет реально подтвержденные показатели безопасности, поставляется со своей закрытой библиотекой, которая реализует код функциональных блоков, библиотека также протестирована и может применяться только она. Поэтому все «честные» контроллеры для систем безопасности выглядят очень архаично, интерфейс и набор функциональных блоков у них далек от современности.
Надо также понимать, что большинство компонентов типа В не могут применяться в одно канальной схеме в контурах выше SIL 2, а к таким компонентам относятся не только процессоры и модули ввода/вывода, но и все «умные» контрольно-измерительные приборы, исполнительные механизмы, позиционеры, барьеры искрозащиты и т.д., любое устройство с микропроцессором и вычислительными функциями.
И еще несколько определений из МЭК, которые нам и так уже понятны.
функциональная безопасность (functional safety): Часть общей безопасности, обусловленная применением УО и системы управления УО и зависящая от правильности функционирования Э/Э/ПЭ систем, связанных с безопасностью, и других средств по снижению риска. Функциональная безопасность по существу — способность связанной с безопасностью системы достигать или поддерживать безопасное состояние.
полнота безопасности (safety integrity): Вероятность того, что система, связанная с безопасностью, будет удовлетворительно выполнять требуемые функции безопасности при всех оговоренных условиях в течение заданного интервала времени
Примечания:
1 Чем выше уровень полноты безопасности, тем ниже вероятность того, что система, связанная с безопасностью, не сможет выполнить указанные функции безопасности или не будете состоянии, когда потребуется, принять указанное состояние.
2 Существует четыре уровня полноты безопасности для систем (см. МЭК 61508-4, 3.5.8).
3 При определении полноты безопасности должны учитывать все причины отказов (случайных отказов аппаратных средств и систематических отказов), которые приводят к небезопасному состоянию, например, отказы аппаратных средств, отказы, вызванные программным обеспечением, и отказы, вызванные электрическими помехами. Некоторые из этих типов отказов, например случайные отказы аппаратных средств, могут быть охарактеризованы количественно, с использованием таких параметров, как интенсивность отказов в опасном режиме или вероятность того, что система защиты, связанная с безопасностью, не сможет выполнить запрос. Однако полнота безопасности системы также зависит и от многих факторов, которым нельзя дать точную количественную оценку и которые могут быть оценены только качественно.
4 Полнота безопасности включает в себя полноту безопасности аппаратных средств (см. МЭК 61508-4, 3.5.7) и полноту безопасности по отношению к систематическим отказам (см. МЭК 61508-4, 3.5.6).
5 Данное определение основано на определении безотказности (надежности) систем, связанных с безопасностью, при выполнении ими функций безопасности (определение надежности см. МЭК 60050-191, 191-12-01)
уровень полноты безопасности; УПБ [safety integrity level (SIL)]: Дискретный уровень (принимающий одно из четырех возможных значений), соответствующий диапазону значений полноты безопасности, при котором уровень полноты безопасности, равный 4, является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1, соответствует наименьшей полноте безопасности.
Примечания
1 Меры целевых отказов для четырех уровней полноты безопасности указаны в МЭК 61508-1, таблицы 2 и 3.
2 Уровни полноты безопасности используют при определении требований полноты безопасности для функций безопасности, которые должны быть распределены по Э/Э/ПЭ системам, связанным с безопасностью.
3 Уровень полноты безопасности (УПБ) не является свойством системы, подсистемы, элемента или компонента. Правильная интерпретация фразы «УПБ системы, связанной с безопасностью, равен n» (где n = 1, 2, 3 или 4) означает, что система потенциально способна к реализации функций безопасности с уровнем полноты безопасности до значения, равного n.
система, связанная с безопасностью (safety-related system): Система, которая:
- реализует необходимые функции безопасности, требующиеся для достижения и поддержки безопасного состояния УО;
- предназначена для достижения своими средствами или в сочетании с другими Э/Э/ПЭ системами, связанными с безопасностью, и другими средствами снижения риска необходимой полноты безопасности для требуемых функций безопасности.
Примечания:
1 Данный термин относится к системам, обозначенным как системы, связанные с безопасностью, и предназначенным для достижения совместно с внешними средствами снижения риска (см. 3.4.2 МЭК 61508-4) необходимого снижения риска для соответствия требованиям приемлемого риска (см. 3.1.7 МЭК 61508-4).
2 Системы, связанные с безопасностью, предназначены для того, чтобы предотвратить переход УО в опасное состояние путем выполнения необходимых действий при обнаружении условий, которые могут привести к опасному событию. Отказ системы, связанной с безопасностью, может быть отнесен к событиям, ведущим к возникновению определенной опасности или опасностей. Хотя могут существовать и другие системы, имеющие функции безопасности, именно системы, связанные с безопасностью, предназначены для достижения требуемого приемлемого риска. В широком смысле системы, связанные с безопасностью, могут быть разделены на две категории: системы управления, связанные с безопасностью, и системы защиты, связанные с безопасностью.
3 Системы, связанные с безопасностью, могут быть составной частью системы управления УО либо связаны с УО с помощью датчиков и/или исполнительных устройств. Это означает, что необходимый уровень полноты безопасности может быть достигнут реализацией функций безопасности в системе управления УО (и, возможно, также дополнительными отдельными и независимыми системами), либо функции безопасности могут быть реализованы отдельными, независимыми системами безопасности.
4 Система, связанная с безопасностью, может быть предназначена: a) для предотвращения опасного события (т.е. если система, связанная с безопасностью, выполняет свои функции безопасности, то опасного события не происходит); b) ослабления последствий вредного события, снижая риск путем уменьшения последствий; c) достижения целей перечислений а) и b).
5 Человек может быть частью системы, связанной с безопасностью (см. 3.4.1 МЭК 61508-4). Например, человек может получать информацию от программируемого электронного устройства и выполнять действие, связанное с безопасностью, основываясь на этой информации, либо выполнять действие, используя программируемое электронное устройство.
6 Система, связанная с безопасностью, включает в себя все аппаратные средства, программное обеспечение и дополнительные средства (например, источники питания), необходимые для выполнения указанных функций безопасности [датчики, другие устройства ввода, исполнительные элементы (устройства привода) и другие устройства вывода включаются в систему, связанную с безопасностью].
7 Система, связанная с безопасностью, может основываться на широком диапазоне технологий, включая Э/Э/ПЭ, гидравлическую и пневматическую технологии.
И вот такого текста в МЭК 61508 и МЭК 61511 более 1500 страниц, попробуйте дочитать его до конца!!!
В заключении вольного прочтения МЭК (можно сказать волюнтаристического) необходимо вставить хорошо всем известную табличку, надеюсь теперь она стала более понятной.
Все, наверно достаточно быть менеджером по безопасности, пока окончательно в их веру не перешел, пора снова становиться нормальным инженером.
Дальше полученные теоретические знания попробуем применить на практических примерах.