Tiêu đề Автоматизированные системы управления технологических процессов_9.pdf ✅

531 Глава 9 ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ СИСТЕМ БЕЗОПАСНОСТИ 9.1. Жизненный цикл системы безопасности Началом жизненного цикла и основой проекта системы безопасности является разработка Спецификации требова- ний к системе безопасности. Спецификация требований состоит из: ♦ Функциональных требований безопасности; • Интегральных требований безопасности. Функциональные требования безопасности определяют: ♦ Логику и действия, которые должна выполнить систе- ма безопасности, и • События на технологическом процессе, которые ини- циируют эти действия. Эти требования также должны включать в себя такие по- зиции, как описание процедуры ручного останова, действия при исчезновении питания, и т.д. Интегральные требования безопасности определяют: • Интегральный уровень безопасности (SIL), и • Исполнение системы безопасности, требуемое для осу- ществления функций защиты. Интегральные требования безопасности включают: • Требуемый интегральный уровень безопасности для каждой функции защиты; • Требования к диагностике; • Требования к обслуживанию и тестированию; • Требования к надежности для исключения ложных срабатываний.
532 Справочник инженера по АСУТП: Проектирование и разработка Особые требования. Часть требований оговаривается особо: • Логическое устройство защиты должно быть обособ- лено от РСУ; • Сенсоры системы безопасности должны быть отделе- ны от сенсоров РСУ; • Для всех главных компонент системы безопасности, включая датчики и исполнительные устройства, по- ставщик должен предоставить: - Данные по среднему времени наработки на отказ, - Данные по интенсивности появления выявленных отказов. • Каждое полевое устройство должно иметь свою собст- венную линию связи с модулем ввода-вывода; • Рекомендуется использование "интеллектуальных” датчиков, исполнительных устройств и протоколов HART и Fieldbus, чем обеспечивается расширенный уровень диагностики и тестовых испытаний полевого оборудования, и что приводит к радикальному повы- шению надежности системы. Однако требование ин- дивидуальных каналов взаимосвязи с полевым оборудованием системы защиты пока сохраняется; • Для объектов I и II категории взрывоопасности (по классификации, предложенной в настоящем руково- дстве, это 5-6 класс DIN, третий уровень SIL) исполь- зование одного запорно-регулирующего клапана и для РСУ, и для ПАЗ запрещается; • Операторский интерфейс, в отличие от инженерного, не должен давать возможности изменить прикладное программное обеспечение системы безопасности; • Если требуется проведение процедуры тестирования ПАЗ в рабочем, функционирующем состоянии on-line, тестовые процедуры должны быть встроены в систему безопасности при проектировании; • Для обслуживания полевых устройств рекомендуется применение специальной выделенной системы обслу- живания КИП - Plant Asset Management System - сис- темы управления оборудованием производства.
Глава 9, Особенности проектирования систем безопасности 533 9.2. Отказы общего порядка (общей причины) Отказы общего порядка могут быть вызваны каким-либо единственным, нерезервированным компонентом системы, или общими систематическими ошибками в резервированных компонентах. Некоторые из причин общих отказов включают: • Ошибки спецификации; • Ошибки проектирования оборудования; • Дефекты при изготовлении оборудования; • Ошибки программирования; • Групповые линии связи с полевыми устройствами; • Ошибки проектирования человеко-машинного интер- фейса; • Неблагоприятные условия окружающей среды (темпе- ратура, влажность, давление, вибрация, коррозия); • Отсутствие резервирования (единственные источники энергии, единичные полевые устройства, и т.п.); • Ненадлежащая эксплуатация и техническое обслужи- вание. Для уменьшения вероятности отказов общего порядка или систематических ошибок могут использоваться следующие методы: • Резервирование; • Разделение на подсистемы; • Тестирование и проверка. Функционально разделенные подсистемы ПАЗ могут ис- пользовать однотипное оборудование: • интерфейс оператора, • инженерный интерфейс, поскольку эти подсистемы, как правило, требуют физического разделения • источников питания, • логического решающего устройства, • модулей ввода-вывода, и позволяют выполнять независимое тестирование или моди- фикацию.
534 Справочник инженера по АСУТП: Проектирование и разработка 9.3. Ложные срабатывания Ложные срабатывания и остановы процесса не только приносят убытки, но и в большинстве случаев представляют значительную опасность. Опыт показывает, что на процессах с большим количеством ложных сигналов технологический персонал теряет бдительность и реагирует на предупреждения с опозданием, или вовсе не реагирует на действительно ава- рийную ситуацию. Примеры предпосылок для ложного срабатывания: • Неправильная калибровка датчика; • Нормально закрытые контакты имеют неожиданно вы- сокое сопротивление; • Отказ модуля ввода-вывода; • Отказ микропроцессора; • Отказ какого-либо электронного компонента полевого устройства. Большое количество ложных событий связано со сбоями питания - электропитания и обеспечения киповским возду- хом. Отсутствие резервных источников питания - ведущая причина ложных срабатываний. Например, потеря воздуха КИП - это всегда критическое событие на производстве, по- скольку приводит не просто к ложному срабатыванию, но к аварийной ситуации. Другая частая причина ложных срабаты- ваний - оперативное техническое обслуживание в реаль- ном времени, - калибровка, тестирование полевых приборов, замена неисправных модулей, переключение кабеля и т.д. 9.4. Отказы полевых устройств Многие общие причины сбоя систем защиты из-за отказа полевых устройств можно избежать с помощью правильно организованного резервирования. Примером такого решения может быть установка дополнительных сенсоров с другим принципом действия, или даже приборов других изготовите- лей. Для контроля критичных параметров могут быть исполь- зованы следующие варианты: • Два аналоговых сенсора, • Два дискретных сенсора (реле), или • По одному каждого типа.