ПОЛЕВЫЕ УСТРОЙСТВА Полевыми устройствами называются первичные датчики, кабели, оконечные элементы и т. д. Эти устройства зачастую являются самыми важными и при этом, вероятно, самыми неверно понимаемыми и применяемыми элементами систем защиты. При проектировании и реализации систем защиты полевым устройствам уделяется удивительно мало внимания, особенно в сравнении с тем влиянием, которое эти устройства могут оказывать на общую эффективность системы. Определено, что около 90% проблем в системах защиты приходится на долю полевых устройств.
7.1 Требования к первичным датчикам автоматизированных систем защиты В стандарте IEC 61511 указаны требования, которым должны удовлетворять первичные датчики автоматизированных систем защиты. Грубо говоря, при выборе «первичных датчиков» и «исполнительных элементов» автоматизированной системы защиты конечные потребители могут выбрать устройства двух разных типов:
• устройства, отвечающие требованиям разделов 2 и 3 стандарта IEC 61508,
• «ранее использовавшиеся» устройства, работающие по принципу «проверено на практике». Основное различие между ними заключается в том, кто несет ответственность за определение проверки, границы проверки и проведение проверки корректности работы первичных датчиков или оконечных элементов по требованию автоматизированных систем защиты. Проверку уровня защиты, возможностей и ограничений первичных датчиков, разработанных согласно стандарту IEC61508 (в том числе смачиваемых частей), осуществляет производитель. Конечный потребитель отвечает за отсутствие непредвиденных сбоев в интерфейсе между передатчиком и устройством обработки. Помимо того, проводимая им оценка должна включать в себя определение характера невыявленных сбоев, которые установка может вызывать в первичных датчиках, например, физические повреждения от удара, коррозии, воздействия водорода или водородного охрупчивания. Потребитель отвечает за определение вероятности отказа интерфейса в выполнении заданной функции безопасности. При использовании «ранее использовавшихся» устройств, отвечающих стандарту IEC61511, ответственность за проверку несет конечный потребитель. Конечный потребитель определяет вероятность отказа этих первичных датчиков в выполнении заданной функции безопасности, а также их возможности и ограничения. Оценка ранее использовавшихся устройств также включает в себя полную проверку интерфейса с установкой с точки зрения опасных невыявленных сбоев. Первичные датчики, отвечающие требованиям разделов 2 и 3 стандарта IEC 61508 Конструкция первичных датчиков, созданных согласно требованиям стандарта IEC 61508, отвечает аппаратным, системным и программным требованиям, определенным в разделах 2 и 3 стандарта IEC 61508. Этот стандарт определяет таблицу уровней эксплуатационной 29 защиты (уровней SIL) для конструкции измерительной системы, которая позволяет определить «уровень защиты» устройства. Составной частью процесса конструирования являются контракты с уполномоченным органом, которые обеспечивают стороннюю проверку конструктивных требований, аппаратного и программного обеспечения, системы, а также контроля на этапе проектирования. Уполномоченный орган выдает сторонний сертификат и составляет отчет. Такими Уполномоченными органами являются организации TUVit-Augsburg (Германия); TUV Automotive-Munich (Германия), Factory Mutual (США) и многие другие. В отдельных случаях производители привлекают экспертов отрасли, которые содействуют им в соблюдении требований. Такие эксперты (например, компании EXIDA или Risknowledgy) не являются уполномоченными органами, однако обладают значительным опытом в выполнении требований стандарта IEC 61508; они выполняют такие задачи, как проведение анализа видов, последствий и диагностики потенциальных дефектов (FMEDA), а также разработка требований безопасности. Использование первичных датчиков, определенных как «разработанные согласно стандарту IEC 61508», для автоматизированной системе защиты представляет значительные преимущества для конечных потребителей.
• Упрощает соблюдение требований стандарта IEC 61511; уровень защиты устройства документирует поставщик.
• Обеспечивает допустимость и точность данных об интенсивности отказов и вероятности отказа в выполнении заданной функции безопасности.
• Обеспечивает соблюдение конструкции оптимальным инженерным практикам разработки автоматизированных систем защиты, определенных в международном стандарте IEC 61508 (это особенно важно для снижения вероятности отказа системного ПО).
• Гарантирует наличие процесса «управления изменениями» в ходе жизненного цикла продукта у поставщика.
• Наличие руководства по технике безопасности и сертификационных отчетов, которые необходимы для внедрения автоматизированной системы защиты. Несмотря на то, что применение устройств, отвечающих требованиям стандарта IEC 61508, довольно удобно для разработчиков автоматизированных систем защиты, к использованию таких первичных датчиков следует подходить с особой осторожностью. При выборе первичных датчиков необходимо учитывать следующие факторы:
• Наличие проверки безопасности и сертификата не означает, что была проведена проверка надежности: «безопасный» — это отнюдь не то же самое, что «надежный». Таким образом, необходимо проводить тщательную проверку интенсивности отказов, которая позволит уменьшить вероятность ложных срабатываний.
• Проверка устройств, созданных согласно требованиям стандарта IEC 61508, выполняется в рамках «официального анализа» и не учитывает требования к опыту эксплуатации. Применение устройств, не прошедших проверку и тестирование, в автоматизированных системах защиты является фактором высокого риска. Перед установкой таких систем потребители должны накопить значительный опыт работы с этими устройствами.
• В данных об интенсивности отказов, которые поставляют производители, НЕ УЧИТЫВАЕТСЯ интенсивность отказа интерфейса с установкой. Этот аспект 30 играет особенно важную роль при выборе первичных датчиков. При определении высокого коэффициента безопасных сбоев (т. е. низкого процента опасных возможных отказов первичного датчика) не учитываются такие опасные отказы, как закупоривание, остановка или замедление линий или проникновение газа.
• Необходимо внимательно ознакомиться с сертификатами и руководством по технике безопасности — во многих случаях требуется сложное проверочное тестирование; кроме того, сертификат безопасности может включать серьезные эксплуатационные ограничения и действовать только при соблюдении этих ограничений. «Ранее использовавшиеся» первичные датчики При создании стандартов IEC 61508 и IEC 61511 разрабатывавшие их международные комитеты учитывали, что потребители могут использовать собственные критерии сертификации компонентов шлейфа автоматизированной системы защиты. Именно поэтому было включено условие поддержки «ранее использовавшихся устройств» (т. н. принцип «проверено на практике»). Условие поддержки ранее использовавшихся устройств позволяет потребителям применять в своих автоматизированных системах защиты первичные датчики и исполнительные элементы, которые разрабатывались без учета требований разделов 2 и 3 стандарта IEC 61508. Соответствующий раздел стандарта IEC 61511 гласит:
IEC 61511-1, раздел 11.5.3.1: «Должны быть доступны обоснованные свидетельства
пригодности компонентов и подсистем для использования в автоматизированных
системах защиты» (Appropriate evidence shall be available that the components and subsystems are suitable for use in the safety instrumented system). «Обоснованные свидетельства» пригодности первичных датчиков должны быть документированными и включать в себя (см. IEC 61511-1, раздел 11.5.3.2):
• информацию об управлении качеством и управлении конфигурациями у поставщика;
• достаточно подробное описание и спецификации компонентов или подсистем;
• демонстрацию показателей эффективности компонентов или подсистем в аналогичных рабочих профилях и физических средах. Для соблюдения этих требований стандарт дает потребителям возможность документировать опыт эксплуатации установок управления основным процессом и автоматизированных систем защиты. При этом в требованиях стандарта не указывается, что опыт эксплуатации должен быть накоплен в тех же условиях, в которых планируется использовать автоматизированную систему защиты, а собранные данные не обязаны иметь статистическую значимость. Кроме того, определять оборудование как «ранее использовавшееся» согласно стандарту IEC 61511 может только потребитель — поставщик не имеет такого права. Применение «ранее использовавшихся» первичных датчиков дает конечным потребителям множество преимуществ. Прежде всего, это служит свидетельством надежности выбранных первичных датчиков. Это уменьшает вероятность ложных срабатываний и затраты на замену отказавших первичных датчиков. Во-вторых, разработчикам и обслуживающему персоналу уже хорошо известны особенности и принципы работы выбранных первичных датчиков. Установка автоматизированных систем защиты может выполняться по тем же принципам, что и установка систем 31 управления основным процессом, не требуется обучение обслуживающего персонала, и потребитель может использовать имеющиеся у него запчасти. В-третьих, в истории отказов таких первичных датчиков обычно регистрируются и отказы интерфейсов с установкой. Именно по этой причине стандартом IEC 61511 устанавливается, что определять устройства как «ранее использовавшиеся» могут только конечные потребители, а не производители или поставщики. Несмотря на то, что «ранее использовавшиеся» устройства дают конечным потребителям ряд преимуществ, для них также характеры скрытые затраты и риски.
• Конечный потребитель должен вести документацию по продолжительности и среде эксплуатации таких первичных датчиков, а также по интенсивности сбоев (расходы на обслуживание)
• Повышенный риск системных отказов, связанных с программным обеспечением, поскольку процессы разработки ПО у производителя с высокой долей вероятности не будут соответствовать уровням качества, определенным в разделе 3 стандарта IEC 61508 (затраты на эксплуатацию)
• Управление изменениями в случае «ранее использовавшихся» устройств. В связи с устареванием компонентов, появлением новых функций или с целью сокращения затрат производители постоянно вносят изменения в конструкцию первичных датчиков. Эти изменения могут оказывать влияние на документацию к «ранее использовавшимся» устройствам и приводить к необходимости повторно накапливать опыт эксплуатации (капитальные расходы, расходы на обслуживание) Подводя итог, скажем, что стандарт IEC 61511 позволяет конечным потребителям выбрать для своих автоматизированных систем защиты первичные датчики двух типов: «разработанные согласно стандарту IEC 61508» и «ранее использовавшиеся». Каждый из них обладает своими достоинствами и недостатками. Сам по себе ни один из этих подходов не гарантирует соблюдение требований безопасности, однако затраты в течение жизненного цикла системы возрастают в обоих случаях. Так называемые «оптимальные практики» представляют собой подход, при котором элементы, разработанные согласно требованиям стандарта IEC 61508 используются совместно с «ранее использовавшимися» элементами. Оптимальные практики выбора первичных датчиков для автоматизированных систем защиты Оптимальные практики выбора первичных датчиков для автоматизированных систем защиты состоят в том, что устройства, отвечающие разделам 2 и 3 стандарта IEC 61508, должны сочетаться с теми датчиками, которые используются в системе управления основным процессом, и обладать той же надежностью. Такой подход обеспечивает существенные преимущества для конечных потребителей:
• соответствие с требованиями стандарта IEC 61511 и всей необходимой документации, предоставленной поставщиком;
• снижение вероятности отказов системного ПО, поскольку приложения разрабатываются и сертифицируются согласно требованиям раздела 3 стандарта IEC 61508;
• снижение вероятности ложных срабатываний, поскольку используемые устройства обладают той же надежностью, что и компоненты системы управления основным процессом;
• увеличение безопасности и сокращение затрат благодаря тому, что весь персонал уже обучен (отделы разработки и обслуживания); 32
• сокращение затрат на запчасти и замену компонентов;
• возможность использования стандартизированных практик установки системы управления основным процессом и автоматизированной системы защиты, что увеличивает безопасность и снижает затраты;
• с точки зрения затрат в течение жизненного цикла: экономия как капитальных, так и эксплуатационных расходов.