| Уровень SIL | PFDavg (режим низкой частоты запросов) | PFH (режим высокой частоты запросов) | Снижение риска (RRF) |
|---|---|---|---|
| SIL 1 | ≥10⁻² до <10⁻¹ | ≥10⁻⁶ до <10⁻⁵ ч⁻¹ | ≥10 до <100 |
| SIL 2 | ≥10⁻³ до <10⁻² | ≥10⁻⁷ до <10⁻⁶ ч⁻¹ | ≥100 до <1000 |
| SIL 3 | ≥10⁻⁴ до <10⁻³ | ≥10⁻⁸ до <10⁻⁷ ч⁻¹ | ≥1000 до <10000 |
| SIL 4 | ≥10⁻⁵ до <10⁻⁴ | ≥10⁻⁹ до <10⁻⁸ ч⁻¹ | ≥10000 до <100000 |
| Архитектура | Логика голосования | HFT | Применение |
|---|---|---|---|
| 1oo1 | Один канал, один для срабатывания | 0 | Базовые приложения SIL 1-2 |
| 1oo2 | Два канала, один для срабатывания | 1 | Высокая безопасность SIL 2-3 |
| 2oo2 | Два канала, оба для срабатывания | 0 | Высокая готовность |
| 2oo3 | Три канала, два для срабатывания | 1 | Критичные системы SIL 3-4 |
| Тип тестирования | Типичное покрытие | Периодичность | Метод выполнения |
|---|---|---|---|
| Автоматическая диагностика | 60-95% | Непрерывно | Встроенные функции контроллера |
| Онлайн proof test | 70-85% | 3-12 месяцев | Тестирование частичным ходом |
| Офлайн proof test | 90-99% | 1-5 лет | Полное функциональное тестирование |
Системы противоаварийной защиты представляют собой специализированные приборные системы безопасности, предназначенные для автоматического перевода технологического процесса в безопасное состояние при возникновении аварийной ситуации. Функциональная безопасность таких систем определяется способностью правильно выполнять функции безопасности, что регламентируется международными стандартами IEC 61508 и IEC 61511, а также российскими нормативами ФНП № 533.
Основные концепции функциональной безопасности
Уровень полноты безопасности определяет необходимую степень снижения риска аварии технологического процесса за счет применения контура защиты. Параметр PFDavg характеризует среднюю вероятность отказа функции безопасности при запросе и служит основным критерием для классификации систем по уровням SIL от первого до четвертого.
Показатели функциональной безопасности
Для режима низкой частоты запросов применяется показатель PFDavg. Согласно IEC 61508, низкая частота определяется как не более одного запроса в год на срабатывание системы безопасности. В режиме высокой частоты, когда запросы поступают чаще одного раза в год, используется показатель PFH — средняя частота опасных отказов в час.
Отказоустойчивость аппаратных средств определяет максимальное число каналов, которые могут отказать без потери функции безопасности. Показатель HFT рассчитывается как разность между количеством каналов и минимальным числом требуемых для срабатывания: для архитектуры 1oo2 HFT составляет 1, для 2oo2 — 0.
Доля безопасных отказов SFF представляет собой отношение безопасных и обнаруженных опасных отказов к общему числу отказов. Этот параметр используется совместно с HFT для определения максимально достижимого уровня SIL при применении маршрута оценки 1H согласно IEC 61508.
Архитектура систем противоаварийной защиты
Базовая конфигурация 1oo1 включает единственный канал измерения и один исполнительный элемент. Такая архитектура применяется для некритичных приложений уровня SIL 1, где допустим более высокий риск отказа. Система не обладает резервированием, и любой опасный отказ приводит к потере функции безопасности.
Резервированные архитектуры
Архитектура 1oo2 предусматривает два независимых канала, работающих параллельно. Срабатывание происходит при активации любого из каналов, что обеспечивает высокую безопасность — система защитит процесс даже при отказе одного канала. Расчет PFDavg учитывает вероятность одновременного отказа обоих каналов и коэффициент отказов по общей причине.
Недостатком конфигурации 1oo2 является повышенная частота ложных срабатываний — безопасный отказ любого канала приводит к остановке процесса. Для технологических установок с высокой стоимостью простоя этот фактор может быть критичным.
Система 2oo3 представляет оптимальное решение для критических приложений. Три независимых канала с логикой голосования два из трех обеспечивают отказоустойчивость к одиночным отказам любого типа. При выходе из строя одного канала система продолжает функционировать в деградированном режиме 2oo2, сохраняя способность выполнения функции безопасности.
Выбор архитектуры на основе анализа рисков
Определение необходимой конфигурации системы выполняется на этапе анализа опасностей методами HAZOP и LOPA. Целевой уровень SIL устанавливается исходя из требуемого снижения риска до приемлемого уровня. Последующая проверка соответствия архитектуры выполняется по трем критериям: соответствие PFDavg целевому диапазону, выполнение архитектурных ограничений по таблицам HFT и SFF, достаточная систематическая способность компонентов.
Жизненный цикл безопасности согласно IEC 61511
Стандарт определяет структурированный подход к управлению функциональной безопасностью на всех этапах существования системы. Цикл начинается с концептуальной фазы анализа рисков и завершается выводом системы из эксплуатации. Каждый этап включает верификацию соответствия требованиям и валидацию достижения целей безопасности.
Этапы проектирования и реализации
Анализ опасностей идентифицирует источники риска и определяет необходимые слои защиты. Методика LOPA распределяет требуемое снижение риска между различными средствами — технологическим проектированием, базовой системой управления процессом, механическими защитами и приборными системами безопасности. Для каждой функции безопасности SIF устанавливается целевой уровень SIL.
Критически важным требованием является физическое и функциональное разделение системы противоаварийной защиты и распределенной системы управления. Независимые датчики, контроллеры и исполнительные элементы исключают отказы по общей причине и обеспечивают выполнение функций безопасности даже при полном отказе базовой системы автоматизации.
Фаза проектирования включает выбор сертифицированного оборудования, расчет характеристик надежности, определение архитектуры контуров и разработку прикладных программ. Верификация проектных решений подтверждает соответствие каждого элемента требованиям спецификации. Валидация системы в целом выполняется функциональным тестированием всех контуров защиты от датчика до исполнительного механизма.
Спецификация требований безопасности
Документ SRS представляет собой техническое задание на создание системы противоаварийной защиты и формируется по результатам анализа рисков. Спецификация определяет функциональные требования к каждому контуру защиты, целевой уровень SIL, режим работы и критичные временные параметры. Неполная или неоднозначная спецификация приводит к ошибкам проектирования и снижению эффективности защиты.
Содержание спецификации
Для каждой функции безопасности указываются входные датчики с их технологическими позициями, логика обработки сигналов, исполнительные элементы и безопасное состояние процесса. Определяется время реакции системы от момента достижения уставки до перевода в безопасное состояние, с учетом инерционности измерительных преобразователей, времени вычислений в контроллере и срабатывания запорной арматуры.
- Требования к режиму энергопитания исполнительных элементов — обесточивание или подача питания для перехода в безопасное положение
- Процедуры и интервалы периодического тестирования с указанием методов выявления скрытых отказов
- Условия ручного сброса и возврата системы в рабочее состояние после срабатывания защиты
- Требования к разделению и разнесению с учетом возможных внешних воздействий
Спецификация служит основой для проектирования, используется при верификации соответствия реализованной системы требованиям и актуализируется при любых изменениях в течение жизненного цикла. Документ подлежит согласованию с разработчиком технологического процесса и службой эксплуатации.
Тестирование функций безопасности
Периодическое тестирование направлено на выявление необнаруженных опасных отказов, которые накапливаются в системе между испытаниями. Стандарт IEC 61511 требует проведения тестов по документированным процедурам с проверкой всей цепи от датчика до исполнительного элемента. Эффективность тестирования характеризуется покрытием — долей опасных отказов, которые могут быть обнаружены применяемыми методами.
Методы диагностики
Автоматическая диагностика непрерывно контролирует исправность компонентов без останова процесса. Встроенные средства контроллеров проверяют целостность цепей питания, обрывы и короткие замыкания сигнальных линий, работоспособность процессорных модулей и модулей ввода-вывода. Обнаруженные отказы индицируются в системе управления, что позволяет планировать ремонтные работы.
Автоматическая диагностика не выявляет все типы опасных отказов. Залипание контактов реле, загрязнение седла клапана, потеря упругости пружин возврата обнаруживаются только функциональными испытаниями. Игнорирование этого факта приводит к завышенным оценкам безопасности системы.
Тестирование частичным ходом применяется для запорной арматуры в критических линиях, где полное закрытие клапана недопустимо в режиме нормальной эксплуатации. Привод перемещает затвор на ограниченное расстояние, достаточное для проверки подвижности механизма. Метод обеспечивает покрытие до 85 процентов опасных отказов исполнительных элементов без останова технологии.
Планирование интервалов тестирования
Интервал между проверками определяется при расчете PFDavg и фиксируется в спецификации требований безопасности. Типичные периоды составляют от одного до пяти лет в зависимости от критичности функции и характеристик используемого оборудования. При продлении межремонтных периодов необходим пересчет показателей надежности с возможным пересмотром архитектуры системы или применением дополнительных методов онлайн-тестирования.
Требования российских нормативов
ФНП № 533 устанавливает обязательные требования к системам противоаварийной автоматической защиты для взрывопожароопасных химических и нефтеперерабатывающих производств. Выбор средств контроля, управления и защиты обосновывается результатами анализа опасностей технологических процессов с использованием методов оценки риска аварий. Категория взрывоопасности технологических блоков определяет необходимый уровень надежности систем безопасности.
Обеспечение надежности
Показатели надежности, безопасности и быстродействия систем устанавливаются разработчиками с учетом требований технологической части проекта. Учитываются категория взрывоопасности технологических блоков и время развития возможной аварии. Надежность обеспечивается аппаратурным резервированием различных типов — дублированием или троированием каналов, временной и функциональной избыточностью, системами диагностики с индикацией рабочего состояния.
Требования пункта 344 ФНП № 533 предписывают обеспечение бесперебойного функционирования автоматизированных систем контроля, управления и противоаварийной защиты для перевода процессов в безопасное состояние. Это включает сохранение работоспособности логических контроллеров при возможных взрывах и их последствиях.
Технические характеристики систем управления и защиты должны соответствовать скорости изменения значений параметров процесса в требуемом диапазоне. Класс точности приборов, инерционность систем измерения, диапазон измерения выбираются с учетом динамики технологического объекта. Внесение изменений в системы контроля и защиты осуществляется после согласования с разработчиком проектной документации или при наличии положительного заключения экспертизы промышленной безопасности.
