RA как система

[Vadim Legenkin]

Все же, следует заметить, что SIL3 требует использования как минимум 2-х датчиков для измерения одного технологического параметра по схеме 1oo2 (чаще - 2oo3) и наличия 2-х исполнительных механизмов, например - 2-х последовательно стоящих на одной линии клапанов.

Вадим, такое утверждение неверно в общем случае, хотя в частном случае может быть верным.
IEC 61511 (см.таблицу 6 и требования пункта 11.4.4) требует, чтобы для SIL3 показатель Fault tolerance (отказоустойчивость) датчиков и исполнительных механизмов был не ниже 1.
Для обычных устройств в архитектуре 1oo2 отказоустойчивость = 1 означает дублирование.
Но в в архитектуре 2oo3 отказоустойчивость = 1 означает троирование!
А ведь можно найти на рынке необычные устройства, которые в одном корпусе имеют отказоустойчивость = 1 (например, датчик с дублированной электроникой или дублированным сенсором, или клапан с двойным соленоидом).

Однако, дублирование электроники и соленоидов не будет означать дублирование импульсных линий для датчиков и механической части для клапанов, тем самым не гарантируя такой же степени надежности, как в случае использования двух отдельных устройств.

[andrmur]

Однако, дублирование электроники и соленоидов не будет означать дублирование импульсных линий для датчиков и механической части для клапанов, тем самым не гарантируя такой же степени надежности, как в случае использования двух отдельных устройств.

Еще раз -- системы защиты не призваны обеспечить надежность!!! уже писал неоднократно! :evil:
Они призваны защитить здоровье и жизнь человека а также окружающую среду (что тоже есть косвенным образом здоровье человека).

Хрен с ним - с оборудованием! Еще раз купим, если сломается.

Поэтому, надежность не главное!
Безопасность важнее в миллион раз.

Другими словами, устройство может быть ненадежным и при этом безопасным.
Клапан может ломаться каждый день, и при этом он должен, ломаясь каждый раз, переходить в безопасное состояние (закрытое).

И тогда, с точки зрения международного сообщества вообще и МЭК в частности, такой клапан заслуживает присвоения ему медали категории SIL.

Что касается импульсных трубок и другого механического оборудования и металлоконструкций, то безопасность технологических процессов закладывается на стадии проектирования самой технологии.
На этой стадии технологи должны просчитывать, нужно ли им обеспечить средства пассивной защиты, и дублирование элементов. Если снизить риск аварии технологическими и механическими средствами не удается, то тогда риск далее снижают посредством электронных программируемых систем ПАЗ.

[pike]

Я могу привести примеры использования контроллеров AB в нефтегазе, реализующих те самые safety-функции, последние на моей практике: резервированные SLC-5/05, у которых для контуров, где проектировщиком заложен уровень безопасности SIL-1, входные аналоговые сигналы продублированы аппаратными блоками сравнения сигнала 4..20mA с заданной уставкой (trip amplifier), дискретные входные и выходные каналы продублированы релейными сборками с последовательным включением в цепь (отключение оборудования по низкому уровню сигнала при разрыве цепи) - в составе систем управления газовыми компрессорами, а также GuardPLC (предшественник GuardLogix) - не резервированный, но с аналоговыми контурами, продублированными аппаратными блоками аналогично предыдущему случаю - в составе системы управления бустерными нефтяными насосами.

GuardPLC использовался потому, что использовались в программе safety-инструкции (и если да то какие, из какой группы) или же по тому что у контроллера есть магическая бумажка с SILх и из любви к AB?

PS Вопрос без подвоха - самому приходилось "натягивать" оборудование на задачу и по политическим мотивам, и из необходимости стандартизации оборудования.

[Vadim Legenkin]

GuardPLC использовался потому, что использовались в программе safety-инструкции (и если да то какие, из какой группы) или же по тому что у контроллера есть магическая бумажка с SILх и из любви к AB?

PS Вопрос без подвоха - самому приходилось "натягивать" оборудование на задачу и по политическим мотивам, и из необходимости стандартизации оборудования.

И по политическим мотивам, и из необходимости стандартизации оборудования :D
Фирма-производитель насосов захотела перестраховаться и выделить safety-логику в отдельную подсистему на сертифицированном SIL контроллере, и поскольку на этапе проектирования были заложены определенные требования к однородности применяемых средств автоматизации: Yokogawa CS3000 на уровне PCS, Yokogawa ProsafePLC на уровне ESD и F&G и Allen-Bradley на уровне локальных UCP, то выбор был сделан в пользу GuardPLC.
Никаких специальных инструкций в логике safety-PLC не использовалось, поскольку проектировщик при всем этом даже не рассчитывал уровень SIL для safety-контуров :D

[ZhuravlevAI]

Кроме того, в компанию RA входит подразделение ICS Triplex (http://www.icstriplex.com/), которое выпускает специализированную СПАЗ под названием Trusted, основанную на технологии TMR (тройное резервирование) и HIFT (аппаратно реализованное резервирование).

Это единственный конкурент Triconex в классе троированных СПАЗ.

А вот и не правда Ваша. Ещё у GE есть система 2оо3. И ещё у кого-то, не помню кого. Найду - скажу.

[ZhuravlevAI]

Резервирование, как правило, не повышает SIL (безопасность), а повышает степень эксплуатационной готовности.

А как вам такое: по нашему ПБ09-540-03 п.6.3.10 "Надёжность систем ПАЗ обеспечивается аппаратурным резервированием различных типов (дублирование, троирование) ...", а по ГОСТ Р 61508 (читай IEC 61508) п.3.5.2. про полноту безопасности сказано так - данное определение фокусируется на надёжности систем, связанных с безопасность, при выполнении функций безопасности.

[Jackson]

Резервирование, как правило, не повышает SIL (безопасность), а повышает степень эксплуатационной готовности.

А как вам такое:

Так ведь все правильно. Пишут ведь:

ПБ09-540-03 п.6.3.10 "Надёжность систем ПАЗ обеспечивается аппаратурным резервированием различных типов (дублирование, троирование) ..."

Ключевое - нажежность системы ПАЗ, а не безопасность объекта в целом. От надежности ПАЗ безопасность объекта конечно улучшается, но только косвенно. Резервирование в системе повышает надежность системы, а как это отразится на всём объекте - это зависит и от системы и от объекта, может и никак не отразиться.

а по ГОСТ Р 61508 (читай IEC 61508) п.3.5.2. про полноту безопасности сказано так - данное определение фокусируется на надёжности систем, связанных с безопасностю, при выполнении функций безопасности.

Ровно то же самое, но более развернуто в части применения. Надежность при выполнении функций безопасности при резервировании увеличивается. Функции в рамках системы ПАЗ более надежно выполняются. А про надежность объекта - ни слова, и это правильно, потому как см.выше.

Господа, о чем спор? :)

[ZhuravlevAI]

Однако, дублирование электроники и соленоидов не будет означать дублирование импульсных линий для датчиков и механической части для клапанов, тем самым не гарантируя такой же степени надежности, как в случае использования двух отдельных устройств.

Еще раз -- системы защиты не призваны обеспечить надежность!!! уже писал неоднократно! :evil:
Они призваны защитить здоровье и жизнь человека а также окружающую среду (что тоже есть косвенным образом здоровье человека).

Хрен с ним - с оборудованием! Еще раз купим, если сломается.

Поэтому, надежность не главное!
Безопасность важнее в миллион раз.

Другими словами, устройство может быть ненадежным и при этом безопасным.
Клапан может ломаться каждый день, и при этом он должен, ломаясь каждый раз, переходить в безопасное состояние (закрытое).

И тогда, с точки зрения международного сообщества вообще и МЭК в частности, такой клапан заслуживает присвоения ему медали категории SIL.

Это так называемый безопасный отказ. А есть ещё опасный отказ, то есть несработка в нужный момент. Вот тут-то и поможет резервирование.

[andrmur]

Это так называемый безопасный отказ. А есть ещё опасный отказ, то есть несработка в нужный момент. Вот тут-то и поможет резервирование.

Резервирование может помочь, а может и не помочь.
Чтобы понять это, надо прочесть стандарты 61508 и 61511, или пройти краткие курсы.

SIL как раз и характеризует вероятность ОПАСНОГО отказа.
А главный параметр, определяющий соответствие любого устройства требованиям безопасности, это PFDavg -- средняя вероятность опасного отказа в случае возникновения аварийной ситуации.

Стандарт 61511 определяет зависимость между SIL, отказоусточивостью, диагностическим покрытием и доли безопасных отказов.
Если устройство имеет низкое диагностическое покрытие и низкую долю безопасных отказов, то единственный способ поднять SIL (или PFDavg, что одно и то же), это повысить уровень отказоустойчивости.

А уровень отказоустойчивости поднимается только уровнем аппаратной избыточности, то есть резервированием.

И далеко не факт, что дублирования будет достаточно, как это пишет ПБ.

С другой стороны, если устройство имеет высокое диагностическое покрытие и высокую долю безопасных отказов (>90%), то достичь требуемого SIL можно и с уровнем отказоустойчивости = 0 (то есть без резервирования).

Короче, рекомендую припасть к источнику, если кому-то интересно понять зависимость безопасности от надежности.

[ZhuravlevAI]

Резервирование, как правило, не повышает SIL (безопасность), а повышает степень эксплуатационной готовности.

Если устройство имеет низкое диагностическое покрытие и низкую долю безопасных отказов, то единственный способ поднять SIL (или PFDavg, что одно и то же), это повысить уровень отказоустойчивости.

А уровень отказоустойчивости поднимается только уровнем аппаратной избыточности, то есть резервированием.

Обе фразы принадлежат Вам, Андрей :)

[ZhuravlevAI]

Опасность объекта не изменится, что бы мы ни делали с системой ПАЗ или с системой связанной с безопасностью, как её называют в 61508. Мы можем только снизить риск возникновения опасной ситуации (или аварии или нанесения ущерба - кому как нравиться). Резервированием или избыточностью (дублированием, троированием, четверированием и т.д.) мы добиваемся увеличение надёжности. А значит повышаем отказоустойчивость, а значит повышаем SIL.
Другое. Когда клапан ломается каждый день, и при этом выполняет свою функцию по безопасности. Увеличивая долю безопасных отказов, допустим >90%, мы уменьшаем долю опасных отказов. Но не уменьшаем их количества. А поэтому и присвоения ему медали SIL считаю несправедливым :)

[ZhuravlevAI]

А ещё такой вопрос. Система ПАЗ, в нашем российском ПБ-шном понятии, и "система, связанная с безопасностью", в понятии 61508, можно ли говорить, что это одно и то же?

[andrmur]

Обе фразы принадлежат Вам, Андрей :)

А Вы заметили, что я не случайно написал "как правило"?
Противоречия нет.

[andrmur]

А ещё такой вопрос. Система ПАЗ, в нашем российском ПБ-шном понятии, и "система, связанная с безопасностью", в понятии 61508, можно ли говорить, что это одно и то же?

В понятии Ростехнадзора, СПАЗ призвана предотвращать аварии, а в понятии МЭК Safety Instrumented System (SIS) призвана защищать здоровье и жизнь человека.

Это не совсем одно и то же, хотя и близко связанные вещи.
Разница в том, что МЭК ничуть не заботится о исправности оборудования -- ну сломается насос, ну и фиг с ним. Главное, чтобы человек не пострадал.

А Ростехнадзор не очень заботится о человеке -- главное, чтобы оборудование осталось целым ;-)

[ZhuravlevAI]

Обе фразы принадлежат Вам, Андрей :)

А Вы заметили, что я не случайно написал "как правило"?
Противоречия нет.

Политик. Не придерёшься. Всегда прав :)

[ZhuravlevAI]

В понятии Ростехнадзора, СПАЗ призвана предотвращать аварии, а в понятии МЭК Safety Instrumented System (SIS) призвана защищать здоровье и жизнь человека.

Это не совсем одно и то же, хотя и близко связанные вещи.
Разница в том, что МЭК ничуть не заботится о исправности оборудования -- ну сломается насос, ну и фиг с ним. Главное, чтобы человек не пострадал.

А Ростехнадзор не очень заботится о человеке -- главное, чтобы оборудование осталось целым ;-)

Я не про это. И позвольте не согласиться (отчасти). Просто я примеРяю 61508 к нашему ПБ. В 61508 есть определение Системы связанной с безопасностью - система которая реализует функции безопасности, требующиеся для того, чтобы достигнуть и поддерживать безопасное состояние для управляемого оборудования. В ПБ определение ПАЗ вообще отсутствует. Но есть фраза "прекращающая развите опасной ситуации". Я просто хочу узнать где-нибудь в нашем документе, законе есть определение ПАЗ, чтобы понять можнот его считать тем же что и в 61508 "система связанная с безопасностью".