Механизмы деградации систем безопасности и действия при отказах, по мнению ТУ
Таким образом, общее правило состоит в следующем:
Постоянная одноканальная работа системы защиты для объектов I и II категории взрывоопасности запрещена.
Сказанное означает, что для объектов I и II категории взрывоопасностипри частичной потере исходной конфигурации программно-управляемая защита процесса возможна только для архитектур 2ооЗ и 1оо2D,причем с резервированием сенсоров и исполнительных устройств, определяющих безопасность процесса.
.
Разрешение технадзора подразумевает право на применение технических устройств на объектах всех категорий взрывоопасности. Поэтому технические решения по выбору архитектуры системы защиты для конкретного технологического объекта должны быть обоснованы в Техническом задании на создание АСУТП.
Техническое задание в обязательном порядке согласовывается с территориальными органами Ростехнадзора. Вне зависимости от наличия и содержания западных сертификатов. Разрешение Ростехнадзора имеет безоговорочный приоритет.
Архитектура системы оказывает основное влияние на общий уровень безопасности. Архитектура также определяет надежность системы. Ниже приводятся некоторые решения, которые необходимо сделать при определении архитектуры:
• Выбор идентичного или альтернативного резервирования для сенсоров, логических решающих устройств, и исполнительных элементов;
• Выбор избыточности для источников и блоков питания;
• Выбор компонентов интерфейса оператора (например, станция технолога-оператора, оперативные панели системы про-тивоаварийной защиты, кнопки, извещатели) и метод взаимосвязи с системой защиты;
• Выбор сопряжений между системой защиты и другими системами, например, РСУ, и метод доступа (например, "только чтение"или "чтение/запись").
Архитектуры, которые могут удовлетворять требованиям взрывобе-зопасности различного уровня, включают следующее.
Для объектов III категории взрывоопасное™ (81Ь2 и КС4)от
системы требуется наличие самодиагностики, сторожевого таймера. Дополнительно не исключается возможность резервирования сенсоров, и с одним конечным управляющим устройством.
Приемлемый вариант по согласованию с территориальным органом Ростехнадзора - выделенное резервированное оборудование РСУ с резервированием модулей ввода-вывода, ЦП, сетевых плат, источников питания.
Для объектов I и II категории взрывоопасности (81ЬЗ и КС5-6)
классический выбор - системы защиты с архитектурами 1оо2Б и 2ооЗ с дублированием сенсоров и управляющих устройств.
Для объектов всех категорий взрывоопасности настоятельно рекомендуется применение системы обслуживания полевого оборудования - Р!ап( А$8е1 Мапа%етеп1 8уз1ет. Для объектов I и II категории взрывоопасности это должно быть обязательное требование. Авторское понимание данной проблемы отражает таблица 8.13.
Существует множество поставщиков оборудования, "инжиниринговых" фирм, собственных разработчиков предприятия, которые способны заложить контроллер, который, судя по рекламным проспектам, выставкам и презентациям, вроде бы вполне отвечает требованиям безопасности. Но при этом не поясняется, что под безопас-, ностью, в том числе понимается и ложное срабатывание. Например, одноканальная система может ] 0 раз в месяц останавливать процесс по ложной причине, и отвечать требуемому классу безопасности, обеспечивая "безаварийный", ничем не контролируемый физический останов. И при этом мгновенно перезапускаться и демонстрировать потрясающую "готовность" к новому останову процесса! Более того, стереотип мышления, навязанный неуемной дилетантской или преднамеренной рекламой достоинств ПЛК, приводит к тому, что заказчик совершенно упускает из виду, либо оставляет "на потом" решение вопросов, которые как раз-то и являются первостепенными - модернизация полевого оборудования.
