Функциональная безопасность в процесс-технике – это вопрос, который вышел на первый план с момента вступления в силу IEC 61508. Очень часто она обозначается простой аббревиатурой SIL. Но что такое на самом деле SIL и как это может быть использовано при управлении арматурой?
Цель функций безопасности – минимизация рисков воздействия, вызванных процессами на людей, окружающую среду и имущество.
SIL (Safety Integrity Level) описывает степень снижения риска до разумного уровня. IEC 61508 объясняет методы оценки рисков и определяет требуемые для разработки изделий подходящие функции безопасности, от датчиков и логических цепей до приводов, для предотвращения (systematic errors) и контроля ошибок (random errors). Этот зависящий от применения базовый стандарт описывает требования к компонентам и системам для функций безопасности и способствует разработке отраслевых стандартов, таких как IEC 61511-1: Functional safety – Safety instrumented systems for the process industry sector. IEC 61511-1 устанавливает, среди прочего, критерии для выбора компонентов для осуществления функций безопасности, таких как эксплуатационная надежность датчиков и приводов.
Требования по возможности отказов по IEC 61508 всегда применяются к комплексным устройствам защиты, а не к отдельным компонентам. Следовательно, компонент сам по себе не может обладать уровнем защиты SIL, им может обладать только контур безопасности или SIS (Safety Integrated System).
Как правило, контур безопасности состоит из следующих компонентов:
• датчики давления, температуры, уровня;
• контроллер и ячейки вывода, в т. ч. PLC безопасности;
• автоматизированная трубопроводная арматура, состоящая из соленоидного клапана, привода, арматуры.
Стандарты для функциональной безопасности обширны и не всегда просты для понимания, даже для опытных пользователей. В этой статье мы сфокусируемся на интерпретации и практическом применении этих стандартов, но без детального разбора.
Существуют следующие стандарты:
• IEC 61508: Functional Safety of Electrical/Electronic/ Programma- ble Electronic Safety-related Systems. Базовый стандарт для SIL
• EN 61511 Functional Safety – Safety Instrumented Systems for the Process Industry Sector.
Применяется по отношению к процесс-технике.
Для минимизации рисков и IEC 61508, и IEC 61511 требуют выполнения следующих шагов:
• определение рисков и их оценка в соответствии с детальными вероятностями отказов для всего оборудования: от датчиков до контроллеров и приводов в течение всего срока эксплуатации компонентов;
• определение и реализация мер для минимизации остаточных рисков;
• использование подходящих устройств (рассчитанных либо сертифицированных);
• регулярные проверки и испытания для обеспечения корректного соблюдения функций безопасности.
Угрозы определяются как потенциально критические отклонения от плана производства продукции. Другими словами, угрозы представляют собой опасности, которые имеют реальную или потенциальную угрозу. HAZOP (Hazard and Operability Study) используется для систематической идентификации ошибок и операционных проблем, снижающих производительность. В наши дни этот метод может быть применим для всех типов систем, как для непрерывных, так и прерывающихся процессов. Базовые шаги в HAZOP-анализе:
• предсказание возможного результата;
• исследование причин;
• оценка последствий;
• контрмеры.
Примеры других методов, используемых для расчетов рисков: Failure Mode and Effects Analysis – анализ видов и последствий отказов (FMEA), Event Tree Analysis – метод дерева событий (ETA), или Fault Tree Analysis – анализ дерева отказов (FTA). Эти методы могут быть разделены на три группы: индуктивные методы – известны причины, а не последствия; дедуктивные методы – такие как FTA, где известны последствия, но не причины; и исследовательские методы, такие как HAZOP, где не известны ни причины, ни последствия. Для поиска недостающей информации используются разные методы.
Эти методы можно далее подразделить на поиск снизу вверх и поиск сверху вниз. «Снизу вверх» означает, что надо начать с критической ошибки и попытаться определить последствия (FMEA). Поиск по принципу «сверху вниз» начинается с опасных последствий и пытается определить причины (FTA).
HFT
Отказоустойчивость оборудования. Относится к способности выполнять функцию безопасности даже в случае (множественных) ошибок и отклонений. Если требуемый SIL не может быть достигнут на основе этих значений, SIL может быть достигнут с помощью резервирования.
SFF (доля безопасных отказов). Определяет долю безопасных отказов от общего числа отказов. Безопасные отказы – это отказы, которые не вызывают опасное состояние системы или могут вызвать опасное состояние системы, но не обнаруживаются.
Соответствие продукта требуемому уровню SIL можно определить по нескольким параметрам:
Low Demand. Режим работы с низкой частотой запросов на активацию системы безопасности. Требований для активации системы безопасности не может быть более одного раза в год.
sPFD (вероятность отказа на запрос), данная вероятность основана на событии.
Цель: SIL ≥ SILr
High Demand. Режим работы с высокой частотой запросов или постоянных запросов для активации системы безопасности. Система безопасности работает непрерывно или требует активировать систему безопасности более одного раза в год.
aPFH (вероятность отказа в час). Данная вероятность основана на времени.
Тип устройства A/B
Тип A: поведение при отказе всех компонентов достаточно описано. К этому типу относятся простые (новые) устройства, а также устройства с проверенной производительностью.
Тип B: поведение при отказе хотя бы одного компонента полностью неизвестно. К этому типу относятся как сложные устройства, так и новые продукты.
Системным операторам требуется подтверждение классификации SIL-компонентов, используемых в SIS (инструментальная система безопасности). Согласно IEC 61511 декларации производителя вполне подходят для этого. Сертификаты не требуются ни по закону, ни по стандартам. Для выдачи декларации или сертификата производителя необходима техническая оценка используемого компонента безопасности. Эта оценка часто проводится независимой организацией, такой как TÜV или Exida. Если оценка прошла успешно, производитель может оформить декларацию производителя и сослаться на отчет об испытаниях.
В реакторе-смесителе различные компоненты подаются через клапаны V1 и V2 и реагируют посредством подводимого тепла (эндотермически) или выделения тепла (экзотермически). Содержимое тщательно перемешивается. Во время экзотермических реакций следует избегать перегрева.
На приведенной ниже схеме (рис. 5) регулирование давления для процесса реакции является примером функции, требующей защитного устройства. Если давление в реакторе становится слишком высоким, тепло может не рассеиваться должным образом и вызвать неисправность. В результате перемешивание будет некорректным.
В отличие от заявлений производителя, сертификаты могут быть выданы только аккредитованной организацией (например, TÜV). Чем безопаснее должна быть система, тем более независимым должен быть субъект, оценивающий функциональную безопасность и проводящий оценку. Этот сценарий повлечет за собой следующее требование к защитному устройству: закрыть подающие клапаны V1, V2 и паровой клапан V5, одновременно открывая охлаждающий клапан V4 для охлаждения реактора. В зависимости от классификации рисков существуют разные варианты решения указанной проблемы.
Если линия PROFIBUS удалена или узел PROFIBUS неисправен, подключается вторая линия / узел PROFIBUS. Они продолжат надежно отправлять и получать протоколы системы управления.
Рабочий режим активируется через модули Fieldbus и пневмоостров с последовательно расположенными приводами. Пневмоостров имеет отдельное питание для ПЛК безопасности, который приводит в действие отдельные клапаны. Дополнительное преимущество – доступ к удаленному вводу/выводу можно получить непосредственно на месте через контроллер с интерфейсом Ethernet и можно выполнить параметризацию или реализовать дополнительные процессы. Проверенная технология удаленного ввода/вывода с модулями ввода для подключения датчиков NAMUR надежно берет на себя задачи уровня управления. Модульные пневмоострова вместе с пневмоостровами с классом SIL2 являются компактной альтернативой.
Пневмоостров также активирует исполнительные механизмы, которые безопасно останавливают процесс. Это решение подходит для цепей SIL 2. Для повышения уровня безопасности также существует возможность подключения клапанов с резервированием.
В рабочем режиме пневмоостров активируется через промышленную шину и управляет исполнительными механизмами. Кроме того, пневмоостров имеет отдельное питание для ПЛК безопасности, которое приводит в действие клапаны на пневмоострове для аварийного отключения. Сброс происходит через дополнительный 3/2-ходовой клапан, который работает в нормальном режиме, что предотвращает открытие обратных клапанов, установленных в ответвлениях.
Рабочий режим активируется через полевую шину и пневмоостров и используется для управления приводами в полевых условиях. Кроме того, отслеживая давление, обеспечивается безопасность положения клапана сброса. Он также управляет приводами в случае, если необходимо безопасно остановить процесс. Это решение подходит для цепей SIL 2. Для повышения уровня безопасности есть возможность переключения клапанов с резервированием.
Сертифицированный отдельный клапан, установленный на том же приводе, напрямую приводится в действие ПЛК безопасности и при необходимости безопасно отключается. Эти клапаны могут использоваться в цепях безопасности до уровня SIL3.
Глобализация, особенно в химической промышленности, вынуждает компании постоянно повышать производительность своих систем. Это в основном сделано для того, чтобы компенсировать падение цен на рынке и сохранить конкурентоспособность. Поскольку современные технологические системы в значительной степени оптимизированы, повышенный уровень производительности может быть достигнут только с надежно работающей высокопроизводительной системой без простоев. Это означает сокращение числа осмотров и времени осмотра, а также сокращение простоев или предотвращение простоев, вызванных ремонтами, выполненными вне графика технического обслуживания.
Одним из способов достижения этого является использование надежных электрических компонентов контрольно-измерительной техники и управления, таких как соленоидные клапаны, которые сертифицированы в соответствии с IEC 61508.
Однако даже сертифицированные соленоидные клапаны существенно различаются по характеристикам и характеристикам безопасности. На рынке доступно множество решений с соленоидными клапанами для систем безопасности, особенно для режима Low demand. Многие из этих решений имеют ограниченный срок службы или специальные требования в случае простоя или количества циклов переключения, необходимых в год, чтобы соответствовать требованиям безопасности.
Повышение надежности – необходимое условие для увеличения интервалов проверки. Это также означает, что можно сэкономить большие суммы денег. На нефтеперерабатывающих заводах давно принято проводить остановки только раз в пять лет. Высокий уровень надежности достигается прежде всего благодаря философии «два из трех» (2oo3) и поддерживается резервированными системами и устройствами. Этот более дорогой вариант окупается за счет высокой производительности этих систем. Это не всегда относится к химическим предприятиям. В настоящее время предприятия пытаются достичь уровня надежности, аналогичного уровню надежности резервируемых компонентов, за счет использования сертифицированных высоконадежных устройств (электродвигателей, преобразователей, контроллеров, соленоидных клапанов или даже технологических клапанов).
На рынке доступны управляемые тарельчатые соленоидные клапаны с разрешением TÜV согласно IEC 61508 до SIL 3 включительно. Эти клапаны, в соответствии с последней классификацией SIL, гарантируют вероятность отказа 2,41 E-4. Другими словами, при правильном использовании за 2410 циклов переключения произойдет максимум одна ошибочная операция.
Электромагнитные клапаны с сертификатом SIL используются с 2002 года. Электромагнитные клапаны, созданные с этого периода и используемые с тех пор, прошли проверку на их первоначальный уровень безопасности в ходе лабораторных испытаний. Это означает, что теперь существуют электромагнитные клапаны с сертификатом SIL, для которых не требуется ограничение по времени в сертификате. Когда эти соленоидные клапаны были повторно испытаны в лаборатории, было показано, что соленоидные клапаны тарельчатого типа имеют почти такое же короткое время переключения даже после более чем 12 лет использования и даже по сравнению с новыми клапанами. Кроме того, полностью обеспечивается их герметичность снаружи и вокруг седла.
Если меры, описанные в разделе «6. Проверенная производительность и увеличенный срок службы на примере электромагнитного клапана», недостаточны, электромагнитные клапаны также могут быть соединены между собой с учетом резервирования (HFT1 или HFT2), как описано выше. Безопасность и доступность процесса всегда имеют первостепенное значение при использовании средств резервирования. Текущие схемы безопасности в технологическом проектировании: 1oo2 (один из двух), 2oo2 (два из двух) и 2oo3 (два из трех). Они используются при производстве и переработке ценных и опасных веществ, таких как сырая нефть, природный газ, химикаты и т. д.
Чтобы обеспечить резервирование в случае отказа клапана, системы устанавливаются в критически важных точках для безопасности или процесса. Их компактная конструкция снижает стоимость трубопроводов, а также снижает вероятность утечек в системе. Это экономит средства при сборке и эксплуатации.
При схеме 1oo2 два клапана соединены последовательно. Оба находятся под напряжением во время работы. Если клапан или один из управляющих сигналов выходит из строя во время работы, вся система обезвоздушивается, чтобы защитить ее от последующего повреждения. Линии конвейерных лент часто требуют подобного уровня безопасности.
При схеме 2oo2 два клапана подключаются параллельно. Оба находятся под напряжением во время работы. Если клапан или один из двух управляющих сигналов выходит из строя во время работы, установка остается активной и вся система продолжает работать. Например, для охлаждающих контуров требуется повышенная доступность.
Схема 2oo3 сочетает в себе повышенную безопасность и повышенную доступность. Преимущество заключается в том, что работоспособность отдельных клапанов можно проверить во время работы без активации привода. Эта комбинация клапанов используется в критически важных системах в нефтегазовой промышленности, а также на нефтеперерабатывающих заводах.
Блок NAMUR позволяет установить два соленоидных клапана со схемой расположения портов по NAMUR. Интерфейсы NAMUR упрощают реализацию резервирования. Преимущества: низкие затраты на ЗИП и простая замена электромагнитных клапанов.
Блок NAMUR может быть установлен непосредственно на неполноповоротные приводы с использованием интерфейса NAMUR. Возможна также удаленная установка на трубках.
Есть комбинация, которая обеспечивает максимальную безопасность и доступность одновременно. Эта так называемая система 2oo3 сочетает в себе обе технологии и отвечает самым высоким требованиям к системе. Стандартные клапаны устанавливаются на блоке через интерфейс NAMUR в соответствии с VDI / VDE 3845.
Эта комбинация означает, что блок устанавливается только один раз, а клапаны заменяются через интерфейс NAMUR по мере необходимости согласно заданному ресурсу клапанов. Кроме того, систему 2oo3 можно байпасировать через четвертый клапан. Этот байпас можно разблокировать только с помощью ключа, чтобы можно было проводить техническое обслуживание во время работы. Индикаторы давления, установленные непосредственно на клапанном блоке, всегда дают надежную и быструю индикацию, если клапан находится под давлением.
В данной статье мы рассмотрели базовые понятия, связанные с функциональной безопасностью (SIL), а также несколько конкретных примеров выстраивания архитектуры функциональной безопасности на базе автоматики Festo. Специалисты нашей компании обладают глубокими познаниями в области функциональной безопасности, основываясь на огромном опыте внедрения подобных схем на производствах по всему миру. В случае возникновения вопросов или для получения консультации просим связываться с инженерным департаментом.
Размещено в номере: Вестник арматуростроителя, № 1 (63)