You are on page 1of 7

СТАНДАРТИЗАЦИЯ И СЕРТИФИКАЦИЯ

Критерии выбора
компонентов с уровнем SIL 3
для РСУ и систем ПАЗ
в соответствии
со стандартами МЭК
Часть 3

Глизенте Ландрини

В настоящей статье описаны критерии выбора компонентов для использования


в распределённых системах управления (РСУ) и различных системах обеспечения
безопасности с уровнями SIL 2 и SIL 3, рекомендованные в стандартах МЭК 61508
и 61511, а также даны практические примеры применения этих критериев.

П РИМЕР ИСПОЛЬЗОВАНИЯ обходимо точно определить, как опас& женных неисправностях или отказах не&
ДАННЫХ ИЗ РУКОВОДСТВА ные недетектируемые отказы, указан& обходимо информировать компанию&
ПО БЕЗОПАСНОСТИ ные в анализе FMEDA, могут быть вы& производителя.
ДЛЯ ВЫБОРА КОМПОНЕНТОВ явлены при проверочном тестировании Проверочный тест 1 включает этапы,
(обычно проводимом раз в год или каж& описанные в табл. 9. Этот тест выявля&
D1014S и D1014D – HART дые 5 или 10 лет). Проверочные тесты ет приблизительно 50% возможных
совместимые повторители должны выполняться квалифицирован& опасных недетектируемых отказов в
источника питания ными специалистами. О любых обнару& повторителе.
В табл. 6&8 приведены данные о Таблица 6
функциональной безопасности моду& Интенсивности отказов (для модулей D1014S и D1014D)
лей D1014S и D1014D из сертификата Интенсивность
Категории отказов
соответствия C&IS&183645&01 и отчёта отказов в FIT*
по верификации [5], подготовленных Суммарно обнаруживаемые опасные отказы (Fail Dangerous Detected) – λdd 158,31
..
сертификационным центром TUV. Опасные отказы, детектируемые внутренней диагностикой
1,89
или другим способом (Fail Dangerous Detected)
Двухканальный модуль D1014D мо&
Отказы с высоким уровнем (Fail High), детектируемые логическим
жет использоваться для повышения ус& 45,89
устройством системы безопасности
тойчивости к отказам, необходимой для Отказы с низким уровнем (Fail Low), детектируемые логическим 110,53
обеспечения более высоких уровней устройством системы безопасности
SIL функции безопасности, поскольку Суммарно недетектируемые опасные отказы (Fail Dangerous Undetected) – λdu 22,64
каналы в нём полностью независимы и Суммарно детектируемые безопасные отказы (Fail Safe Detected) – λsd 0
не содержат общих компонентов. При
Суммарно недетектируемые безопасные отказы (Fail Safe Undetected) – λsu 166,06
этом результаты анализа, полученные
для одноканального D1014S, пол& Недетектируемые безопасные отказы (Fail Safe Undetected) 0,68
ностью применимы для каждого из ка& Отказы, не оказывающие эффекта (No effect) 165,38
налов двухканального D1014D. Суммарная интенсивность отказов (функции безопасности) =
= λsd + λsu + λdd + λdu 347,01
Далее рассмотрим возможные прове&
Отказы компонентов, не являющихся частью
рочные тесты для выявления недетек& функции безопасности (Not Part) – λnotpart 15
тируемых опасных отказов. Суммарная интенсивность отказов (устройства) =
В соответствии с разделом 7.4.3.2.2 f = λsd + λsu + λdd + λdu + λnotpart 362,01
стандарта МЭК 61508&2 проверочный MTBF = MTTF + MTTR = 1/(λsd + λsu + λdd + λdu + λnotpart) + MTTR 315 лет
тест (Proof test) проводится для выявле&
MTTFS = 1/(λsd + λsu) 687 лет
ния опасных отказов, которые не детек&
MTTFD = 1/λdu 5042 года
тируются онлайновыми диагностичес&
88 кими средствами. Это означает, что не& * FIT (Failure In Time) = 10–9 в час (один отказ на 1 млрд·ч).

www.cta.ru © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru СТА 1/2010
С ТА Н Д А Р Т И З А Ц И Я И С Е Р Т И Ф И К А Ц И Я

Проверочный тест 2 включает этапы, Таблица 7


описанные в табл. 10. Этот тест выяв& Интенсивности отказов в соответствии с МЭК 61508 (для модулей D1014S и D1014D)
ляет приблизительно 99% возможных
Категория отказов λsd λsu λdd λdu SFF DCs* DCd*
опасных недетектируемых отказов в
повторителе. Интенсивность отказов 0,00 FIT 166,06 FIT 158,31 FIT 22,64 FIT 93,48% 0,00% 87,49%
* DC – диагностическое покрытие (уровень диагностики) опасных или безопасных отказов,
В ЫБОР МОДУЛЕЙ
обеспечиваемое логическим устройством системы безопасности для рассматриваемого модуля.
ДЛЯ РАЗЛИЧНЫХ СИСТЕМ DCs (диагностическое покрытие для безопасных отказов) = λsd / (λsd + λsu).
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ DCd (диагностическое покрытие для опасных отказов) = λdd / (λdd + λdu).
В приводимых далее примерах в каче& Таблица 8
стве компонентов рассматриваются раз& PFDavg для разных межтестовых интервалов Tproof и соответствие уровню SIL при разных
личные изделия компании GM Inter& вкладах модуля в общую функцию безопасности (для модулей D1014S и D1014D)
national, предназначенные для построе& При условии 10% вклада модуля При условии 20% вклада модуля
ния систем обеспечения безопасности. в общую функцию безопасности в общую функцию безопасности
Tproof = 1 год Tproof = 10 лет Tproof = 1 год Tproof = 2 года Tproof = 10 лет
Выбор реле с уровнем SIL 3 PFDavg = 9,91 E–05 PFDavg = 9,90 E–04 PFDavg = 9,91 E–05 PFDavg = 1,98 E–04 PFDavg = 9,90 E–04
для использования в системах Соответствует Соответствует Соответствует Соответствует Соответствует
аварийного останова SIL 3 SIL 2 SIL 3 SIL 3 SIL 2
или системах противопожарной
и газовой защиты Таблица 9
Реле для систем аварийного останова Этапы проверочного теста 1
или других подобных применений в Этапы Действия
нормальном режиме находятся во Байпасировать ПЛК системы безопасности или принять другие приемлемые меры для
1
включённом (активном) состоянии NE исключения ложных срабатываний
(контакты реле замкнуты), при аварий& Подать на повторитель HART команду для перевода токового выхода в состояние,
ном останове они обесточиваются соответствующее максимальному значению тока при отказе (high alarm current output),
и убедиться, что на аналоговом токовом выходе достигнуто именно это значение тока.
(контакты размыкаются). Реле для сис& 2 Этот тест предназначен для выявления таких проблем, как пониженное напряжение
тем противопожарной и газовой защи& питания в контуре или повышенное сопротивление соединительных кабелей.
Этот тест может выявлять и другие возможные проблемы.
ты или других подобных применений в
нормальном режиме находятся в вы& Подать на повторитель HART команду для перевода токового выхода в состояние,
соответствующее минимальному значению тока при отказе (low alarm current output), и
ключенном (неактивном) состоянии 3 убедиться, что на аналоговом токовом выходе достигнуто именно это значение тока.
ND (контакты реле разомкнуты), при Этот тест предназначен для выявления отказов, связанных с током в неактивном
состоянии.
срабатывании защиты они включаются
(контакты замыкаются). Эти две функ& 4 Восстановить контур для нормального функционирования
ции подобны по принципу работы (ре& 5 Отключить байпасирующий контур ПЛК системы безопасности
ле), но существенно различаются по
режимам работы, спецификациям, Таблица 10
Этапы проверочного теста 2
сертификации и применению.
Релейные модули D1092S (рис. 3) и Этапы Действия
D1093S (рис. 4) с уровнем SIL 3 явля& Байпасировать ПЛК системы безопасности или принять другие приемлемые меры для
1
ются компонентами типа А [1], каждый исключения ложных срабатываний
из которых содержит три резервиро& 2 Выполнить действия, описанные в этапах 2 и 3 проверочного теста 1 (табл. 9)
ванных реле и некоторые электронные Выполнить двухточечную калибровку (то есть в нижней и верхней точках шкалы)
компоненты для защиты реле и/или подключённого датчикаIпреобразователя и убедиться, что значения выходного тока
3 соответствуют указанным в спецификациях.
для обеспечения контроля состояния ДатчикIпреобразователь предварительно должен быть протестирован без повторителя и
линии и нагрузки. не должен иметь опасных необнаруженных неисправностей.
Из функциональных схем (рис. 3 и 4) 4 Восстановить контур для нормального функционирования
видно, что в первой группе из трёх кон& 5 Отключить байпасирующий контур ПЛК системы безопасности
тактов для NE&нагрузки контакты со&
единены последовательно, – это означа& Иными словами, для NE&нагрузки три Оба режима работы (с NE&нагрузкой
ет, что нагрузка будет отключена, даже последовательно соединённых релейных или ND&нагрузкой) можно реализо&
если работоспособно только одно из трёх контакта обеспечивают функцию безо& вать на одном и том же релейном моду&
реле (архитектура 1оо3); таким образом, пасности с уровнем SIL 3, в то же время ле D1092S при разном подключении
функция безопасности с уровнем SIL 3 остальные три контакта, соединённые его выводов.
гарантирована для NE&нагрузок. Другая параллельно, не обеспечивают никакую В случае использования ПЛК (или
группа из трёх контактов для ND&нагру& SIL&функцию (SIL 0); а для ND&нагруз& другого подобного устройства) для уп&
зок соединена параллельно – это означа& ки три параллельно соединённых релей& равления реле можно с помощью ПЛК
ет, что нагрузка будет включена, даже ес& ных контакта обеспечивают функцию контролировать линию до реле, но не&
ли работоспособно только одно из трёх безопасности с уровнем SIL 3, в то же возможно контролировать линию меж&
реле (архитектура 1оо3); таким образом, время остальные три контакта, соеди& ду реле и нагрузкой, поскольку ПЛК и
функция безопасности с уровнем SIL 3 нённые последовательно, не обеспечи& нагрузка гальванически изолированы
гарантируется для ND&нагрузок. вают никакую SIL&функцию (SIL 0). друг от друга посредством реле. Пре& 89
СТА 1/2010 © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru www.cta.ru
С ТА Н Д А Р Т И З А Ц И Я И С Е Р Т И Ф И К А Ц И Я

1+ Питание пост./
перем. тока
2– для нагрузки,
+9 3+ макс. 100 В
= пост. тока,
1 Питание 24 В – 10 4– 150 В
Выход 1@А = перем. тока
пост. тока + 11
2 NE@нагрузка
Диагнос@
+ 13 – 12
тика
+ нагрузки
Вход 1
14
– 3 Выход 15
Выход 1@В аварийной
4 ND@нагрузка 16
сигнализации 7+
Выход 1@В,
8– ND@нагрузка
+ 13 =
+
Вход 14 5+
= Выход 1@А,
– 6– NE@нагрузка

а а
Нормально включённая нагрузка (NE) Нормально включённое состояние (NE)

+/AC
Канал 1 +/AC
Контакты 1–5 и 2–6: Функция SIL 3 реализуется,
ПЛК 1 3 1 3 когда контакты в
Контакты 1–2: Функция SIL 3 реализуется,
Выход ВКЛ разомкнутом состоянии.
когда контакты в разомкнутом
24 В пост. тока 2 4 состоянии 5 7 Контакты 3–7: Размыкание контактов
может быть использовано
Контакты 3–4: Размыкание контактов может ПЛК
Канал 1 для мониторинга состояния
быть использовано для Выход ВКЛ контактов 1–5 и 2–6.
Нагрузка 1 Нагрузка 2 мониторинга состояния 24 В Нагрузка 1 Нагрузка 2 Нет SIL@функции.
контактов 1–2. Нет SIL@функции. пост. тока
Контакты 4–8: Соединены внутри модуля,
–/AC 6 8 состояние фиксировано.
Cоединены
внутри
2 4 модуля

Нормально выключенная нагрузка (ND) –/AC

+/AC
Канал 1
ПЛК 1 3 Контакты 1–2: Замыкание контактов может
Выход ВЫКЛ использоваться для мониторинга
0В 2 4 состояния контактов 3–4. Контакты 15–16: «Cухой» контакт для системы
+/AC
Нет SIL@функции. 15 обнаружения неисправности
Канал 1 линии нагрузки.
Контакты 3–4: Функция SIL 3 реализуется,
16 Может включаться
Нагрузка 1 Нагрузка 2 когда контакты в замкнутом
последовательно с другими
состоянии
релейными модулями для
–/AC общего мониторинга
б Нагрузка неисправностей.

Рис. 3. Релейный модуль D1092S: –/AC

а – функциональная схема; б – схемы применения б

Нормально выключенное состояние (ND)


одолеть это ограничение позволяет ре& ет уровню SIL 3
Контакты 1–5 и 2–6: Замыкание контактов может
+/AC
лейный модуль D1093S, который со& при межтестовом 1 3 использоваться для мониторинга
состояния контактов 3–7.
держит диагностическую схему для интервале Tproof, 5 7 Нет SIL@функции.

контроля линии и нагрузки, запитыва& равном 1 году, ПЛК


Контакты 3–7: Функция SIL 3 реализуется,
когда контакты в замкнутом
Выход
емую от отдельного источника 24 В или уровню SIL 2 ВЫКЛ Нагрузка 1 Нагрузка 2
состоянии.
0В Контакты 4–8: Соединены внутри модуля,
пост. тока. Для аварийной сигнализа& при межтестовом состояние фиксировано.
6 8 Cоединены
ции в этом модуле используется от& интервале 10 лет, внутри
2 4 модуля
дельное реле с нормально замкнутыми если его вклад в
–/AC
контактами, которые размыкаются при общую PFDavg
обнаружении неисправности. функции безо&
Для управления NE&нагрузками име& пасности SIF не Контакты 15–16: «Cухой» контакт для системы
+/AC
ется соответствующий уровню SIL 3 превышает 10%. 15 обнаружения неисправности
линии нагрузки.
релейный модуль D1092S!069 (рис. 5 а) Если же вклад 16 Может включаться
последовательно с другими
c одной группой нормально замкнутых и модуля в функ& релейными модулями для
общего мониторинга неисправностей.
одной группой нормально разомкнутых цию безопаснос& Нагрузка

контактов, что позволяет реализовать ти составляет в –/AC

функцию SPDT&реле (реле с одиночным 20%, то Tproof


контактом на два направления). Двухка& модуля для функ& Рис. 4. Релейный модуль D1093S:
нальным аналогом D1092S&069 является ции безопасности а – функциональная схема; б – схемы применения с NEEнагрузкой;
модуль D1092D!069, схема применения с уровнем SIL 3 в – схемы применения с NDEнагрузкой
которого приведена на рис. 5 б. увеличивается до
При выборе релейных модулей важно 2 лет, и это справедливо для каждого Выбор модуля дискретного
также учитывать характеризующую их ве& канала. ввода (DI) c уровнем SIL 3
личину межтестового интервала Tproof. Поскольку два канала полностью не& для контактных
зависимы, они могут использоваться в или бесконтактных датчиков
Выбор модуля аналогового архитектуре 1oo2, чтобы обеспечить Для того чтобы ПЛК системы без&
ввода (AI) с уровнем SIL 3 уровень SIL 4 для функции безопас& опасности, работающий с контактны&
для 2F/3Fпроводных ности при Tproof, равном 1 году, или ми датчиками («сухой» контакт), мог
датчиковFпреобразователей SIL 3 при Tproof, равном 10 годам. Ни обнаружить короткое замыкание или
Двухканальный искробезопасный один из подобных модулей других про& обрыв входной линии, к контакту не&
изолирующий повторитель источника изводителей не обеспечивает такой вы& обходимо подключить цепочку из пос&
90 питания D1014D (рис. 6) соответству& сокий уровень SIL. ледовательного и параллельного резис&

www.cta.ru © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru СТА 1/2010
С ТА Н Д А Р Т И З А Ц И Я И С Е Р Т И Ф И К А Ц И Я

Нормально включённое состояние (NE) и один общий управляющий сигнал от ПЛК для двух реле
Контакты 1–2: Функция SIL 3 реализуется, когда
+/AC
1 1 3 контакты в разомкнутом состоянии.
Выход 1@А
2 NE@нагрузка Контакты 3–4: Функция SIL 3 реализуется, когда
+ 13 2 4 контакты в замкнутом состоянии.
+ Контакты 5–6: Функция SIL 3 реализуется, когда
Вход 1 ПЛК
14 Выход ВКЛ контакты в разомкнутом состоянии.
– 3 24 В Нагрузка 1 Нагрузка 2 Контакты 7–8: Функция SIL 3 реализуется, когда
Выход 1@В пост. тока
4 ND@нагрузка контакты в замкнутом состоянии.
5 7

6 8

–/AC

а б
Рис. 5. Релейные модули: а – функциональная схема одноканального модуля D1092SE069;
б – схема применения двухканального модуля D1092DE069 с NEEнагрузкой

торов. Эти резисторы должны устанав&


ливаться непосредственно у контакта. =
=
3+
Канал 1 питание 12–24 В Выход 1
Портативный 4@
Поскольку «сухой» контакт является терминал = Портативный терминал
+ 14 1 + + +
простым электрическим аппаратом, не Вход 1
? =
мA RL
RL
мA
+
15 2 V
I – =
требуется какая&либо специальная сер& Двухпроводной
– –
Источник Источник

Приёмник
датчик тока напряжения тока
тификация для использования его во =
7+
= Канал 1 питание 12–24 В Выход 2
8@
взрывоопасных зонах. Портативный
терминал = Портативный терминал
В системах с уровнем SIL 3, если два ? + 10
=
5 + + + RL
+
Вход 2 11 6 мA RL мA
V
контакта не обеспечивают достаточ& I – = – – –
Двухпроводной Источник Источник Приёмник
ный уровень безопасности, необходи& датчик тока напряжения тока

мо использовать три контакта, соеди&


нённых параллельно при нормально
Рис. 6. Функциональная схема модуля D1014D
разомкнутом состоянии или последо&
вательно при нормально замкнутом
состоянии. Подобные условия приме&
3+
=
нимы и для искробезопасного интер& «Сухой»
=
4–
Питание 12–24 В пост. тока

контакт Проксимитор =
фейса с уровнем SIL 3, используемого с + 14
Интерфейс для проксимитора
1 + RL
=
контактными датчиками. Вход 1 15
=
2 мA
+
Выход 1
– –
Бесконтактные датчики положения
7+
(проксимиторы), производимые в на& =
= Питание 12–24 В пост. тока
«Сухой» 8–
стоящее время, сертифицируются до контакт Проксимитор = Интерфейс для проксимитора
+ 10 5 + RL
уровня не выше SIL 2, поскольку они Вход 2 11
=
6 мA
+
Выход 2
– = –
не имеют встроенной диагностики сво&
их цепей (низкое значение SFF). Одна&
ко производители этих датчиков декла&
рируют соответствие их уровню SIL 3. Рис. 7. Функциональная схема модуля D1034D
Почему? И как это возможно? Очень
просто: они рекомендуют включать
3+
=
между проксимитором и ПЛК системы Компенсация потенциала
холодного спая ТП =
4–
Питание 12–24 В пост. тока
Option 91 =
безопасности интерфейсный модуль, Вход 1 13
=
который способен обнаруживать опас& ТП ТП
14 1 +
мA RL
+
Выход 1
+ + 15 2 V
ный отказ проксимитора и таким обра& 16
= –
Источник

Источник
– –
зом повышает долю безопасных отка& =
тока напряжения
Компенсация потенциала =
зов SFF до уровня, соответствующего холодного спая ТП
Option 91 =
Вход 2 9
SIL 3. Примером такого интерфейса 10
=
5 + +
ТП ТП
является модуль D1034D (рис. 7), кото& + + 11 6 мA RL
V
Выход 2
= – –
рый обнаруживает опасные отказы лю& – –
12 Источник Источник
тока напряжения
бых проксимиторов, имеющих уровень
SIL 2, передаёт соответствующие сиг&
налы на ПЛК и светодиодный монитор Рис. 8. Функциональная схема модуля D1072D
и таким образом обеспечивает уровень
SIL 3. Контроль осуществляется по вы& нормально замкнутого проксимитора. печить уровень SIL 3 благодаря нали&
ходному току: 0 мА соответствует об& Таким образом, сигнал от датчика и чию сигнала контроля линии для
рыву цепи, а 8 мА – короткому замыка& сигнал контроля линии поступают на ПЛК, поступающего на один вход с
нию. В нормальных условиях выход& один и тот же вход ПЛК. сигналом датчика. Интерфейсные мо&
ной ток находится в пределах от 1 до Только интерфейсные модули дули других производителей исполь&
4 мА для нормально разомкнутого или D1034S или D1034D способны обес& зуют отдельный сигнал контроля ли& 91
СТА 1/2010 © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru www.cta.ru
С ТА Н Д А Р Т И З А Ц И Я И С Е Р Т И Ф И К А Ц И Я

токовый сигнал 4...20 мА для преобра&


3+
Компенсация потенциала
холодного спая ТП =
= Питание 24 В пост. тока зователя и имеет два релейных выхода
4@
Option 91
Вход 1 13
= для пороговых усилителей.
=
14 1 + +
ТП ТП
15 2 мA RL Выход 1
+ +
16
= – –
V
Выбор модуля дискретного
Источник Источник
– – тока напряжения вывода (DO) с уровнем SIL 3
5
6 Выход аварийного и питанием от внешнего
сигнала А
Set A

7
источника или от сигнального
8
Выход аварийного
сигнала В
контура для управления
Set B
исполнительными устройствами
NE и ND
Для управления искробезопасными
Рис. 9. Функциональная схема модуля D1073S
электромагнитными (ЭМ) клапанами
(исполнительными устройствами) не&
=
3+
Питание 24 В пост. тока
обходим искробезопасный интерфейс,
«Плюс» = 4–
ЭМ клапан
на общем
проводе Управление в то время как электромагнитные кла&

+ 13 2
Выход 1 = + Вход 1 паны с видом защиты «взрывонепро&
14 1 +
– ницаемая оболочка» или другим из
15
16 5
числа подобных ей могут управляться
ЭМ клапан Управление
– ПЛК через реле с уровнем SIL 3, по&
+ 9
Выход 2 10 7 +
+ Вход 2 скольку обычно они требуют не более

11
10 Вт для управления.
12 = 8 В искробезопасных системах воз&
Питание от шины,
«минус» на общем проводе (или «плюс»), можно несколько решений.
2 выходных канала (2 + 2 параллельно)
1. Модули с уровнем SIL 2, c питанием
Рис. 10. Функциональная схема модуля D1043Q
от внешнего источника, для NE&на&
грузок, без контроля состояния линии:
Выход 1 D1040Q, D1042Q, D1043Q (рис. 10).
ЭМ клапан 3+
+ ЭМ клапан 13 Диагнос@
тика
=
Питание 24 В пост. тока 2. Модули с уровнем SIL 3, с питанием
нагрузки = 4–
+ ЭМ клапан 14 Управление от внешнего источника, для NE&на&
+ 15 = 5 +
16 6
+
Вход 1 грузок, с контролем состояния ли&
– – – = –
Выход A Выход B Выход C
нии: D1049S или D1049D.
1+
2–
Транзисторный выход
аварийной сигнализации
3. Модули с уровнем SIL 3, с питанием
ЭМ клапан
Выход 2 от контура, для NE&нагрузок, с конт&
+ ЭМ клапан 9 Диагнос@ =
тика
нагрузки =
ролем состояния линии: D1048S или
+ ЭМ клапан 10 Управление
+ 11 = 7 + D1048D (рис. 11).
+ Вход 2
– – –
12
= 8

4. Модули с уровнем SIL 3, с питанием
Выход A Выход B Выход C от контура, для NE&нагрузок, без
контроля состояния линии: D1040Q,
Рис. 11. Функциональная схема модуля D1048D D1042Q, D1043Q.
5. Модули с уровнем SIL 3, с питанием
нии для ПЛК (уровень SIL 0). В этом ● реализация схемы голосования в ло& от контура, для ND&нагрузок, с
случае требуется дополнительный гическом устройстве ПЛК. контролем состояния линии: D1047S
вход у ПЛК системы безопасности, Преобразователь сигналов темпера& (рис. 12).
что существенно повышает общую турных датчиков D1072D (рис. 8) – это Наиболее востребован вариант моду&
стоимость системы. двухканальный полностью программи& ля с уровнем SIL 3 для управления ND&
руемый модуль. Он принимает сигна& нагрузкой. Он подразумевает наличие
Выбор интерфейсного модуля лы от термопар (ТП), термометров в модуле трёх цепей с общей архитекту&
для температурных датчиков сопротивления, измерительных потен& рой 1oo3, схемы голосования и схемы
(термопар, термометров циометров и преобразует их в стан& аварийной сигнализации. Диагности&
сопротивления, измерительных дартный токовый сигнал 4...20 мА. Два ческая схема в этом модуле должна пи&
потенциометров) таких модуля, используемых по схеме таться от отдельного источника 24 В
Различные производители предлага& резервирования, могут обеспечить реа& пост. тока, в то время как питание для
ют температурные датчики и измери& лизацию функции безопасности с управления клапаном поступает от
тельные потенциометры с уровнем уровнем SIL 3 в комбинации с ПЛК с ПЛК. Как уже говорилось ранее в раз&
SIL 2. Чтобы обеспечить функцию без& таким же уровнем SIL 3. деле о выборе реле с уровнем SIL 3,
опасности с уровнем SIL 3, для таких Другой модуль – D1073S (рис. 9) со& система противопожарной и газовой
датчиков необходимы: держит преобразователь сигналов тем& защиты, которая в нормальном состоя&
● дублирование датчиков для каждой пературных датчиков с уровнем SIL 2 и нии не активна (ND), не должна вклю&
измерительной точки; два пороговых усилителя. Это пол& чаться при безопасных отказах любых
● использование преобразователя сиг& ностью программируемый модуль. Он видов, поэтому ND&система активизи&
92 нала датчика с уровнем SIL 2; обеспечивает стандартный выходной руется только при аварийной ситуа&

www.cta.ru © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru СТА 1/2010
С ТА Н Д А Р Т И З А Ц И Я И С Е Р Т И Ф И К А Ц И Я

Для исключения наводок и помех в


Выход 1 линии нагрузки источник питания
ЭМ клапан 3+
должен быть с двойным импульсным
+ ЭМ клапан 13 Диагнос@ =
тика
нагрузки = 4–
Питание 24 В пост. тока преобразованием. Схема двойного им&
+ ЭМ клапан 14 Управление
+ 15 = 5 + пульсного преобразования обеспечи&
+
Вход 1
– – –
16
= 6

вает хорошую синусоидальную форму
Выход A Выход B Выход C 1+
Транзисторный выход
напряжения с малым уровнем гармо&
2– аварийной сигнализации ник. Кроме того, можно обеспечить ав&
томатическую коррекцию cos ϕ, чтобы
снизить потребление энергии из сети
переменного тока.
В качестве примера источника пита&
Рис. 12. Функциональная схема модуля D1047S
ния, который удовлетворяет всем пере&
PSD1210 PSD1210 численным требованиям и соответ&
ствует уровню SIL 3, можно привести
Схема Схема
изолированный источник PSD1210
= =
распреде@
ления
_
распреде@
ления
_
компании GM International (24 В пост.
тока тока
тока, 10 A). На рис. 13 приведена схема
включения источников питания
+ + – – CS – + L/+ N/– + + – – CS – + L/+ N/– PSD1210 в конфигурации «1+1».
Соединение для распределения
тока Рассмотрим один из способов расчё&
та вероятности отказа источника пита&
24 В пост. тока ния PSD1210 с выходом напряжения за
Выходная шина
Выход Вход Выход Вход верхний допустимый предел. В этом
аварийного питания 1 аварийного питания 2
сигнала 1 сигнала 2 способе используется дерево отказов,
Рис. 13. Включение источников питания PSD1210 в конфигурации «1+1» представленное на рис. 14. Когда ис&
пользуется дерево отказов, вероятность
PFD должна вычисляться для множе&
Выход напряжения за верхний предел (ОС)
ства временных интервалов (например,
& каждый час), а затем производится её
усреднение за интересующий период
Отказ источника c превышением Необнаруживаемый отказ защиты Необнаруживаемый отказ времени. На каждом шаге вероятность
напряжения (ОС PS) от превышения напряжения (ОP) защитного шунта (СВ)
отказа вычисляется следующим обра&
1 зом:
& PFDavg_OC_Sys = PFD_OC_PS ×
× PFD_OP × PFD_CB,
Необнаруживаемый отказ 1@го Необнаруживаемый отказ 2@го Отказ обоих защитных шунтов где:
защитного шунта (СВ1) защитного шунта (СВ2) по общей причине (СВ12) PFD_CB = PFD_CB1 × PFD_CB2 +
+ β × PFD_CB12,
Рис. 14. Дерево отказов с превышением допустимого напряжения источника питания PFD_OC_PS (Tproof = 1 год) =
= 1.84 E–04,
ции. Из этого следует, что в нормаль& кого к нулю значения. В таких случаях PFD_OP (Tproof = 1 год) = 9.64 E–05,
ном состоянии, когда отсутствуют за& резервный модуль берёт нагрузку на PFD_CB1 (Tproof = 1 год) =
просы на выполнение функции безо& себя. Однако при некоторых отказах = PFD_CB2 (Tproof = 1 год) =
пасности, модули не активны, поэтому напряжение, наоборот, выходит за = 2.10 E–04,
питание диагностических схем, кото& верхний допустимый предел и может PFD_CB12 (Tproof = 1 год) =
рое должно осуществляться непрерыв& достигать 60 В и более вместо номи& = 2.11 E–04,
но, производится от отдельного источ& нальных 24 В. Это может привести к β × PFD_CB12 (Tproof = 1 год) =
ника 24 В пост. тока. полному выходу из строя компонентов = 0,05 × 2.11 E–04 = 1.05 E–05,
системы безопасности, питающихся от откуда PFD_CB (Tproof = 1 год) =
О СНОВАНИЯ данного источника. = 1.06 E–05.
ДЛЯ ИСПОЛЬЗОВАНИЯ Чтобы избежать этого, в источнике В результате получим:
ИСТОЧНИКОВ ПИТАНИЯ должна быть предусмотрена защита от PFDavg_OC_Sys (Tproof = 1 год) =
С УРОВНЕМ SIL 3 перенапряжения с двойным или лучше = 18.8 E–14.
Источники питания ошибочно счи& тройным резервированием. Также
таются отказобезопасными, поскольку должны присутствовать резервирован& В МЕСТО ЗАКЛЮЧЕНИЯ
обычно они включаются параллельно с ные силовые диоды для обеспечения В заключение вернёмся к названию
целью резервирования. Это справедли& параллельного включения источников статьи. Компоненты с уровнем SIL 3
во только для отказов, приводящих к совместно со схемой распределения являются одними из самым распрост&
выходу напряжения за нижний допус& нагрузки, чтобы снизить риск сбоев ранённых в системах обеспечения без&
тимый предел, при которых выходное при автоматическом переключении па& опасности, примеры таких компонен&
94 напряжение падает до нуля или близ& раллельно включённых источников. тов приведены в статье. Однако важно

www.cta.ru © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru СТА 1/2010
С ТА Н Д А Р Т И З А Ц И Я И С Е Р Т И Ф И К А Ц И Я

понимать, что упомянутые в названии Более подробную информацию о Report R&IS&E&183645&01&D1014&Rev.1,


..
системы РСУ и ПАЗ, используя компо& принципах проектирования систем, July 31, 2008. – TUV Italia, 2008.
ненты такого уровня, сами не обяза& связанных с обеспечением безопас& 6. Функциональная безопасность систем,
тельно должны соответствовать только ности технологических процессов на связанных с обеспечением безопасности
SIL 3, а могут иметь и больший или взрывоопасных производствах, и ме& / Руководство по проектированию и об&
меньший уровень безопасности, что, в тодиках выбора компонентов для их служиванию. – GM International S.r.l.,
конечном счёте, определяется целым построения Вы можете найти в [6]. ● 2008. – 425 с.
рядом условий эксплуатации и тести&
рования, особенностями общей струк& Л ИТЕРАТУРА Автор — генеральный директор
туры системы и взаимодействия её 5. Analysis of module D1014 – Repeater Power компании GM International S.r.l.
компонентов и т.д. Supply (HART compatible) // Verification (Италия)

Новости ISA ландия). Также в Хьюстоне Kevin Dignam Открыта регистрация


Cтуденты Санкт*Петербургского государ* (Ирландия) избран председателем совета участников
ственного университета аэрокосмического вице*президентов округов, и он будет XI конференции
приборостроения – члены студенческой представлять этот совет в исполкоме ISA в QNXFРоссияF2010
секции ISA Георгий Куюмчев и Алексей течение 2010 года. Оргкомитет международной конферен*
Тыртычный приняли участие в работе Пер* Экономический кризис не обошёл ISA: ции QNX*Россия*2010 объявляет об откры*
вой студенческой научной конференции его бюджет на 2010 год составит 11,080 млн тии регистрации участников мероприятия.
ISA (ISA*USRC). Они прекрасно выступили с долларов США (16,859 млн долларов США Конференция QNX*Россия из года в год
научными докладами и были отмечены в 2008 году). Дефицит бюджета в 2009 го* становится ключевым событием в области
Почётными дипломами ISA. В работе кон* ду составил 1,948 млн долларов США. Ин* встраиваемых технологий и технологий ре*
ференции приняли участие специалисты из тересно, что 34% бюджета ISA приносит ального времени. Предстоящее мероприя*
6 стран. Руководил работой конференции институт повышения квалификации. С ян* тие состоится 22 апреля 2010 г. в Москве в
президент ISA профессор G. Cockrell. Кон* варя 2010 года будет выходить только 6 но* гостинично*деловом комплексе «Рэдиссон
ференция состоялась 6 октября в Хьюстоне меров журнала InTech в год. ISA будет вы* САС Славянская» и пройдёт под девизом
(штат Техас, США) в рамках IV молодёжно* пускать больше своих изданий в электрон* «Технологии будущего для реального вре*
го фестиваля ISA YAPFEST (Young Automa* ном формате. мени». Организаторами мероприятия вы*
tion Professionals Festival), который был Nelson Ninin (Бразилия) 1 января 2010 го* ступают компания SWD Software и компа*
включён в программу крупнейшей в Север* да вступает на пост президента ISA, кото* ния «СВД Встраиваемые системы».
ной Америке выставки и конференции ISA рый до этого занимал профессор Gerald Понимая потребность российского рын*
EXPO 2009. Cockrell. ка в комплексных и законченных встраива*
5 октября 2009 года в отеле Westin Профессор ГУАП Павлов Борис Алек* емых решениях, команда организаторов
Galleria в Хьюстоне во время 47*й ежегод* сандрович вступает на пост президента планирует собрать в числе партнёров кон*
ной церемонии награждения ISA Бобовичу Российской секции ISA 1 января 2010 года ференции компании, входящие в экосисте*
Александру Владимировичу, заместителю вместо члена*корреспондента РАН, про* му поставщиков платформ и инструментов
руководителя СЗЦИТ ГУАП, была вручена фессора Чубраевой Лидии Игоревны, срок для разработчиков таких решений. Почёт*
высшая премия ISA в области образова* полномочий которой истекает. ными гостями и ключевыми докладчиками
ния – Donald P. Eckman Award. Президентом студенческой секции ISA конференции станут представители компа*
В этот же день прошло ежегодное собра* ГУАП с 1 января становится студент Куюм* нии QNX Software Systems Ltd. (Канада),
ние делегатов ISA, в котором приняла учас* чев Георгий, выдвинутый ГУАП на конкурс разработчика операционной системы ре*
тие делегация округа 12. На собрании были «Лучший студент Санкт*Петербурга 2009» в ального времени QNX.
избраны руководители общества на оче* номинации «Лучший в научном и техничес* К участию в мероприятии приглашаются
редные сроки. Так, президентом*секрета* ком творчестве». ● представители компаний, выполняющих
рём избран H. Leo разработку, производство и эксплуатацию
Staples (США), он встраиваемых систем для промышленной
вступит в должность автоматизации, телекоммуникационных
президента ISA 1 янва* систем и сетевого оборудования, энергети*
ря 2011 года, вице* ки, машино* и приборостроения, ВПК,
президентом по стра* транспортной отрасли и автомобилестрое*
тегическому планиро* ния. Программа мероприятия будет интерес*
ванию избран Billy на ведущим разработчикам, главным инже*
Walsh (Ирландия), ко* нерам и архитекторам встраиваемых систем.
торый вступит в эту В рамках конференции запланировано
должность 1 января пленарное заседание, тематические сек*
2012 года. Напомним, ции, а также выставка с участием компа*
что вице*президентом ний*партнеров QNX. Участие в конферен*
по публикациям с 1 ян* ции бесплатное при условии прохождения
варя 2010 года стано* обязательной регистрации на сайте
вится Eoin O'Rian (Ир* Вручение А.В. Бобовичу высшей премии ISA в области образования www.qnx*russia.ru . ● 95
СТА 1/2010 © 2010, CTA Ɍɟɥ.: (495) 234-0635 Ɏɚɤɫ: (495) 232-1653 http://www.cta.ru www.cta.ru