Противоаварийная автоматическая защита
Противоаварийная автоматическая защита (ПАЗ) — это аппаратно-программный комплекс, который используется в критических приложениях для перевода системы в безопасное состояние.
Средства противоаварийной защиты должны быть сертифицированы согласно МЭК-61508 (IEC-61508) и МЭК-61511 (IEC-61511). Также сертификацией различных продуктов и сервисов, в том числе и средств автоматизации, занимается независимая немецкая организация TUV (Technischer Uberwachungs-Verein, Служба Технического Контроля).
Основная мера функциональной безопасности системы – допустимая вероятность отказа. Таким образом, вводится понятие SIL. Каждый уровень SIL (от SIL-1 до SIL-4) характеризуется снижением допустимой вероятности отказа.
SIL (Safety Integrity Level) – уровень полноты безопасности. (англ.)
Классификация уровня безопасности SIL
В промышленности для критических приложений обычно используются уровни SIL-2 и SIL-3 (в зависимости от типа инструментальной функции). Например, в нефтегазовой сфере и химии SIL-3 – стандарт для аппаратной части. SIL-4 покрывает запросы атомной энергетики – требования к безопасности там на порядок выше, как и катастрофичность последствий при аварии.
Введем еще одно понятие – коэффициент готовности системы (availability).
Коэффициент рассчитывается, как отношение времени наработки на отказ (Тн.о.), к сумме времени наработки на отказ + времени на ремонт (восстановление)(Тв). Повышение коэффициента готовности возможно за счет избыточности. Избыточность в системах ПАЗ достигается за счет резервирования (дублирования).
Система противоаварийной защиты ПАЗ
Стоит отметить, что уровень безопасности системы не зависит от резервирования. Это очень важный момент, так как степень безопасности в системах ESD (Emergency Shutdown System, Система Аварийного Отключения) достигается за счет вторичных средств обесточивания и соответствующего проектирования системы. То есть, безопасность инструментальных функций достигается за счет «негативной логики»
(например, в случае обесточивания дискретного выхода в I/O модулеотсекатель подачи топливного газа на входе в печь должен перекрыться, то есть в нормально открытом состоянии он находится под напряжением)
и диагностики дискретного выхода на предмет короткого замыкания. Таким образом, ни один единичный отказ (как минимум один) не переведет систему в опасное состояние. Резервирование же является только мерой готовности системы, так как выход из строя одного из резервированных модулей приведет к переключению на другой, сохранив работоспособность технологии (но никак не повысит безопасность). С одной стороны – ложное срабатывание защит – это существенные денежные затраты для заказчика, с другой — отказ может привести к излишней трате в миллионы рублей, учитывая упущенную выгоду и перезапуск всей системы (например, замена катализатора).
Из иллюстрации выше видим, что Распределённая система управления (РСУ) (DCS — Distributed Control System) отвечает за ведение процесса в технологических пределах (зеленая область). При достижении синей области (желтая точка, предупредительная сигнализация), система нуждается во вмешательстве оператора. Если действия оператора не привели к стабилизации процесса, и параметр достигает предаварийного предела (малиновая область, красная точка), происходит аварийное отключение.
Если противоаврийная защита не срабатывает (смотрите выше). В работу вступает система Пожара и Газа (ПиГ, F&G), физическая защита (сбросные клапана, расширительные емкости). А затем: сирена, эвакуация, устранение последствий….
Противоаварийная защита зачастую входит в распределенную архитектуру системы управления. РСУ и ПАЗ проектируются независимыми – у каждой свои датчики и регулирующие органы. То есть, если алгоритм РСУ поддерживает уровень, за счет регулирующего клапана, который подает раствор кислоты в емкость, то за повышением уровня кислоты до критического уровня последует блокировка – закроется отсекатель на входе. Далее может последовать локальная защита и останов технологии в целом. Причем, блокировка должна сработать, вне зависимости от сигналов РСУ и действия оператора.
