Автор: Robert
Дата: 25.12.07 11:23
Далее следует комментарий Ю.Н. Федорова на дискуссию по SIL.
Уважаемые коллеги!
Роберт Вагизович Салимуллин обратился ко мне с тем, что для меня может быть любопытным ознакомиться с вашей дискуссией.
Далее следуют несколько комментариев к тем вопросам, которые мне показались важными.
ВОПРОС 1:
Автор: Кедык Олег Васильевич
Дата: 05.12.07 13:41
Вопрос к Андрею Мурашко:
Как сопоставить то, что в ТУ Заказчика указано SIL 3 для всей системы, а
ты говоришь об отдельных контурах?
Я так понимаю, что в стандарте 61508 есть две составляющие:
Требования интегральной (общей) безопасности - должна обеспечивать
система;
Требования функциональной безопасности - содержит требования к самим
функциям (контурам) безопасности, которые должна выполнять система.
Так вот, мне кажется Андрей, что ты говорил о функциональной
безопасности, в то время как в ТУ Заказчика идет речь о требованиях
общих ко всей системе.
Если это так, то как обеспечить эти общие требования к системе?
Без оглядки на поле, в очерченной входным и выходным клеммником системы
ПАЗ границах выполнить требование SIL 3?
КОММЕНТАРИЙ 1:
Стандарты МЭК дают совершенно размытые определения функциональной безопасности. Функциональная безопасность согласно IEC 61508 (3.1.9) определяется как часть общих мер безопасности, которая находится в зависимости от правильности работы системы безопасности и внешних мер уменьшения риска.
Согласно IEC 61511 (3.1.26) это способность SIS или иных средств снижения риска предпринимать действия, необходимые для достижения или поддержки безопасного состояния процесса и связанного с ним оборудования.
Определение интегральной безопасности в стандартах IEC 61508 и IEC 61511 просто удивительно:
Safety integrity – целостность, полнота безопасности – определяется как вероятность того, что система безопасности удовлетворительно (так и формулируется стандартами) выполняет требуемые функции безопасности по всем предопределенным условиям в течение установленного интервала времени.
Данное определение могло бы соответствовать определению надежности, кабы не какая-то странная удовлетворенность.
В общем виде полнота безопасности оценивается стандартами как состоящая из двух компонент:
1. Аппаратная целостность безопасности;
2. Систематическая целостность безопасности.
То есть оговаривается, что при определении интегральной безопасности ВСЕ причины отказов, – и случайные отказы оборудования, и систематические отказы, которые ведут к небезопасному состоянию, – должны быть учтены. Например, отказы оборудования, отказы, наведенные программным обеспечением, отказы вследствие электромагнитного воздействия.
Однако все понимают, что невозможно дать количественные оценки вероятности и частоты систематических отказов. В стандартах МЭК и не делается никакой попытки дать для них хотя бы концептуальное описание. У меня совсем недавно была заочная дискуссия с американскими коллегами по ISA, где я наглядно показывал, что случайные и систематические ошибки могут перетекать друг в друга самым причудливым образом. Например, случайная ошибка, допущенная при проектировании, превращается уже в систематическую на этапе реализации проектных решений.
Так что вполне можно понять Мурашко, что он отмолчался – за интегральной безопасностью ничего внятного, кроме удовлетворительного выполнения функций, не стоит. И уж никак за ней не стоит строго определенная в математическом смысле общая надежность системы как единого целого. Ибо всегда найдется система такого объема, для которой вероятность отказа на более-менее приличном временном интервале, рассчитанная по методикам IEC 61508 и IEC 61511, просто-напросто превысит единицу.
ВОПРОС 2:
Автор: Кедык Олег Васильевич
Дата: 04.12.07 11:19
Приветствую Форум!
Подскажите, кто знает, как правильно выполнить требование:
"Система ПАЗ должна содержать первичные элементы, устройство логического
управления и оконечные элементы, согласно документу IEC 61508/61511.
Все три указанные элемента оборудования должны соответствовать заданному
уровню безопасности системы SIL 3. Архитектура проектируемого
оборудования, соответствующая заданному уровню безопасности SIL 3,
должна быть проверена на соответствие заданному SIL."
Т.е. интересует фраза "должна быть проверена на соответствие заданному
SIL"!
КОММЕНТАРИЙ 2:
Уважаемый Олег Васильевич!
По сути, этот вопрос является продолжением первого.
С одной стороны (заказчика) – вроде бы нормально, сильно сказано, а с другой стороны (вашей) – возникает проблема: уровень безопасности системы – это что?
Согласно IEC 61508, пункт 3.5.6 (IEC 61511 – 3.1.74) Safety Integrity Level (SIL) – это Discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety functions to be allocated to the safety-related (IEC 61511 – instrumented) systems.
Поэтому с учетом предыдущего Комментария 1, лучшее, что вы можете сделать, так это объяснить такому подкованному Заказчику, что сущность и основу интегральной безопасности составляет совокупность контуров защиты по каждому из параметров, определяющих взрывоопасность процесса, с уровнем функциональной безопасности SIL3.
Именно простая совокупность, группа, набор независимых контуров, работающих как бы на своем автономном канале оборудования, а вовсе не суперпозиция функций, размещенная в одном контроллере.
Иначе вы (теперь оба) оказываетесь в безвыходной ситуации:
Допустим, что для каждого контура защиты вам удалось достичь фантастически низкой вероятности опасного отказа, равной 0,0001 1/год (десять в минус четвертой степени в год).
Тогда уже при 100 (ста) контурах вероятность того, что в течение 1 (одного) года хотя бы один из контуров откажет, составит 0,0001*100=0.01 1/год (одна сотая в год).
А это уже вполне пограничное состояние на границе самых темных сил – SIL1 и SIL2.
Надеюсь, что вы знакомы с моей монографией. Знаю, что СЗМА брала какое-то количество экземпляров (если что, обратитесь к Р.М. Афлятунову).
Так вот, в Главе 6 "Проектная оценка надежности системы" представлено 2 типа расчета надежности:
Первый – на примере оборудования Йокогавы – как раз и можно назвать расчетом интегральной безопасности, а фактически – это расчет надежности оборудования системы в целом.
Второй – на примере оборудования фирмы ХИМА – является расчетом функциональной безопасности, а фактически – это расчет надежности контуров для их базовых конфигураций.
Причем расчет по типу интегральной безопасности сделан именно так, как вы спрашиваете:
"Без оглядки на поле, в очерченной входным и выходным клеммником системы
ПАЗ границах".
Более того, у меня расчет сделан не только для ПАЗ, но и для РСУ, то есть для АСУТП в целом.
Но сути дела это не меняет, поскольку даже рядовое оборудование Йокогавы обладает такими характеристиками, что еще до появления системы ProSafe RS имело разрешение Ростехнадзора на применение в системах защиты без всяких потусторонних SIL. И в дублированном варианте без вопросов работает на ряде предприятий. В том числе и в России.
Так что вам, Олег Васильевич, нужно спокойно, без нажима объяснить заказчику, что для каждого контура уровень SIL3 будет подтвержден расчетом, а если его интересуют параметры надежности оборудования системы ПАЗ в целом – нет проблем, представим. Только имейте в виду, что эта самая "интегральная безопасность" будет носить чисто репрезентативный, хотя и представительный в математическом смысле характер. Фактический же интегральный уровень системы SIL3 должен обеспечиваться и поддерживаться всем комплексом организационных, производственных, эксплуатационных, сервисных и всяких прочих мер, без которых система и на нулевом уровне долго не протянет.
Вообще проблема предотвращения аварий заключается в их уникальности. Каждая авария, серьезная, не серьезная, происходит один раз. Ее причины и последствия анализируются, принимаются организационные и технические меры к предотвращению подобных ситуаций – вплоть до изменения технологической схемы. Вносятся изменения в технологический регламент, корректируются и дополняются инструкции.
Поэтому защита процесса (а по сути – людей) по определению носит многоуровневый характер – от предохранительных клапанов и разрывных мембран, до общей организации и дисциплины производства.
По поводу конкретного расчета надежности контуров могу добавить следующее:
1. Во-первых, вы должны получить от поставщиков оборудования исходные данные для расчета. Уже этот этап может стать серьезной проблемой. Ведь определение контура как состоящего из трансмиттера, контроллера и исполнительного устройства является самым условным, и фактически служит лишь для отражения того факта, что в состав SIS (или SRS по IEC 61508) входит и полевое оборудование. Фактически же вам нужно получить исходные данные о всех структурных единицах оборудования:
Трансмиттеры, реле, релейные панели, преобразователи, соленоиды, отсекатели, барьеры, модули ввода-вывода, модули управления (контроллеры), интерфейсные модули, источники питания, автоматы питания, панели распределения питания, и т.д.
Вам найдут тысячу объяснений, почему это невозможно. Причем, даже если и дадут, необходимо иметь в виду, что разные фирмы предоставляют совершенно различные наборы исходных данных. Достаточно сравнить исходные данные не самых последних фирм Йокогава и Хима, которые были у меня под рукой на момент написания Главы 6 первого тома моей монографии (см. стр. 523-524, 552-553).
Есть ли формальная основа, которая позволяет добиться предоставления этих данных?
Если вы сами являетесь разработчиком системы, то, естественно, отдаете себе отчет, что в системе защиты должно использоваться только сертифицированное оборудование – причем сертифицированное не только на западе, но и в России.
В России, кроме Сертификата Госстандарта на утверждения типа с методиками испытаний, требуется иметь еще и Разрешение Ростехнадзора на применение данного оборудования.
Если ваши партнеры имеют западный сертификат на право применения по уровню вплоть до SIL3 – пожалуйте отчет об испытаниях с полученными характеристиками – на стол. Западные производители, подчеркиваю, производители оборудования, а не наши перепродавцы, по умолчанию предоставляют соответствующие данные в своей технической документации.
Если вы являетесь заказчиком, и в состоянии отстаивать свои интересы – все гораздо проще, поскольку есть формальная нормативная основа в виде конкретного документа – РД 03-418-01 "Методические указания по проведению анализа риска опасных производственных объектов". В моей монографии, Том 1, глава 2, пункт 2.13 "Российские нормы анализа рисков и последствий отказов" представлена таблица 2.4 возможных сочетаний критериев отказов по тяжести последствий и категорий отказов. Из этой таблицы следует, что взрывоопасные объекты I и II категорий взрывоопасности химической, нефтехимической и нефтеперерабатывающей промышленности основательно занимают ячейки, для которых количественный анализ риска обязателен. Требование проектного расчета надежности системы необходимо закрепить в качестве одного из условий заключения контракта, а затем и прописать в ТЗ.
2. Вторым этапом после получения исходных данных будет выбор метода расчета контура. Общепризнанными считаются:
- Метод логических диаграмм (блок схем)
- Метод анализа дерева отказов
- Модель Маркова.
Наиболее простым, и , соответственно, наиболее часто употребляемым, является составление логической блок-схемы контура защиты, например:
Трансмиттер (2оо3) – Контроллер (1оо2D) – Отсекатель(1оо2)
в контексте общей архитектуры системы защиты.
Под контекстом в данном случае понимается, в том числе и архитектура PLC: на какие резервированные модули поступают входные сигналы, внутренняя архитектура PLC на уровне модулей, резервирование выходных модулей и организация выходов.
3. Третьим этапом будет собственно расчет характеристик надежности контура.
Таким образом, краткий ответ на поставленный вопрос будет следующим: Проверка соответствия по контурам в соответствии с архитектурой сенсоров, контроллеров, исполнительных устройств.
Таким образом, я бы поступил следующим образом: не пудрил бы заказчику мозги о бесконечной надежности системы, а просто показал бы реальные границы надежности.
Конкретно, речь о следующем простом рассуждении:
Пусть найденные нами вероятности отказа отдельных функций ПАЗ в течение 1 года определены как Р1, Р2, …, РN.
Тогда вероятность того, что вся система, то есть все функции, одним махом откажут, составит:
Р(отказа в течение года всей системы в целом) = Р1 * Р2 * … * РN
Понятно что это мизерное значение.
С другой стороны, вероятность того, что в течение года откажет хотя бы одна из функций (контур) системы, составит:
Р(отказа в течение года одной из функций системы) = Р1 + Р2 + … + РN
Допустим, что по всем функциям нам удалось достичь максимально допустимого для SIL3 значения вероятности отказа контура в течение 1 года, равного 0,001 (десять в минус третьей). Поверьте, достичь этого значения даже для единичного контура защиты очень не просто. Реальные расчеты показывают, что как минимум, потребуется поставить пару лучших отсекателей и два, а, может быть, даже и три 3 датчика (современная тенденция – аналоговых).
Если наша система ПАЗ имеет 1000 контуров защиты (вполне реальное значение для реальной нефтехимической или нефтеперерабатывающей установки), то вероятность того, что в течение одного года хотя бы одна из функций откажет, составит ровно единицу. Таким образом, те, кто не видит за системой ПАЗ ничего больше, кроме кучи оборудования – приплыли.
Если понимать под интегральной безопасностью только вероятность отказа оборудования системы, то наша проверка на соответствие заданному SIL закончилась полным крахом.
Думаю, А.С. Шилину теперь понятно, что именно эту ситуацию я имел в виду, когда писал Вывод для Главы 6 "Проектная оценка надежности системы":
"Существуют различные подходы к оценке надежности оборудования систем
безопасности. Однако их бездумное применение может оказаться совершенно
бесплодным. Более того, может привести к абсолютно противоположному
результату: великолепное оборудование, которое во множестве реально
существующих приложений на самых сложных технологических процессах проявляет
себя наилучшим образом, может оказаться никуда не годным с точки зрения
абстрактного расчета. И наоборот".
Жаль, что Анатолий Шилин почему-то понял этот вывод как на индульгенцию на отказ от всякого расчета, и самодостаточности сертификатов TUV. Мне казалось, что в главе 6 очень наглядно, на контрасте демонстрируется бесперспективность лобового расчета вероятности отказа оборудования системы в целом, и подтверждается функциональный подход стандартов МЭК. Причем для усиления эффекта при расчете по первой (интегральной) методике я даже принес в жертву оборудование фирмы Йокогава, которое считаю лучшим из ныне существующих.
Смысл процитированного Вывода Главы 6 построен на силлогизме в духе Льюиса Керрола:
И НАОБОРОТ – то есть оборудование и не с такими уникальными характеристиками, как Йокогава, может оказаться вполне приемлемым для конкретного приложения, если расчет проведен в соответствии с логикой работы системы, функционально, то есть по контурам, что, собственно, и констатируют стандарты МЭК.
Проще говоря, нельзя считать отказ одной из функций системы за отказ всей системы.
Это утверждение только что было подтверждено нашим элементарным расчетом.
Таким образом, Олег Васильевич, решение вашей проблемы существует. Оно заключается в минимальном возвращении на грешную землю, а именно, в хотя бы минимальном знании и понимании принципов аппаратурного оформления технологического процесса. В первую очередь, речь идет о существующем на каждом технологическом процессе разделении на технологические блоки с определенной категорией взрывоопасности.
Настоятельно рекомендую всем теоретикам: если понимание данного термина вызывает затруднения, обратитесь к Приложению 1 из ПБ 09-540-03. Там четко определяется методика категорирования технологических блоков по значениям относительных энергетических потенциалов и приведенной массе взрывоопасной парогазовой среды, которая образуется в результате аварийной разгерметизации блока.
Далее:
Согласно пункту 6.3.14 ПБ 09-540-03, Разработчик процесса в Технологическом регламенте по каждой установке и по каждому технологическому блоку составляет Перечень параметров, определяющих взрывоопасность процесса.
Так вот именно эти параметры и должны защищаться контурами защиты того уровня функциональной (а для данного логического уровня одновременно и интегральной, ведь как разработчик системы ПАЗ вы не можете произвольно менять количество контуров, определяющих взрывоопасность процесса) безопасности, которая соответствует категории взрывоопасности технологического блока.
Здесь наступает очень важный момент, который затронул в своем вопросе господин Катковский. Его клич о некоем "классе безопасности, используемом Ростехнадзором" так и остался безответным, что вполне характеризует общий уровень дискуссии – типа "Наморщи ум, Михалыч!".
Для начала, в отечественных нормативных документах нет понятия "класс безопасности". Есть понятие "Категория взрывоопасности". И опосредованная связь Уровня интегральной безопасности (SIL) и Категории взрывоопасности носит совершенно нетривиальный характер. И то, что на вопрос никто не среагировал, на меня производит по-настоящему удручающее впечатление. То есть, во-первых, для участников дискуссии вопрос совершенно не актуален, а во-вторых, потряхивая цитатами из моей монографии, её по сути, никто толком и не прочел. Потому что ответ на этот важнейший вопрос в книге дается. Более того, этот ответ, понимая его исключительное значение, неоднократно, рефреном несколько раз повторяется:
Том 1,Глава 1, Пункт 1.13 "Сопоставление отечественных и зарубежных требований безопасности", стр. 44-45.
Том 1,Глава 8, Пункт 8.25 "Диаграмма соответствия отечественных категорий взрывоопасности международным классам и уровням безопасности", стр. 675.
Том 2, Глава 16, Пункт 16.37 "Право выбора", стр. 560-561.
Не хотелось бы думать, что моя книжка интересна только тем, кого завораживают исключительно потусторонние SILы. Иначе как объяснить следующие экзерсисы:
"Автор: d_miloserdov@xxxxxxx.xx
Дата: 06.12.07 11:43
Миша, ты не понял меня. :) IEC регламентирует и угрозу жизни и экономический ущерб (то, что ты написал в т.ч. ибо ущерб - он по всем статьям ущерб).
Т.е. те деньги, которые ты платишь из-за того, что все нафик встало.
А в ПБ угроза жизни человекам не просчитывается никак.
Загляни как-нить ко мне при случае, я тебе презенташку одну покажу на сей счет.
Отсюда получается, что при ссылке ТОЛЬКО на ПБ можно заложить решения, которые несут техногенную опасность.
По сути идет политика двойных стандартов- либо поставка несертифицированых TUV контроллеров либо поставка сертифицированых, но без выполнения требований безопасности IEC. Статистики по жертвам не учитывается".
Господи, позови ж ты меня, наконец, в даль светлую!.. Да Бог с вами, ребята. В отличие от стандартов IEC 61508 и IEC 61511, где безопасность всего лишь имитируется, а фактически означает безопасность самой системы безопасности от технологического процесса, в ПБ только и делается, что просчитывается взрывоопасность на всех уровнях, и, прежде всего, как угроза жизни "человекам".
В ПБ четко прослеживается многоуровневый иерархический подход к защите процесса:
от разделения установки на блоки с наименьшей взрывоопасностью и аппаратурного оформления защиты процессов, и до действий оперативного и обслуживающего персонала. Одна беда – ну не знали создатели ПБ, что катастрофа придет совсем с другой стороны, прохлопали, проморгали, простите уж вы их, ведь в ваших же SILах…
А насчет статистики – есть, есть такая статистика !!!!
Есть-есть, да еще какая есть. Такая есть, что всем есть даст. Эта статистика приведена мною в самом конце моей монографии – Том 2, Глава 16 "Выбор. Призыв к осмотрительности", пункт 16.44 "Крупнейшие техногенные катастрофы с 1970 по 1998 год", стр. 570-582.
Первоначальный список крупнейших техногенных катастроф для 1970 – 1989 года был составлен межправительственной организацией по экономическому сотрудничеству и развитию OECD (Organization for Economic Co-operation and Development). Затем с разрешения OECD список был продолжен на 1990 – 1998 годы в рамках программы Организации Объединенных Наций UNEP (United Nations Environmental Programme) отделением технологии, промышленности и экономики DTIE (Division of Technology, Industry and Economics).
Главная разработка UNEP DTIE – программа "Осведомленность и подготовка к критическим ситуациям на местном уровне" – APELL (Awareness and Preparedness for Emergencies at Local Level).
Признаки отбора:
– 25 и более погибших, или
– 125 и более пострадавших, или
– 10,000 и более эвакуированных.
В перечень не включены следующие аварии:
– Аварии с танкерами на море;
– Аварии на шахтах;
– Катастрофы судов и самолетов.
Если подсчитать частоту упоминания различных стран в этом неприятном списке, а еще лучше – процент аварий на душу населения, получится следующая неожиданная картина:
Самая цивилизованная страна на свете, империя добра:
87 аварий указанного типа, что составляет 26,3% от общего количества подобных аварий в мире. В процентном отношении на душу населения (279 млн. чел. на 2000 год) = 26,3% : 279000000 = 95,3% умножить на десять в минус девятой.
Самая варварская страна на свете, империя зла:
11 аварий указанного типа (включая Чернобыль), что составляет 3,32% от общего количества подобных аварий в мире. В процентном отношении на душу населения (150 млн. чел. на 2000 год) = 3,32% : 150000000 = 22,1% умножить на десять в минус девятой. Заметьте, я еще не делаю поправку на годы существования СССР, когда население страны было "несколько" больше. Смею вас уверить, что по более "мелким" происшествиям ситуация еще более показательна.
Если бы вы удосужились узнать, насколько жесткие меры принимаются на наших предприятиях в приказах по любому реальному инциденту, думаю, были бы немало удивлены, что в России еще существуют ответственные люди. При этом приказ об аварии с тяжелыми последствиями, произошедшей на каком-либо предприятии, прорабатывается на всех остальных предприятиях отрасли всеми работниками под роспись.
Так вот понимаете ли вы, дорогие мои специалисты конкретных производств, в какую дребедень вы ввязываетесь, когда клюете на проспекты и презентации столичных мальчиков о каких-то там чудесных, сертифицированных по TUV, и всё спасающих, пардон, SILах? Эти силы уже спасли Советский союз. Теперь по-деловому взялись за спасение России. Чего стоит (в буквальном смысле) одна только идиотская эпопея с сертификацией по ИСО. В 2002 году запущено "исо" одно дикое мероприятие – принятие закона "О техническом регулировании", предусматривающего отказ от системы советских ГОСТов. В результате вместо отлаженной системы плохих, потому что советских, ГОСТов требуется создать 25 тысяч (!) хороших, потому что западных, технических регламентов. Всегда у нас найдутся свои бравые ребятки, которые чужие законы блюли, блюдут, и блять будут!..
Отечественные предприятия должны жестко отстаивать свои требования по российским нормам, которые технические регулировщики пока не успели ничем подменить:
1. Обязательное оформление Технического задания на создание АСУТП. Рабочий образец ТЗ, составленный с максимально возможным учетом отечественной нормативной базы, опубликован в моей книге – Глава 11 "Техническое задание на создание АСУТП". Эта версия отработана при создании более 30 реальных АСУТП различного масштаба.
2. Для объектов I и II категорий взрывоопасности – обязательное включение в ТЗ раздела "Проектная оценка надежности системы".
Повторяю: у предприятия есть все права потребовать от подрядчика подтверждения проектной надежности системы в виде конкретных расчетов параметров надежности для конкретного применения на данном взрывоопасном производстве. Перед появлением Закона "О техническом регулировании", были приняты вполне добротные документы по анализу рисков и оценке последствий отказов, которые пока что никто не отменял:
– РД 03-418-01 "Методические указания по проведению анализа риска опасных производственных объектов", основанные на анализе деревьев отказов и событий, и
– ГОСТ 27.310-95 "Анализ видов, последствий и критичности отказов".
Еще раз: в РД 03-418-01 приводятся конкретные показатели по уровню и критичности последствий отказов, аналогичные тем, что используются на западе. Из представленных категорий и критериев тяжести отказов следует, что взрывоопасные объекты химической, нефтехимической и нефтеперерабатывающей промышленности прочно занимают положение, для которого количественный анализ риска обязателен (см. мою монографию, Том 1, Глава 2, Пункт 2.13 "Российские нормы анализа рисков и последствий отказов", стр. 163-165).
Если предприятие ДО ЗАКЛЮЧЕНИЯ КОНТРАКТА проявляет свою компетентность и твердо настаивает на том, что:
– Оборудование системы должно иметь все необходимые отечественные разрешительные документы: сертификаты Госстандарта на утверждение типа средств измерения, включая методики поверки, разрешения Ростехнадзора на применение, и т.д.,
– Система должна соответствовать требованиям Общих правил взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств (ПБ 09-540-03),
– Система должна соответствовать требованиям Стандарта предприятия по обеспечению промышленной безопасности, и Стандарта предприятия на проектирование, разработку, внедрение и эксплуатацию АСУТП,
– Система должна соответствовать требованиям Технического задания на создание АСУТП,
– Импортное оборудование и программное обеспечение системы безопасности по умолчанию должно иметь сертификаты соответствия стандартам IEC 61508 и IEC 61511,
– Импортное оборудование и система в целом должны иметь стандартную техническую и проектную документацию не только на английском, но и на русском языке,
то будьте уверены – так оно и будет. Правда – на нашей стороне. Главное, чтоб и мы находились на ней же.
ВОПРОС 3.
Автор: zeroman
Дата: 04.12.07 12:04
> должна иметь соответствующий ТЮВовский сертификат
> на уровень SIL 3..
Вот с этого места по подробнее. Мне наш поставщик говорит что сертификата на SIL1/2/3 в принципе быть не может.
Самое главное это процедура расчета SIL, чтобы потом можно было обсчитать всю цепь, и главное в Европе этом всегда прокатывает. А сертифката как такового на SIL1/2/3 - нет и он особо не нужен. Все равно нужно обсчитывать всю цепь, и если в цепь входят приборы SIL3 - это еще не значит что цепь будет SIL3.
Так ли это?
С Уважением, Олег Ушаков
ЗАО "ТЕККНОУ", Санкт-Петербург
ushakov @ tek-know . ru
КОММЕНТАРИЙ 3.
Как говориться, еще раз спасибо за вопрос. Так ли это? Именно, именно так.
Конечно же, нам необходимо знать: а проверял ли кто-нибудь вообще (в данном случае – как бы независимая организация) данное оборудование. Однако…в действительности всё не совсем, вернее совсем не так, как на самом деле:
Когда поставщик импортного оборудования гордо заявляет вам, что его "система" имеет сертификат TUV (или любой другой крыши) на работу по уровню SIL3 (а какой же еще?!), то вы должны ясно понимать, что в данном случае речь идет всего лишь о разрозненном наборе модулей для данного брэнда – по одной штуке каждого типа. Кроме модулей, проверке и сертификации подлежит программное обеспечение на минимально необходимой для этого конфигурации системы, и соответствующая системная документация.
В лучшем случае вы получаете следующие документы:
– Certificate
– List of approved modules
– Safety Reference Manual
Вы сами можете в этом легко убедиться, если наберете
http://www.tuv-fs.com/plclist.htm,
и выберете любую из представленных торговых марок. Повторяю: именно торговых марок, брэндов, шильдиков, а вовсе не некую базовую, или потенциально возможную, или какую-то еще систему, а тем более уж никак не какую-либо конкретную конфигурацию. Да и вообще у ТЮФа ни о какой конфигурации речи нет. Поэтому для нашего потребителя речь может идти только о потенциальной возможности того разрозненного оборудования, которое проходит под данным брендом, соответствовать заявленному уровню. И все.
Тем более, что TUV зачастую действительно соответствует своему названию, и гонит сущую тюф, извиняюсь, туфту. Достаточно почитать их лабуду про несуществующие системы с архитектурой "2оо4", или песни про разрешение на безграничную во времени одноканальную работу для систем типа 1оо1 фирмы HIMA, как будто в этом контексте все другие одноканальные системы не могут работать также "безгранично", и без чьих-то разрешений.
Ключевым положением, на которое никто из участников дискуссии даже не обратил внимания, являются требования стандартов МЭК: к полевым испытаниям систем безопасности.
При закупке импортного оборудования наличие сертификата на право использования данного оборудования (датчика, модуля ввода-вывода, и т.д.) на объектах того или иного класса требований теоретически позволяет использовать это оборудование как законченное изделие, удовлетворяющее определенному уровню требований, поскольку предварительные расчеты, испытания и проверки проведены, и представлены потребителю. Кроме того, потребитель может быть уверен, что предоставленные данные по надежности данного компонента оборудования были проверены независимой третьей стороной.
Вместе с тем, вполне понимая неоднозначность выбора конкретной системы безопасности, Международная электротехническая комиссия рекомендует проявлять сдержанность по отношению к любому появлению существенной новизны в отношении электронных систем в промышленности.
Характерно, что ни в одной из даже западных, а тем более наших публикаций, нигде и никем не то что не подчеркивается, но даже не упоминается, что важнейшим положением стандартов IEC 61508 и 61511 является прямое указание на необходимость опыта непосредственного применения систем безопасности в течение достаточного интервала времени на конкретных процессах как одного из решающих условий выбора. В этой связи исключительное по важности значение имеют жесткие требования стандартов МЭК к полевым испытаниям систем безопасности, а именно:
Для того чтобы система считалась прошедшей полевые испытания, стандарты IEC 61508 (часть 7, пункт В5.4) и IEC 61511 (Часть 4) требуют, что должны быть выполнены следующие условия:
– Неизменная спецификация;
– 10 систем в различных приложениях;
– Десять тысяч рабочих часов (11,42 года, то есть по году на систему) и,
– Как минимум, 1 год сервисного обслуживания.
Для исключения расширенной перепроверки или перепроектирования системных программных модулей при каждом новом применении должны быть выполнены требования, которые позволят удостовериться, что программные модули свободны от систематических ошибок проектирования и разработки, или от оперативных отказов (IEC 61508 , часть 7, пункт С2.10) и IEC 61511 (Часть 4):
– Неизменная спецификация;
– 10 систем в различных приложениях;
– Вероятность неопасных отказов в течение года десять в минус пятой с доверительной вероятностью 99,9%, и
– Отсутствие опасных отказов.
Сведения о том, что система прошла данные испытания на практике, должны быть предоставлены изготовителем или поставщиком в виде конкретных документов, подтверждающих опыт применения на аналогичных технологических объектах. Для проверки того, что компонент оборудования или модуль программного обеспечения отвечает всем этим критериям, следующие позиции должны быть документированы:
– Точная идентификация системы и ее компонентов, включая контроль версии программного обеспечения и соответствующего оборудования;
– Послужной список системы с указанием потребителей и даты внедрения, а также время эксплуатации;
– Процедуры для выбора системы под конкретные применения, и варианты применения;
– Процедуры для выявления отказов, их регистрации и устранения.
Вот что должны зарубить себе на носу продавцы, прежде, чем соваться на взрывоопасное производство. Вот что должны помнить заказчики, прежде чем вступать в какие-либо взаимоотношения с коммивояжёрами.
ВОПРОС 4.
Автор: Андрей Мурашко
Дата: 04.12.07 23:23
Коллеги,
вы все не правы :-))
потому что видно, что никто не читал сам стандарт.
А ссылки на уважаемого Юрия Николаевича Федорова не помогают понять суть вещей, потому что его личная интерпретация стандартов позволяет некоторым думать, что стандарт это вещь пустая - главное голову приложить.
Так вот, стандарты IEC61508 и 61511 заставляют прикладывать голову и вовсе не тупо декларируют пустые требования, как это делается в ПБ.
КОММЕНТАРИЙ 4.
Не ожидал я такого пренебрежительного оттенка по отношению к себе от человека, к которому, несмотря на все внешние перипетии, всегда относился с симпатией. Да уж. Где уж нам, дуракам, чай пить, как говаривал друг Пушкина Каверин. Хотя, конечно, по гамбургскому счёту суть вещей помогает понять разве что ссылка на Колыму, а не на Юрия Николаевича.
Не знаю уж, – кого, куда, и чем заставляют прикладываться стандарты МЭК, да вот беда: не только ведущие западные специалисты, но и сами создатели стандартов согласны, что стандарты содержат множество несоответствий и прямых ошибок. Иначе чем объяснить бесконечное количество draft-версий. И в этом году опять вовсю идет очередная перетряска. И тебе, Андрей, это прекрасно известно. Равно как и то, что в моей монографии нет ни грамма от огульного охаивания этой огромной работы. А высокомерная сентенция о том, что наши ПБ 09-540-03 "тупо декларируют пустые требования", производит просто удручающее впечатление. Понимаю, - сказано в полемическом запале. Но следить за речью все ж таки надо. Вам реальная жизнь наших производств до лампочки, но ведь подобные эскапады попадаются на глаза множеству молодых и немолодых специалистов реальных предприятий со всей страны, которые ежегодно сдают экзамены по промышленной безопасности, охране труда и технике безопасности (а технологический и оперативный персонал проходит проверку знаний еще чаще – раз в полгода, а аппаратчики - раз в квартал). Кстати, кроме ПБ 09-540-03 существует множество других законов, норм и правил, которые им необходимо знать и соблюдать, например Федеральный закон №116 "О промышленной безопасности опасных производственных объектов" или ПБ 09-563-03 "Правила промышленной безопасности для нефтеперерабатывающих производств".
И именно эти ребята обеспечивают одну из самых низких в мире аварийностей на химических, нефтехимических и нефтеперерабатывающих производствах. И для них требования ПБ вполне конкретны.
И если я, человек с тридцатитрехлетним опытом непосредственной работы в нефтехимии смею находить в этих правилах недостатки, так это я - смею. Так я, с вашего позволения, и аппаратчику в глаза смотреть смею. Но мне и близко в голову не придет называть требования ПБ пустыми. В Правилах сконцентрирован многолетний опыт безопасного ведения опасных технологических процессов, учтен опыт происходивших аварий.
Могу добавить, что ни у одной из западных проектно-технологических фирм, с которыми мне лично приходилось принимать участие в выполнении проектов в СССР и России, никаких насмешек требования наших ПБ не вызывали – ни у американских (Lummus Global, FINA Technologies), ни у европейских (Basel, Technimont), ни у японских (Toyo Engineering). Более того, было приятно видеть на переговорах, как заморский специалист берет в руки книжечку с переводом ПБ на английский язык, чтобы проверить, согласуются ли требования российской стороны с требованиями российских же ПБ.
Было бы замечательно, чтобы прежде чем соваться на взрывопожароопасное производство со своими нравоучениями, все перепродавцы заморского оборудования сдавали хотя бы зачет по всему комплексу норм и правил промышленной безопасности, и минимальному знанию конкретного технологического процесса. В этом ряду ПБ 09-540-03 занимают одно из ключевых мест. Для тех, кто не столь осведомлен, как Мурашко, приведу оглавление ПБ:
I. Общие положения
II. Общие требования
III. Требования к обеспечению взрывобезопасности технологических процессов.
IV. Специфические требования к отдельным типовым технологическим процессам.
4.1. Перемещение горючих парогазовых сред, жидкостей и мелкодисперсных твердых
продуктов
4.2. Процессы разделения материальных сред
4.3. Массообменные процессы
4.4. Процессы смешивания
4.5. Теплообменные процессы
4.6. Химические реакционные процессы
4.7. Процессы хранения и слива-налива сжиженных газов, легковоспламеняющихся и
горючих жидкостей
V. Аппаратурное оформление технологических процессов.
5.1. Общие требования
5.2. Размещение оборудования
5.3. Меры антикоррозионной защиты аппаратуры и трубопроводов
5.4. Насосы и компрессоры
5.5. Трубопроводы и арматура
5.6. Противоаварийные устройства
VI. Системы контроля, управления, сигнализации и противоаварийной автоматической
защиты технологических процессов.
6.1. Общие требования
6.2. Системы управления технологическими процессами
6.3. Системы противоаварийной автоматической защиты
6.4. Автоматические средства газового анализа
6.5. Энергетическое обеспечение систем контроля, управления и ПАЗ
6.6. Метрологическое обеспечение систем контроля, управления и ПАЗ
6.7. Размещение и устройство помещений управления и анализаторных помещений
6.8. Системы связи и оповещения
6.9. Эксплуатация систем контроля, управления и ПАЗ, связи и оповещения
6.10. Монтаж, наладка и ремонт систем контроля, управления и ПАЗ, связи и
оповещения
VII. Электрообеспечение и электрооборудование взрывоопасных технологических
систем.
VIII. Отопление и вентиляция.
IX. Водопровод и канализация.
X. Защита персонала от травмирования.
XI. Обслуживание и ремонт технологического оборудования и трубопроводов.
Приложение 1. Общие принципы количественной оценки взрывоопасности технологических
блоков.
Приложение 2. Расчет участвующей во взрыве массы вещества и радиусов зон разрушений.
Конечно, вам, господа, из ваших эмпиреев как-то не с руки думать о методах антикоррозионной защиты, а тем более о вентиляции и канализации. Павлины, говоришь? Понимаем. Но люди простые (что за слово-то нашли), оне как-то приобвыкли во время работы дышать, сикать и какать. И на взрывоопасном производстве и эти функции также должны быть обеспечены соответствующими нормами. Равно как и многое другое, что находится за пределами ваших ПЛК.
Так ведь и для вас в ПБ почитать-то есть чего. Например:
Пункт 6.3.1 ПБ 09-540-03: "Надежность и время срабатывания систем противоаварийной автоматической защиты определяются разработчиками систем ПАЗ с учетом требований технологической части проекта. При этом учитываются категория взрывоопасности технологических блоков, входящих в объект, и время развития возможной аварии. Время срабатывания системы защиты должно быть таким, чтобы исключалось опасное развитие процесса. В системах ПАЗ запрещается применение многоточечных приборов контроля параметров, определяющих взрывоопасность процесса".
Вот и расскажите Заказчику, что все его блоки, категории, время развития - это все пустое. А уж чтоб что-то там еще, кроме контроллера, слепленного из модулей, аттестованных на магический SIL3, определялось разработчиком системы ПАЗ – нет уж, дудки. Потом втолкуйте ему, бестолковому, что надежность – это безнадежный архаизм. Последний писк в терминах IEC 61508 и IEC 61511 – интегральная безопасность, то есть простая, понятная и такая нам всем близкая удовлетворительная надежность. Да еще и убедите, что удовлетворительная – это все-таки лучше, чем совсем уж неудовлетворительная. Потом объясните ему, почему восьми- или шестнадцатиканальный модуль ввода-вывода не является многоточечным прибором, находящимся в измерительной и управляющей цепи контура защиты.
Потом честно скажите Заказчику, что для обеспечения безопасности ваши контроллеры ему не очень-то и нужны. А необходимо для начала не только заменить существующее полевое оборудование, а кое-где еще и удвоить его количество, в первую очередь – отсекателей. Ведь вы так хорошо знаете технологическую часть проекта. Иначе очень просто кердык может приключиться. Да и нам, мол, самим, архитекторам безопасности, карачун. Спеси и поубавится. Если вы так обеспокоены сохранением жизни простолюдинов.
ПБ действительно содержат массу недостатков, и я подробно их разбираю в своей монографии (данному вопросу посвящена целая Глава 8 "Основы национальной безопасности", Том 1):
- Отсутствие определений для участников выполнения проекта установки в целом;
- Отсутствие определений для стадий выполнения проекта, включая проект создания АСУТП;
- Отсутствие точных определений для состояний процесса;
- Несогласованная терминология;
- Слабая по нынешним временам глава по автоматизации и т.д.
Одним из самых достойных своих поступков я числю попытку исправить это положение, а именно: к весне 2003 года я подготовил переработанный вариант предыдущей версии ПБ 09-170-97, с полностью переделанной главой по автоматизации. В марте 2003 года я встречался в Москве в тогда еще Госгортехнадзоре с начальником отдела Козельским. В результате: я подарил ему свою двухсотстраничную папку с моей версией ПБ. Он со словами "Родина вас не забудет" внушительно пожал мне руку. При этом он даже ни словом не обмолвился о том, что в мае того же года они взамен ПБ 09-170-97 уже выпускают ПБ 09-540-03. Естественно, без каких бы то ни было изменений.
В этой связи не столичным теоретикам, а специалистам реальных производств настоятельно рекомендую внимательно изучить мою программную статью "Тенденции развития безопасных систем автоматизации", журнал "Автоматизация в промышленности", №8, 2007 год. Статья написана по личной просьбе главного редактора, поскольку весь номер посвящен единой теме "Системы автоматизации высокой надежности и безопасности", а вступительной статьи у них не было.
Журнальная аннотация:
"В статье анализируются достоинства и недостатки стандартов Международной электротехнической комиссии IEC 61508, IEC 61511. Рассматривается состояние отечественной нормативной базы в части создания безопасных систем управления и защиты. Впервые предлагается соответствие отечественных категорий взрывоопасности и зарубежных классов и уровней интегральной безопасности. Даются рекомендации по выбору архитектуры систем защиты в зависимости от категории взрывоопасности. Предлагаются меры по укреплению нормативной базы предприятий путем утверждения Стандарта предприятия на проектирование, разработку, внедрение и эксплуатацию АСУТП".
Но продолжим хождение по МЭКам. Мурашко прекрасно знает о той оценке, которую получила моя работа и среди специалистов МЭК, работающих над переработкой стандартов IEC 61508 и IEC 61511, и среди специалистов ISA, работающих над переработкой технических приложений к стандарту ANSI/ISA 84.01-1996 (В марте этого года я посылал Мурашко соответствующее письмо). Я включен в состав комитета ISA по переработке технических приложений. Указал на несколько ошибок в математических выражениях вероятности опасного отказа и вероятности ложного срабатывания. Самое удивительное, что с моими замечаниями целиком согласны.
Вообще должен вам сказать, что уровень и роль стандартов безопасности МЭК, в их нынешнем виде, сильно преувеличены. Я уж не говорю об отсутствии оценок вероятности ложного срабатывания. Как я показал в своей монографии, они даже в простейших соотношениях вероятности опасного отказа умудрились наделать кучу ошибок.
На фоне бесконечных переработок стандартов IEC 61508 и IEC 61511, американский стандарт ANSI/ISA-84.01-96 "Application of Safety Instrumented Systems for the Process Industries" уже более 10 лет сохраняет свою актуальность. Переработке подвергаются только технические приложения (Technical Reports).
Да и вообще не надо думать, что в мире только и света в окошке, что МЭК. Существуют и иные взгляды на искусство. Исключительно высоким уровнем отличаются стандарты безопасности Норвегии. Справочник OREDA – Offshore Reliability Data Handbook – наиболее часто цитируется как независимый источник достоверных данных по надежности. Независимая исследовательская организация SINTEF (Stiftelsen for INdustriell og Teknisk Forskning ved NTH), Норвегия, в своих отчетах "Application of IEC 61508 and IEC 61511 in the Norwegian Petroleum Industry", Rev. No. 02, October 2004, SINTEF Report "Reliability Prediction Method for Safety Instrumented Systems", PDS Method Handbook, March 2003 Edition, использует собственную структуру интенсивностей отказа, к которой давно уже присматриваются в ISA.
По поводу переиздания книги. Честно говоря, простое переиздание для меня самого не шибко актуально. Амбиции, если они и были, удовлетворены, книжка признана и у нас, и на западе, находится и в ленинской (российской государственной) библиотеке, и в Российской Академии Наук (не путать с РАЕН). Чего же еще? Разве что кто-то возьмет на себя все хлопоты с переизданием и распространением, и предложит достойные условия.
Было предложение от нефтегазодобытчиков, но у них свои требования: один том размером не более 900 страниц (что, в принципе, терпимо), и второе – название книги "Справочник инженера по АСУ производством" (поскольку план серии уже давно утвержден). Это, как вы понимаете, никуда не годится – моя книга о другом. И уродовать книгу и рисковать репутацией ради того, чтобы стоять в одном ряду со "Справочником бурового мастера" ради 100 тысяч рублей мне как-то не к лицу.
И последний вопрос:
"Автор: d_miloserdov@xxxxxxx.xx
Дата: 07.12.07 09:06
Тогда товарисчи, поделитесь новым стандартом, а? :)
Иначе мы тут вконец запутаемся.
Андрей, может ваша компания или какая другая или вообще сообща если понты не помешают, впрямую заинтересованые в повышении уровня самосознания своих Заказчиков какой-нить семинар чтоли устроит по ликвидации безграмотности в данном направлении? Букварь может какой порекомендует для чайников (в картинках)…"
Докладываю:
На основе своей монографии я подготовил учебный курс из 14 лекций в виде методических материалов на 864 страницах, и соответствующие презентации (с картинками!!!) на 770 страницах. Надо подумать, как лучше организовать его вхождение в жизнь: институт повышения квалификации, соответствующие профильные институты, или другие варианты. Да и работа на заморских супостатов тоже отнимает достаточно личного времени. Поэтому прошу понять меня правильно:
Я не любитель, да и времени нет шляться по закоулкам Интернета, поэтому всех, кого интересуют не проспектики из разряда "SIL для чайников", а программные документы на уровне моей статьи в журнале "Автоматизация в промышленности", прошу обращаться непосредственно: Fedorov-yn @ mail.ru
Остальным желаю приятно отдохнуть в Подмосковье, или еще где-нибудь на презентации собственной безопасности.
Недаром эпиграфом к главе 6 "Проектная оценка надежности системы" я поставил:
Вишь ты, – сказал один другому, – Вон какое колесо!
Что ты думаешь, доедет то колесо, Если б случилось, в Москву, или не доедет?
– Доедет, – отвечал другой.
– А в Казань-то, я думаю, не доедет?
– В Казань не доедет, – отвечал другой. Этим разговор и кончился.
Николай Васильевич Гоголь, Мертвые души
(До сих пор жаль, что по просьбе издателя – чтоб якобы не снижать общий "сурьёз" работы – эпиграфы ко всем главам пришлось снять).
Честь имею.
Ю. Федоров
ООО "Кама-Автоматика"
Нижнекамск
|
|
