Уровень SIL4 является самым высоким, наиболее труднодостижимым. Для его обеспечения требуется чрезвычайно высокая квалификация и работа «на грани искусства. Поэтому следует избегать необходимости его применения.

Уровень SIL3 ниже, чем SIL4, но также требует высокой квалификации и высокого уровня организации процесса проектирования. Немногие исполнители способны обеспечить этот уровень безопасности.

Уровень SIL2 требует управления работами в соответствии со стандартом ИСО 9001. Достижение этого уровня требует большего числа испытаний, чем SIL1, что приводит к увеличению стоимости проекта.

Уровень SIL1 является самым низким, для его выполнения достаточно наличия хорошего опыта разработок.

Уровни SIL определяют величину допустимого риска для системы. Они являются мерой вероятности того, что система будет правильно выполнять свои функции, влияющие на безопасность. При оценке риска используется понятие «demand on the safety» — «запрос безопасности», которое означает возникновение ситуации, в которой может проявиться свойство безопасности. Например, возникновение ситуации, при которой срабатывает система аварийной защиты, является «запросом безопасности»>. Этот запрос может не реализоваться, если во время запроса система находится в состоянии отказа, или реализоваться в виде срабатывания системы.

Величина риска зависит от частоты запроса безопасности. Например, если покушение на ограбление банка («запрос безопасности») случается 1 раз в год, то вероятность отказа системы охранной сигнализации в течение года должна быть равна 0,1, чтобы ограбление было возможно не чаще чем 1 раз в 10 лет.

Стандарт МЭК 61508 устанавливает два способа расчета риска. Поскольку риск определяется как произведение вероятности возникновения опасной ситуации на тяжесть (стоимость) последствия, первой стадией в оценке риска является определение вероятности возникновения опасности. Количественный метод расчета вероятности основан на анализе частоты отказов системы.

При анализе функциональной безопасности различают случайные отказы и систематические. Систематические отказы (типовой случай — отказы программного обеспечения) существуют постоянно, даже в момент пуска системы в эксплуатацию. Случайные отказы появляются с течением времени. Основным средством уменьшения интенсивности случайных отказов является резервирование компонентов системы. Число систематических отказов может быть снижено преимущественно в процессе разработки, для чего стандарт устанавливает требования к процессу разработки, модернизации, а также к архитектуре аппаратного и программного обеспечения.

В системах промышленной автоматизации компонентами, влияющими на функциональную безопасность, являются датчики, контроллер с программным обеспечением, исполнительные устройства и линии связи между ними. Стандарт МЭК 61508 требует анализа соответствия такой системы одному из уровней безопасности. Отметим, что если отдельные компоненты системы удовлетворяют требованию, например, уровня SIL2, то это не означает, что система в целом соответствует SIL2, поскольку вероятность отказа системы всегда выше, чем отдельных ее компонентов. 5 то же время, используя резервирование, можно построить систему более высокого уровня безопасности, чем уровень входящих в нее компонентов.

Требования функциональной безопасности необходимо выполнять на протяжении всего жизненного цикла системы автоматизации, который включает проектирование, производство, снабжение, контроль, проведение испытаний, упаковку и хранение, доставку, монтаж у заказчика, эксплуатацию, обучение персонала эксплуатирующей организации, техническую поддержку, утилизацию.

Многие результаты применения принципов обеспечения функциональной безопасности систем автоматизации изложены в отраслевых правилах промышленной безопасности, где сформулированы требования к допустимой частоте отказов, к видам защиты и способам их выполнения, требования к резервированию, к построению систем сигнализации, блокировок и аварийного останова, к алгоритмам работы систем автоматической противоаварийной защиты (ПАЗ) и др.

Страниц: 1 2