• Текст документа
  • Статус
Оглавление
Поиск в тексте
С ограниченным сроком действия

ПНСТ 366.4-2019


ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

СИСТЕМЫ ПРОМЫШЛЕННОЙ АВТОМАТИЗАЦИИ И ИНТЕГРАЦИЯ

Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами

Часть 4

Верификация полноты аппаратных средств автоматизированной системы безопасности

Industrial automation systems and integration. Safety arrangements of industrial plants by means of process control engineering. Part 4. Verification of the hardware of safety instrumented system


ОКС 25.040.40, 35.240.50

Срок действия с 2020-01-01
до 2022-01-01

Предисловие

1 РАЗРАБОТАН ООО "НИИ экономики связи и информатики "Интерэкомс" (ООО "НИИ "Интерэкомс") совместно с ООО "Корпоративные электронные системы" (ООО "КЭЛС-центр")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 100 "Стратегический и инновационный менеджмент" и ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 19 сентября 2019 г. N 40-пнст

Правила применения настоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и 6).

Федеральное агентство по техническому регулированию и метрологии собирает сведения о практическом применении настоящего стандарта. Данные сведения, а также замечания и предложения по содержанию стандарта можно направить не позднее чем за 4 мес до истечения срока его действия разработчику настоящего стандарта по адресу: info@interecoms.ru и/или в Федеральное агентство по техническому регулированию и метрологии по адресу: 109074 Москва, Китайгородский проезд, д.7, стр.1.

В случае отмены настоящего стандарта соответствующая информация будет опубликована в ежемесячном информационном указателе "Национальные стандарты" и также будет размещена на официальном сайте Федерального агентства по техническому регулированию и метрологии сети Интернет (www.gost.ru)

Введение


Комплекс национальных стандартов по тематике "обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами" состоит из следующих частей:

- Часть 1. Основные положения, принципы и понятия;

- Часть 2. Системы менеджмента;

- Часть 3. Подготовка, запуск и эксплуатация устройств безопасности;

- Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности (настоящий стандарт);

- Часть 5. Руководство по практическому применению;

- Часть 6. Приложения для обеспечения безопасности промышленных предприятий с повышенным уровнем опасности.

Настоящий стандарт не предназначен для целей сертификации и носит исключительно рекомендательный характер. Использование настоящего стандарта предполагает, что при организации производства, при практической реализации (наладке и вводе в эксплуатацию) и функционировании производственного оборудования в обязательном порядке соблюдаются все законодательные нормы, необходимые и достаточные меры технической безопасности, меры по предотвращению опасных инцидентов, а также прочие требования, установленные в национальных стандартах и других нормативных и технических документах.

1 Область применения


Настоящий стандарт устанавливает метод верификации требуемого уровня полноты безопасности (SIL) аппаратных средств приборной системы безопасности (SIS) и применяется совместно с другими стандартами настоящего комплекса стандартов.

Процедура верификации в соответствии с настоящим стандартом должна состоять из двух этапов. На первом этапе осуществляется оценка работоспособности конструкции приборной системы безопасности. На втором этапе рассматриваемой приборной системе безопасности назначается уровень полноты безопасности. Данный уровень зависит от вероятности возникновения отказа устройств (PFD), связанных с обеспечением безопасности. Необходимо учитывать влияние нижеследующих факторов:

- выбор оборудования и его надежность;

- конструкция устройства;

- интервалы между контрольными проверками приборной системы безопасности.

Примечание - Существуют два класса технологических процессов: 1) с качеством "проверено-на-практике" (на основе опыта предшествующего применения), 2) с проверенным типом. Они должны исключать наступление систематических сбоев соответствующих устройств. Устройства с качеством "проверено-на-практике" и устройства с проверенным типом должны рассматриваться одинаково в части устранения 1) систематических сбоев и 2) мнимых сбоев.

2 Нормативные ссылки


В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р МЭК 61511-1 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Термины, определения и технические требования

ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Сокращения и обозначения


В настоящем стандарте использованы следующие сокращения и обозначения:

FMEDA - методика анализа отказов, их последствий и диагностики (failure mode effect and diagnostics analysis);

HFT - отказоустойчивость аппаратных средств (hardware fault tolerance);

HPC - контроллер с жестко зашитой программой (hard-wired programmed controller);

MDT - среднее время простоя (mean downtime);

MooN (M-out-of-N) - комбинация M элементов из N. Комбинация справедлива при MПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасностиN;

MTBF - среднее время наработки на отказ (mean time between failures);

MTTD - среднее время обнаружения отказа (mean time to detection);

MTTF - среднее время наработки до отказа (mean time to failure);

MTTR - среднее время до восстановления (системы после отказа) (mean time to restoration);

PFD - вероятность отказа при наличии запроса (probability of failure on demand);

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - вероятность PFD отказа конечного элемента подсистемы (PFD of subsystem final element);

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - PFD of subsystem logic solver (вероятность PFD отказа логического решателя подсистемы);

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - вероятность PFD наступления отказа комбинации M элементов из N (MooN) в подсистеме приборной системы безопасности (PFD of MooN group in a subsystem of an SIS);

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - вероятность PFD наступления отказа датчика подсистемы (PFD of subsystem sensor);

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - вероятность PFD наступления неисправности приборной системы безопасности SIS в целом (PFD of complete SIS);

SFF - доля безопасных отказов (safe failure fraction);

SIF - функция безопасности приборной системы безопасности (safety instrumented function);

SIL - уровень полноты безопасности (safety integrity level);

SPLC - программируемый логический контроллер устройства обеспечения безопасности (safety related programmable logic controller);

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - интервал между контрольными проверками;

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - доля не выявленных пассивных сбоев с общей причиной;

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - интенсивность наступления всех (как активных, так и пассивных) сбоев;

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - интенсивность наступления опасных пассивных сбоев;

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - интенсивность наступления опасных выявленных пассивных сбоев;

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - интенсивность наступления опасных не выявленных пассивных сбоев;

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности - интенсивность наступления безопасных активных сбоев.

Примечание - Также достаточно часто используются аббревиатуры PCE (устройства автоматического управления производственными процессами), MC (управление и контроль), EMC (электрические, управляющие и контрольные устройства).

4 Термины и определения


В настоящем стандарте применен следующий термин с соответствующим определением:

4.1

отказоустойчивость (fault tolerance): Способность функционального элемента продолжать выполнять требуемую функцию при наличии сбоев или ошибок.

[ГОСТ Р МЭК 61511-1, статья 3.2.21]


5 Конструкция приборной системы безопасности


Приборная система безопасности должна состоять из трех основных подсистем (см. рисунок 1):

- подсистема датчиков;

- программируемый логический контроллер;

- подсистема пусковых устройств приводных механизмов (исполнительные элементы).

Подсистемы датчиков и подсистемы пусковых устройств могут, в свою очередь, включать несколько групп датчиков и несколько групп пусковых устройств.

Для обеспечения работы функции безопасности необходима каждая из указанных групп. Группа M элементов из N включает N каналов, из которых требуется выбрать M элементов.

Примечание - Обычно датчики (определенных типов) отдельно и пусковые устройства (определенных типов) отдельно как части приборной системы безопасности образуют одну отдельную группу для каждого типа.

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности

Рисунок 1 - Структура приборной системы безопасности


6 Работоспособность конструкции, требования к отказоустойчивости аппаратных средств


Обеспечение работоспособности конструкции приборной системы безопасности невозможно без обеспечения отказоустойчивости HFT ее аппаратных средств (см. раздел 4).

И наоборот, обеспечение отказоустойчивости HFT аппаратных средств - необходимое условие надлежащего функционирования приборной системы безопасности.

Подсистемы датчиков, логические устройства и подсистемы пусковых устройств приборной системы безопасности должны иметь минимальную отказоустойчивость HFT в соответствии с ГОСТ Р МЭК 61511-1.

Примечание 1 - Отказоустойчивость HFT - это способность устройства (подсистемы) выполнять требуемые функции, связанные с обеспечением безопасности даже при наличии одного или нескольких опасных сбоев аппаратных средств. Аббревиатура HFT 1 означает, что имеется, например, два устройства и опасный сбой одного устройства не препятствует принятию мер обеспечения безопасности.

Примечание 2 - Отказоустойчивость HFT компенсирует возможные отказы, возникающие при задействовании приборной функции безопасности (SIF). Отказоустойчивость - базовое свойство конструкции. Она должна обеспечиваться в условиях неизвестной заранее интенсивности наступления отказов устройств (подсистем) в различных приложениях производственного процесса.

Примечание 3 - Важно, чтобы выполнение требований обеспечения отказоустойчивости HFT не сводилось к бесконечному запараллеливанию устройств (подсистем). Тем не менее для подтверждения назначенного уровня SIL (функции безопасности SIF) может оказаться необходимым запараллелить рассматриваемое устройство (в зависимости от вида приложения, интенсивности наступления отказов и интервала между контрольными проверками и т.п.).

Для логических подсистем целесообразно использовать сертифицированные логические контроллеры устройств обеспечения безопасности SPLC, для которых изготовителем уже приняты соответствующие меры обеспечения отказоустойчивости HFT. Использование сертифицированных контроллеров HPC с "жестко зашитой" программой в настоящем стандарте не рассматривается.

Если большинство сбоев полевых устройств (подсистем датчиков, подсистем пусковых устройств и т.п.) сравнительно безопасны (в зависимости от приложения, а также для устройств, работающих по принципу "обесточить для аварийного отключения") или легко выявляются (например, путем соответствующей диагностики), то можно использовать архитектуру, указанную в таблице 1. Необходимо принять во внимание:

- место полевого устройства в технологическом процессе;

- значимость диагностической информации о полевом устройстве для валидации его рабочих сигналов;

- возможность использования доступных свойств отказоустойчивости полевого устройства (например, реализацию принципа "обесточить для аварийного отключения" и т.п.).

Таблица 1 - Минимально допустимое значение отказоустойчивости HFT и примеры архитектуры полевых устройств с назначенным уровнем полноты безопасности SIL для заданной приборной функции безопасности SIF.

SIL

HFT

Примеры архитектуры полевых устройств

1

0

1oo1, 2oo2

2

1

1oo2, 2oo3

3

2

1oo3

4

Не рекомендуется


Если указанные условия не выполняются, то отказоустойчивость HFT приобретает значение HFT 1, увеличенное на 1 (см. примечание 1 выше). Отказоустойчивость уровня HFT 1 может оказаться необходимой для достижения уровня полноты безопасности SIL 1.

При определенных обстоятельствах значение отказоустойчивости HFT, определенное таблицей 1, можно уменьшить на 1 (см. таблицу 2). Обязательными условиями этого являются:

- использование только устройств на основе опыта предшествующего применения ("проверено-на-практике"), см. раздел 11.5.3 ГОСТ Р МЭК 61511-1-2018;

- устройствам можно задавать настройки, только относящиеся к технологическому процессу (например, диапазон управления, направление прохождения сигнала в случае отказа и т.п.);

- задание настроек параметров технологического процесса должно быть защищено от несанкционированного доступа (например, перемычкой, паролем и т.п.).

Таблица 2 - Минимальное значение отказоустойчивости HFT и примеры архитектур специально квалифицированных полевых устройств на основе опыта предшествующего применения (с качеством "проверено-на-практике") для назначенного уровня полноты безопасности SIL приборной системы безопасности SIF.

SIL

HFT

Примеры архитектур специально квалифицированных полевых устройств (с качеством "проверено-на-практике")

1

0

1oo1, 2oo2

2

0

1oo1, 2oo2

3

1

1oo2, 2oo3

4

Не рекомендуется


7 Вероятность возникновения отказа по запросу устройства обеспечения безопасности


Приборные системы безопасности обычно вмешиваются в производственный процесс только в случае крайней необходимости. Соответственно, вероятность PFD возникновения отказа самого устройства обеспечения безопасности - это мера его простоя. Перед вычислением значения вероятности PFD упрощенным методом, описанным далее, необходимо принять некоторые допущения, обычно справедливые для производственного процесса.

7.1 Допущения. Основные положения

а) Интенсивность наступления отказов аппаратных средств устройств не изменяется с течением времени (является константой).

б) Значения интенсивности наступления отказов аппаратных средств (исходные данные) задаются только для одного канала (подсистемы). Они основаны на стандартизованных данных изготовителя и/или на коммерческих статистических оценках.

в) Интервал диагностики должен быть на порядок меньше интервала между испытаниями. Интенсивность наступления выявленных (дополнительной диагностикой) опасных пассивных сбоев ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности пренебрежимо мала по сравнению с интенсивностью наступления не выявленных (указанной диагностикой) опасных пассивных сбоев ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности, обнаруживаемых только испытаниями рабочих функций (с учетом заданного интервала между испытаниями).

г) Время между двумя запросами должно быть на порядок больше среднего времени восстановления.

д) Только пассивные сбои создают угрозу безопасности;

е) Интервал между испытаниями достаточно мал по сравнению со средним временем наработки на отказ, то есть ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности.

ж) Среднее время до восстановления (системы после отказа) достаточно мало по сравнению с интервалом между испытаниями, то есть ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности.

и) В соответствии с допущениями (е) и (ж) среднее время простоя достаточно мало по сравнению со средним временем наработки до отказа, то есть MDT<<MTTF.

к) Все сбои, возникающие во время испытаний, обнаруживаются во время данных испытаний. После ремонта номинальный статус безотказной работы установки восстанавливается.

л) Результат умножения интенсивности наступления выявленных пассивных сбоев на интервал между испытаниями всегда много меньше единицы, то есть ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности.

Указанные допущения сохраняют силу во всех нижеследующих разделах настоящего стандарта.

Рабочие данные ниже объясняются в контексте значений надежности приборной системы безопасности SIS.

Среднее время простоя MDT - это сумма среднего времени обнаружения отказа MTTD и среднего времени до восстановления (системы после отказа) установки MTTR:

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности. (1)


Сумма среднего времени наработки до отказа MTTF и среднего времени простоя MDT - это среднее время наработки на отказ MTBF:

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности. (2)


В соответствии с допущением (h) можно считать, что:

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности. (3)


Среднее время штатной работы технологической линии до наступления очередного отказа MTTF - величина обратная общей интенсивности наступления отказов ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности:

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности. (4)


Порядок сопряжения рассматриваемых интервалов времени приведен на рисунке 2.

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности

Рисунок 2 - Порядок сопряжения интервалов времени


Рассматриваемые интервалы ограничены наступлением очередного не выявленного пассивного сбоя (см. перечисление в)). Вероятность наступления неисправности приборной системы безопасности SIS в целом ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности может быть вычислена по формуле (5):

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт».

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу spp@kodeks.ru

ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности

Название документа: ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности

Номер документа: 366.4-2019

Вид документа: ПНСТ

Принявший орган: Росстандарт

Статус: С ограниченным сроком действия

Действующий

Опубликован: Официальное издание. М.: Стандартинформ, 2019 год
Дата принятия: 19 сентября 2019

Дата начала действия: 01 января 2020
Дата окончания действия: 01 января 2022
Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах