ПНСТ 366.4-2019 Системы промышленной автоматизации и интеграция. Обеспечение безопасности промышленных предприятий за счет использования систем автоматического управления процессами. Часть 4. Верификация полноты аппаратных средств автоматизированной системы безопасности

     6 Работоспособность конструкции, требования к отказоустойчивости аппаратных средств

Обеспечение работоспособности конструкции приборной системы безопасности невозможно без обеспечения отказоустойчивости HFT ее аппаратных средств (см. раздел 4).

И наоборот, обеспечение отказоустойчивости HFT аппаратных средств - необходимое условие надлежащего функционирования приборной системы безопасности.

Подсистемы датчиков, логические устройства и подсистемы пусковых устройств приборной системы безопасности должны иметь минимальную отказоустойчивость HFT в соответствии с ГОСТ Р МЭК 61511-1.

Примечание 1 - Отказоустойчивость HFT - это способность устройства (подсистемы) выполнять требуемые функции, связанные с обеспечением безопасности даже при наличии одного или нескольких опасных сбоев аппаратных средств. Аббревиатура HFT 1 означает, что имеется, например, два устройства и опасный сбой одного устройства не препятствует принятию мер обеспечения безопасности.

Примечание 2 - Отказоустойчивость HFT компенсирует возможные отказы, возникающие при задействовании приборной функции безопасности (SIF). Отказоустойчивость - базовое свойство конструкции. Она должна обеспечиваться в условиях неизвестной заранее интенсивности наступления отказов устройств (подсистем) в различных приложениях производственного процесса.

Примечание 3 - Важно, чтобы выполнение требований обеспечения отказоустойчивости HFT не сводилось к бесконечному запараллеливанию устройств (подсистем). Тем не менее для подтверждения назначенного уровня SIL (функции безопасности SIF) может оказаться необходимым запараллелить рассматриваемое устройство (в зависимости от вида приложения, интенсивности наступления отказов и интервала между контрольными проверками и т.п.).

Для логических подсистем целесообразно использовать сертифицированные логические контроллеры устройств обеспечения безопасности SPLC, для которых изготовителем уже приняты соответствующие меры обеспечения отказоустойчивости HFT. Использование сертифицированных контроллеров HPC с "жестко зашитой" программой в настоящем стандарте не рассматривается.

Если большинство сбоев полевых устройств (подсистем датчиков, подсистем пусковых устройств и т.п.) сравнительно безопасны (в зависимости от приложения, а также для устройств, работающих по принципу "обесточить для аварийного отключения") или легко выявляются (например, путем соответствующей диагностики), то можно использовать архитектуру, указанную в таблице 1. Необходимо принять во внимание:

- место полевого устройства в технологическом процессе;

- значимость диагностической информации о полевом устройстве для валидации его рабочих сигналов;

- возможность использования доступных свойств отказоустойчивости полевого устройства (например, реализацию принципа "обесточить для аварийного отключения" и т.п.).

Таблица 1 - Минимально допустимое значение отказоустойчивости HFT и примеры архитектуры полевых устройств с назначенным уровнем полноты безопасности SIL для заданной приборной функции безопасности SIF.