ГОСТРМЭК 61511-2—2011
Если ПСБ является единственным слоем защиты и используется для выполнения функции безо
пасности в непрерывном режиме, то междиагностический интервал должен быть таким, чтобы сбои в
ПСБ были обнаружены за время, достаточное для обеспечения полноты ПСБ и выполнения действий,
позволяющих в случае отказа в процессе или в ОСУП сохранить безопасное состояние.
Чтобы этого добиться, сумма междиагностического интервала и времени реакции, позволяющего
перейти в безопасное состояние, должна быть меньше, чем время безопасности процесса. Время безо
пасности процесса определяется как время между отказом (потенциально способным привести к опас
ному событию), возникающим в процессе или в ОСУП. и появлением опасного события, если функция
безопасности ПСБ не выполняется.
Критичные и потенциально критичные неисправности в общих компонентах (таких как централь
ный процессор, устройства памяти типов RAM или ROM) обычно препятствуют почти всему процессу
обработки данных, и их гораздо труднее обнаружить, чем неисправность отдельного выходного устрой
ства. Виды отказов, имеющих высокую вероятность, должны выявляться с большей достоверностью.
Более того, следует учитывать выявляемость отказов данного вида.
Для каждой реализуемой диагностики интервал проведения проверок и действие, вызванное вы
явленной неисправностью, должны удовлетворять спецификации требований к безопасности.
Если такие диагностические средства не встроены в поставляемое оборудование, то на систем
ном или прикладном уровне могут быть реализованы внешние средства диагностики, чтобы удовлетво
рить УПБ функции безопасности ПСБ.
Диагностика может не обнаружить систематических ошибок (таких, как ошибки в программах).
Однако можно осуществить подходящие предупредительные меры, чтобы обнаружить возможные сис
тематические ошибки.
Диагностику можно выполнить, используя разнообразные методы или их комбинацию, включая:
a) для датчиков:
1) могут быть предусмотрены диагностические сигналы, означающие, что выявлен полный отказ
датчика с выходом его выходного сигнала за верхнюю или нижнюю границу диапазона измерений.
Одним из путей, которым этоможет быть достигнуто, является использованиеаварийного сигнала, если
значения датчика оказались вне его рабочего диапазона. Например, в применение, контролирующее
высокую температуру и использующее резервные температурные датчики, чтобы диагностировать от каз
датчика или потерю его сигнала, можно добавить аварийный сигнал, если значение сигналадатчика
оказалось ниже нижнего уровня его рабочего диапазона;
2) если используют резервные датчики, то сравнение аналоговых значений позволяет выявить
аномалии, происшедшие при нормальной работе. Если применяюттридатчика, то можно использовать
значение датчика, являющееся средним из этих трех датчиков (отбор среднего значения). Отбор сред
него значения обладает преимуществом по отношению к среднему арифметическому от трехдатчиков,
потому что среднее арифметическое искажается неправильно функционирующим устройством. Значи
тельные расхождения между показаниями устройств могут быть из-за:
- засорения разъемов измерительных цепей и соединительных линий;
- снижения давления в системе очистки;
- зарастания каналов ввода термопар;
- проблем с заземлением или энергопитанием;
- отсутствия реакции датчика, выходной сигнал которого перестал изменяться;
3) могут быть введены временные задержки для предотвращения случайных срабатываний ава
рийной сигнализации из-за различия времени реакции датчиков на изменения в процессе, связанного с
размещением датчика или принципом его действия. Например, некоторые резервные датчики расхода
могут иметь задержки от 1до 2 с. Существует много пакетов программ, поставляемых продавцами дат
чиков. для контроля показаний резервных датчиков и вычисления стандартного отклонения, способных
инициировать диагностическую сигнализацию;
4) другим способом диагностикидатчика является сравнение с изменениями связанных перемен
ных (например, показания накопительных расходомеров сопоставляются с изменениями уровня в ем
кости или с соотношениями давления и температуры);
b
) для исполнительных элементов.
1) для проверки выполнения ожидаемыхдействий можетбыть проведено сравнение сигналов об
ратной связи, получаемых с выхода исполнительного элемента (такого, как сигнал конечного выключа
теля или сигнал от датчика положения), с требуемым состоянием. Чтобы отфильтровать сигнал,
26