Обложка I 73 Table of Contents 75 Обложка IV

ЖУРНАЛ СТА 1/2009

определён равным 0,8 мА (5% от рабо чего диапазона). На датчик подаётся питание и уста навливается выходной сигнал 12 мА. Один за другим по очереди моделиру ются отказы различных видов (корот кое замыкание, обрыв, девиация и т.д.) для каждого электронного и механиче ского компонента датчика. Например, если это резистор 1 кОм, сопротивле ние его устанавливается равным 0, 500, 2000 Ом, а затем он размыкается. Про исходящие при этом изменения выход ного тока фиксируются. Если диапазон изменений менее 0,8 мА, отказ класси фицируется как безопасный недетек тируемый (su). Если сигнал выходит за пределы допуска, но находится в диа пазоне 4...20 мА, отказ классифициру ется как опасный недетектируемый (du). Если же сигнал ниже 4 мА или выше 20 мА, отказ может быть безопас ным или опасным в зависимости от ус ловий применения данного датчика, но в любом случае он будет классифи цироваться как детектируемый. Такое тестирование и анализ вы полняются для каждого компонен та, затем полученные результаты сум мируются для получения общих зна чений интенсивностей отказов λ sd , λ su , λ dd , λ du . Необходимо отметить, что для опре деления неготовности системы безо пасности (PFDavg) в основном имеет значение интенсивность опасных не детектируемых отказов (du). Это озна чает, что чем она ниже, тем более высо кий интегральный уровень безопасно сти SIL может быть достигнут для дан ного устройства. Д ОЛЯ БЕЗОПАСНЫХ ОТКАЗОВ (SFF) Вторым параметром, определяющим интегральный уровень безопасности, является доля безопасных отказов SFF ( Safety Failure Fraction ). В соответствии со стандартом МЭК 61508 компоненты или подсистемы от носятся к типу А или В (см. табл. 1 и табл. 2): ● компоненты типа А – это простые устройства, поведение и виды отка зов которых хорошо известны; ● компоненты типа В – это комплекс ные компоненты с потенциально не известными видами отказов, напри мер микропроцессоры, специализи рованные процессоры и т.п. Фактически в табл. 1 и 2 представле ны ограничения на использование простых и резервированных архитек тур в системах с различными уровня ми SIL. Значение SFF определяется по фор муле: Чтобы увеличить значение SFF, сум марное значение λ du должно быть как можно меньше. Р АСЧЁТ PFD AVG Для систем с архитектурой 1oo1 фор мула расчёта PFDavg имеет вид: PFDavg( TI ) = λ dd × RT + λ du × TI /2, где RT – время восстановления в часах (обычно 8 часов); TI – интервал времени между функ циональными проверочными тестами (1–5–10 лет), обозначаемый также Tproof; λ dd – интенсивность опасных детек тируемых отказов; λ du – интенсивность опасных неде тектируемых отказов. Для TI = 1 год = 8760 ч и RT = 8 ч: PFDavg = λ dd × 8 + λ du × 8760/2. Поскольку слагаемое ( λ dd × 8) суще ственно меньше, чем ( λ du × 4380), фор мулу можно упростить: PFDavg = λ du × TI /2 = λ du × 8760/2. И НТЕГРАЛЬНЫЕ УРОВНИ БЕЗОПАСНОСТИ В табл. 3 приведены значения PFDavg для двух режимов: низкой и высокой интенсивности запросов. Режим низкой интенсивности запро сов – режим, когда частота запросов на ∑ 1– . du dd du sd su λ λ λ λ λ = + + + ∑ ∑ ∑ ∑ ∑ SFF dd sd su dd du sd su λ λ λ λ λ λ λ + + = = + + + ∑ ∑ ∑ ∑ ∑ ∑ ∑ 74 СТА 1/2009 С ТАНДА Р Т ИЗАЦИЯ И С Е Р Т ИФИКАЦИЯ www.cta.ru Таблица 1 SFF для компонентов типа А Таблица 2 SFF для компонентов типа B SFF Устойчивость к аппаратным отказам 0 Устойчивость к аппаратным отказам 1 Устойчивость к аппаратным отказам 2 < 60% SIL 1 SIL 2 SIL 3 60–90% SIL 2 SIL 3 SIL 4 90–99% SIL 3 SIL 4 SIL 4 > 99% SIL 3 SIL 4 SIL 4 Примечание. Устойчивость к аппаратным отказам N означает, что (N+1) й отказ может привести к нарушению функции безопасности устройства. SFF Устойчивость к аппаратным отказам 0 Устойчивость к аппаратным отказам 1 Устойчивость к аппаратным отказам 2 < 60% Не допускается SIL 1 SIL2 60–90% SIL 1 SIL 2 SIL 3 90–99% SIL 2 SIL 3 SIL 4 > 99% SIL 3 SIL 4 SIL 4 SIL интегральный уровень безопасности PFDavg средняя вероятность отказа на запрос в год (низкая интенсивность запросов) (1–PFDavg) готовность безопасности RRF фактор снижения риска PFDavg средняя вероятность отказа на запрос в час (высокая интенсивность запросов) SIL 4 ≥ 10 –5 и <10 –4 От 99,99 до 99,999% От 100 000 до 10 000 ≥ 10 –9 и <10 –8 SIL 3 ≥ 10 –4 и <10 –3 От 99,9 до 99,99% От 10 000 до 1 000 ≥ 10 –8 и <10 –7 SIL 2 ≥ 10 –3 и <10 –2 От 99 до 99,9% От 1000 до 100 ≥ 10 –7 и <10 –6 SIL 1 ≥ 10 –2 и <10 –1 От 90 до 99% От 100 до 10 ≥ 10 –6 и <10 –5 Примечание. Устойчивость к аппаратным отказам N означает, что (N+1) й отказ может привести к нарушению функции безопасности устройства. Таблица 3 Фактор снижения риска как функция уровня SIL и готовности (из стандартов МЭК 61508 и МЭК 61511) © СТА-ПРЕСС

RkJQdWJsaXNoZXIy MTQ4NjUy