SCADA, АСУ ТП, контроллеры – основная тематика журнала «ИСУП»
Журнал «Информатизация и Системы Управления в Промышленности» публикует тематические материалы посвященные SCADA, АСУ ТП, контроллерам, автоматизации в промышленности.

Функциональные тесты сигнализаторов уровня в приборных системах безопасности

Имитационные функциональные тесты сигнализаторов уровня позволяют избегать дорогостоящих остановов технологического процесса и ряда трудоемких операций по обслуживанию системы противоаварийной защиты при сохранении полноты функциональной безопасности вплоть до уровня SIL3.


endress_hauser_logo.jpg

Обслуживание систем ПАЗ

Системы противоаварийной защиты (ПАЗ) предназначены для предупреждения и предотвращения аварийных ситуаций в целях обеспечения безопасности персонала, окружающей среды и производственных мощностей. Важно понимать, какого рода обслуживание необходимо системе ПАЗ, чтобы она в любой момент была готова к работе. Это позволит выработать оптимальный регламент обслуживания автоматической системы безопасности, позволяющий снизить стоимость владения системой противоаварийной защиты при неукоснительном соблюдении всех требований предприятия по поддержанию необходимого уровня функциональной безопасности.

Под системой ПАЗ в данной статье мы понимаем так называемую приборную систему безопасности (ГОСТ Р МЭК 61511-1), состоящую из трех основных элементов: контрольно-измерительного прибора (или подсистемы КИП), логического контроллера (ПАЗ-контроллера) и исполнительного элемента или их подсистем (рис. 1). Требования к обслуживанию таких систем подробно описаны в стандарте ГОСТ Р МЭК 61511-1. Они сводятся к тому, чтобы при пусконаладке провести комплексную проверку системы ПАЗ на предмет исправности ее элементов, отсутствия ошибок в ее архитектуре и программировании и затем периодически проверять ее работоспособность. Периодическая проверка необходима для того, чтобы своевременно выявлять скрытые отказы, которые могут возникнуть в одном или нескольких элементах системы. Согласно ГОСТ Р МЭК 61511, можно выполнять как комплексную, так и поэлементную периодическую проверку приборной системы безопасности. Последняя представляет собой проверку исправности каждого элемента системы ПАЗ по отдельности, в том числе с разной периодичностью. Например, датчик проверяется один раз в два года, ПАЗ-контроллер – один раз в год, а клапан – один раз в три года. Периодичность проверки определяется таким образом, чтобы вероятность отказа системы на запрос выполнения функции безопасности (англ. Probability of Failure on Demand, PFD) не превышала величину, соответствующую заданному уровню полноты безопасности SIL-системы. Например, для SIL3 должно выполняться условие PFD < 10-3.

Ris.1.png

Рис. 1. Приборная система безопасности согласно ГОСТ Р МЭК 61511


Виды отказов и функциональные тесты

Отказы любого устройства обычно подразделяют на четыре основных типа.

1. Безопасные детектируемые отказы – это отказы, которые не несут опасности и обнаруживаются системой самодиагностики датчика. Пример: короткое замыкание на выходе 4…20 мА сигнализатора уровня, когда при токе больше 20 мА срабатывает сигнализация высокого уровня.

2. Безопасные недетектируемые отказы не несут опасности и не обнаруживаются системой самодиагностики датчика. Пример: отказ сигнализатора с выходным сигналом 8/16 мА, который ведет к появлению выходного сигнала 8 мА, провоцирующего ложное срабатывание системы ПАЗ.

3. Опасные детектируемые отказы несут опасность и обнаруживаются системой самодиагностики датчика. Пример: выход из строя диафрагмы датчика давления. В данном случае получение результатов измерений, похожих на правду, возможно, но система самодиагностики обнаруживает отказ и выдает аварийный сигнал.

4. Опасные недетектируемые (скрытые) отказы несут опасность и не обнаруживаются системой самодиагностики датчика. Пример: выходной сигнал «застывает» между 4 и 20 мА, поэтому система безопасности не отвечает, не выдавая сообщений об ошибке.

Опасные скрытые отказы – это самый коварный тип отказов, так как они не обнаруживаются системой самодиагностики датчика и приводят к тому, что система ПАЗ не в состоянии предотвратить развитие нештатной ситуации. Контрольные, или функциональные, тесты направлены на выявление в элементе системы ПАЗ (датчике, контроллере или исполнительном элементе) именно опасных скрытых отказов. Эффективность имитационного функционального теста зависит от доли опасных недетектируемых отказов, которая может быть обнаружена с его помощью. Эта доля устанавливается путем специальных испытаний и называется эффективностью функционального теста (англ. Proof Test Coverage, PTC).

Необходимо отметить, что широкое распространение получил метод тестирования контуров ПАЗ, при котором функционирование контура безопасности проверяется путем имитации с помощью настроек выходного сигнала датчика, соответствующего его срабатыванию. Такой тест имеет мало общего с функциональным тестом. Он позволяет убедиться в работоспособности большей части контура ПАЗ, но, к сожалению, дает весьма скудную информацию об исправности самого датчика, проверяя только модуль формирования выходного сигнала.


Функциональные тесты датчиков предельного уровня

Рассмотрим различные типы функциональных тестов и их эффективность для сигнализаторов предельного уровня – одного из наиболее часто встречающихся в контурах системы безопасности видов контрольно-измерительных приборов. Датчики предельного уровня в системе ПАЗ выполняют важнейшую задачу – сигнализируют о критическом уровне продукта в емкости или резервуаре. Например, датчик предельного уровня, установленный в верхней части резервуара, предназначен для предотвращения перелива (рис. 2). Его неисправность может привести к попаданию опасных веществ в окружающую среду.

Ris.2.png

Рис. 2. Датчик предельного уровня, установленный в верхней части резервуара, 
предназначен для защиты от перелива

Функциональные тесты для сигнализаторов предельного (верхнего) уровня можно разделить на три типа (рис. 3):
- метод А: с намеренным увеличением уровня продукта до точки срабатывания без демонтажа сигнализатора с точки измерения;
- метод Б: с демонтажом сигнализатора с точки измерения и с принудительным погружением в емкость с продуктом;
- метод В: имитационный функциональный тест без демонтажа с резервуара и остановки/модификации технологического процесса.

Ris.3.png

Рис. 3. Три метода выполнения функциональных тестов датчиков предельного уровня

При намеренном увеличении уровня продукта до точки срабатывания сигнализатора (метод А) воспроизводятся условия, максимально близкие к действительной ситуации перелива в технологическом процессе. Неудивительно, что эффективность такого функционального теста стремится к 100 %. Существенным недостатком данного метода, однако, является то, что для срабатывания датчика приходится проводить технологический процесс в условиях, близких к возникновению нештатной ситуации. При этом, если прибор – датчик высокого (High) или аварийного (High High) уровня – не сработает при тестировании, высока вероятность перелива.

При демонтаже сигнализатора с последующим погружением в емкость с продуктом (метод Б) условия срабатывания датчика часто довольно близки к реальным условиям процесса. Эффективность такого теста также близка к 100 %.

Вместе с тем при таком тестировании необходимо принимать во внимание несколько важных факторов. Во‑первых, для проведения функционального теста с демонтажом требуется остановка технологического процесса, поэтому его выполняют только во время профилактического останова производства. При современной тенденции к увеличению межремонтного пробега установок до двух (трех, четырех) лет может не быть возможности вовремя провести проверку таким способом. Во‑вторых, персонал, выполняющий тестирование, автоматически подвергается риску, так как вынужден находиться в опасной зоне. Следует также предусмотреть безопасную утилизацию продукта, использованного для теста. В‑третьих, нужно понимать, что некоторые датчики предельного уровня, корректная работа которых очень сильно зависит от типа резервуара, его геометрии и точки установки, вообще не могут быть протестированы подобным образом. Речь идет, например, о емкостных датчиках, при демонтаже которых и тестировании с использованием дополнительной емкости невозможно в точности сымитировать рабочие условия. Соответственно результаты подобного теста могут оказаться некорректными.

При имитационном функциональном тесте (метод В) работоспособность прибора проверяется программной симуляцией функции безопасности. Преимущество данного теста состоит в том, что прибор может оставаться на точке установки, а процедура тестирования никак не зависит от течения технологического процесса. Таким образом, имитационные тесты позволяют существенно сократить затраты и время на испытание сигнализаторов предельного уровня и, как следствие, всего контура безопасности. Вместе с тем их эффективность может быть существенно ниже 100 %. В этом случае имитационные тесты не способны послужить полноценной альтернативой «погружным» способам тестирования (методы А и Б) и используются только для увеличения интервала между ними. Чем выше эффективность имитационного функционального теста, тем больше вероятность того, что на протяжении эффективного срока эксплуатации прибора (от 12 до 15 лет) можно ограничиться только имитационными тестами.


Пример реализации имитационного тестирования датчика предельного уровня

Конкретные процедуры функциональных тестов разрабатываются непосредственно производителями оборудования и описываются в соответствующем разделе руководства по функциональной безопасности прибора. В отличие от функциональных тестов по методам А и Б, имитационные тесты возможны только для интеллектуальных датчиков, при создании которых имитационное тестирование предусмотрели еще на этапе разработки конструкции и встроенного программного обеспечения прибора. Соответственно процедура тестирования может существенно различаться как у сигнализаторов различного принципа действия, так и у сигнализаторов одного принципа действия разных производителей.

Рассмотрим в качестве примера вибрационный сигнализатор предельного уровня Liquiphant FailSafe FTL8* производства Endress+Hauser. Принцип действия этого сигнализатора состоит в изменении частоты вибрации сенсора (так называемой вибровилки) при погружении в жидкость. Процедура имитационного теста Liquiphant FailSafe сводится к нажатию на кнопку запуска теста на корпусе датчика или вторичного преобразователя Nivotester FTL825, преобразующего аналоговый выходной сигнал датчика в дискретный (рис. 4). Когда датчик подключают к источнику питания или нажимают кнопку запуска функционального теста, электронный модуль датчика проходит через серию внутренних проверок. Одновременно происходит автоматическое понижение рабочей частоты пьезопривода вибровилки и проверка ее исправности на пониженной частоте вибрации. Кроме того, инициируется смена статуса выходного сигнала, при котором приводится в действие исполнительный элемент контура безопасности. Таким образом, производится тестирование всего прибора и контура ПАЗ, а не только модуля выходных сигналов.

Ris.4.png

Рис. 4. Имитационный функциональный тест можно запустить, 
нажав кнопку на преобразователе Nivotester или на самом датчике

Помимо возможности выполнения имитационных тестов с помощью нажатия конопки, в интеллектуальном сигнализаторе предельного уровня Liquiphant FailSafe реализована расширенная система самодиагностики для выявления отказов сенсора и электронного преобразователя в реальном времени. Изменение частоты колебаний вибровилки свидетельствует о механическом повреждении или коррозии чувствительного элемента. Непрерывный мониторинг включает проверку функционирования электронного модуля, пьезопривода и проверку на замыкание и размыкание в цепи. Наряду с резервированием электронного преобразователя внутри датчика такая самодиагностика обеспечивает высокую эффективность диагностики и высокую долю безопасных отказов. В результате датчик соответствует уровню SIL3 без резервирования (по схеме 1оо1). Комбинация непрерывной самодиагностики и имитационных тестов обеспечивает предельно малую интенсивность опасных скрытых отказов Liquiphant FailSafe, не превышающую 1 % от общей интенсивности отказов. Таким образом, в отсутствие систематических отказов при эксплуатации данного сигнализатора можно ограничиться имитационными тестами на протяжении его эффективного срока службы.


Заключение

Для обеспечения заданного уровня полноты безопасности элементы приборных систем безопасности, в том числе сигнализаторы предельного уровня, необходимо регулярно тестировать на предмет выявления в них опасных скрытых отказов. Методики соответствующих тестов разрабатываются производителями приборов и описываются в руководствах по функциональной безопасности. Имитационные функциональные тесты реализованы не для всех сигнализаторов предельного уровня. Пользователь несет единоличную ответственность за обеспечение своевременных функциональных тестов элементов систем ПАЗ и выбор подходящего метода тестирования. Отдав предпочтение приборам, которые допускают имитационные тесты, он расширит набор доступных методик тестов и получит возможность удовлетворить требования стандартов без дорогостоящих остановов технологического процесса и с сокращением ряда трудоемких операций.

Статья опубликована в журнале «ИСУП», № 4(52)_2014

А. В. Кочетков, менеджер по продукту «Приборы измерения уровня»,
А. В. Пушнов, директор по маркетингу,
ООО «Эндресс+Хаузер», г. Москва,
тел.: (495) 783‑2850,
e‑mail: info@ru.endress.com,