Cтраница 1
Безопасный отказ - ложное срабатывание - возникает в том случае, когда система защиты функционирует, и от системы не требуется производить каких-либо действий по обеспечению безопасности, однако система производит беспричинный, немотивированный, неоправданный останов процесса, хотя на процессе никаких отклонений от регламента не произошло. [1]
Соответственно, учитывается декомпозиция отказов на обнаруженные и необнаруженные, опасные и безопасные отказы. [2]
Для систем безопасности на опасных технологических процессах в данное определение вкладывается не сразу осознаваемый, но крайне неприятный смысл: в случае так называемого безопасного отказа системы безопасности процесс переводится в безопасное состояние, которое, по сути, является состоянием немотивированного, ложного останова процесса. [3]
За всеми этими вроде бы спокойными и обтекаемыми формулировками кроется крайне неприятный смысл, который не сразу обнаруживается: для реального производства практически во всех случаях безопасный отказ в лучшем случае означает ложный останов производства. Можно сказать, что в стандарте МЭК понятие безопасный отказ - самое неудачное понятие для тех, кто использует оборудование и системы безопасности. И в то же время это понятие очень удобно для производителей и поставщиков оборудования. [4]
В контексте интегральной безопасности уровень SIL, который может быть объявлен и для отдельной функции безопасности, и для системы безопасности в целом, ограничивается отказоустойчивостью и долей безопасных отказов подсистемы, осуществляющей данную функцию безопасности. SIL, который может быть приписан для функции безопасности подсистемы исходя из доли безопасных отказов и отказоустойчивости подсистемы. Соответствие этим требованиям должно проверяться для каждой подсистемы. [5]
Присутствие в выражениях для PFDioo2D и PFH1002D непосредственного сомножителя Лш приводит к тому, что при Лои 0 вероятность опасного отказа также становится нулевой, то есть превращается в полную невероятность вне зависимости от частоты обнаруженных опасных или безопасных отказов. [6]
Система безопасности может совершить ложный немотивированный аварийный останов процесса, в то время как в действительности ничего опасного на процессе не произошло. Подобный тип отказа некоторые люди называют безопасным отказом. [7]
За всеми этими вроде бы спокойными и обтекаемыми формулировками кроется крайне неприятный смысл, который не сразу обнаруживается: для реального производства практически во всех случаях безопасный отказ в лучшем случае означает ложный останов производства. Можно сказать, что в стандарте МЭК понятие безопасный отказ - самое неудачное понятие для тех, кто использует оборудование и системы безопасности. И в то же время это понятие очень удобно для производителей и поставщиков оборудования. [8]
Отказ диагностической цепи не оказывает непосредственного влияния на нормальную работу трансмиттера. Однако этот отказ может препятствовать переходу трансмиттера в состояние безопасного отказа ( выходной ток 3.7 тА 4 тА) в случае появления последующего отказа. [9]
Отказ диагностической цепи не оказывает непосредственного влияния на нормальную работу трансмиттера. Однако этот отказ может препятствовать переходу трансмиттера в состояние безопасного отказа ( выходной ток 3.7 тА) в случае появления последующего отказа. Для проверки трансмиттеров на наличие опасных необнаруженных отказов, включая и проверку диагностических цепей, необходимо проводить периодическое автономное функциональное тестирование. В отчете ADQL-6 предоставлены все необходимые данные по частотам отказов, и даны рекомендации по периодичности автономного тестирования. [10]
В контексте интегральной безопасности уровень SIL, который может быть объявлен и для отдельной функции безопасности, и для системы безопасности в целом, ограничивается отказоустойчивостью и долей безопасных отказов подсистемы, осуществляющей данную функцию безопасности. SIL, который может быть приписан для функции безопасности подсистемы исходя из доли безопасных отказов и отказоустойчивости подсистемы. Соответствие этим требованиям должно проверяться для каждой подсистемы. [11]
Будет или нет, реализован этот потенциал, может зависеть от архитектуры каналов системы. В системах с несколькими каналами для увеличения безопасности менее похоже ( так и написано - is less likely, -), что безопасный отказ оборудования приведет к ошибочному останову. [12]
Во-первых, она может вызвать или инициировать ложный, немотивированный останов, и остановить производство, в то время как фактически ничего опасного не произошло. Если выходные цепи спроектированы таким образом, что в нормальных рабочих условиях реле находятся под напряжением и контакты замкнуты, то в случае отказа системы защиты электропитание с контактов снимается, и они размыкаются, вызывая останов процесса. Некоторые люди называют подобную ситуацию безопасным отказом. [13]
Наиболее серьезным пробелом стандарта является не доведенное до конца исследование структуры отказов систем безопасности. Стандарт не дает никаких рекомендаций по оценке вероятности так называемых безопасных отказов, которые фактически означают немотивированный, неоправданный останов процесса, и как раз-то и могут представлять значительную опасность. [14]
Сводный SIL должен просчитываться для каждого конкретного случая. Строго говоря, априорно заданное значение интегрального уровня безопасности для любого из компонентов систем безопасности противоречит самому определению данного понятия. Интегральный уровень безопасности может определяться только в реальной конфигурации оборудования. Технические характеристики отдельных устройств должны содержать не абстрактное значение SIL, взятое с потолка, а исходные данные по частоте опасных и безопасных отказов, на основе которых и будет определен интегральный уровень безопасности оборудования в конкретном приложении. [15]