Приложение А (рекомендуемое). Пример простой системы управления согласно серии IEC 61511. Межгосударственный стандарт ГОСТ IEC 60947-5-3-2017 "Аппаратура распределения и управления низковольтная. Часть 5-3. Устройства и коммутационные элементы цепей управления. Требования к близко расположенным устройствам с определенным поведением в условиях отказа" (введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 09.11.2018 N 964-ст)

Приложение А
(рекомендуемое)

Пример
простой системы управления согласно серии IEC 61511

А.1 Описание

Система контроля уровня жидкости и управления регулирующим клапаном (см. рисунок А.1). Оборудование находится в опасной зоне (воспламеняющейся среде) и должно быть защищено в соответствии с требованиями:

a) датчик контроля уровня жидкости: зона 0 - раздел 1;

b) регулирующий клапан: зона 2 - раздел 2.

А.2 Спецификация требований безопасности

А.2.1 Функциональные требования

При переполнении клапан управления замыкается.

А.2.2 Требования к полноте безопасности

Оценка риска показывает, что для данной функции подходит SIL 2.

А.2.3 Условия применения

Режим с низкой частотой запросов (не более одного запроса к функции безопасности в год).

Время ликвидации для обнаруженных отказов - 8 ч.

Испытательный интервал - 12 мес.

Рисунок А.1 - Схема управляемого оборудования

Примечание - В спецификации имеется ряд других требований, таких как качество источника питания, условия прямого технического обслуживания и т.д.

А.3 Реализация

В данном примере функция безопасности реализуется с помощью:

- бесконтактного датчика для поплавка (например, с выходом по IEC 60947-5-6);

- разделительного усилителя с релейным выходом;

- соленоидного привода.

Примечание - Так как энергия на выходе взрывобезопасного соленоидного привода слишком мала для питания шарового клапана, в данном примере необходимо ввести клапан управления;

- клапана управления;

- шарового клапана.

А.4 Сбор данных

Сбор достоверных структурных данных для каждого компонента, рассматриваемого на примере системы управления, приведен в таблице А.1.

Таблица А.1 - Сбор достоверных структурных данных

Датчик: бесконтактный индуктивный по IEC 60947-5-6	Разделительный усилитель: взрывобезопасный	Соленоидный привод: со взрывобезопасным выходом	Клапан управления: взрывобезопасный	Шаровый клапан: общего типа
SILCL по отношению к архитектурным ограничениям: 2 в одноканальной конфигурации SFF = 94,09 %  = 3,9 FIT  = 62,1 FIT	SILCL по отношению к архитектурным ограничениям: 2 в одноканальной конфигурации SFF = 91,62 % = 19 FIT = 208 FIT	SILCL по отношению к архитектурным ограничениям: 3 в одноканальной конфигурации SFF = 100 % = 0 FIT = 1,3 FIT	SILCL по отношению к архитектурным ограничениям: 3 в одноканальной конфигурации SFF = 99 % = 0 FIT = 0 FIT	SILCL по отношению к архитектурным ограничениям: 1 в одноканальной конфигурации SFF = 50 % = 60 FIT = 60 FIT

Все компоненты, за исключением шарового клапана (структура только с SIL 1, SFF менее 90 %), обеспечивают функцию, связанную с безопасностью до SIL 2 согласно таблице 2 IEC 61508-2:2010. Для обеспечения функции, связанной с безопасностью всей системы, выходной канал (соленоидный привод, клапан управления и шаровый клапан) должен иметь архитектуру, как показано на рисунке А.2.

Рисунок А.2 - Архитектура функции, связанной с безопасностью

Входная подсистема (датчик и блок оценки):

,

.

Расчет PFD входной подсистемы с применением формулы по IEC 61508-6:2010 (пункт В.3.2.2.1):

,

,

.

Выходная подсистема (соленоидные приводы и клапаны):

,

.

MTTR = MRT = 8 ч, если допустить, что время обнаружения опасного отказа намного меньше, чем MRT (не менее чем на порядок величины).

Расчеты окончательной PFD выходной подсистемы по формуле В.3.2.2.2 IEC 61508-6:2010 при допущении 10 % содержания отказов с общей причиной:

,

,

,

.

, что сходится в диапазоне, допустимом для SIL 2 (таблица 2 IEC 61508-1:2010).

Результат вычислений:

SIL по PFD: SIL 2.

А.5 Результаты

SIL по архитектуре: SIL 2.

SIL по PFD: SIL 2.

SIL по функции безопасности: SIL 2.