Путь к автоматизации горелок для термообработки, соответствующий стандартам промышленной безопасности

Системы автоматического управления горелками, сертифицированные в соответствии с EN 298, являются необходимым условием для выполнения требований стандарта EN 746-2 к промышленному оборудованию для термообработки. Но что, если несколько автоматических систем управления горелкой должны координироваться центральным контроллером? Если требуются дополнительные датчики, требуется постоянная безотказная связь и вся система должна соответствовать требованиям безопасности в соответствии с Директивой ЕС по оборудованию. Это действительно всегда безопасно?

В Европейском союзе требования к безопасности продукции регулируются директивами ЕС. Выполнение этих директив ЕС описано в специальных стандартах. Эти стандарты подразделяются на стандарты (типа) A, B и C. Тип A — это базовые стандарты безопасности, тип B — общие стандарты безопасности или групповые стандарты безопасности (например, EN 62061 или ISO 13849-1), а тип C — стандарты безопасности оборудования (например, EN 746-2 или ISO 13577). Для решений по безопасности автоматов горения на основе контроллеров EN 62061 и EN ISO 13849-1 гармонизированы в соответствии с Директивой ЕС по оборудованию. Директива 2006/42/EC в ЕС. Это означает, что если функции безопасности разработаны в соответствии со стандартами категории В, указанными выше, то таким образом можно подтвердить соответствие директивам ЕС (CE).

Для промышленных тепловых установок стандарт EN 746 соответствует требованиям Директивы ЕС по оборудованию. В свою очередь, это означает, что соответствие директивам ЕС должно подтверждаться тем фактом, что автомат горения и горелочное устройство соответствует данному стандарту C. Итак, как мы должны действовать, если определенные пункты стандартов A, B и C противоречат друг другу или даже предъявляют противоположные требования к продуктам?

Например, стандарты EN 62061 и EN ISO 13849-1 требуют, чтобы надежность защитных функций (например, контроля пламени) проверялась без пробелов. Это означает, что от датчика через контроллер до привода. Функция безопасности должна соответствовать уровню безопасности от SIL1 до SIL3 или уровню производительности PLa-PLe, в зависимости от потенциальной опасности. В отличие от этого, в стандарте EN 746-2 указано, что безопасность менеджера горения в соответствии с EN 62061 (или EN ISO 13849-1) необходимо проверять только для тех частей, которые не подлежат сертификации в соответствии со стандартами для промышленных тепловых установок (например, в соответствии с EN 298).

Примером такого компонента может служить отказоустойчивый контроллер (F-CPU). На практике это приводит к конфликту: следует ли проверять безопасность установки в соответствии с EN 62061, EN ISO 13849-1 или EN 746-2? Стандарт EN 13611, который является основой для других стандартов для промышленных термических установок, таких как производственный стандарт EN 298, предоставляет метод преобразования оценки оборудования в SIL/PL. Однако, несмотря на одинаковую стандартную основу, это рассчитанное значение SIL/PL отличается из-за различных целей. Причина этого заключается в том, что EN 13611 определяет требования к конструкции оборудования с помощью «класса», а не с помощью «уровня производительности SIL» (или «категории»), как в EN 62061 (или EN ISO 13849-1). Это очень затрудняет предоставление последовательных доказательств. Это приводит к абсурдной ситуации, когда продукция, разработанная в соответствии с отраслевыми стандартами, поставляется с уровнем SIL/PL, который не может быть использован для подтверждения безопасности предприятия. В этой конкретной ситуации возникает вопрос о том, как нам следует действовать?

Стандарт EN ISO 12100, в котором регламентирована иерархическая структура стандартов, дает ответ на этот вопрос. В соответствии с этим, требования к машинам и установкам должны быть тем более приоритетными, чем больше область применения стандарта. В данном случае это означает, что требования стандарта EN 746-2 должны иметь наивысший приоритет. В частности, это означает, что продукция, сертифицированная в соответствии со стандартами на продукцию для промышленных тепловых установок, не учитывается при расчете PFH и MTTF функций безопасности в соответствии с требованиями EN 746-2. Это равносильно исключению неисправностей, и продукты не учитываются при расчете вероятности отказа всей системы безопасности. Это соответствует стандарту и разрешено, но всегда ли в этом случае тепловые технологические установки безопасны от начала до конца?

Исключение определенных подсистем из оценки безопасности приводит к тому, что при этом не учитываются такие параметры, как многоканальность или диагностические возможности. И именно здесь кроются потенциальные риски, предусмотренные стандартом EN 746-2: если вы исключаете подсистемы цепочки обеспечения безопасности из общей оценки, вы игнорируете интерфейсы со всеми вытекающими отсюда последствиями. Независимо от вопроса о том, какие стандартные требования следует классифицировать выше, гораздо более актуальным является вопрос о том, как можно оценить безопасность от начала до конца.

■ Например, что можно сделать, если автомат горения, соответствующий стандарту EN 298, сам по себе сертифицирован как безопасный, но получение сигнала должно быть «достаточно надежным» в соответствии с SIL3/PLe в соответствии с требованиями EN 746-2 к системе управления? Где заканчивается действие требований стандарта EN 746-2 – непосредственно на автоматическом управлении горелкой или на входном модуле контроллера?

■ Как контроллер может с достаточной степенью надежности определить, действительно ли работает автоматическое управление горелкой, и следует ли управлять автоматическим управлением горелкой с помощью SIL3/PLe, а рабочее состояние считывать с помощью SIL3/PLe? Как можно проверить, что несколько автоматических систем управления горелкой могут быть надежно скоординированы с SIL3/PLe, если они не обеспечивают достаточной обратной связи?

■ Что происходит при проверке утечки газа, выполняемой с помощью центрального контроллера, если необходимые для этого клапаны управляются локальным автоматическим управлением горелкой? Нужно ли в этом случае отключать автоматическое управление горелкой в соответствии с требованиями SIL3/PLe и включать снова только после успешной проверки на герметичность?

■ Как инициировать аварийное отключение контроллера печи SIL3/PLe (с несколькими отдельными горелками), если контроллер более высокого уровня фиксирует температуру в центре, но за управление предохранительными запорными клапанами каждой отдельной горелки отвечает автоматическое управление горелкой?

■ Или в общих чертах: остается ли в силе сертификация пламегасителя в соответствии с действующими стандартами на продукцию, если часть функций автомата горения, связанных с безопасностью, передана на аутсорсинг центральному контроллеру, а автоматическое управление горелкой действует только как его «дополнительный рычаг»? Как это может быть доказано в конкретных случаях? Действует ли еще сертификация автоматического управления горелкой как таковой?

Если даже на один из этих вопросов невозможно дать положительный ответ, то какой-либо аспект концепции безопасности вызывает сомнения и, возможно, невозможно гарантировать полную безопасность. Кроме того, возникают дополнительные конкретные и общие вопросы, касающиеся технической, экономической и/или соответствующей стандартам осуществимости определенных мероприятий. Возможна ли комплексная безопасность, но на самом деле «безопасный» не всегда означает «безопасный». Чтобы исключить указанные несоответствия и неопределенности, все соответствующие компоненты системы должны быть включены в оценку безопасности. Однако для этого требуются компоненты, соответствующие стандарту EN 61508, со стандартизированными интерфейсами (например, PROFIsafe). Одной из альтернатив могло бы быть дополнительное подключение с помощью стационарной электропроводки, но на сложных установках это потребовало бы больших затрат, а также было бы очень негибким и, следовательно, не гарантированным на будущее.

Комплексная система безопасности может быть реализована более простым, эффективным и удобным — и, следовательно, более дешевым – способом за счет интеграции функций безопасности, специфичных для горелки, в существующий отказоустойчивый автмоат горения. Кроме того, работа по проверке значительно упрощается благодаря однородным стандартным требованиям, особенно когда все функции безопасности:

1. стандартизированы;

2. представлены в программном обеспечении ПЛК;

3. и могут быть гибко реализованы в контроллере.