Интегрированная система управления и
advertisement
Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков авторы: Грант ле Сёр (Grant Le Sueur) и Фил Кнобель (Phil Knobel) Основные тезисы В то время как установившаяся практика традиционно призывает к тому, чтобы функции управления и обеспечения безопасности были обособлены друг от друга, новые интегрированные системы управления и безопасности (ИСУБ) способны обеспечить более оперативное использование данных и снизить затраты. В данном документе приводится сравнение трех архитектур системы интегрированного управления и безопасности – связанной с помощью интерфейса, интегрированной (но отдельной по своей сути) и общеплатформенной. Также оцениваются преимущества и риски в зависимости от соблюдения норм безопасности и экономической эффективности. 998-2095-09-12-14AR0 Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков Введение Инструментальные системы безопасности (ИСБ) представляют собой сети промышленной безопасности. Они должны быть доступны круглосуточно семь дней в неделю для обеспечения резервирования в случае, когда система автоматизации технологических процессов (САТП) по какой-либо причине не в состоянии выполнять свои функции по управлению опасным технологическим процессом. Для защиты ИСБ от сбоев и повреждений, вызванных теми же условиями, которые изначально привели к неисправности САТП, установившаяся практика традиционно требует, чтобы две эти системы были физически и функционально изолированы друг от друга. Тем не менее, стремясь сбалансировать часто конфликтующие бизнес-факторы рационализации производства на предприятии, повышения безопасности и снижения затрат, некоторые компании обращают свое внимание на интеграцию и объединение функций обеспечения безопасности и управления. Подход, связанный с созданием интегрированных систем, при котором функции управления производственным процессом и инструментальной безопасности используют общую инфраструктуру автоматизации с одинаковым аппаратным и программным обеспечением, предназначенным для управления и обеспечения безопасности, приводит к снижению затрат и повышению производительности в масштабе всего предприятия. Для специалистов по управлению рисками и технике безопасности система обеспечения безопасности служит «золотой жилой» той ценной информации, которая, если сделать ее более доступной, сможет помочь в определении прогнозных показателей будущих неисправностей. Для менеджеров по проектным работам данная система видится как возможность оптимизировать трудозатраты. Руководители производства видят отдельные операции, которые будут лучше взаимодействовать друг с другом и с остальным предприятием. Руководители работ по техническому обслуживанию видят данные о работоспособности оборудования системы в целом, которые могут способствовать повышению производительности оборудования и снижению затрат на техническое обслуживание; менеджеры по финансам видят излишние расходы на капитальные вложения, а также затраты на профессиональное обучение персонала, которые могут быть снижены при консолидации в единую систему. Таблица 1 Использование интегрированных систем управления и безопасности (ИСУБ) ведет к снижению затрат и повышению производительности всего предприятия в целом. Управленческая функция Преимущества систем ИСУБ Безопасность и управление рисками Инженерно-технические работы Эксплуатация Ознакомление с прогнозными показателями будущих неисправностей Хорошо налаженный процесс Усовершенствованная связь Достоверное знание о работоспособности оборудования и системы Снижение капитальных вложений, снижение затрат на профессиональное обучение Техническое обслуживание Финансы Предпринятые меры по обеспечению более оперативного использования информации о безопасной эксплуатации или по экономии денежных средств путем объединения функций обеспечения безопасности и управления привели к возникновению ряда моделей интегрированных систем управления и безопасности (ИСУБ). В своем «Научном исследовании систем обеспечения безопасности технологического процесса на мировом рынке» от 2013 г. компания-аналитик глобальной промышленности ARC Advisory Group выделяет четыре уровня интеграций «управление-безопасность»: раздельная, интерфейсная, интегрированная (но отдельная по своей сути) и общеплатформенная. В данном документе приводится сравнение четырех подходов, и оцениваются риски и преимущества каждого из них, в зависимости от их влияния на безопасность, производительность и контроль за уровнем затрат. «Компания ARC Advisory Group полагает, что большинство компаний будет искать баланс между снижением затрат и рисками, и примет интегрированный, но раздельный подход». • • • • архитектура раздельного управления и обеспечения безопасности: полное физическое разделение между системами управления и обеспечения безопасности архитектура ИСУБ, связанных с помощью интерфейса: интеграция посредством запрограммированного по техническим условиям заказчика программного интерфейса интегрированная, но раздельная архитектура ИСУБ: интеграция через изолированные подсистемы в сети управления клиент-сервер общеплатформенная архитектура ИСУБ: интеграция через платформу общего управления Schneider Electric. Документ для Совета Директоров. Редакция 0 Стр. 2 Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков Какая архитектура является лучшей для каждой конкретной компании, зависит от бизнесстратегии организации и уровня терпимости к риску. В компаниях, в которых «безопасность любой ценой» является приоритетной задачей, раздельные системы управления и безопасности, скорее всего, останутся наиболее предпочтительными. Компании, нуждающиеся в максимальном снижении затрат, скорее всего, примут общеплатформенную архитектуру ИСУБ. Тем не менее, компания «ARC Advisory Group» полагает, что большинство компаний будет искать баланс между снижением затрат и рисками, и все чаще принимать интегрированный, но раздельный подход». Различия между САТП и ИСБ Несмотря на то, что система автоматизации технологических процессов и инструментальная система безопасности являются системами управления, они предназначены абсолютно для разных целей. Система автоматизации технологических процессов (САТП), также часто называемая распределенной системой управления (РСУ) или системой управления базовым технологическим процессом (АСУБТП), регулирует процесс на основании значений переменных процесса, полученных от таких полевых устройств, как датчики давления и температуры, с помощью карт ввода-вывода, подключаемых в операторной. САТП также включает в себя средства конфигурирования и инструменты, используемые для настройки и обслуживания. Взаимодействие пользователей осуществляется через человеко-машинный интерфейс (ЧМИ). Инструментальная система безопасности (ИСБ) также обеспечивает управление с использованием сигналов, полученных от полевых устройств; однако, в отличие от САТП, которая оптимизирована для работы с большими объемами логических данных сложных процессов, ИСБ разработана с целью обеспечения безопасного и упорядоченного завершения операций, которые в противном случае могут попасть под управление САТП. При использовании в этих целях ИСБ также называется системой противоаварийной защиты (ПАЗ). Для высоко критической функции ПАЗ, система ИСБ оптимизирована с точки зрения скорости и надежности. Элементами управления, как правило, являются резервированные, высокоскоростные, программируемые логические контроллеры (ПЛК), прошедшие испытания в жестких условиях эксплуатации и сертифицированные с точки зрения надежности. Практически во всех компаниях, от средних до крупных, в которых производится переработка опасных материалов, или осуществляются иные потенциально опасные операции, ИСБ используется в качестве дублирующего средства САТП. Как правило, эти системы обеспечивают независимое управление технологическим процессом при помощи специальных полевых устройств, устройств ввода/вывода, сетей, инженерных рабочих станций, средств конфигурирования и ЧМИ. На сегодняшний день это является основной концепцией во всем мире. Кроме того, чаще всего системы САТП и ИСБ изготавливаются различными производителями. Архитектура раздельного управления и обеспечения безопасности Для большинства инженеров по технике безопасности было бы предпочтительнее, чтобы не было абсолютно никакой интеграции между системами безопасности и управления. Это заключение было сделано после того, как компания Schneider Electric в 2010 году провела обследование более чем 200 заводов своих клиентов в химической, нефтяной и газовой отраслях, в том числе 23 из 25 крупнейших нефтяных компаний и 45 из 50 крупнейших химических компаний во всем мире. 78 процентов из них придерживались концепции строгого разделения функций безопасности и управления в целях обеспечения безопасности, а 74 процента отметили, что особенно важно иметь независимые уровни защиты (НУЗ). (См. Рисунок 1). Рисунок 1 Примерно 78 % из 200 обследованных заводов компаний в химической, нефтяной и газовой отраслях придерживались концепции строгого разделения функций безопасности и управления. Причины важности разделения управления и безопасности Schneider Electric. Документ для Совета Директоров. Редакция 0 Стр. 3 Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков Глоссарий АСУБТП – автоматизированная система управления базовым технологическим процессом; РСУ – распределенная система управления; ПАЗ – система противоаварийной защиты; ЧМИ – человеко-машинный интерфейс; ИСУБ – интегрированная система управления и безопасности; МЭК – Международная Электротехническая Комиссия; В/В – ввод/вывод; НУЗ – независимый уровень защиты; САТП – система автоматизации технологических процессов; ПЛК – программируемый логический контроллер; ИСБ – Инструментальная система безопасности; ПС – последовательность событий Архитектура ИСУБ, связанных с помощью интерфейса Несмотря на то, что основные стандарты МЭК 61508 и МЭК 61511, определяющие безопасность технологического процесса, были несколько неоднозначны в вопросах, касающихся интегрированного управления и обеспечения безопасности, нет никаких сомнений в том, что внедрение систем по отдельности удовлетворяет требованиям, предъявляемым к независимым уровням защиты, необходимым для исключения возможности возникновения потенциальной опасности; за исключением случаев выхода из строя РСУ и ИСБ одновременно. Раздельные системы также практически полностью соответствуют требованиям стандарта МЭК 61511-1, раздел 11.2.4, в котором говорится о том, что система автоматизации технологических процессов должна разрабатываться как раздельная и независимая до такой степени, чтобы «функциональная целостность ИСБ не была нарушена», а также стандарту МЭК 61511-1, пункт 9.5, в котором приведены требования по предотвращению аварий (отказов) вследствие общей причины, общего режима и зависимости, а также предложены на рассмотрение следующие критерии: • Независимость между уровнями защиты • Различия между уровнями защиты • Физическое разделение между уровнями защиты • Множественные отказы между уровнями защиты и РСУ Поскольку разделение требует внедрения, эксплуатации и обслуживания двух различных систем, оно может быть очень дорогостоящим. Также ввиду того, что эксплуатационные параметры строго изолированы, могут быть утеряны возможности по улучшению обслуживания, поиску и устранению неисправностей, а также анализу тенденций изменения. Интерфейсные системы поддерживают высокую степень разделения, однако РСУ и ИСБ осуществляют обмен информацией по специально разработанным интерфейсам с использованием стандартных протоколов интеграции, таких как OPC, Modbus, PROFIBUS, Profinet, TCP и HART. Эти протоколы чаще всего используются в случаях, когда системы управления и безопасности были изготовлены различными производителями, а пользователю необходимо, чтобы системы обменивались данными для конкретной цели. Исходя из предположения о том, что специалисты по системной интеграции обладают надлежащим опытом работы с системами безопасности, это может служить весьма безопасным подходом. Тем не менее, предоставляемая им информация ограничивается только тем, что было указано. Дополнительное текущее техническое обслуживание и последующие изменения могут быть дорогостоящими, а целостность шлюза, скорее всего, не подвергалась проверке со стороны третьих лиц. Интегрированная, но отдельная архитектура ИСУБ В третьей модели, которую компания ARC Advisory Group называет «интегрированной, но раздельной», логические решающие устройства обеспечения безопасности и управления развернуты на независимых шинах сети управления. Клиенты могут обмениваться технологическими данными через изолированные подсети, но они не могут совместно использовать функции управления. Например, контроллеры безопасности развернуты как одноранговые узлы в сети управления MESH (см. Рисунок 2). Эксплуатация Обслуживание Проектирование Рисунок 2 Интегрированная, но раздельная система управления и безопасности осуществляет обмен данными технологического процесса, но не использует совместно функции управления Выделенная связь между равноправными узлами Schneider Electric. Документ для Совета Директоров. Редакция 0 Стр. 4 Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков Интегрированный, но раздельный подход преобразовывает все данные таким образом, чтобы они передавались в исходном формате между физически изолированными сетевыми каналами, используя одностороннюю связь, обеспечиваемую модулем связи (см. Рисунок 2). Такой подход «интегрирован» в компаниях, в которых хотят объединить данные управления и безопасности, либо безопасно использовать другие преимущества производительности и эффективности. Но этот подход является «раздельным» в том смысле, что все его функциональные возможности реализованы на отдельных устройствах, а система может быть сконфигурирована как абсолютно отдельная система. Рисунок 2 Система может быть «раздельной» из-за физически изолированных сетевых каналов, но «интегрированной» с односторонней связью, обслуживаемой модулем связи. Безопасность Управление Модуль связи (TCM) Как правило, интегрированные, но раздельные системы управления и безопасности, рассматриваются как соответствующие стандартам МЭК на независимые уровни защиты, поскольку сетевые каналы являются независимыми, а угрозы одной из систем не наносят ущерба другой системе. Безопасный доступ к данным повышает надежность, производительность и ведет к снижению затрат, обеспечивая полностью интегрированное взаимодействие с пользователем, в том числе, запись последовательности событий, управление системой, проектирование и техническое обслуживание. «Полностью интегрированное взаимодействие с пользователем повышает надежность, производительность и ведет к снижению затрат». Встроенный репозиторий последовательности событий. Бесшовная стыковка САТП и ИСБ обеспечивает совместную регистрацию последовательности событий (ПС). Журналы регистрации последовательности событий и журналы диагностики системы записываются в одно и то же хранилище данных, управляемое программной платформой управления интеграцией предприятия. Запись всех событий ПС в одно и то же хранилище данных позволяет пользователям выполнять более удобный анализ после аварийного отключения. Пользователи могут использовать общие инструменты для просмотра этих событий, а также более эффективно выявлять основную причину аварийного отключения. Управление интегрированной системой. В интегрированной, но раздельной архитектуре все возможности диагностики в эксплуатационных условиях и управления ресурсами, в том числе, испытание при неполном ходе привода клапана, реализованы более эффективно, с более простым испытанием привода и возможностью избежать ложных отключений. Такие обширные возможности диагностики системы и возможности управления системой предоставляют пользователям единую точку зрения, с которой они могут просматривать сведения о состоянии всей системы в целом (см. Рисунок 3) и, в случае необходимости, подтверждать системные аварийные сигналы. Также это минимизирует количество шагов, необходимых оператору для получения информации из системы безопасности. Чем меньше количество этих шагов, тем ниже вероятность возникновения ошибки. Также это облегчает обучение оператора. Schneider Electric. Документ для Совета Директоров. Редакция 0 Стр. 5 Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков Управление функциями противоаварийной защиты – более легкое, так как диагностические сообщения могут передаваться от датчиков на элементы управления. Например, предупредительные сигналы устройства HART могут передаваться операторам и обслуживающему персоналу как заблаговременное предупреждение о возникновении неисправностей на устройстве или в смежных процессах. Предикативные проверки могут помочь избежать ложных отключений по запросу. Рисунок 3 Единая точка зрения дает пользователю возможность просматривать сведения о состоянии всей системы в целом. Интегрированный процесс разработки Интегрированный процесс гарантирует, что изменения, сделанные в каких-либо новых тэгах, которые могут быть созданы в пользовательской логике ИСБ, сразу же становятся доступны для использования в САТП для привязки к графическим данным, функциям архивирования, или управления разрешениями на блокировки, которые могут использоваться ИСБ в расширенной схеме управления. Инженеры-проектировщики также могут извлечь для себя выгоду из одноточечного ввода и общих инструментов для настройки системы безопасности и системы управления технологическим процессом, что позволяет сократить время, необходимое для запуска новых установок. Общие требования, предъявляемые к процедурам программирования, языкам и установке программного обеспечения, дополнительно повышают производительность. Системные инженеры также видят улучшения в области обработки аварийных сигналов, синхронизации времени, доступа пользователей, а также управления авторизацией. Кроме того, больше нет необходимости в сопоставлении данных. Интегрированное соответствие. Функции хранения, администрирования системы и процесса разработки при интегрированной, но раздельной архитектуре также способствуют соблюдению норм и стандартов. Интегрированные системы позволяют создавать более хорошие журналы проверки устройств, включающие архивные сведения о калибровке, конфигурировании процессов и настроек безопасности, а также истории процессов и событий. Процессы управления документированием и осуществления контроля за изменениями становятся намного проще. «Наибольшая экономическая выгода заключается в получении информации, настройке конфигурации, управлении ресурсами и эффективности ЧМИ». Поскольку при интегрированном, но раздельном подходе все-таки требуется установка, техническое обслуживание и настройка совершенно отдельных систем, снижение затрат в области оборудования будет минимальным, хотя можно добиться некоторой экономии в области коммуникационных технологий. Тем не менее, наибольшая экономическая выгода заключается в получении информации, настройке конфигурации, управлении ресурсами и эффективности ЧМИ, не ставящих под угрозу вопросы безопасности. Общепризнанно, что интегрированная, но раздельная архитектура ИСУБ может удовлетворять требованиям стандартов МЭК 61508 и МЭК 61511, предъявляемым к независимым уровням защиты. Данные стандарты и, в частности, их руководящие указания в отношении требований по поддержанию независимых уровней защиты, в настоящее время пересматриваются. Schneider Electric. Документ для Совета Директоров. Редакция 0 Стр. 6 Интегрированная система управления и обеспечения безопасности: Оценка преимуществ и рисков Общеплатфор менная архитектура ИСУБ Логические решающие устройства ИСБ в общеплатформенной архитектуре ИСУБ встроены в платформу управления. Многие информационные преимущества, возможные при интегрированной, но раздельной архитектуре, могут быть достигнуты в общеплатформенной модели. Поскольку требуется установить лишь одну платформу системы управления и управлять лишь одной пользовательской средой, то скорее всего расходы на систему и стоимость жизненного цикла будут минимальны. Но поскольку количество уровней защиты сокращено, это влечет за собой весьма высокий риск. Так как логические решающие устройства встроены в ту же самую платформу, что и САТП, а также находятся в составе единой инфраструктуры, то событие, приводящее к неполадкам САТП, также может вывести из строя и ИСБ, нанося урон независимому уровню защиты. Довольно сомнительно, сможет ли общеплатформенный подход соответствовать критериям стандартов МЭК в отношении предотвращения аварий (отказов) вследствие общей причины, общего режима и зависимости. Некоторые виды общеплатформенной архитектуры ИСУБ были сертифицированы сторонними организациями как соответствующие уровню 3 полноты безопасности (УПБ), что подтверждает то, что логические решающие устройства могут надежно работать по мере необходимости. Однако при испытаниях уровня полноты безопасности (УПБ) не рассматривается возможность отказов, обусловленных общей причиной. Испытания выполняются независимо от приложения. Помимо этого, не решаются проблемы, связанные с внутренними систематическими ошибками, неотъемлемыми при использовании одной и той же аппаратной платформы. Вывод В исследовании, проведенном компанией ARC Advisory Group в 2013 году, отмечается, что оказание длительного давления, направленного на снижение проектного риска и общих расходов, приводит к тому, что все большее число пользователей становится заинтересованным в более тесной интеграции между системами управления и безопасности. В новых проектах многие компании отдают предпочтение одному и тому же поставщику обеих систем. Выбор поставщиков, предлагающих гибкость в интеграции систем в соответствии со множественными уровнями риска, дает компаниям возможность максимально защитить свое предприятие и персонал, так как уровень риска изменяется в зависимости от их производственных нужд и внешних событий. Выбор между интерфейсной, интегрированной, но раздельной, либо общеплатформенной интеграциями во многом зависит от бизнес-стратегии компании и уровня терпимости к риску. В компаниях, стремящиеся оптимизировать безопасность любой ценой, вероятнее всего, продолжат использовать раздельные системы. И, наоборот, смелые компании, готовые идти на риск ради максимальной экономии, могут предпочесть, чтобы системы автоматизации технологических процессов и обеспечения безопасности работали на одной и той же платформе. Те, кто ищут баланс между экономией и риском, скорее всего, выберут интегрированный, но раздельный подход, который, по мнению компании ARC Advisory Group, получает все большее распространение в качестве наиболее предпочтительной архитектуры. Разумеется, архитектура это еще не все. Успешность любых систем управления и безопасности зависит от исполнения и качества самих аппаратных средств управления, а также от знаний и опыта лиц, которые осуществляют разработку программного обеспечения, эксплуатацию, обслуживание и администрирование. Об авторах Грант ле Сёр (Grant Le Sueur) является директором по управлению продукцией в компании Schneider Electric Foxboro. Занимается предложениями по управлению и обеспечению безопасности программного обеспечения, а также внешним маркетингом, планированием выпуска продукции и развитием. Имеет опыт работы в промышленной сфере более 28 лет. Начал свою карьеру в должности инженера по контрольноизмерительным приборам в новозеландской компании Tasman, работающей в области целлюлозно-бумажной промышленности. Выполнял функции инженера по системам управления в компании Siemens AG, в которой он отвечал за внедрение РСУ и ПЛК. Также является сертифицированным инженером по функциональной безопасности. Фил Кнобель (Phil Knobel) является директором по управлению продукцией в компании Schneider Electric. Получил степень бакалавра технических наук в области электроники Политехнического института Ренсселера, а также степень магистра по электронному машиностроению Северо-Восточного университета Бостона. Имеет опыт работы в области промышленности более 30 лет. Schneider Electric. Документ для Совета Директоров. Редакция 0 Стр. 7
