Что такое система паз
Современные АСУ ТП
Прочитав интересную статью, мне захотелось поделиться своими знаниями и соображениями по поводу современных АСУ ТП. Описанное ниже относиться в большей степени к продукции таких фирм как Yokogawa, Siemens и Honeywell. Сразу хочу сказать, что у каждой из систем есть свои особенности, преимущества и недостатки, так что я описываю лишь общие характеристики современных АСУ ТП.
Современные автоматизированные системы управления технологическими процессами (АСУ ТП), применяемые на опасных производствах и предприятиях (химическая, нефтехимическая промышленности, ГЭС, ТЭС, АЭС и т.д.), как правило, состоят из распределенной системы управления (РСУ) и системы противоаварийной автоматической защиты (ПАЗ). 
Основная задача ПАЗ — перевод производства в безопасное состояние, при возникновении каких-либо проблем в работе РСУ (выход технологических процессов за установленные границы, отказ оборудования, нештатные ситуации). Как правило, система ПАЗ получает данные от дублированных датчиков (одной из самых надежных схем считается «2оо3», когда срабатывание любых 2 из 3 датчиков, установленных на одной контрольной точке, считается необходимым условием для срабатывания защитной блокировки) и управляет резервированным оборудованием. У системы ПАЗ нет станций оператора, есть только инженерная станция, с помощью которой выполняется конфигурирование ПЛК системы ПАЗ. Со станций оператора РСУ можно видеть как работает система ПАЗ, но нельзя ей управлять. Конечное оборудование не зависит от оборудования РСУ, к примеру, если на трубопроводе заклинил клапан РСУ, то отработает отсекатель системы ПАЗ. 
Особенности АСУ ТП
Выводы
Таким образом, заражение станции оператора вирусом маловероятно, но даже если это произошло, то никакой явной угрозы безопасности это не представляет. Конечно, бывают случаи, когда операторы, обходят запреты и ухитряются установить на свои станции игры и выйти в интернет, но это быстро пресекается лишением премий и другими административными методами. Если же предположить, что существует специализированный вирус, который знает особенности функционирования систем, и сможет гипотетически управлять технологическим процессом, вызывая тем самым негативные последствия, то в любом случае, при возникновении аварийной ситуации отработает система ПАЗ (которая не управляется со станций операторов) и переведет производство в безопасное состояние. Да, это будут миллионные убытки предприятию (останов производства), но в любом случае не техногенная катастрофа. Если говорить о вероятности заражения вирусом инженерной станции ПАЗ, то это, во-первых, должен быть супер интеллектуальный вирус, который сам перепрограммирует ПЛК, причем именно так, чтобы тот отказал в необходимый момент, во-вторых, инженеры ПАЗ, должны быть совершенно безголовые и рыть яму сами себе. Конечно, это не все факторы, которые делают заражением станции инженера ПАЗ маловероятным событием, могу привести еще несколько: постоянные сверки версии программ загруженных в ПЛК, постоянный контроль помещения с инженерными станциями, ну и конечно же, пароль, установленный на сам проект системы ПАЗ.
В итоге хочется сказать, что безопасности современных АСУ ТП, конечно, угрожают вирусы и прочие высокотехнологичные проблемы, такие как уход станций оператора в банальный BSOD, но они не так критичны как многие хотят это представить. Надо помнить, что за безопасностью следят системы ПАЗ, к конфигурированию которых подходят со всей осторожностью и ответственностью. Человеческий фактор всегда имеет место, но системы ПАЗ для того и создаются, чтобы свести негативное влияние данного фактора к минимуму.
С удовольствием отвечу на вопросы, если они возникнут.
UPD. Возможный сценарий атаки на SCADA систему аргументировано описал makran, которому, кстати, спасибо за инвайт.
6.3. ФЕДЕРАЛЬНЫЕ НОРМЫ И ПРАВИЛА В ОБЛАСТИ ПРОМЫШЛЕННОЙ БЕЗОПАСНОСТИ «ОБЩИЕ ПРАВИЛА ВЗРЫВОБЕЗОПАСНОСТИ ДЛЯ ВЗРЫВОПОЖАРООПАСНЫХ ХИМИЧЕСКИХ, НЕФТЕХИМИЧЕСКИХ И НЕФТЕПЕРЕРАБАТЫВАЮЩИХ ПРОИЗВОДСТВ»
6.3. Системы противоаварийной автоматической защиты
6.3. Системы противоаварийной автоматической защиты 
6.3.1. Системы ПАЗ должны обеспечивать защиту персонала, технологического оборудования и окружающей среды в случае возникновения на управляемом объекте нештатной ситуации, развитие которой может привести к аварии.
6.3.2. Системы ПАЗ функционируют независимо от системы управления технологическим процессом. Нарушение работы системы управления не должно влиять на работу системы ПАЗ.
6.3.3. Система ПАЗ выполняет следующие функции:
автоматическое обнаружение потенциально опасных изменений состояния технологического объекта или системы его автоматизации;
автоматическое измерение технологических переменных, важных для безопасного ведения технологического процесса (например, измерение переменных, значения которых характеризуют близость объекта к границам режима безопасного ведения процесса);
автоматическая (в режиме on-line) диагностика отказов, возникающих в системе ПАЗ и (или) в используемых ею средствах технического и программного обеспечения;
автоматическая предаварийная сигнализация, информирующая оператора технологического процесса о потенциально опасных изменениях, произошедших в объекте или в системе ПАЗ;
автоматическая защита от несанкционированного доступа к параметрам настройки и (или) выбора режима работы системы ПАЗ.
6.3.4. Системы ПАЗ для объектов, имеющих в составе технологические блоки I и II категорий взрывоопасности, при проектировании должны создаваться на базе логических контроллеров, способных функционировать по отказобезопасной структуре и проверенных на соответствие требованиям функциональной безопасности систем электрических, электронных, программируемых электронных, связанных с безопасностью.
6.3.5. Методы создания систем ПАЗ должны определяться на стадии формирования требований при проектировании АСУ ТП на основании анализа опасности и работоспособности контуров безопасности с учетом риска, возникающего при отказе контура безопасности. Рациональный выбор средств для систем ПАЗ осуществляется с учетом их надежности, быстродействия в соответствии с их техническими характеристиками.
6.3.6. Для объектов, имеющих в составе технологические блоки I и II категорий взрывоопасности, не допускается использовать в качестве источников информации для систем ПАЗ одни и те же датчики, которые применяются в составе других подсистем АСУТП (например, в системе автоматического регулирования, в системе технологического или коммерческого учета).
6.3.7. Для объектов, имеющих в составе технологические блоки I и II категорий взрывоопасности, не допускается использовать в качестве исполнительных устройств систем ПАЗ одни и те же устройства, которые предусмотрены в составе другой подсистемы АСУТП (например, в системе автоматического регулирования).
6.3.8. Контроль за текущими показателями параметров, определяющими взрывоопасность технологических процессов с блоками I категории взрывоопасности, осуществляется не менее чем от двух независимых датчиков с раздельными точками отбора, логически взаимодействующих для срабатывания ПАЗ.
6.3.10. Проектирование системы ПАЗ и выбор ее элементов осуществляются исходя из условий обеспечения работы системы в процессе эксплуатации, обслуживания и ремонта в течение всего жизненного цикла защищаемого объекта.
6.3.11. Показатели надежности, безопасности и быстродействия систем ПАЗ определяются разработчиками систем с учетом требований технологической части проекта. При этом учитываются категория взрывоопасности технологических блоков, входящих в объект, и время развития возможной аварии.
6.3.12. Время срабатывания системы защиты должно быть таким, чтобы исключалось опасное развитие возможной аварии.
6.3.13. К выполнению управляющих функций систем ПАЗ предъявляются следующие требования:
срабатывание одной системы ПАЗ не должно приводить к созданию на объекте ситуации, требующей срабатывания другой такой системы;
в алгоритмах срабатывания защит следует предусматривать возможность включения блокировки команд управления оборудованием, технологически связанным с аппаратом, агрегатом или иным оборудованием, вызвавшим такое срабатывание.
6.3.14. В системах ПАЗ и управления технологическими процессами любых категорий взрывоопасности должно быть исключено их срабатывание от кратковременных сигналов нарушения нормального хода технологического процесса, в том числе и в случае переключений на резервный или аварийный источник электропитания.
6.3.15. В проектной документации, технологических регламентах на производство продукции и перечнях систем ПАЗ взрывоопасных объектов наряду с уставками защиты по опасным параметрам должны быть указаны границы регламентированных значений параметров.
6.3.16. Значения уставок систем защиты определяются с учетом погрешностей срабатывания сигнальных устройств средств измерения, быстродействия системы, возможной скорости изменения параметров и категории взрывоопасности технологического блока. При этом время срабатывания систем защиты должно быть меньше времени, необходимого для перехода параметра от предупредительного до предельно допустимого значения.
Конкретные значения уставок приводятся в проекте и технологическом регламенте на производство продукции.
6.3.17. Для ОПО химической, нефтехимической и нефтегазоперерабатывающей промышленности предусматривается предаварийная сигнализация по предупредительным значениям параметров, определяющих взрывоопасность объектов.
6.3.18. В случае отключения электроэнергии или прекращения подачи сжатого воздуха для питания систем контроля и управления системы ПАЗ должны обеспечивать перевод технологического объекта в безопасное состояние. Необходимо исключить возможность случайных (незапрограммированных) переключений в этих системах при восстановлении питания. Возврат технологического объекта в рабочее состояние после срабатывания системы ПАЗ выполняется обслуживающим персоналом по инструкции.
6.3.19. Исполнительные механизмы систем ПАЗ должны иметь указатели крайних положений непосредственно на этих механизмах, а также устройства, позволяющие выполнять индикацию крайних положений в помещении управления.
6.3.20. Надежность систем ПАЗ обеспечивается аппаратурным резервированием различных типов (дублирование, троирование), временной и функциональной избыточностью и наличием систем диагностики с индикацией рабочего состояния и самодиагностики с сопоставлением значений технологических связанных параметров. Достаточность резервирования и его тип обосновываются разработчиком проекта.
6.3.21. Показатели надежности систем ПАЗ устанавливаются и проверяются не менее, чем для двух типов отказов данных систем: отказы типа «несрабатывание» и отказы типа «ложное срабатывание».
6.3.22. Технические решения по обеспечению надежности контроля параметров, имеющих критические значения, на объектах с технологическими блоками III категории взрывоопасности обосновываются разработчиком проекта.
6.3.23. Все программные средства вычислительной техники, предназначенные для применения в составе любой системы ПАЗ, подлежат обязательной проверке на соответствие требованиям, указанным в ТЗ, которая проводится их изготовителем или поставщиком по программе, согласованной с заказчиком системы ПАЗ.
6.3.24. Перечень контролируемых параметров, определяющих взрывоопасность процесса в каждом конкретном случае, составляется разработчиком процесса и указывается в исходных данных на проектирование.
6.3.25. На периоды пуска, останова и переключений технологических режимов установок при соответствующем обосновании в проектной документации и технологических регламентах на производство продукции должны быть предусмотрены специальные алгоритмы (сценарии) работы системы ПАЗ, при которых допускается ручное или автоматическое отключение отдельных блокировок. Контроль, индикация и регистрация параметров отключению не подлежат.
Введение в системы противоаварийной защиты объектов нефтегазодобычи
Известно, что возрастание числа аварий на объектах нефтегазодобычи наносит большой материальный ущерб, как самим объектам, так и окружающей среде. Одной из мер, служащих для обеспечения безопасности взрывопожароопасных технологических процессов, предусматриваются автоматические системы противоаварийной защиты (ПАЗ). Наличие таких систем позволяет предупреждать образование взрывоопасных и пожароопасных сред в технологическом оборудовании нефтегазодобычи при нарушении границ предельно допустимых значений параметров, характеризующих состояние технологического процесса, предусмотренных регламентом во всех режимах его функционирования и обеспечивающих безопасную остановку или перевод процесса в безопасное состояние по заданной программе.
Система ПАЗ является компонентом распределенной системы управления (РСУ), которая в свою очередь является компонентом АСУТП объектов нефтегазодобычи.
Основные задачи и функции систем ПАЗ
При создании и последующей эксплуатации систем ПАЗ, предназначенных для технологических объектов нефтегазодобычи, следует соблюдать единый порядок управления комплексом необходимых работ, опирающийся на требования международных и национальных нормативно-методических документов [1,2]. Такой порядок должен охватывать состав, содержание и способы (методы) проведения работ по проектированию, внедрению, эксплуатации и техническому обслуживанию систем ПАЗ.
Этот порядок должен обеспечивать выполнение всех требований, предъявляемых к свойствам и показателям качества функционирования систем ПАЗ. Главными из них являются требования, предъявляемые к функциональной безопасности любой системы ПАЗ, т.е. к ее способности правильно функционировать, обеспечивая безопасность соответствующего объекта автоматизации.
В соответствии с серией российских стандартов ГОСТ Р МЭК 61508 и ГОСТ Р МЭК 61511 [1,2] функциональная безопасность системы ПАЗ как электронной программируемой системы определяется показателями качества выполнения ею функций безопасности, т.е. таких функций, содержанием которых является совокупность действий, направленных на снижение опасности, существующей и/или возникающей при функционировании управляемого объекта.
Основной функцией безопасности, для выполнения которой предназначена любая система ПАЗ технологического объекта, является автоматическое изменение его состояния в сторону более безопасного, выполняемое рассматриваемой системой в случае появления потенциально опасного события (например, выхода параметров процесса за безопасные пределы). Содержанием этой функции является совокупность действий, включающих измерительное преобразование и/или контроль соответствующих параметров состояния объекта, а также формирование и передачу на объект такой последовательности заранее определенных управляющих воздействий, которые направлены на предотвращение или снижение вреда.
Кроме основной функции система ПАЗ обычно выполняет ряд дополнительных функций, которыми в типичных случаях являются:
В соответствии с [3] на взрывоопасных объектах нефтегазодобычи применение систем, выполняющих функции противоаварийной защиты и/или блокировки при достижении критичных значений технологических параметров является обязательным. Выполнение указанных функций должно предупреждать образование взрывоопасной среды и другие аварийные ситуации, связанные с отклонениями технологического процесса от предусмотренных технологическим регламентом предельно допустимых значений параметров во всех режимах работы объекта, и, при необходимости, обеспечивать остановку объекта или иной его перевод в безопасное состояние.
Следует иметь в виду, что применение систем ПАЗ является не единственным способом достижения необходимого уровня промышленной безопасности производственных объектов. Наряду с электронными системами ПАЗ на них должны функционировать и другие системы и средства, обеспечивающие безопасность производства (служба пожарной охраны, системы автоматического пожаротушения, система оповещения о чрезвычайных ситуациях, предохранительные клапаны и др.). Совокупность таких систем и средств образует «многослойную» систему защиты (рис. 2) персонала, окружающей среды и имущества предприятия от возможных неблагоприятных событий на производстве и от их последствий.
Рис. 2. Типичные слои защиты и функции безопасности, применяемые для снижения рисков на объектах нефтегазодобычи
При определении состава и содержания работ по созданию и эксплуатации систем ПАЗ на объектах нефтегазодобычи необходимо учитывать ряд особенностей, характерных для таких объектов. Этими особенностями, в частности, являются следующие факторы и обстоятельства:
Современные системы ПАЗ, создаваемые и эксплуатируемые на объектах нефтегазодобычи, обладают рядом особенностей, влияющих на порядок их создания и применения. К таким особенностям, в частности, относятся:
Основными техническими компонентами, входящими в состав любой системы ПАЗ, являются не только соответствующий управляющий программно-логический контроллер (ПЛК), но и такие изделия, как датчики и исполнительные механизмы, необходимые для выполнения функций системы. Кроме того, в систему ПАЗ часто входят дополнительные устройства (линии связи, блоки питания и др.).
В ходе создания и применения систем ПАЗ необходимо иметь в виду, что их функционирование не только эффективно повышает безопасность работы соответствующих технологических объектов, но и само может способствовать появлению опасных событий и ситуаций (например, в случае такого отказа системы ПАЗ, который приводит к неблагоприятному воздействию на объект).
Роль и место систем ПАЗ в средствах автоматизации объектов нефтегазодобычи
РСУ должна применяться для управления непрерывными технологическими процессами. К непрерывным процессам относятся те, которые должны проходить круглосуточно, при этом останов процесса, даже кратковременный, недопустим. То есть, под непрерывными процессами понимаем те, останов которых может привести к прекращению нефтедобычи, поломке технологического оборудования и даже несчастным случаям, а также те, возобновление которых после останова связано с большими издержками.
Системы ПАЗ должна реализовывать функции безопасности на объектах нефтегазодобычи.
Архитектура средств автоматизации АСУТП/РСУ/ПАЗ представлена на рис. 3.
Рис. 3. Архитектура средств АСУТП/РСУ/ПАЗ
Архитектура средств РСУ+ПАЗ представлена на рис. 4.
Рис. 4. Архитектура средств РСУ+ПАЗ
Из этого следуют еще два требования к РСУ:
РСУ должны позволять охватывать множество территориально распределенных объектов. В действительности, расстояние между технологическими установками, объединенными в одну систему управления, порой достигает нескольких километров. Система должна позволять покрывать большие площади средствами современных сетей и шин передачи данных, таких как: Ethernet или специальная промышленная шина Profibus DP. При этом должно допускаться использование как медных кабелей, так и оптоволокна. Цифровая сеть должна позволять объединить разнесенные компоненты системы в единый программно-аппаратный комплекс.
Современные системы ПАЗ как элементы РСУ для опасных промышленных объектов являются разновидностью программируемых электронных систем безопасности. Общий порядок создания и применения таких систем, регламентированный международными и российскими стандартами [1,2], базируется на трех основных концепциях:
Тэги: АСУТП, ПАЗ, промышленная безопасность, противоаварийная защита, РСУ, системы ПАЗ, СПАЗ
Системы ПАЗ
Система противоаварийной автоматической защиты — особое звено в АСУТП. Российским специалистам известен краткий термин — ПАЗ. За рубежом принято обозначать соответствующий круг функций термином ESD (Emergency Shut-Down), а группу оборудования — SIS (Safety Instrumented System — приборная система безопасности).
Система ПАЗ предназначена для снижения риска аварий ТП (рис. 1) путем перевода процесса/оборудования в безопасное состояние. В случае необходимости ПАЗ должна отработать запрограммированную блокировочную логику, сгенерировать корректные выходы на исполнительные механизмы, чтобы смягчить последствия аварии или предотвратить ее.
Состав системы ПАЗ:
• барьеры искрозащиты, терминальные панели;
• контроллер (включающий устройства ввода/вывода, процессор и модули коммуникации);
• барьеры искрозащиты, реле, терминальные панели;
• электропитание системы (БП, автоматы, ИБП);
• дополнительные компоненты (кабели, коннекторы, предохранители, системные шкафы, система вентиляции);
Согласно международным и отраслевым нормативам главной задачей системы ПАЗ является безопасный останов производства в случае угрозы аварии. Однако на современные системы ПАЗ возлагают гораздо более широкий круг задач:
• автоматизация последовательных алгоритмов пуска и планового останова ТП;
• реализация разнообразия алгоритмов последовательного останова в зависимости от его причин;
• автоматическое переключение на резервное технологическое, насосное и иное оборудование при сбоях в отдельных узлах ТП;
• разграничение прав на взведение/снятие деблокировочных ключей;
• прогнозирование развития аварийных и предаварийных ситуаций;
• регистрация последовательностей событий с целью выявления первопричин любых остановов и переключений;
• исключение «человеческого фактора» как фактора аварийности (контроль и регистрация действий оператора, блокировки заведомо ошибочных действий, формирование сообщений оператору о необходимых действиях);
• непрерывная диагностика исправности каналов ввода/вывода, датчиков, исполнительных механизмов.
Последний пункт требует отдельного внимания и будет рассмотрен подробнее.
Общие требования к системе ПАЗ
М етоды и средства защиты технологических объектов выбираются на основе анализа опасностей и условий возникновения и развития предаварийных и аварийных ситуаций, особенностей технологических процессов и аппаратурного оформления.
Выбор конкретного поставщика системы защиты.
Выбор архитектуры системы безопасности и ее элементов осуществляется исходя из категории взрывоопасное™ технологического объекта, а также требований по эксплуатации, обслуживанию и ремонту в течение всего межремонтного пробега технологического объекта. Выбор конкретного поставщика оборудования системы ПАЗ организация-заказчик осуществляет по результатам конкурса (тендера).
Особенности объектов III категории взрывоопасности.
Для объектов III категории взрывоопасное™ функции защиты технологического процесса могут быть реализованы на стандартных контроллерах РСУ при выполнении следующих условий:
Резервирование датчиков и исполнительных элементов.
Надежность выполнения функций измерения и защиты для переменных, определяющих взрывоопасность процесса, на взрывоопасных объектах обеспечивается:
В системах ПАЗ запрещается мультиплексирование входных параметров, определяющих взрывоопасность процесса.
Значения уставок системы защиты.
Находятся под ответственностью Проектной организации. Значения уставок срабатывания системы защиты определяются с учетом погрешностей измерительных устройств, быстродействия системы, возможной скорости изменения параметров, и категории взрывоопасное™ технологического блока. Значения уставок определяются Проектной организацией и приводятся в проектной документации (технологическом регламенте).
Надежность и время срабатывания систем безопасности.
Надежность и время срабатывания систем противоаварийной защиты обосновываются Разработчиком АСУТП на основе требований технологической части проекта. При этом учитывается категория взрывоопасное™ технологических блоков, входящих в объект, и время развития возможной аварии. Время срабатывания системы защиты должно быть гарантированно меньше времени, необходимого для перехода параметра от предаварийного до критического значения. Надежность систем безопасности должна обеспечивается:
Достаточность резервирования и его тип определяются и утверждаются на специальном совещании по безопасности с участием Проектной организации, Разработчика АСУТП и Организации-заказчика.
Резервирование электропитания.
Электропитание оборудования АСУТП, включая и полевое оборудование КИПиА, должно обеспечиваться от двух независимых источников. На случай отключения основных источников электроэнергии в качестве третьего независимого источника должен быть предусмотрен источник бесперебойного питания (UPS), способный обеспечить электропитанием полевое оборудование КИПиА и основное оборудование РСУ и ПАЗ, чтобы произвести перевод технологического объекта в безопасное состояние в течение наперед заданного интервала времени.