На совещании звучит «нужен SIL 2», в ТЗ для упаковочной линии — «по 61511», а подрядчик приносит расчёт PLr и таблицу из ISO 13849. У всех участников ощущение, что речь об одном и том же, только буквы разные. На деле это разные контексты риска: процессная установка, где опасность связана с веществом и режимом, и машина, где опасность связана с движением, доступом в зону и аварийным остановом. Путаница дорого обходится: лишние safety-контроллеры, недостающие документы на приёмке, споры «кто подписывает безопасность».
Ниже — карта без попытки заменить нормативную экспертизу: где какой стандарт первичен по смыслу, какие термины не смешивать, что типично ломается в проектах в РФ и что просить у интегратора на выходе.
Три «этажа», которые держат в голове
IEC 61508 — общий фундамент функциональной безопасности для электрических, электронных и программируемых систем (E/E/PE). Здесь живут идеи жизненного цикла, SIL как уровня целостности безопасности, V-образной модели, верификации и доказательств. Сам по себе 61508 редко является «тем самым стандартом проекта» для заказчика на объекте — это база, на которую опираются отраслевые документы.
IEC 61511 — прикладной уровень для процессной промышленности (химия, НПЗ, энергетика с процессным контуром): системы, которые должны переводить процесс в безопасное состояние — SIS, функции безопасности процесса, SIL в логике «что будет, если клапан не закрылся». Если на площадке говорят про SRS (Safety Requirements Specification), proof test, PFD для клапанов и датчиков давления в контуре вещества — вы почти наверняка в мире 61511, опирающемся на 61508.
ISO 13849 (и близкий по машинам IEC 62061) — мир машинной безопасности: защитные ограждения, блокировки, E-stop, приводы с безопасным отключением, Performance Level (PL) и категории архитектуры, а не «SIL процесса» в привычном смысле НПЗ. Для конвейера, станка, роботизированной ячейки, пресса первичен обычно этот контур, а не 61511.
Связка простая: 61508 — общий язык, 61511 — процесс, 13849/62061 — машина. Ошибка — тащить терминологию одного этажа в другой без перевода задачи.
На машине заказчик и интегратор обсуждают зоны доступа, PLr, категорию цепи безопасности, двухканальность входа двери, safe torque off привода, валидацию по ISO 13849-2. Ожидание «SIL 2 по 61511» на чисто механическом риске без процессной опасности — признак, что ТЗ писали по шаблону из другой отрасли.
На процессе говорят о сценариях разгерметизации, SIS, SIL функции «остановить подачу / закрыть отсекающий клапан», LOPA, периодических proof tests элементов SIS. Сюда не подставляют таблицу PL из SISTEMA для одной только кнопки «Стоп» на HMI.
Обычный ПЛК и Safety PLC на границе этих миров одинаково важны, но основание разное: для машины — доказуемость архитектуры по 13849/62061; для процесса — соответствие SRS и SIL по цепочке 61511. Отдельный материал про границу контроллеров имеет смысл читать уже после того, как выбран контекст стандарта.
Типичные ошибки интерпретации в проектах РФ
Часто встречается копирование формулировок из западного CE-пакета без привязки к роли российского заказчика: в комплекте красивый расчёт PL, а в договоре — «SIL 3 на весь объект». Исполнитель и приёмка спорят о разных вещах.
Другой край — «у нас ПЛК надёжный, значит safety не нужен». Надёжность эксплуатации и функциональная безопасность — разные оси; без документа по выбранному стандарту приёмка превращается в субъективное «нам кажется безопасно».
Третья ошибка — смешение ответственности: интегратор АСУ ТП делает экраны и sequence, а функции безопасности «как получится» в том же проекте без отдельного контура, ревью и перечня ограничений на изменения. После первой доработки логики граница safety размывается.
Четвёртая — не тот стандарт в ТЗ: для линии розлива требуют «полный 61511», хотя опасность — раздавливание и доступ в зону; для котельной обвязки без SIS требуют только «категорию 3» без процессного анализа. Заказчику на выходе нужен не «стандарт вообще», а согласованный комплект под фактический риск.
Пятая — путаница SIL и PL как «взаимозаменяемых букв». В разговоре их иногда сопоставляют для ориентира, но заказывать и проверять нужно в терминах того стандарта, который первичен для объекта.
Что заказывать у интегратора: не «сертификат стандарта», а артефакты
У интегратора АСУ ТП редко заказывают «сертификацию IEC 61508» целиком. Заказывают инженерные результаты, которые стыкуются с выбранным контуром: перечень функций безопасности, схемы, спецификация связи safety с управлением, протоколы тестов, ограничения на изменения ПО. Формулировки в договоре должны называть эти артефакты, а не только номер стандарта.
Таблица: ситуация → какой стандарт первичен → что заказывать у интегратора на выходе
Как не утонуть в аббревиатурах на одном объекте
На старте проекта полезен один лист «контекст безопасности»: что является источником опасности (вещество / движение / энергия), кто владелец функциональной безопасности на стороне заказчика, какой стандарт принят первичным, какие документы входят в приёмку. Интегратор АСУ ТП в этой картине — исполнитель интеграции и документированной границы с управлением, а не замена технолога или safety-инженера процесса.
Для контроллеров СТАБУР это означает ясное разделение: прикладной автомат и HMI — в одном контуре изменений, цепи и логика, влияющие на безопасное состояние, — в контуре с отдельным ревью и ограничениями, согласованным с выбранным стандартом машины или процесса.
FAQ
61508 обязателен на каждом объекте в РФ?
Как «база понятий» — да, косвенно через отраслевые стандарты и договор. Как отдельный комплект «сделайте по 61508» без 61511 или 13849 — обычно признак непроработанного ТЗ.
Можно ли один SIL для всего завода?
Нет. SIL/PL назначают на функцию или на машину/узел в рамках анализа риска, а не «на ворота».
Кто подписывает расчёт PL?
Ответственность задаётся договором; часто это safety-инженер машины или сертифицированный специалист; интегратор ПЛК предоставляет исходные данные и реализует схему, но не подменяет оценку риска без полномочий.
Обсуждение