J K I @ E M C K ; = M I G ; M C R @ L E C P L M @ P H I F

1

МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное автономное

образовательное учреждение высшего образования

«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ТОМСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»

Е.И. Громаков, А.Г. Зебзеев

ПРОЕКТИРОВАНИЕ АВТОМАТИЧЕСКИХ СИСТЕМ ТЕХНОЛОГИЧЕСКОЙ БЕЗОПАСНОСТИ

Рекомендовано в качестве учебного пособия Редакционно-издательским советом

Томского политехнического университета

Издательство Томского политехнического университета

2019

2

УДК 658.512.2.011.56:681.3(075.8)

ББК 32.965я73

Г87

Г87 Громаков Е.И., Зебзеев А.Г.

Проектирование автоматических систем управления технологиче-

ской безопасностью: учебное пособие / Е.И. Громаков, А.Г. Зебзеев;

Томский политехнический университет. – Томск: Изд-во Томского по-

литехнического университета, 2019. – 173 с.

В учебном пособии приведены учебно-методические материалы для

изучения особенностей автоматизации противоаварийной защиты нефтега-

зовых объектов управления. Рассмотрены основные понятия, структура,

классификация и методология разработки противоаварийной защиты на ос-

нове стандартов ГОСТ Р МЭК 61508/61511

Пособие подготовлено совместно отделением автоматизации и ро-

бототехники ИШИТР ТПУ и отделением автоматизации ОАО «ТомскНИ-

ПИнефть» и предназначено для студентов, обучающихся по направлению

15.03.04 «Автоматизация технологических процессов и производств».

УДК 658.512.2.011.56:681.3(075.8)

ББК 32.965я73

Рецензенты

Доктор технических наук, профессор ТПУ

В.И. Гончаров

Доктор технических наук, профессор ТУСУР

Н.В. Замятин

© ФГАОУВО НИ ТПУ, 2019

© Громаков Е.И., Зебзеев А.Г., 2019

© Обложка. Издательство Томского

политехнического университета, 2019

3

ОГЛАВЛЕНИЕ ГЛОССАРИЙ ........................................................................................................................ 4

ВВЕДЕНИЕ ............................................................................................................................ 5

РАЗДЕЛ 1. ТЕХНОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ.

ПРОТИВОАВАРИЙНАЯ ЗАЩИТА ............................................................ 7

РАЗДЕЛ 2. НОРМАТИВНЫЕ ДОКУМЕНТЫ

ПРОЕКТИРОВАНИЯ СПАЗ ....................................................................... 22

РАЗДЕЛ 3. HAZID / HAZOP АНАЛИЗ ОПАСНОСТЕЙ

КОНТРОЛИРУЕМОГО АСДУ ОБОРУДОВАНИЯ ............................... 36

РАЗДЕЛ 4. АНАЛИЗ ОШИБОК, ВИДОВ И ПОСЛЕДСТВИЙ ОТКАЗОВ ............ 51

РАЗДЕЛ 5. АНАЛИЗ РИСКОВ ОБЪЕКТОВ, УПРАВЛЯЕМЫХ АСДУ................. 62

РАЗДЕЛ 6. СРЕДСТВА СНИЖЕНИЯ НЕЖЕЛАТЕЛЬНОГО РАЗВИТИЯ

АВАРИЙНЫХ СОБЫТИЙ.......................................................................... 78

РАЗДЕЛ 7. РАСЧЕТНЫЕ ФОРМУЛЫ ПРОЕКТИРОВАНИЯ

СИСТЕМ АВАРИЙНОЙ БЕЗОПАСНОСТИ .......................................... 94

РАЗДЕЛ 8. ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ

В СООТВЕТСТВИИ С МУ П1-01.04 М-0084

ПАО «НК «РОСНЕФТЬ» ........................................................................... 115

РАЗДЕЛ 9. ВЫБОР СРЕДСТВ АВТОМАТИЗАЦИИ ПАЗ ...................................... 142

СПИСОК ЛИТЕРАТУРЫ .............................................................................................. 169

4

ГЛОССАРИЙ

EUC, Equipment Under Control Управляемое оборудование

ESD Emergency Shutdown System Система аварийного отключения

SSS, Safety Shutdown System Завершение работы системы безопасности

SFF Safe Failure Fraction Доля безопасных отказов

FT Fault Tolerance Отказоустойчивость

PFS, Probability to Fail Safe Вероятность безопасного отказа

STL (Spurious Trip Level) Уровень ложных аварийных срабатываний

Spurious Trip Rate (STR) Частота ложных аварийных срабатываний

PTC Охват контрольными проверками

λdd Опасные отказы, обнаруженные средствами са-

модиагностики или подключаемого логического

вычислителя

λdu Опасные отказы, которые устройство обнаружить

не может

λsd Безопасные обнаруженные отказы, которые пере-

водят систему в безопасный режим без требова-

ния со стороны процесса

λsu Безопасные необнаруженные отказы, которые пе-

реводят систему в безопасный режим без требо-

вания со стороны процесса

MTBF Mean Time Before Failure Среднее время между отказами

DCs, Diagnostic coverage Уровень диагностики безопасных отказов, обес-

печиваемый логическим устройством

FIT, Failure In Time Количество отказов в единицу времени

(1 × 10 E-9 отказов в час

MTTF, Mean Time To Failure Среднее время наработки до отказа

MTTFspurious Среднее время наработки до безопасного отказа

MDT, Mean down time Среднее время ремонта

MTTR, Mean Time To Repair Среднее время восстановления системы

PFDavg Средняя вероятность отказа на запрос выполне-

ния требуемой функции безопасности

SIF, Safety Instrumented Function Приборная функция обеспечения безопасности

SIS, Safety Instrumented System Приборная система обеспечения безопасности

(система противоаварийной защиты)

SIL, Safety Integrity Level Уровень полноты безопасности

OSHA Управление по ТБ и охране труда – управление

по ТБ и охране труда

TI, Test Interval Интервал технического обслуживания

SRS Safety Requirements

Specification

Спецификация требований к безопасности

Exida Компания, мировой лидер в области функцио-

нальной безопасности и сертификации СПАЗ

5

ВВЕДЕНИЕ

В соответствии с Федеральным законом №116-ФЗ «О промышленной

безопасности …» и Федеральными нормами и правилами в области про-

мышленной безопасности «Общие правила взрывобезопасности для взры-

вопожароопасных химических, нефтехимических и нефтеперерабатыва-

ющих производств», утвержденным приказом Ростехнадзора от

11.03.2013 № 96 практически все производственные объекты нефтегазо-

вой отрасли (НГО) являются опасными производственными объектами

(ОПО).

Функционирующие ОПО обладают тем свойством, что на этих объ-

ектах возникают аварии, которые могут привести к существенным нега-

тивным последствиям: значительным экономическим потерям; нанесению

вреда производственному персоналу, окружающей среде и населению.

Уровень безопасного функционирования на всем периоде эксплуатации

ОПО поддерживается за счет различных организационных мероприятий

и технических систем безопасности (слоев обеспечения безопасности).

Система приборной безопасности (SIS) или другими словами система

противоаварийной защиты (СПАЗ) является одним из самых важных сло-

ев защиты оборудования и людей в нефтегазовой отрасли (НГО). Защи-

щаемое СПАЗ оборудование выделяется из ОПО как контролируемое

оборудование (EUC). Программно-аппаратные, приборные (КИПиА)

средства обеспечивают автоматические измерения и выполняют автома-

тические действия для исправления аномальных событий в EUC или пе-

реводят автоматически опасную событийность процесса в безопасное со-

стояние.

СПАЗ может состоять из любой комбинации КИПиА (датчиков, ло-

гических и исполнительных устройств, средств телекоммунникаций, при-

борного электропитания, пневмо-гидро-электроприводов исполнительных

устройств и др.), обеспечивающих необходимые действия по переводу

EUC в безопасное состояние в атоматическом режиме выполнения.

Хотя СПАЗ выполняет предписанные защитные действия в редких

случаях, ее несрабатывание при запросе на отключение или ложно вы-

полненные блокировки могут привести к значительным технико-

экономическим потерям и гибели людей. Поэтому SIS должна правильно

активизироваться и срабатывать всякий раз, когда это необходимо. А это

означает, что SIS должна быть проверена тщательно и систематически на

стадии проектирования и подтверждена сертификацией соответствия не-

зависимым органом, уполномоченным Ростехнадзором.

6

Проектирование СПАЗ и ее проверка на предприятиях должны вы-

полняться в соответствии с требованиями и рекомендациями регламент-

ных документов, которых много и которые были введены в действие

в различные годы. В настоящее время становится общепринятой практи-

кой выполнять разработку СПАЗ в соответствии с гармонизированными

в России междунароными стандартами.

Целью методического пособия является систематизация и углубление

теоретических и практических знаний студентов в области проектирова-

ния автоматических систем противоаварийной защиты, развитие навыков

их практического применения, теоретических знаний при решении инже-

нерных задач автоматизированного управления технологическим процес-

сом в нефтегазовой отрасли.

7

РАЗДЕЛ 1.

ТЕХНОЛОГИЧЕСКАЯ БЕЗОПАСНОСТЬ.

ПРОТИВОАВАРИЙНАЯ ЗАЩИТА

Из-за тяжелых последствий аварий в последнее десятилетие требова-

ния к безопасности на производстве стали более жесткими. Требования

федерального закона РФ №187-ФЗ, технического регламента таможенного

союза ТР ТС 010/2011 и требования Директивы Евросоюза 2006/42/EC

о машинах и механизмах заставили производителей сложной техники

и промышленные производства уделять более пристальное внимание про-

блеме их безопасной эксплуатации. В соответствии с этими регламентами

установлены требования по созданию комплексных проектных решений

по защите рабочих от травм, и защите производственного оборудования

от повреждения при одновременном сохранении высокого уровня произ-

водительности производств, на объектах которых:

1) получаются, используются, перерабатываются, образуются, хра-

нятся, транспортируются или уничтожаются:

воспламеняющиеся вещества, окисляющие вещества (например,

кислород);

горючие вещества; взрывчатые вещества; токсичные вещества;

вещества, представляющие опасность для окружающей природной среды;

2) используется оборудование, работающее под избыточным давле-

нием более 0,07 МПа (0,7 атм) или при температуре нагрева более 115°;

3) используются стационарно установленные грузоподъёмные меха-

низмы, компрессорные станции, электрические установки большой мощ-

ности;

4) ведутся горные работы по обогащению полезных ископаемых,

а также работы в подземных условиях.

Появление новых стандартов привело к необходимости строгой сер-

тификации безопасности производственного оборудования и к возраста-

нию требований к устройствам, обеспечивающим технологическую без-

опасность в нефтегазовой отрасли. Поддерживаемые множеством новых

и инновационных технологий, эти стандарты облегчают внесение измене-

ний в концепции решений по безопасности и позволяют систематизиро-

вать разработку и эксплуатацию СПАЗ в течение всего его жизненного

цикла.

Технологическая безопасность – это комплекс разнообразных меро-

приятий, целью которых является предотвращение и/или минимизация

последствий аварий на опасных производственных объектах. Проще гово-

8

ря, технологическая безопасность – это создание таких условий на пред-

приятии или объекте, когда риск возникновения аварий минимален,

а в случае возникновении аварийной ситуации и аварии, реализуется план

действий по предотвращению ее с минимальными человеческими жерт-

вами и коммерческими издержками производства.

В нефтегазовой отрасли противоаварийная защита (ПАЗ) направлена,

прежде всего, на обеспечение взрыво- и пожаробезопасности. В соответ-

ствии с законами РФ на взрывоопасных объектах нефтегазодобычи при-

менение систем, выполняющих функции противоаварийной защиты и/или

блокировки при достижении критичных значений технологических пара-

метров является обязательным. В большинстве случаев СПАЗ существует независимо от всех

остальных систем управления и, согласно отечественным стандартам, ни-

какое вмешательство средств автоматизированного диспетчерского

управления (АСДУ) в ее работу невозможно.

Выполнение предписанных ей функций должно предупреждать обра-

зование взрывоопасной среды и другие аварийные ситуации, связанные

с отклонениями технологического процесса от предусмотренных техноло-

гическим регламентом предельно допустимых значений параметров во

всех режимах работы объекта, и, при необходимости, обеспечивать оста-

новку объекта или иной его перевод в безопасное состояние. В соответствии с ГОСТ взрывоопасные помещения классифициру-

ются нормируемыми зонами, которые могут быть подразделены на две

основные категории:

• зоны с опасностью взрыва газа;

• зоны с опасностью взрыва пыли.

До настоящего времени эти зоны в международном масштабе опре-

делялись в соответствии с нормами EN 60079-10 для газов и EN 61241-10

для пыли. Российскими стандартами они определяются в ГОСТ Р

В рамках перевода серии норм по пыли ГОСТ IEC 61241 в серию

ГОСТ 31610 в норме ГОСТ Р МЭК 60079-10, часть 10-1 и 10-2, было при-

нято разделение на зоны с опасностью взрыва газа и с опасностью взрыва

пыли.

Далее Европейским комитетом по нормированию (CEN) была введе-

на норма EN 1127-1 (ГОСТ Р ЕН 1127-1-2009), которая содержит осново-

полагающую информацию по обеспечению взрывобезопасности и под-

держивает обе Директивы ATEX (94/9/EG и 1999/92/ EG). Распределение

по зонам (классификация) осуществляется на основе частоты появления

взрывоопасной атмосферы. Более подробную информацию по классифи-

кации зон можно найти в предписаниях по взрывозащите Союза предпри-

нимателей химической промышленности ФРГ.

9

Понятие «взрывоопасная зона» в «Правилах устройств электроуста-

новок» трактуется следующим образом – взрывоопасная зона – это поме-

щение или ограниченное пространство в помещении или наружной уста-

новке, в котором имеются или могут образоваться взрыво-опасные смеси.

Согласно ГОСТ IEC 60079-10-1–2012 – взрывоопасная зона – часть за-

мкнутого или открытого пространства, в котором присутствует или может

образоваться взрывоопасная газовая смесь объеме, требующем специаль-

ных мер защиты при конструировании, изготовлении и эксплуатации обо-

рудования.

В соответствии с классификацией взрывоопасных зон (ГОСТ Р МЭК

60079-10-1-2008) выделяются классы:

зона класса 0 – взрывоопасная газовая смесь, которая присутствует

постоянно или в течение длительных периодов времени;

зона класса 1 –где существует вероятность присутствия взрыво-

опасной газовой смеси в нормальных условиях эксплуатации;

зона класса 2 – где маловероятно присутствие взрывоопасной газо-

вой смеси в нормальных условиях эксплуатации, а если она возникает, то

редко, и существует очень непродолжительное время.

Эти зоны соответствуют 1, 2 и 3 категориям опасных производств

НГО.

Рис. 1.1. Распределение взрывоопасных зон на примере бензовоза,

выгружающего топливо в топливохранилище на АЗС

10

На рисунке показано распределение взрывоопасных зон на примере

бензовоза, выгружающего топливо в топливохранилище на АЗС. Объем

технических предупредительных и защитных мер зависит от вероятности

появления взрывоопасной среды и последствий возможного взрыва. Это

реализуется путем классификации оборудования по уровням взрывозащи-

ты (в частности для смеси газа и воздуха: Ga, Gb, Gc). Эти уровни взрыво-

защиты устанавливают требования к исполнению оборудования EUC.

Назначение системы противоаварийных защит в АСУ ТП.

Система ПАЗ представляет собой комплекс аппаратно-программных

средств, включенных постоянно. ПАЗ обеспечивает круглосуточное

функционирование и выполнение заданных функций автономно.

Современная система аварийной защиты – это логическая контроль-

но-измерительная система, которая обнаруживает ненормальные события

в технологическом процессе и инициирует действия по размыканию энер-

гии и останову технологического объекта для приведения нарушения тех-

нологического режима к безопасному уровню и исключения, таким обра-

зом, возможных рисков.

Основное назначение ПАЗ – аварийная защита оборудования, персо-

нала, и окружающей среды при отказах системы управления технологиче-

ским процессом, контролируемого оборудования, либо ошибочных дей-

ствиях персонала.

Основные задачи и функции систем ПАЗ.

Основная задача любой системы ПАЗ НГО – это перевод контролиру-

емого оборудования (процесса) в безопасное состояние при возникновении

каких-либо проблем в его работе (выход технологических процессов за

установленные границы, отказ оборудования, нештатные ситуации).

Как правило, система ПАЗ получает данные о состоянии контролиру-

емого оборудования от «собственных» иногда резервированных датчиков

и логических устройств (одной из самых надежных считается троирован-

ная схема с мажоритарным голосованием, когда срабатывание любых 2 из

3 датчиков, установленных на одной контрольной точке) и управляет

«своими» иногда резервированными исполнительными механизмами.

У системы ПАЗ как компоненты АСУ ТП нет «своей» станции опе-

ратора (такая есть в автоматизированной системе диспетчерского управ-

ления), есть только мобильная инженерная станция, с помощью которой

выполняется конфигурирование ПЛК системы ПАЗ и ее плановое тести-

рование.

Со станции оператора АСДУ, соединенной с системой ПАЗ через се-

тевой экран (файрвол (FireWall), можно контролировать процесс работы

системы ПАЗ, но нельзя ею управлять. Исполнительное оборудование

различных схем блокировок не зависит от оборудования АСУ ТП.

11

Функции ПАЗ:

• автоматическое измерение технологических переменных, важных

для безопасного ведения технологического процесса;

• автоматическое обнаружение потенциально опасных изменений

состояния технологического объекта и системы его автоматизации;

• автоматическая предаварийная сигнализация (сообщения операто-

ру, средства пультовой и местной индикации);

• автоматическое срабатывание средств ПАЗ, прекращающих разви-

тие нештатной ситуации (останов насосов, компрессоров, конвейеров,

шнеков, открытие/закрытие электрозадвижек, отсекателей и др.);

• автоматическое выполнение процедур управляемого последова-

тельного останова технологических процессов, машин и оборудования,

для которых «ударный» единовременный внезапный останов может при-

вести к аварии;

• автоматический контроль последовательности предпусковых

и пусковых операций;

• автоматический контроль действий персонала и блокировка заве-

домо ошибочных операций, способных при фактическом состоянии объ-

екта привести к аварии («защита от дурака»);

• самодиагностика внешних электрических цепей и технических

средств, используемых системой ПАЗ;

• автоматический контроль срабатывания средств ПАЗ по сигналам

из электрических схем, от конечных и муфтовых выключателей, от реле

расхода и др., формирование сообщений о сбое в случае невыполнения

отданной команды за установленное время;

• автоматическая установка деблокировочных ключей для периода

пуска процесса (технологические деблоки) и для обслуживания/замены

технических средств (сервисные деблоки), автоматический сброс дебло-

кировочных ключей (взведение блокировок) по выходу процесса на ре-

жим или по иным алгоритмически заданным условиям;

• непрерывная автоматическая регистрация последовательности со-

бытий (SOE), влияющих на безопасность процесса, включая потенциаль-

но опасные изменения технологических переменных, выходные сигналы

системы ПАЗ, команды персонала, изменения состояния деблокировоч-

ных ключей и диагностические сообщения; обеспечение высокого разре-

шения по времени с целью установления точной первопричины нештат-

ной ситуации;

• автоматическое включение резервного технологического оборудова-

ния в случаях, определенных технологическим регламентом производства;

• непрерывное получение текущей информации от автоматических

средств пожарного и газового анализа на объекте; включение в необходи-

12

мых случаях вентиляционных систем, водяных завес и иных средств

предотвращения развития аварии;

• защита от несанкционированного доступа.

Основной функцией безопасности, для выполнения которой предна-

значена любая СПАЗ технологического объекта, является автоматическое

изменение его состояния в сторону более безопасного, что предусмотрено

СПАЗ в случае появления потенциально опасного события (например, вы-

хода параметров процесса за безопасные пределы). Содержанием этой

функции является совокупность действий, включающих контроль соответ-

ствующих параметров состояния объекта и формирование, передачу на

объект такой последовательности заранее определенных управляющих

воздействий, которые направлены на предотвращение или снижение вреда.

Кроме основной функции система ПАЗ обычно выполняет ряд до-

полнительных функций, которыми в типичных случаях являются:

автоматическое обнаружение потенциально опасных изменений

состояния технологического объекта или системы его автоматизации;

автоматическое измерение технологических переменных, важных

для безопасного ведения технологического процесса (например, измере-

ние переменных, значения которых характеризуют близость объекта

к границам безопасного режима ведения процесса);

автоматическая (в режиме online) диагностика отказов, возникаю-

щих в системе ПАЗ и/или в используемых ею средствах технического и

программного обеспечения;

автоматическая предаварийная сигнализация, информирующая

оператора технологического процесса о потенциально опасных изменени-

ях, произошедших в объекте или в системе ПАЗ;

автоматическая защита от несанкционированного доступа к пара-

метрам настройки и/или выбора режима работы системы ПАЗ.

Современные системы аварийной защиты все в большей степени

применяют программно-аппаратные средства управления. ПАЗ, реализу-

емые на основе системы автоматической с «программируемой электрони-

кой (Е/Е/ЕР)», для аварийной защиты технологических параметров про-

цесса. Такие системы согласно ГОСТ 61508 носят название приборной

системы безопасности (SIS).

Целью SIS является снижение риска того, что процесс может стать

опасным. SIS определяет опасные условия и предпринимает действия для

перемещения опасности процесса в безопасное состояние, предотвращая

несчастный случай.

Уровень снижения риска, которое может предоставить SIS – это его

интегральный уровень безопасности SIL, который является мерой сниже-

13

ния риска, обеспечиваемого функцией безопасности. В общем случае

структурная схема системы безопасности (SIS), показанная на рис. 1.2,

непрерывно контролирует поток опасных событий защищаемого обору-

дования, технологического процесса (EUC) и осуществляет предписанные

ей действия по обеспечению его безопасности.

Защищенноеоборудование

(EUC)

ДатчикиЛогическое устройство

Исполнительное устройство

Действия

SIS(ESD)

Управление

Поток требований по защите

Рис. 1.2. Схема аварийной системы управления безопасностью

В мировой практике в НГО применяются следующие типовые систе-

мы безопасности:

ESD – Emergency Shutdown System. Перевод;

SSS – Safety Shutdown System;

FGS – Fire & Gas System;

EDP – Emergency Depressurization;

PSV – Pressure safety valves;

PSS – Process Shutdown System.

В НГО основными действиями СПАЗ являются:

система останова процесса (PSS);

аварийная система управления безопасностью (SSS), которая

включает системы аварийного отключения (ESD) и аварийного сброса

давления (EDP).

В НГО также используется пассивная система защиты, которая дей-

ствует как барьер, сдерживающий разбрызгивание горячей нефти и газов

с фланцев, клапанов и трубных соединений. Эти системы широко известны

как защитные щитки и фланцевые ограждения (ГОСТ Р ЕН 1127-1-2009).

В процессе движения и хранения жидкостей и газа возможно накоп-

ление статического потенциала напряжения, который ведет к возможно-

сти возникновения искры.

Level Electrostatic Discharge (уровни опасности электростатического

разряда, ГОСТ IEC 61000-4) также относятся к уровням защиты объектов

НГО и могут быть назначены для SSS:

уровень ESD1 – это уровень защиты от электростатических разря-

дов, которая при общем отключении зоны установки может активировать

уровень защиты от электростатических разрядов ESD2, если это необхо-

14

димо. Этот уровень может быть активирован только из главной диспет-

черской на производственных предприятиях.

уровень ESD2. Этот уровень отключает и изолирует отдельные зо-

ны ESDI и активирует при необходимости EDP.

уровень ESD3 обеспечивает «сдерживание выпуска потока жидко-

сти» при разгерметизации арматуры.

Действия электромагнитных защит классифицируются по шкале,

например, от 0 до 5, где полное отключение процесса (PSD0) соответству-

ет самому высокому уровню отключений и означает полное отключение

и эвакуацию объекта.

Следующие уровни (PSD1, PSD2) определяют аварийное полное от-

ключение. Более низкие уровни (например, PSD3, PSD4 и PSD5) останав-

ливают отдельное оборудование или технологический участок. Разделе-

ние между уровнями PSD условное и опасные события могут обрабаты-

ваться с менее строгими требованиями.

Защитные действия выполняются системой аварийного отключения

контролируемого оборудования (SSS) и системой отключения процесса

(PSS) в соответствии с требованиями и стандартами функциональной без-

опасности.

Аварийная система управления безопасностью должна отключать

оборудование до безопасного состояния в случае чрезвычайной ситуации

и таким образом обеспечивать защиту персонала, окружающей среды

и имущества. В рабочем режиме SSS должна управлять всеми входами

и выходами, относящимися к функциям аварийного отключения (ESD).

Поэтому SSS и PSS может использовать сигналы от основной системы

ПАЗ, пожарной и системы контроля наличия взрывоопасных или опас-

ных для здоровья газов для выполнения предписанных действий по обес-

печению безопасности технологического процесса (рис. 1.3).

15

Рис. 1.3. Схема действий ПАЗ

Основными задачами пожарной и газовой системы FGS являются

защита персонала, окружающей среды и оборудования (включая оборудо-

вание и сооружения). FGS достигает этих целей путем:

обнаружение на ранней стадии присутствия горючего газа;

обнаружение на ранней стадии разлива жидкости (LPG и LNG);

обнаружение зарождающегося огня и наличия огня;

предоставление автоматических и (или) средств для ручной акти-

вации системы противопожарной защиты по мере необходимости;

инициирование изменений окружающей среды для поддержания

температуры жидкости ниже температуры вспышки;

инициирующие сигналы, как звуковые, так и видимые при необхо-

димости, для предупреждения об обнаруженных опасностях;

инициирование автоматического отключения оборудования при

срабатывании 2 из 2 или 2 из 3 извещателей наличия газа;

инициирование включения/отключения системы вентиляции.

Системы аварийной разгерметизации (EDP) используются в сочетании

с системами ESDI для сброса жидкостей и газа «захваченных» в процессе

выполнения защитных мер в безопасное место безопасным способом.

После успешного внедрения таких сложных систем управления без-

опасностью потенциальные проблемы не заканчиваются. В реальных про-

изводственных условиях рано или поздно что-нибудь пойдет не так: вый-

дут за допустимые пределы параметры процесса, испортятся датчики, из-

16

менится калибровка преобразователей, выйдет из строя важное оборудо-

вание. Могут возникать непредвиденные в рамках системы управления

ситуации. В таких ситуациях система ПАЗ должна безопасно отключить

объект контроля до восстановления нормального режима.

Функциональная схема типового контролируемого оборудования

EUC с защитными устройствами приведена на схеме (рис. 1.4)

Рис. 1.4. Функциональная схема типовой технологической установки

17

Здесь устройства аварийной остановки, защитные и сигнальные

устройства реализуются в соответствии с международными стандартами

(ГОСТ Р МЭК 62061) и снабжаются средствами блокировок.

Блокировкой называют совокупность методов и средств, обеспечи-

вающих фиксацию частей машин или элементов электрических схем

в определенном состоянии, которое сохраняется независимо от наличия

или прекращения воздействия.

В общем случае блокировочное устройство, блокировка – это меха-

ническое, электрическое или прочее устройство, цель которого состоит

в предотвращении функционирования элементов машины в заданных

условиях (обычно до тех пор, пока не выполнены действия по устранению

опасностей).

В современном контролируемом оборудовании применяются блокиро-

вочные устройства, которые предупреждают нарушение нормального тех-

нологического процесса и обеспечивают безопасную работу на машинах.

Блокировочные защитные устройства предназначены для отключе-

ния (предупреждения включения) машины при нахождении человека

в опасной зоне, а также для предотвращения попадания человека в опас-

ную зону. Поступившая от блокировочного устройства команда на останов по-

дается в систему управления таким образом, чтобы отключение подачи

энергии к исполнительным органам или механическое разъединение по-

движных частей от исполнительного органа осуществлялось системой

управления (косвенное прерывание: уровни ГОСТ Р 51345-99 Безопас-

ность машин. Блокировочные устройства, связанные с защитными

устройствами. Принципы конструирования и выбора).

Поступившая от блокировочного устройства команда на останов

машины непосредственно прерывает подачу энергии к ее исполнитель-

ным органам или разъединяет подвижные части и исполнительные орга-

ны. «Непосредственно» означает, что в отличие от управляющей блоки-

ровки HMI - система управления не играет промежуточной роли в функ-

ции блокировки.

Приборы безопасности и блокировочные устройства устанавливают-

ся для предупреждения аварий при эксплуатации. Требования к их уста-

новке и конструкции для машин, подконтрольных технадзору, регламен-

тированы соответствующими Правилами. Безаварийность, безопасность

и надежность работы производства обеспечиваются специальными

устройствами. Различные блокировочные устройства предохраняют об-

служивающий персонал и обслуживаемое им оборудование от поломок

и перегрузок, а устройства измерения и контроля (в том числе от несанк-

ционированного доступа). Одним из путей предотвращения несанкциони-

18

рованного доступа, в частности, к запорной арматуре в НГО является де-

монтаж ее управляющих элементов (рычагов, маховиков и пр.). Другим

решением этой проблемы является использование блокираторов запорной

арматуры.

Уровни защиты технологических процессов нефтегазовой отрасли

должны последовательно предупреждать аварии, предотвращать их раз-

витие и смягчать последствия (рис. 1.5).

Рис. 1.5. Управление безопасностью через уровни защиты

Система ПАЗ представляет собой комплекс аппаратно-программных

средств (E/E/PES), включенных постоянно. СПАЗ обеспечивает круглосу-

точное функционирование и выполнение заданных функций автономно.

Она работает параллельно, но независимо от АСДУ (рис. 1.6).

19

Рис. 1.6. АСУ ТП опасной технологической установкой

Системы противоаварийной защиты, состоящие из электрических

и/или электронных элементов (E/E/PES), в течение последних лет исполь-

зуются для выполнения многих функций безопасности в большинстве об-

ластей применения.

20

Рис. 1.7. Жизненный цикл безопасности с источниками аварий

Для эффективной и безопасной эксплуатации технологий,

основанных на использовании программируемых систем, чрезвычайно

важно, чтобы лица, ответственные за принятие решений, имели в своем

распоряжении доказательства и средства по всем вопросам безопасности,

которые они могли бы использовать в своей работе на все жизненном

цикле СПАЗ. Жизненный цикл безопасности вклюает в себя (рис. 1.7):

1. Полное определение опасностей и рисков.

2. Анализ рисков.

3. Полное определение требований к системе.

4. Стратегия эксплуатации и обслуживания.

5. Реализация Системы Безопасности.

6. Средства снижения рисков.

7. Монтаж и пуско-наладка.

8. Процедуры внесения изменений.

Стандарт ГОСТ Р 61508 устанавливает общий подход к вопросам

обеспечения безопасности для всех стадий жизненного цикла систем, со-

стоящих из электрических и/или электронных, и/или программируемых

электронных (E/E/PES) элементов, которые используются для выполнения

21

функций обеспечения безопасности. Этот унифицированный подход был

принят для того, чтобы разработать рациональную и последовательную

техническую политику для всех электрических систем обеспечения без-

опасности.

22

РАЗДЕЛ 2.

НОРМАТИВНЫЕ ДОКУМЕНТЫ

ПРОЕКТИРОВАНИЯ СПАЗ

В настоящий момент термины «безопасность», «опасность» и «риск»

упоминаются в большом числе различных нормативных документов орга-

нов государственной власти Российской Федерации. По мнению экспер-

тов, эти документы составляют почти 15 % от всего количества норматив-

ных документов. Обширная ведомственная нормативная база в области

безопасности существует в компаниях, природоохранных министерствах

и ведомствах, в Госгортехнадзоре, МВД, ФЭК, МЧС и Минобороны Рос-

сии. При этом чаще всего в нормах используется слово «безопасность»,

что подтверждает актуальность проблемы аварийной защит. На террито-

рии Российской Федерации в качестве национальных стандартов приме-

няются международные стандарты и региональные стандарты других

стран (ГОСТ Р 50.1.035-2001 Рекомендации по стандартизации. Порядок

применения международных и региональных стандартов в Российской

Федерации).

Современная концепция безопасности состоит в том, что стандарты

безопасности рассматривают систему безопасности комплексно, в целом

в процессе реального жизненного цикла системы. Стандарты безопасно-

сти определяют классы требований, а также общие меры по достижению

этих требований в зависимости от предопределённой степени риска.

Если в российском документе используется аутентичный перевод без

каких-либо изменений и дополнений, то обозначение стандарта выглядит,

например, так: ГОСТ Р ИСО 13849-1-2003.

МЭК (IEC) и ИСО (ISO) – международные организации, членом кото-

рых является Российская Федерация. В области безопасности оборудова-

ния и средств защиты на территории РФ, вместе со стандартами РФ, при-

меняются стандарты этих организаций. Законодательная деятельность

ИСО и МЭК относится к сфере стандартов, деятельность ЕН – к сфере

стандартов и директив. По назначению и правовому статусу, директива ЕН

(ЕЭС) сравнима с Техническим регламентом, нормативно-правовым актом

Российской Федерации, устанавливающим обязательные для применения

и исполнения требования к объектам технического регулирования.

Развитие нормативной базы в последние годы шло преимущественно

по линии разработки новых федеральных законов и подзаконных норма-

тивных актов (норм, правил, стандартов). Наиболее характерен в этом

смысле 22-й класс стандартов Государственной системы стандартизации

23

РФ – «Безопасность в чрезвычайных ситуациях» (БЧС), включающий стан-

дарты группы ГОСТ Р 22. В последние годы также выполняется массовое

тиражирование для РФ международных стандартов, изданных за рубежом

и касающихся преимущественно техногенных опасных факторов.

Для управления безопасностью используются руководящие докумен-

ты. Например, в области промышленной и пожарной безопасности одни-

ми из первых таких отечественных нормативных документов по анализу

риска были РД 08-120-96 «Методические рекомендации по проведению

анализа риска опасных промышленных объектов» Госгортехнадзора РФ с

разработанными в их развитие методическими указаниями по проведению

анализа риска опасных производственных объектов (РД 03-418-01), мето-

дическими рекомендациями по оценке ущерба от аварий на опасных про-

изводственных объектах (РД 03-496-02), и ГОСТ Р 12.3.047-98 «ССБТ.

Пожарная безопасность технологических процессов. Общие требования.

Методы контроля».

В нефтегазовой отрасли РФ Федеральные нормы и правила в области

промышленной безопасности объединены в документе «Правила безопас-

ности в нефтяной и газовой промышленности». Серия 08. Выпуск 19.

Проектирование систем аварийной безопасности с использованием

ПАЗ осуществляется в соответствии с требованиями следующих из боль-

шого числа нормативных документов:

ГОСТ Р ИСО 17776-2012, нефтяная и газовая промышленность

морские добычные установки. Способы и методы идентификации опасно-

стей и оценки риска. Основные положения;

ГОСТ Р 56352-2015, нефтяная и газовая промышленность. Произ-

водство, хранение и перекачка сжиженного природного газа. Общие тре-

бования безопасности;

ПБ 09-540-03, общие правила взрывобезопасности для взрывопо-

жароопасных химических, нефтехимических и нефтеперерабатывающих

производств;

ПБ 03-246-98, правила проведения экспертизы промышленной без-

опасности;

ПБ 03-517-02, общие правила промышленной безопасности для ор-

ганизаций, осуществляющих деятельность в области промышленной без-

опасности опасных производственных объектов;

ПБ 09-563-03, правила промышленной безопасности для нефтепе-

рерабатывающих производств;

ПБ 08-624-03, правила безопасности нефтяной и газовой промыш-

ленности;

24

ПБ 03-585-03, правила устройства и безопасной эксплуатации тех-

нологических трубопроводов;

ПБ 03-576-03, правила устройства и безопасной эксплуатации со-

судов, работающих под давлением;

РД 03-616-03, методические рекомендации по осуществлению

идентификации опасных производственных объектов;

РД 03-418-01, методические указания по проведению анализа рис-

ка опасных производственных объектов;

РД 09-398-01, методические рекомендации по классификации ава-

рий и инцидентов на опасных производственных объектах химической,

нефтехимической и нефтеперерабатывающей промышленности;

РД 09-539-03, положение о порядке проведения экспертизы про-

мышленной безопасности в химической, нефтехимической и нефтепере-

рабатывающей промышленности;

РД 03-409-01, методика оценки последствий аварийных взрывов

топливно-воздушных смесей (с изменениями и дополнениями).

Для того чтобы быть в тренде современных лучших практик по про-

ектированию СПАЗ в настоящем пособии будет в основном использо-

ваться зарубежный глоссарий по безопасности. Основными понятиями

безопасности в зарубежных стандартах являются Safety Instrumented

System (SIS), Safety Instrumented Function (SIF), Safety Integrity Level (SIL).

Safety Instrumented System – это приборная система безопасности

(ПСБ). Приборные системы безопасности, применяемые в промышленных

процессах, предназначены для предотвращения или смягчения воздей-

ствия опасных событий путем приведения процессов в безопасное состо-

яние, когда нарушаются регламентированные условия работы. Приборная

система безопасности (SIS) включает в себя комплекс датчиков, ПЛК,

средства коммуникации и комплекс исполнительных устройств. Обычно,

эти системы противоаварийной защиты включают в себя одну или не-

сколько приборных функций безопасности (SIF).

Safety Instrumented Function – это приборная функция безопасности,

которая предназначена для предотвращения или смягчения воздействия

опасных событий путем приведения процессов к приемлемому уровню

риска. SIF представляет собой соединение: датчика (нескольких датчиков)

контроля опасности EUC, логического контроллера и исполнительного

механизма. Каждая из приборных функций безопасности обладает неко-

торыми системными последствиями с точки зрения обеспечения Уровня

полноты безопасности (SIL) и в зависимости от объема снижаемого риска.

Функциональная безопасность – это безопасность, которая связана

с непреднамеренно вызванными отказами в выполнении отдельных функ-

25

ций СПАЗ. Причинами отказов могут быть дефекты программ, данных,

аппаратуры, влияние внешней среды и непреднамеренно неправильные

действия обслуживающего персонала. Функциональная безопасность до-

стигается при успешной реализации функций безопасности (SIF) и при

снижении уровня риска до допустимого.

Safety Integrity Level – это уровень полноты безопасности, который

рассматривает опасные ситуации отказов, приводящих к авариям, ката-

строфам и человеческим жертвам. Уровни SIL определяют величину до-

пустимого риска для системы. Они являются мерой вероятности того, что

система будет правильно выполнять функции, влияющие на безопасность.

Независимые элементы традиционных систем имеют стандартные

функции инициализации, перерасчета (back-calculation) и плавного пере-

вода EUC в выключенное состояние. При реализации SIS – защиты инже-

нер должен разработать и отладить все эти функции.

Однажды установленный допустимый риск и оцененное необходи-

мое сокращение риска позволяют распределить требования к полноте без-

опасности систем, связанных с безопасностью (IEC 61508-4).

Полнота безопасности определяется как вероятность того, что систе-

ма, связанная с безопасностью, будет удовлетворительно выполнять тре-

буемые функции безопасности при всех установленных условиях в тече-

ние установленного периода времени.

Международными и российскими стандартами устанавливаются тре-

бования подтверждения надёжности, безопасности продукции, как произ-

водителем современной высокотехнологичной продукции, так и при про-

ектировании СПАЗ в составе АСУ ТП. Эти требования изложены в очень

большом списке нормативных документов. Созданные в разные годы

стандарты плохо согласуются между собой. Поэтому при проектировании

СПАЗ с ее последующим внедрением необходимо обозначать и согласо-

вывать с Ростехнадзором перечень согласованных между собой стандар-

тов, которые должны лежать в основе построения СПАЗ.

Различают 2 стратегии разработки СПАЗ: МЭК 62061 и МЭК 61508.

Стратегия МЭК 62061 направлена на использование в технологиче-

ском процессе оборудования, соответствующего требованиям гармонизи-

рованных стандартов лучших мировых практик, в частности европейских,

устанавливающих требования уменьшения риска травмирования или при-

чинения вреда здоровью людей, находящихся в непосредственной близо-

сти от машины и использующих ее.

Стратегия МЭК 61508 – это комплекс стандартов ФБ ПСБ «Функ-

циональная безопасность систем электрических, электронных, програм-

мируемых электронных, связанных с безопасностью» (системы Е/Е/РЕS).

Нормативные документы этой стратегии делятся на две группы (рис.2.1 )

26

и являются руководством по установлению требований, разработке, мон-

тажу, эксплуатации и техническому обслуживанию функций безопасно-

сти приборных систем безопасности.

Рис. 2.1. Стандарты функциональной безопасности

Целями стратегий проектирования СПАЗ по ГОСТ Р МЭК 62061 яв-

ляется обеспечение функциональной безопасности электрических систем

управления отдельными машинами, СББЭСУ, а ГОСТ Р МЭК 61508 про-

ектирование приборных функций безопасности, ФБ ПСБ (ГОСТ Р EH

414-2002 «Безопасность оборудования. Правила разработки и оформления

стандартов по безопасности».

Комплекс стандартов по безопасности машин включает в себя не-

сколько десятков и устанавливают требования по безопасности для раз-

личного класса оборудования. Комплекс стандартов по безопасности обо-

рудования подразделяется на три основных типа (A, B, C), установленных

стандартом ГОСТ Р EH 414-2002 «Безопасность оборудования» (рис. 2.2).

27

ГОСТ Р ЕН 13617-3-2012 Станции

топливозаправочные. Часть 3.

Требования безопасности к

конструкции и работе отсечных

клапанов

ГОСТ Р ен 13617-1— 2012.

Станции топливозаправочные.

Часть 1. Требования безопасности

к конструкции и работе

дозировочных насосов,

топливораздаточных устройств и

дистанционных насосных агрегатов

ГОСТ Р ЕН 13463-2-2009

Оборудование неэлектрическое,

предназначенное для применения в

потенциально взрывоопасных

средах.

EN 13849 ГОСТ P ISO 13849-1-2014

Безопасность оборудования. Элементы систем

управления, связанные с безопасностью.

ГОСТ ЕН 1037-2002 Безопасность машин.

Предотвращение неожиданного пуска

ГОСТ ЕН 1088-2002 Безопасность машин.

Блокировочные устройства, связанные с

защитными устройствами. Принципы

конструирования и выбора

ГОСТ Р ИСО 12100-2:2003

Безопасность машин. Основные

понятия, общие принципы

конструирования.Тип А

Тип В

Тип С

Рис. 2.2. Европейские стандарты по безопасности оборудования

Стандарты типа А (основополагающие стандарты по безопасности):

Стандарты, содержащие основные концепции, принципы конструирова-

ния и общие аспекты, которые могут быть применены к оборудованию

всех видов (ГОСТ Р ИСО 12100, ГОСТ ИСО 13849-1-2003).

Стандарты типа В (стандарты групповых вопросов безопасности):

Стандарты, которые относятся к одному аспекту безопасности или к од-

ному типу защитного устройства, которые могут быть применены к обо-

рудованию широкого диапазона:

Стандарты типа В1 распространяются на определенные аспекты без-

опасности, ГОСТ Р 51838);

Стандарты типа В2 распространяются на устройства, обеспечиваю-

щие безопасность, ГОСТ Р МЭК 62061-2015, ГОСТ Р МЭК 61508).

Стандарты типа С (стандарты по безопасности машин): Стандарты,

содержащие детальные требования по безопасности отдельных видов ма-

28

шин или группы однородных машин, например, ГОСТ Р ЕН 12717-2006.

Если положения стандарта типа C отличаются от положений, установлен-

ных в стандартах типа A или типа B, то положения стандарта типа C име-

ют преимущество над положениями других стандартов для машин, кото-

рые были спроектированы и построены в соответствии с положениями

стандарта типа C. (ГОСТ ISO 13849-1-2014 Безопасность оборудования.

Элементы систем управления, связанные с безопасностью. Часть 1. Об-

щие принципы конструирования)..

Стандарты этой серии устанавливают требования к спецификации,

проектированию, монтажу, эксплуатации и техническому обслуживанию

приборных систем безопасности для обеспечения поддержания и/или об-

служивания конкретного процесса в безопасном состоянии:

ГОСТ Р 50031-2012 «Автоматические выключатели для электрообо-

рудования (АВО)»

ИСО 14118-2000 Безопасность оборудования. Предотвращение

неожиданного пуска.

ИСО 13850-96 Безопасность оборудования. Аварийный останов.

Принципы конструирования.

ГОСТ Р МЭК 60204-1-99 Безопасность машин. Электрооборудование

машин и механизмов. Часть 1 Общие требования.

ГОСТ Р 50462-2009 (МЭК 60446:2007) Базовые принципы и принци-

пы безопасности для интерфейса «человек-машина», выполнение и иден-

тификация.

ГОСТ Р МЭК 60204-1-2007. Безопасность машин. Электрооборудо-

вание машин и механизмов. Часть 1. Общие требования

К этим стандартам, а также гармонизированным РФ, отводится, со-

гласно директивам ЕС, особая роль: тот, кто их применил, может рассчи-

тывать на так называемую презумпцию соответствия, которая важна при

свободном обращении безопасной продукции. Она обеспечивает значи-

тельное преимущество при судебных или иных спорах, так как в сомни-

тельном случае сами органы надзора должны будут доказывать произво-

дителю, что требования относящейся к изделию директивы не выполнены

(а не наоборот).

Выбор необходимой категории безопасности (B, 1, 2) делается на ос-

новании оценки риска, по соотношению следующих параметров:

• S (S1, S2) – тяжесть повреждения(травмы);

• F (F1, F2) – частота и (или) продолжительность подверженности

опасности;

• P (P1, P2) – возможность избежать опасности.

29

Тип безопасности отражает степень самоконтроля и принципы без-

опасности в устройстве. Тип должен быть выбран, исходя из категории

опасности, характеризующей оборудование.

В табл. 1 показано соотношение между уровнями полноты безопас-

ности (SIL), уровнями эффективности защиты (PL), вероятностью опасно-

го сбоя (PFHd).

Таблица 1

Соотношение критериев безопасности

ISO EN 13849-

1:2008

IEC 62061 IEC 61805

ГОСТ

Р МЭК 61805

IEC 62061

PL Уровень эф-

фективности за-

щиты

PFHd Вероятность

опасного сбоя

в течении часа

SIL Уровень полно-

ты безопасности

SIL Уровень пол-

ноты безопасно-

сти, заявленный

уровень

a 10–5

– 10–4

– –

b 3 × 10–6

– 10–5

1 1

c 10–6

– 3×10–6

2 2

d 10–7

– 10–6

3 3

e 10–7

– 10–8

и более 4 4

В стандарте ГОСТ Р МЭК 61511-1 приводится следующее определение:

«Функциональная безопасность является частью общей безопасно-

сти, касающейся системы обеспечения безопасности процесса и основной

системы управления непрерывным процессом (АСУ ТП, BPCS), завися-

щей от корректной работы SIS и прочих уровней защиты». Иными слова-

ми, функциональная безопасность – это снижение уровня риска путем

внедрения функций обеспечения безопасного управления процессом.

Для окончательной оценки безопасности вводятся понятие уровня

полноты безопасности (safety integrity level или SIL). SIL принимает одно

из четырех значений в зависимости от вероятности отказа функции:

• 4 – это самый высокий уровень безопасности, предусматривающий

защиту от серьезной аварии при отказе;

• 3 – это уровень, обеспечивающий защиту персонала и населения

в случае отказа; именно этот уровень является рекомендованным для

опасных производственных объектов;

30

• 2 – уровень, позволяющий не допустить травматизм, порчу обору-

дования и продукции;

• 1 – самый низкий уровень безопасности, в случае отказа обеспечи-

вается защита только оборудования и продукции.

В системах безопасности (МЭК 61508/61511) для уменьшения ущер-

ба и снижения риска используются следующие методы:

• изменение технологического проекта (как на стадии проекта, так

и в процессе эксплуатации);

• усовершенствование базовой системы управления процессом

(SCADA/АСДУ);

• разработка дополнительных или более подробных процедур тре-

нинга по эксплуатации и техобслуживанию;

• применение систем инструментальной безопасности (SIS/ПАЗ);

• использование специального оборудования для снижения негатив-

ных последствий; например, щитков на фланцах, взрывозащитных стен,

пены, резервуаров с водой и систем для сброса давления;

• МЧС вмешательство при развитии неблагоприятных последствий

аварий.

Рис. 2.3. Взаимосвязь стандартов безопасности ГОСТ Р МЭК 61508 и ГОСТ Р

МЭК 62061

31

Безопасность собственно электронного, электрического и програм-

мируемого оборудования (Е/Е/РЕS) регламентируется стандартами, при-

веденными на рис. 2.3.

Стандарты функциональной безопасности стратегии (МЭК 61508):

ГОСТ Р МЭК 61508-1-2007 «Функциональная безопасность систем

электрических, электронных, программируемых электронных, связанных

с безопасностью. Часть 1. Общие требования».



с безопасностью. Часть 2. Требования к системам».



с безопасностью. Часть 3. Требования к программному обеспечению».



с безопасностью. Часть 4. Термины и определения».



с безопасностью. Часть 5. Рекомендации по применению методов опреде-

ления уровней полноты безопасности».



с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК

61508-2-2007 и ГОСТ Р МЭК 61508-3-2007».



с безопасностью. Часть 7. Методы и средства».

ГОСТ Р МЭК 61511-1-2011 Безопасность функциональная. Системы

безопасности приборные для промышленных процессов. Часть 1. Терми-

ны, определения и технические требования


безопасности приборные для промышленных процессов. Часть 2. Руко-

водство по применению МЭК 61511-1.


безопасности приборные для промышленных процессов. Часть 3. Руко-

водство по определению требуемых уровней полноты безопасности.

Основной принцип, лежащий в основе стандарта IEC 61508, – это до-

пущение существования процесса, создающего угрозу безопасности или

окружающей среде, который может себя проявить в случае неблагоприят-

ного стечения обстоятельств. Следовательно, стандарт ориентирован на

32

нарушения в процессах и отказы системы (в отличие от угрозы здоровью

и безопасности человека) и позволяет осуществлять системное и основан-

ное на рисках управление безопасностью процессов.

Стандарты функциональной безопасности предполагают существо-

вание функций безопасности, снижающих уровень риска. Функции без-

опасности в совокупности образуют инструментальную систему безопас-

ности (SIS), устройство и принцип работы которой должны быть основа-

ны на оценке и понимании возможных рисков (рис. 2.4).

Рис. 2.4. Взаимосвязь стандартов функциональной

безопасности технологических процессов, машин и механизмов

Стандарт Международной Электротехнической Комиссии IEC

61508/61511 декларирует безопасность как «свободу от неприемлемого

риска». Иными словами, абсолютной безопасности достичь невозможно –

возможно только снизить риск до приемлемого уровня.

33

Второстепенной целью стандарта IEC 61508 является создание усло-

вий для разработки электрических, электронных и программируемых

электронных систем обеспечения безопасности для отраслей, в которых

соответствующие стандарты отсутствуют.

Руководство по проектированию ПАЗ в непрерывных производствах

рассматриваются в международном стандарте IEC 61511.

Спецификация требований безопасности для автоматизированной си-

стемы обеспечения безопасности (SIS) включает:

• спецификацию безопасного состояния;

• обязательность контрольной проверки;

• время отклика;

• необходимые операторские интерфейсы;

• интерфейсы к другим системам;

• режимы работы;

• реакцию при обнаружении неисправности;

• требования к ручному выключению;

• требования к прикладным программам;

• SIL и целевые меры обеспечения надежности;

• рабочий цикл и срок службы;

• наиболее вероятные климатические условия эксплуатации;

• ограничения по электромагнитному излучению;

• ограничения, связанные с CCF.

Полный перечень требований см. в разделе ГОСТ Р МЭК 61511-1-

2011, п. 10.3.

Онтология функциональной безопасности показана на рис. 2.5.

Полнота безопасности

Систематический отказ

Случайный отказ

Управление функциональной безопасностью

Жизненный цикл безопасности

Предотвращение аппаратного

отказа

Предотвращение программного

отказа

ОцениваниеФункциональной

безопасности

Предотвращение случайного

сбоя

Рис. 2.5. Онтология функциональной безопасности

34

Чтобы получить разрешения Ростехнадзора на безопасную эксплуа-

тацию опасных объектов НГО необходимо опираться на правила:

• для нефтепереработки и химии: «Правила Промышленной без-

опасности для нефтеперерабатывающих производств» ПБ 09-563-03;

«Общие правила взрывобезопасности для взрывопожароопасных химиче-

ских, нефтехимических и нефтеперерабатывающих производств» ПБ 09-

540-03;

• для природного газа: «Правила безопасности систем газораспреде-

ления и газопотребления» ПБ 12-529-03;

• для нефтегазодобычи: «Правила безопасности в нефтяной и газо-

вой промышленности» ПБ 08-624-03.

Специалисты, разработчики корпоративных документов в нефтегазо-

вой отрасли внесли в требования по выбору оборудования обязательное

соответствие средств автоматизации противоаварийных защит и блокиро-

вок требованиям европейского стандарта EN 61508(SIL). Противоаварий-

ные средства защиты должны быть сертифицированы независимой экс-

пертизой. Одной из наиболее известных компаний по сертификации явля-

ется TUV Anlagentechnik GmbH. TUV – независимое агентство в мире, сер-

тифицирующее инструментальные системы безопасности Safety

Instrumented Systems (SIS).

При сертификации безопасности Компания TUV выполняет класси-

фицирование производственных объектов по уровням потенциальной

опасности, согласно DIN V 19250 «Фундаментальные аспекты безопасно-

сти, рассматриваемые для связанного с безопасностью оборудования из-

мерения и управления».

Этот стандарт устанавливает концепцию систем безопасности, разра-

ботанных таким образом, чтобы соответствовать требованиям установ-

ленных классов (Requirements Class – RC), начиная с Класса RC1 (АК1)

и до Класса RC8 (АК8). Выбор класса зависит от уровня риска конкретно-

го процесса. Стандарт предписывает учитывать опасные факторы, свой-

ственные технологическим процессам, и определять уровень допуска тре-

буемой системы, связанной с безопасностью.

Сертификация TUV Anlagentechnik GmbH базируется на соответствии

с требованиями стандарта IEC 61508, Функциональная Безопасность

Электронных / Электрических / Программируемых Электронных систем

безопасности.

35

Рис. 2.6. Соотношения меду стандартами серии IEC 61511 и TUV DIN

TUV уполномочен и авторизован законом как технический инспектор

для разнообразных технических систем, включая инжиниринг безопасно-

сти для промышленных предприятий, процессов и продуктов во время

производства и применения. Если продукт протестирован и соответствует

строгим техническим требованиям, то он утверждается и сертифицирует-

ся по восьми классам (AK) 1–8. Эта сертификация требуется в большин-

стве европейских государств и все чаще запрашивается в других странах

мира и США. Производитель оборудования предоставляет сертификат

с детальным отчетом о инспекции и тестировании.

36

РАЗДЕЛ 3.

HAZID / HAZOP АНАЛИЗ ОПАСНОСТЕЙ

КОНТРОЛИРУЕМОГО АСДУ ОБОРУДОВАНИЯ

Анализ опасностей предназначен:

• для определения основных положений для разработки и докумен-

тального оформления решений по системе автоматического останова обо-

рудования в отношении процессов, в частности, НГО;

• для выявления инцидентов, которые могут повлечь возникновение

угроз безопасности;

• для выделения характерных причин возникновения аварий на EUC

или его составных частях;

• для определения концептуальных мер защиты для предотвращения

таких событий или минимизации их воздействия, если они возникнут;

• для проведения проверки по утвержденной аналитической методи-

ке и подтверждения, что цели в области обеспечения безопасности вы-

полнены, и предусмотренные меры по защите элементов технологическо-

го процесса образуют интегрированную систему, охватывающую всю ав-

томатизацию технологического процесса.

В предисловии к приложению 1 директивы ЕС «О машинах» указано:

производитель (разработчик АСУ ТП) обязан выполнить анализ опасно-

стей, для того чтобы выяснить, какие виды опасностей связаны с контро-

лируемым объектом. По результатам этого анализа он должен проектиро-

вать и производить систему аварийной защиты АСДУ и систему противо-

аварийной защиты СПАЗ.

Анализ процесса управления (технологической установки) с точки

зрения его безопасности и приведения в соответствие должен начинаться

с уточнения, под какую директиву (как правило, директивы) он подпада-

ет, а также какие стандарты безопасности поддерживают данную дирек-

тиву (директивы). В общем случае разработчик ПАЗ должен учесть мак-

симальное количество стандартов (желательно все, в том числе не только

европейские, но и национальные), для того чтобы выявить основополага-

ющие требования по производственной безопасности и охране здоровья,

могущие иметь отношение к данной продукции.

Следует отметить, что при кажущейся простоте эта стадия требует

наличия определённого опыта и наиболее эффективно может быть выпол-

нена при наличии соответствующего компьютерного обеспечения. Чтобы

понять объём работы по составлению списка относящихся к изделию тре-

бований, можно привести такой пример: среди имеющих отношение к ди-

37

рективе «О машинах» только гармонизированных EN стандартов насчи-

тывается порядка 250, и сюда же можно добавить ещё около 50 стандар-

тов EN, ISO, содержащих требования по безопасности машин. В такой же

мере требования по обеспечению безопасности устанавливаются стандар-

тами РФ. Содержание всех этих стандартов необходимо изучить с целью

проведения мероприятий по предотвращению потенциальных угрожаю-

щих ситуаций (очагов возникновения опасностей).

Рекомендуют следующие шаги к подтверждению соответствия:

1. Определиться с установленным применением технологической

установки.

2. Идентифицировать потенциальные угрожающие ситуации, могу-

щие сопутствовать использованию продукции на протяжении всего её

жизненного цикла.

3. Обсчитать сопутствующие угрожающим ситуациям риски. Пред-

ложить и реализовать мероприятия, обеспечивающие исключение потен-

циальных очагов опасностей, а при невозможности полностью исключить

риски указать пути их минимизации до приемлемого уровня.

4. Разработать с учётом предыдущих шагов инструкцию по примене-

нию технологической установки на протяжении всего её жизненного цикла.

5. Подготовить комплект технической документации, содержащей

доказательную базу приведения противоаварийной защиты в соответствие

для компетентных органов надзора.

Для того чтобы выявить опасности, возможные отклонения процесса

и их причины исходные события и потенциально опасные инциденты

в используемом технологическом оборудовании, следует выполнить ана-

лиз опасностей процесса. Для этого используются следубщие методы:

анализ безопасности;

контрольные листы;

анализ гипотез («что произойдет, если»);

методы HAZID / HAZOP;

предварительный анализ эксплуатационной безопасности (PHA);

анализ видов и апоследствий отказов (FMEA);

анализ характера, последствий и критичности отказов (FMECA);

анализ деоева ошибок (FTA).

HAZID (HAZARD IDENTIFICATION STUDY) – выявление и описание

опасностей и рисков выполняется на стадии разработки проектных реше-

ний по объекту в целом (выбор площадки, конструктивные решения, раз-

мещение и подбор оборудования).

HAZOP (сокращение английских слов «HAZard» и «OPerability») –

идентификация технологических опасностей и проблем работоспособно-

38

сти для отдельных технологических систем (участков, узлов) объекта вы-

полняется после завершения проекта.

Эти методологии изложены в стандартах:

ЕР 95-0312. HAZID. HSE Manual. Shell International Exploration &

Production B.V.

ЕР 95-0313. HAZOP. HSE Manual. Shell International Exploration &

Production B.V.

РД 03-418-01, ГОСТ Р 51901.1-02, ГОСТ Р 51901.11-2005, ГОСТ Р

51344-99.

В ходе анализа необходимо:

• выявить инциденты, которые могут повлиять на элемент;

• определить решения и технические средства по безопасности, не-

обходимые для выявления, предотвращения или смягчения последствий

таких событий;

• установить основные требования к разработке и документирова-

нию положений системы безопасности технологического процесса.

Исследования HAZID – это инструмент распознавания рисков, кото-

рый используется на ранних стадиях проекта, сразу после создания чер-

тежей, расчета материального баланса и подготовки схемы контролируе-

мого процесса.

Метод HAZID является качественным методом анализа опасностей

технологических процессов, цель которого состоит в идентификации ос-

новных опасностей, опасных факторов и событий, способных нарушить

эксплуатацию или нанести вред данному виду деятельности или всей EUC

в целом. Это инструмент эскизного проектирования, направленный по-

мочь в организации аспектов безопасности труда и экологии, которые

можно улучшить в рамках проекта. Применяют техники систематизиро-

ванного мозгового штурма, которые обычно затрагивает технические

дисциплины разработчика и персонала клиента, руководство проектом,

ввод в эксплуатацию и саму эксплуатацию.

39

Рис. 3.1. Блок-схема процедуры HAZID

В соответствии с методологией HAZID рассматривается контрольный

перечень опасностей (16 категорий опасностей), сгруппированных в 4

раздела (вида опасностей):

Раздел 1. Внешние и экологические риски- опасности стихийных бед-

ствий и вредных факторов окружающей среды:

1. Антропогенные риски.

2. Воздействие технологического объекта на окружающую.

3. Местность.

4. Инфраструктура.

5. Ущерб окружающей среде.

Раздел 2. Опасности на объекте:

1. Методы/принципы контроля.

2. Пожаро- и взрывоопасность.

3. Опасные технологические факторы.

4. Вспомогательные системы.

5. Опасные факторы технического обслуживания.

6. Строительство/существующие объекты.

Раздел 3. Опасности для здоровья:

1. Опасности для здоровья (заболевания, эпидемии и т.д.).

Раздел 4. Вопросы реализации проекта:

1. Стратегия заключения контрактов.

2. Идентификация опасных факторов и порядок их контроля.

3. Планирование работ в аварийной ситуации.

40

В процессе HAZID процедуры для привлечения внимания к возмож-

ным причинам и последствиям используются управляющие слова. Управ-

ляющие слова делятся на две подгруппы:

• главные управляющие слова, которые обращают внимание на кон-

кретные аспекты проектного замысла или связанные с ним условия процес-

са, параметры, например, расход, температуру, давление, уровень и пр.;

• второстепенные управляющие слова, сочетаясь с главными, опи-

сывают возможные отклонения, такие как рост температуры, снижение

уровня, отсутствие давления, обратный поток и пр.

Успех методики зависит от эффективного применения управляющих

слов, поэтому их смысл должен быть понятен всем членам рабочей группы.

Следует отметить, что управляющие слова используются просто для

стимулирования воображения при формулировании вариантов. Не все

управляющие слова имеют смысл, и не все опасности вероятны. В таких

случаях рекомендуется при выявлении бессмысленных и невероятных со-

бытий фиксировать и продолжать работу, не теряя времени.

С помощью указанных управляющих слов для всех частей техноло-

гической системы НГО рассматриваются отклонения следующих техно-

логических параметров (процессов):

• «поток», «давление», «температура», «техническое обслуживание»,

«состав», «уровень», в том числе на стадии ввода объекта в эксплуатацию.

Основные управляющие слова и их значения

НЕ ИЛИ НЕТ Полное отрицание целей проекта

БОЛЬШЕ Увеличение количества

МЕНЬШЕ Уменьшение количества

ТАК ЖЕ, КАК Качественное изменение/увеличение

ЧАСТЬ Качественное изменение/уменьшение

ЗАМЕНА Логическая противоположность целям проекта

ДРУГОЙ, ЧЕМ Полная замена

Дополнительные управляющие слова

РАНО Относится ко времени

ПОЗДНО Относится ко времени

ПРЕЖДЕ Относится к порядку или последовательности

ПОСЛЕ Относится к порядку или последовательности

Рекомендуется регистрировать все события и все рассматриваемые со-

четания управляющих слов. По возможности следует делать пометки: «Нет

вероятной причины», «Без последствий», «Без опасности». Это считается

«полной регистрацией», которая перерастает в отчет о результатах анализа

HAZID, который подтверждает полноту проведенного исследования. Этот

41

отчет содержит бесценные материалы, необходимые для оценки безопасно-

сти и пригодности к эксплуатации при последующих изменениях.

Кроме описанных выше второстепенных управляющих слов, также

используются слова «ВСЕ» и «НАПОМИНАНИЕ». Например, некоторые

сочетания основных управляющих слов могут быть определены как име-

ющие вероятные причины: «расход / нет», «поток / обратный». Другие со-

четания («расход / меньше», «расход / больше», «расход / другой»), где

нельзя определить вероятные причины, возможно использование сочета-

ния «расход / остаток».

Списки управляющих слов для конкретных отраслей и видов бизнеса

можно найти в Интернете. С помощью указанных управляющих слов для

всех частей технологической системы НГО рассматриваются отклонения

следующих технологических параметров (процессов): «поток», «давле-

ние», «температура», «техническое обслуживание», «состав», «уровень»,

в том числе на стадии ввода объекта в эксплуатацию.

Каждая из перечисленных категорий включает в себя ряд опасных

факторов или явлений, последствия реализации которых могут представ-

лять угрозу техническим объектам (технологическим процессам), персо-

налу, третьим лицам, окружающей природной среде.

Последующий анализ позволяет качественно оценить уровень риска

возможных угроз (включая финансовые потери) и профилактические ме-

ры (планируемые или проектные технические решения).

Уровень риска (приоритет дальнейшего рассмотрения) устанавливал-

ся с учетом матрицы «вероятность – тяжесть последствий» по принятой

упрощенной шкале:

• 1 – высокий (неприемлемый);

• 2 – средний;

• 3 – низкий риск.

Результаты исследования методом HAZID документируются в специ-

альной таблице – «Рабочая ведомость HAZID».

Рабочая ведомость HAZID

Название проекта:

Название этапа:

Газотранспортный терминал:

Начальный этап проектирования

Чертежи: Экспертиза проекта:

42

Опасный

фактор

Опасности

и их послед-

ствия

Угрозы (на

что воздей-

ствуют)

Профилакти-

ческие меро-

приятия

Прио-

ритет

(риск)

Примеча-

ние

Внешние и экологические риски

Высокие и

низкие

температу-

ры

Отказ обо-

рудования,

разгермети-

зация тру-

бопроводов,

оборудова-

ния,

выброс газа,

экономиче-

ские потери

Пожар,

потеря рабо-

чих характе-

ристик, от-

каз электро-

ники, КИ-

ПиА

Выбор КИПиА

выбор матери-

алов,

проработка

стратегии тех-

нического об-

служивания,

использование

пожарных из-

вещателей

2 Уточнить

вопрос теп-

лоизоляции

КИПиА.

Уточнить

возможность

дистанцион-

ного кон-

троля

Технологические риски

Парафини-

зация

плунжер-

ных отсеч-

ных кла-

панов ава-

рийных

Отказ от-

сечных ис-

полнитель-

ных

устройств

СПАЗ

Безопас-

ность тру-

бопровод-

ной части

арматуры

Выбор испол-

нительных

устройств

СПАЗ

1 Уточнить

вопрос о пе-

риоде тех-

ниеского

обслужива-

ния

Уточнить

возмож-

ность само-

тестирова-

ния испол-

нительных

устройств

Воздействие на окружающую местность

……… …….

HAZOP является качественным методом, основанным на использова-

нии управляющих слов, которые помогают понять, почему цели проекти-

рования или условия функционирования не могут быть достигнуты на за-

вершающем этапе проекта, процесса, процедуры или системы. Исследо-

вание HAZOP обычно выполняет междисциплинарная группа в течение

нескольких заседаний. От группы исследования HAZOP обычно ожидают

по возможности конкретных решений по обработке риска.

Процедура HAZОР основана на систематизированном применении

комбинации технологических параметров («давление», «температура»

и пр.) и управляющих слов 1 (НЕТ, БОЛЬШЕ, МЕНЬШЕ и др.) для зада-

ния и усиления «мозгового штурма» при анализе опасностей отклонений

параметров и процессов от проектного режима

Аббревиатура HAZOP означает исследование опасности и работоспо-

собности. Исследование HAZOP представляет собой структурированный

43

и систематизированный анализ спроектированных или запланированных

способностей по противодействию опасностям процесса, процедуры или

системы.

Исследование HAZOP направлено на идентификацию видов отказов

процесса, системы или процедуры, их причин и последствий. Отличие ис-

следования HAZOP от HAZID заключается в том, что при применении ис-

следования HAZOP рассматривают нежелательные результаты и отклоне-

ния от намеченных результатов и условий для поиска возможных причин,

и видов отказа, тогда как в методе HAZID анализ начинают с идентифика-

ции видов отказа.

ГОСТ Р 51901-2002. Управление надежностью. Анализ риска техно-

логических систем (HAZOP), ГОСТ Р 51901.11-2005), устанавливает ре-

комендации по исследованию опасности и работоспособности технологи-

ческого оборудования (HAZOP). Это структурированный и систематиче-

ский анализ планируемого или существующего процесса, или операции,

с целью выявления и оценки проблем, которые могут представлять собой

риск для персонала или оборудования (рис. 3.2, 3.3).

ВходРешаемая

задачаСредства Результаты

Концептуальная

постановка задачи

SIF-определения

HAZOP ГОСТ Р 51901.11-2005 (МЭК

61882:2001)

ПО анализа рисков РНА отчет

SIL-выбор

SIF-

перечень

Средства

проектирования

SIS

Информация о


процесса

P@ID

схемы

HAZOP-процесс

анализа

Рис. 3.2. Блок схема HAZOP-исследований

Входные данные HAZOP-исследований могут включать в себя: чер-

тежи, перечень требований, технологические карты, схемы управления

процессом и соответствующих логических связей схемы размещения обо-

рудования, процедуры функционирования и технического обслуживания,

планы действий в аварийных ситуациях. Если HAZOP не связан с про-

граммным обеспечением, то входными данными могут быть любые доку-

44

менты, описывающие функции и элементы исследуемых систем или про-

цедур. Например, входными данными могут быть: диаграмма организаци-

онной структуры и описание ответственности и обязанностей персонала,

проект договора или процедуры.

В процессе исследования HAZOP рассматривают проект и требова-

ния к исследуемым процессу, процедуре или системе, подразделяют их на

части и проводят анализ каждой из этих частей, чтобы обнаружить, какие

отклонения от намеченного исполнения могут произойти, что может быть

причиной возможных отклонений и какова вероятность их последствий.

Этих целей достигают путем систематического исследования того, как

каждая часть системы, процесса или процедуры реагирует на изменения

основных параметров при использовании подходящего управляющего

слова. Управляющие слова могут быть подобраны для конкретной систе-

мы, процесса или процедуры, или могут быть использованы общие управ-

ляющие слова, охватывающие все типы отклонений.

Заключительный отчет исследований HAZOP должен содержать сле-

дующее:

резюме;

заключения;

ситуации и цели;

выводы исследования;

рабочие таблицы HAZOP;

перечень рисунков и документации, используемой в исследовании;

ссылки на предыдущие исследования, базы данных и т.д., которые

использовались в ходе исследования.

Основными входными данными исследования HAZOP являются: те-

кущая информация об исследуемых системе, процессе или процедуре,

а также цели и функциональные требования к проекту.

Записи HAZOP должны включать в себя: используемое управляющее

слово, отклонение(я), его (их) возможные причины, предложенные дей-

ствия по идентифицированным проблемам и ответственного за эти дей-

ствия. Для любого отклонения, которое нельзя исправить, необходимо

оценить его риск.

HAZOP имеет следующие преимущества:

• метод обеспечивает систематическое и полное исследование си-

стемы, процесса или процедуры;

• к работе привлекаются эксперты по смежным направлениям дея-

тельности, включая специалистов, имеющих практический производ-

ственный опыт работы, которым, вероятно, придется внедрять рекомен-

дации по обработке риска;

45

• метод помогает в выборе решения и способов обработки риска;

• метод применим к широкому диапазону систем, процессов и про-

цедур;

• метод позволяет точно рассмотреть причины и последствия оши-

бок исполнителей;

• в рамках процесса HAZOP проходит регистрация всех записей, что

позволяет обеспечить объективные свидетельства для дальнейшего анализа.

Недостатки исследования HAZOP:

• детальный анализ может быть длительным по времени и поэтому

быть дорогостоящим;

• детальный анализ требует наличия подробной документации

и требований к системам, процессам или процедурам;

• HAZOP – метод идентификации опасностей, который рассматрива-

ет части системы индивидуально и исследует влияние отклонений каждой

части. Иногда серьезная опасность связана со взаимодействием несколь-

ких частей системы. В этом случае опасность должна исследоваться более

подробно с применением таких методов, как дерево событий и анализ де-

рева неисправностей;

• метод не дает гарантии, что все опасности или проблемы работо-

способности будут идентифицированы в процессе исследования HAZOP.

Поэтому исследование сложной системы должно проводиться совместно

с другими подходящими методами. Важно, чтобы все соответствующие

исследования были скоординированы для обеспечения эффективного ме-

неджмента безопасности системы;

• многие системы имеют глубокие внутренние связи, отклонение

в одной из них может стать причиной отклонения в другой. Локальное

уменьшение последствий должно воздействовать на реальную причину от-

клонений и по-прежнему приводить к авариям или несчастному случаю.

Много несчастных случаев и аварий происходит потому, что небольшие

локальные модификации части системы имеют непредвиденные воздей-

ствия в другом месте системы. Эту проблему устраняют путем распростра-

нения последствий отклонений в одной части на другие части системы;

• успех исследований HAZOP зависит от способностей и опыта ли-

дера исследований, а также от опыта и слаженности действий членов

группы;

• HAZOP рассматривает только те части системы, которые указаны

в описании проекта. Действия и операции, которые не указаны в описании

проекта, не рассматриваются.

В процессе HAZOP время обсуждения по каждому пункту исследова-

ния должно быть зарегистрировано.

46

Записи должны включать в себя: используемое управляющее слово,

отклонение(я), его (их) возможные причины, предложенные действия по

идентифицированным проблемам и ответственного за эти действия.

Для любого отклонения, которое нельзя исправить, необходимо оце-

нить его риск.

Существует два основных вида регистрации HAZOP: полный и ча-

стичный. Вид регистрации и регистратор должны быть определены до

начала заседания.

Полная регистрация заключается в записи всех результатов примене-

ния каждого управляющего слова (комбинации элемент/характеристика)

к каждой части или элементу в описании проекта. Этот способ регистра-

ции используют в случае, если необходимо, чтобы исследование было

полным и удовлетворяло наиболее строгим требованиям аудита.

Частичная регистрация заключается в записи только идентифициро-

ванных опасностей, проблем работоспособности и последующих дей-

ствий. Частичная регистрация позволяет формировать более управляемую

документацию. Однако, частичная регистрация может привести к повто-

рению исследований в будущем. Поэтому частичная регистрация является

минимальным требованием и должна использоваться с осторожностью.

47

Определение:

определение области применения и целей

определение ответственности

выделение группы

Подготовка:планирование исследованийсбор данныхвыбор способа регистрацииоценка временисоставление графика

Экспертиза:разделение системы на частивыбор части и определение цели проектаидентификация отклонений путем использования управляющих слов

для каждого элементаидентификация последствий и причинидентификация обозначения проблемыидентификация механизмов защиты, обнаружения и индикацииидентификация возможных корректирующих и смягчающих

мероприятий (необязательно)согласование действийповторение для каждого элемента, а затем для каждой части системы

Документация и продолжение:ведение записей по экспертизеоформление документацииоповещение результатов исследованийразработка последующих действийповторное исследование любых частей

системы при необходимости

Рис. 3.3. Последовательность выполнения исследований HAZOP

Процесс исследования HAZOP может быть применен при любых из-

менениях проекта, компонента(ов), разработанных процедур и действий

48

человека. Исследование HAZOP широко используют для анализа про-

граммного обеспечения. Если его применяют к управлению безопасно-

стью критических видов оборудования и компьютерным системам, то ме-

тод обозначают CHAZOP Control Hazards and Operability Analysis (Иссле-

дование управления опасностью и работоспособностью или исследование

компьютерной опасности и работоспособности).

Этапы исследования HAZOP включают в себя:

• назначение лица, наделенного необходимыми ответственностью

и полномочиями для проведения исследования HAZOP и обеспечения лю-

бых действий, направленных на полное завершение этого процесса;

• определение целей и области применения исследования;

• установление набора ключевых и управляющих слов для исследо-

вания;

• формирование группы HAZOP; в эту группу обычно включают

экспертов по основным и смежным дисциплинам, проектировщиков

и производственный персонал, способных провести соответствующую

техническую экспертизу и оценить воздействие отклонений от намечен-

ного или существующего проекта. Рекомендуется включать в группу пер-

сонал, который непосредственно не вовлечен в работы по рассматривае-

мому проекту, системе, процессу или процедуре;

• определение требуемой документации.

На совещании группа HAZOP проводит следующие действия:

• подразделяет систему, процесс или процедуру на меньшие элемен-

ты, подсистемы, подпроцессы, компоненты для проведения их анализа;

• согласовывает задачи проекта для каждой подсистемы, подпроцес-

са или компонента, и затем для каждого элемента подсистемы или компо-

нента применяет управляющие слова, одно за другим, что позволяет вы-

явить возможные отклонения, которые могут привести к нежелательным

результатам;

• в случае идентификации нежелательных результатов согласовыва-

ет причину и последствия для каждого события и предлагает способы их

обработки, направленной на предотвращение их повторного появления

или смягчения возможных последствий, если они неизбежны;

• регистрирует и идентифицирует протоколы обсуждений и предло-

женные способы обработки риска.

Исследование HAZOP первоначально было разработано для анализа

системы химических процессов, но впоследствии сфера его применения

была расширена для применения в технических системах и сложных про-

изводствах. Область применения метода включает в себя механические

и электронные системы, процедуры, системы программного обеспечения,

49

организационные изменения, разработку и анализ юридических докумен-

тов, например, контрактов) и др.

Рабочий лист HAZOP

Название проекта:

Название этапа:

Газотранспортный терминал:

Завершающий этап проектирования

Чертежи: Экспертиза проекта установки очистки газа и подачи газа на

замерное устройство:

Управ-

ляющее

слово

Откло-

нение

Причи-

ны

Послед-

ствия

Защитные

мероприя-

тия

Рекомен-

дации

При-

ори-

тет

НЕТ Нет по-

тока га-

за

Разрыв

трубо-

провода,

закрыт

входной

коллек-

тор тер-

минала

Аварийное

отключе-

ние газоге-

нераторов

энерго-

снабжения

терминала,

экономиче-

ские поте-

ри

Необходима

система об-

наружения

утечки в тру-

бопроводе и

автоматика

отсечения

аварийного

участка МГ

(30 км)

Проанали-

зировать

вопрос об

эффектив-

ности си-

стемы обна-

ружения

утечек и ав-

томатику

байпаса

2

ОБРАТ-

НО

Обрат-

ный по-

ток газа

Открытие

автома-

тикой ли-

нии сбро-

са давле-

ния

фильтра

до закры-

тия кла-

пана на

входном

потоке

Разруше-

ние филь-

тра

Изменение в

алгоритме

СПАЗ перио-

да срабаты-

вания клапа-

нов СПАЗ

Проанали-

зировать

проектные

решения по

алгоритму

срабатыва-

ния защит-

ных клапа-

нов

2

МЕНЬ-

ШЕ

Умень-

шение

темпе-

ратуры

Темпера-

тура

окружа-

ющей

среды

меньше

установ-

ленной в

задании

Отказ обо-

рудования

КИПиА

Предохрани-

тельный кла-

пан рассчи-

тать на тем-

пературу ми-

нус 60 оС

Не требу-

ются

БОЛЬ-

ШЕ

50

Окончательно категории критичности отклонений определяет группа

участников HAZOP.

Рекомендуется применять следующие категории критичности откло-

нений:

• высокая 2: запрещается переходить на следующую стадию проек-

та, не выполнив рекомендации высокой категории критичности;

• средняя 1: рекомендация среднего уровня должна быть выполнена

до начала пусконаладочных работ;

• низкая 0: рекомендация должна быть выполнена до начала эксплу-

атации.

При выработке рекомендаций учитывают влияние отклонений на:

• безопасность (то есть отклонение может реально привести к ава-

рии, поражению людей или инциденту);

• окружающую среду (утечка, выброс опасных веществ, загрязнение);

• эксплуатацию (нарушение технологического режима, остановка

производства, убытки предприятия).

51

РАЗДЕЛ 4.

АНАЛИЗ ОШИБОК, ВИДОВ

И ПОСЛЕДСТВИЙ ОТКАЗОВ

Анализ ошибок, видов и последствий отказов выполняется для уста-

новления факторов, которые могут способствовать возникновению ава-

рийного события. Указания о содержании и порядке применения метода

«дерева событий» для оценки надежности ОПО приведены в ГОСТ Р

МЭК 62502 и ГОСТ Р 54142.

Метод дерева отказов. Анализ дерева отказов (АДО) или в англий-

ской терминологии FTA это метод анализа отказов сложных систем, в ко-

тором нежелательные состояния или отказы системы анализируются

с помощью методов булевой алгебры, объединяя последовательность ни-

жестоящих событий (отказов низшего уровня), которые приводят к отказу

всей системы.

Дерево отказов (аварий, происшествий, последствий, нежелательных

событий и пр.) лежит в основе логико-вероятностной модели причинно-

следственных связей отказов системы с отказами ее элементов и другими

событиями (воздействиями). При анализе возникновения отказа, дерево

отказов состоит из последовательностей и комбинаций нарушений и не-

исправностей, и таким образом оно представляет собой многоуровневую

графологическую структуру причинных взаимосвязей (таблица 4.1), по-

лученных в результате прослеживания опасных ситуаций в обратном по-

рядке, для того чтобы отыскать возможные причины их возникновения.

Анализ дерева отказов интенсивно используется в различных отрас-

лях, в частности в НГО, чтобы понять, как система может выйти из строя,

выявить способ уменьшения рисков или определения частоты системного

отказа.

FTA или АДО эффективно используются, чтобы:

• производить построение дерева отказов, как в графическом, так

и в текстовом режимах;

• оценивать вероятность возникновения аварии;

• осуществлять поиск минимальных аварийных и проходных сочета-

ний отказов, и ошибок в системе для анализируемых аварийных событий;

• выявлять лимитирующие минимальные аварийные и проходные

сочетания, имеющие наибольшую вероятность реализации;

• определять значимость исходных событий;

• вычислять неопределенность возникновения аварийных событий;

52

• рассматривать и отбирать альтернативные решения для снижения

вероятности возникновения аварий.

Таблица4.1

Графические элементы АДО

АДО может быть использован в качестве диагностического инстру-

мента для выявления и исправления причин аварийного события. Это мо-

жет помочь с созданием диагностических руководств.

53

Отказами – базисными событиями могут быть события, связанные

с выходом из строя элементов системы, неготовностью оборудования

вследствие технического обслуживания, испытаний или других обстоя-

тельств, ошибками персонала, которые могут повлечь за собой нежела-

тельное событие.

Метод «дерево отказов» основывается на дедуктивном анализе отка-

зов, позволяет определять нежелательное состояние системы (возникно-

вение аварии), анализировать систему с учетом условий эксплуатации для

выяснения всех возможных сценариев развития негативного события.

Дерево отказов используется для определения и анализа последова-

тельности (вариантов) развития аварии, включающей сложные взаимо-

действия между техническими системами обеспечения безопасности. По-

строение дерева отказов начинают с определения вершины событий.

Вершина (анализируемая авария) является следствием входных со-

бытий, идентифицирующих возможные причины и условия появления

вершины. Каждое входное событие может быть выходным событием бо-

лее низкого уровня.

Если выходное событие определяет неспособность системы исполнять

некоторую функцию, то соответствующими входными событиями могут

быть неисправности оборудования или ограничения эффективности.

Если выходное событие определяет неисправность оборудования, то

соответствующими входными событиями могут быть неисправности ком-

понентов оборудования или ошибки управления, или нехватка необходи-

мых ресурсов.

Построение отдельной ветви дерева заканчивается, после того как

достигнуто хотя бы одно из следующего:

• воздействия – это независимые события, описание характеристик

которых могут быть получены иными способами;

• события, которые не должны исследоваться по решению аналитиков;

• события, которые были или будут рассмотрены в другом дереве.

54

Рис. 4.1. Структура дерева отказов

Ценность дерева отказов заключается в следующем:

• анализ ориентируется на нахождение отказов;

• дерево позволяет показать в явном виде ненадежные места;

• анализ обеспечивается графикой и представляет наглядный мате-

риал для той части работников, которые принимают участие в обслужи-

вании системы;

55

• дерево дает возможность выполнять качественный или количе-

ственный анализ надежности системы;

• метод позволяет специалистам поочередно сосредотачиваться на

отдельных конкретных отказах системы;

• анализ обеспечивает глубокое представление о поведении системы

и проникновение в процесс ее работы;

• дерево являются средством общения специалистов, поскольку они

представлены в четкой наглядной форме.

Построение дерева и анализ исследуемого объекта:

1. Определяют аварийное (предельно опасное, конечное) событие,

которое образует вершину дерева. Данное событие четко формулируют,

оговаривают условия его появления, дают признаки его точного распо-

знания. Например, для объектов химической технологии к таким событи-

ям относятся: разрыв аппарата, пожар, выход реакции из-под контроля

и др. Определяют возможные первичные и вторичные отказы, которые

могут вызвать головное событие, рассматривают их комбинации.

2. Используя стандартные символы событий и логические символы,

дерево строят в соответствии со следующими правилами:

• конечное (аварийное) событие помещают вверху (уровень 1);

• дерево состоит из последовательности событий, которые ведут

к конечному событию;

• последовательности событий образуются с помощью логических

знаков И, ИЛИ и др.;

• событие над логическим знаком помещают в прямоугольнике,

а само событие описывают в этом прямоугольнике;

• первичные события (исходные причины) располагают снизу.

3. Квалифицированные эксперты проверяют правильность построе-

ния дерева. Это позволяет исключить субъективные ошибки разработчи-

ка, повысить точность и полноту описания объекта и его действия.

4. Определяют минимальные аварийные сочетания и минимальную

траекторию для построенного дерева. Первичные и не разлагаемые собы-

тия соединяются с событиями первого уровня маршрутами (ветвями).

Сложное дерево имеет различные наборы исходных событий, при кото-

рых достигается событие в вершине, они называются аварийными сочета-

ниями (сечениями) или прерывающими совокупностями событий. Мини-

мальным аварийным сочетанием (МАС) называют наименьший набор ис-

ходных событий, при которых возникает событие в вершине. Полная со-

вокупность МАС дерева представляет собой все варианты сочетаний со-

бытий, при которых может возникнуть авария. Минимальная траектория

(обычно наиболее опасная) - наименьшая группа событий, при появлении

которых происходит авария.

56

5. Качественно и количественно исследуют дерево аварий с помощью

выделенных минимальных аварийных сочетаний и траекторий. Каче-

ственный анализ заключается в сопоставлении различных маршрутов

и начальных видов воздействий к конечному опасному (аварийному) со-

бытию и определении критических (наиболее опасных) путей, приводя-

щих к аварии. При количественном исследовании рассчитывают вероят-

ность появления аварии в течение задаваемого промежутка времени по

всем возможным маршрутам.

6. Разрабатывают рекомендации по введению изменений в объекте, си-

стемах контроля и управления для улучшения показателей безаварийности.

Рис. 4.2. Схема опасностей, возникающих при розжиге котла

Дерево опасностей при розжиге котла показано на рисунке 4.2.

Метод «дерево событий». Последовательность событий (не только

отказов системы, но и внешних воздействий на нее), которые приводят к

аварии, можно проследить с помощью «дерева событий». В отличие от

структурных схем и «дерева отказов», «дерево событий» имеет глубокий

физический смысл. Если основным преимуществом «дерева отказов» яв-

ляется учет причинно-следственной связи между отказами элементов, то

«дерево событий» дает картину физических процессов, которые приводят

объект или процесс в критическое состояние.

Пример «дерева событий» для количественного анализа различных

сценариев аварий на установке переработки нефти представлен на рисун-

ке. Цифры рядом с наименованием события показывают условную веро-

57

ятность возникновения этого события. При этом вероятность возникнове-

ния инициирующего события (выброс нефти из резервуара) задается рав-

ной 1. Значение частоты возникновения отдельного события или сцена-

рия пересчитывается путем умножения частоты возникновения иниции-

рующего события на условную вероятность развития аварии по конкрет-

ному сценарию.

Рис. 4.3. «Дерево событий» аварий

на установке первичной переработки нефти

Анализ «дерева событий» позволяет ответить на вопрос: какие ава-

рийные ситуации могут возникнуть и какие вероятности этих событий.

Ответ можно получить с помощью анализа возможных сценариев разви-

тия аварии. Термин «сценарий» рассматривают при этом как относитель-

ную картину возможного развития событий, разработанную с целью со-

средоточения внимания на изучении причинно-следственных связей и на

тех моментах развития опасных событий, которые требуют принятия

управленческих решений с целью недопущения их перерастания в чрез-

вычайную ситуацию. Сценарий должен давать последовательные ответы

на следующие вопросы: как, шаг за шагом, может возникать та или иная

гипотетическая ситуация; какие альтернативные решения существуют на

каждом этапе развития событий для того, чтобы повлиять на данный про-

цесс и принять превентивные меры безопасности.

58

Технология сценарного анализа направлена на решение двух основ-

ных проблем:

• выделение ключевых моментов развития опасного события и раз-

работки на этой основе качественно других вариантов ее динамики;

• всесторонний анализ и оценка каждого из вариантов, изучение его

структурных особенностей и возможных последствий реализации.

«Дерево событий» начинается с исходного события, любого, способ-

ного привести к отказу какой-либо системы или компонента. В «дереве

событий» исходные события связанны со всеми другими возможными со-

бытиями ветвями, а каждый сценарий описывается возможным путем раз-

вития аварии, состоящим из набора последовательностей событий и раз-

ветвлений.

Определив все исходные события и организовав их в логическую по-

следовательность, можно получить большое число потенциальных сцена-

риев аварии. С помощью анализа «дерева событий» можно определить пу-

ти развития аварии, которые вносят наибольший вклад в риск из-за их вы-

сокой вероятности или возможности нанесения потенциального ущерба.

Метод «дерево событий» позволяет:

• описать сценарии аварий с различными последствиями от различ-

ных исходных событий;

• определить взаимосвязь отказов системы с последствиями аварии;

• сократить первичный набор потенциальных аварий и ограничить

его только логически значимыми авариями;

• идентифицировать верхние события для анализа отказов.

Причинно-следственная матрица (СЕМ). Цепочку, приводящую

к возникновению опасного события и его последствий можно представить

в виде диаграммы, как показано на рис. 4.4. Левая сторона диаграммы –

«дерево отказов», представляющее собой взаимосвязь угроз и событий,

благодаря которой может реализоваться потенциальная опасность, нано-

сящая вред, правая сторона – «дерево событий», характеризующее раз-

личные последствия опасного события. Меры реагирования, направлен-

ные на ликвидацию чрезвычайной ситуации, должны основываться на

оценке ее последствий и разрабатываться с учетом возможных сбоев в си-

стеме контроля, предупредительных мероприятий или барьеров.

59

Рис. 4.4. Диаграмма причинно-следственных связей,

приводящих к возникновению опасного события и его последствий

Диаграмма на рис. 4.4 показывает, что комбинация причин и событий

может привести к возникновению опасной ситуации с различными исхо-

дами, что является основополагающим принципом при идентификации

опасностей и оценке риска и представления причинно-следственных свя-

зей. Все опасные события могут быть представлены в подобном виде, хо-

тя у некоторых может быть только одна причина и одно последствие.

В связи с особыми требованиями в проектировании ПАЗ, програм-

мирование причинно-следственных матриц (CEM, Cause and Effect Matrix)

стало стандартом де-факто в программировании систем обеспечения без-

опасности ESD/PSD или любых систем с блокировочной логикой.

В простейшем виде матрица CEM представляет собой матрицу с по-

именованными тегами. Значения в ячейках матрицы указывают, что про-

60

исходит «срабатывание» эффекта колонки при активации определенного

столбца «причины». Название причинно-следственной диаграммы указы-

вает на ее применение – это диаграмма для анализа взаимосвязей между

проблемой и ее причинами. Она объединяет элементы мозгового штурма

с системным анализом в один мощный инструмент. Она также известна

как диаграмма Ишикавы,

Этапы при использовании причинно-следственной диаграммы.

1. Выбираются параметры проблемы и вероятные причины, которые

будут исследоваться на наличие, характер и уровень зависимости.

2. Рисуется пустая матрица требуемого размера.

4.Выполняется «мозговой штурм» и записываются все вероятные

причины на диаграмме. Для этого используются краткие, лаконичные

формулировки. Процесс повторяется для каждой и основных зависимо-

стей. Если причина встречается более, чем в одной зависимости, то она

указывается в каждой из зависимостей.

5. Анализируются выявленные причины, чтобы определить те, кото-

рые могут являться основной причиной.

Проблема называется причиной, а действие называется следствием.

Основное назначение матричной диаграммы заключается в анализе при-

чинно-следственных связей между вероятными причинами и проблемами.

В процессе анализа основной причины она может применяться для:

• создания общей картины влияния различных вероятных причин

проблемы;

• определения того, какие из множества причин являются наиболее

явными и, поэтому, с большой вероятностью, окажутся основной причиной.

Рис. 4.5. Причинно-следственная зависимость

Причинно-следственная матрица (СЕМ) позволяет легко связать про-

блему с одним или несколькими действиями, которые требуется выпол-

61

нить, чтобы устранить эту проблему. Например, редактор CEMPLE обес-

печивает двухмерную матрицу:

• строки причин (горизонтальный размер) – каждая строка устанав-

ливает соответствие между одной причиной и одним или несколькими

следствиями;

• столбцы следствий (вертикальный размер) – каждый столбец уста-

навливает соответствие между одной или несколькими причинами и од-

ним следствием.

В матрице СЕМ, причины обычно представлены с помощью входных

логических переменных, а следствия – с помощью выходных логических

переменных. После того как матрица СЕМ будет определена, приступают

к разработке программы FBD-типа для контроллера ПАЗ, которая реали-

зует стратегию безопасного останова процесса или выключение объекта.

Рис. 4.6. Причинно-следственная схема ПАЗ

62

РАЗДЕЛ 5.

АНАЛИЗ РИСКОВ ОБЪЕКТОВ,

УПРАВЛЯЕМЫХ АСДУ

После того как выполнен анализ опасностей выполняется анализ

рисков.

Риск (risk) – это вероятность того, что опасность станет причиной

измеримых неблагоприятных последствий. Риском называется совокуп-

ность вероятности ущерба и величины этого ущерба.

Стандарты Международной Электротехнической Комиссии IEC

61508/61511 декларируют безопасность как «свободу от неприемлемого

риска». Иными словами, абсолютной безопасности достичь невозможно –

возможно только снизить риск до приемлемого уровня.

В стандартах ГОСТ Р 61511 приведены и описаны применения боль-

шого числа методов анализа рисков (таблица 5.1).

Таблица 5.1

63

64

Некоторые из них строго применимы при анализе рисков безопасно-

сти технологических процессов.

Управление рисками – это процессы, связанные с идентификацией,

анализом рисков и принятием решений, которые включают максимиза-

цию положительных и минимизацию отрицательных последствий наступ-

ления рисковых событий.

Менеджмент риска включает применение логических и системных

методов для:

• обмена информацией и консультаций в области риска;

• установления области применения при идентификации, анализе,

оценке и обработке риска, соответствующего любой деятельности, про-

цессу, функции или продукции;

• мониторинга и анализа риска;

• регистрации полученных результатов и составления отчетности.

Оценка риска является частью проекта СПАЗ и представляет собой

структурированный процесс, в рамках которого идентифицируют способы

достижения поставленных целей, проводят анализ последствий и вероят-

ности возникновения опасных событий для принятия решения о необхо-

димости обработки риска. Оценка риска направлена на то, чтобы определить:

• «a» риск велик настолько, что он вообще неприемлем;

• «b» риск незначительный либо может быть сведен до этого уровня;

• «c» является ли риск промежуточным между оценками, указанны-

ми вперечислениях «а» и «b», и снижен ли он до самого низкого практич-

ного уровня. При этом «практичность» определяется, с одной стороны,

преимуществами, которые влекут за собой снижение уровня риска,

и, с другой стороны, стоимостью мероприятий по его снижению.

Оценка риска позволяет ответить на следующие основные вопросы:

• какие события могут произойти и их причина (идентификация

опасных событий);

• каковы последствия этих событий;

• какова вероятность их возникновения;

• какие факторы могут сократить неблагоприятные последствия или

уменьшить вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает ответить на вопрос: является ли

уровень риска приемлемым, или требуется его дальнейшая обработка.

Схематическая связь процессов анализа риска и управления риском

достаточно проста и может быть представлена в виде блок схемы (рис.5.1)

Для определения рисков обычно проводят анализ, в ходе которого

определяют исходные события, которые приводят к нежелательным по-

65

следствиям (авариям, неисправностям), исследуют пути протекания ава-

рии, оценивают возможные последствия.

Рис. 5.1. Блок схема анализа рисков безопасности

технологических процессов

66

Начало процесса управления

рисками

Контроль риска

Изучение риска

Идентификация риска

Пересмотр риска

Анализ риска

Оценка риска

Принятие риска

Результат управления рисками

Пересмотр результатов

Снижение риска

Ин

фор

мац

ия

о р

иск

е

Ин

тр

ум

енты

уп

рав

лен

ия

ри

скам

и

Рис. 5.2. Система управления рисками

Риск, превышающий установленный уровень, считается недопусти-

мым. Такой риск не может быть признан оправданным при любых нор-

мальных обстоятельствах. Если такой риск существует, то он либо должен

быть снижен настолько, чтобы попасть в область приемлемого или вполне

приемлемого риска, либо должен быть устранен источник опасности.

Приемлемость и допустимость риска. Приемлемый риск объединяет

технические, экономические, социальные и политические аспекты и явля-

ется определенным компромиссом между уровнем безопасности и воз-

можностями ее достижения. Размер приемлемого риска можно опреде-

лить, используя затратный механизм, который позволяет распределить за-

67

траты общества на достижение заданного уровня безопасности между

природной, техногенной и социальной сферами.

Необходимо поддерживать соответствующее соотношение затрат

в указанных сферах, поскольку нарушение баланса в пользу одной из них

может вызвать резкое увеличение неожиданного риска и его уровень вый-

дет за пределы приемлемых значений. При количественной оценке риска

смерти от несчастного случая, обусловленного опасностью, определенной

в ходе анализа рисков, необходимо установить количественные критерии

и учесть прочие производственные риски, которым подвергается работ-

ник в течение рабочего дня.

Уровень приемлемого индивидуального риска лежит в диапазоне

5 × 10–6

– 5 × 10–5

в год, что соответствует 1–10 %-ному диапазону мини-

мального риска смерти на протяжении всей жизни. При этом вынужден-

ный приемлемый риск (риск, которому подвергаются третьи лица) следу-

ет выбирать из меньших значений в этом диапазоне, а добровольный риск

может быть приемлемым для больших значений из указанного диапазона.

Рис. 5.3. Приемлемость и допустимость риска

Интервал индивидуального риска 5 × 10–5

– 2,5 × 10–4

следует реко-

мендовать для выбора уровня контролируемого риска. Наибольшее значе-

ние этого интервала близко к риску гибели в дорожно-транспортных про-

исшествиях – по-видимому, максимальному уровню риска, которому со-

гласится подвергать себя большинство индивидуумов, осознавая опас-

68

ность с одной стороны и выгоды использования транспорта с другой. При

этом рассуждения, касающиеся добровольности восприятия риска, спра-

ведливы и для условий выбора контролируемого риска.

Методология приемлемого риска заменяет господствовавшую до не-

давнего времени методологию абсолютной безопасности. Методология

абсолютной безопасности игнорирует возможность сочетания неблаго-

приятных факторов, которая маловероятна. Однако длительная эксплуа-

тация сложных технических систем приводит к тому, нельзя пренебрегать

даже, довольно маловероятными, событиями.

Необходимость формирования концепции приемлемого (допустимо-

го) риска обусловлена невозможностью создания абсолютно безопасной

деятельности (технологического процесса). Приемлемый риск сочетает

в себе технические, экономические, социальные и политические аспекты.

На практике это всегда компромисс между достигнутым в обществе уров-

нем безопасности (исходя из показателей смертности, заболеваемости,

травматизма, инвалидности) и возможностями его повышения экономиче-

скими, технологическими, организационными и другими методами. Эко-

номические возможности повышения безопасности технических и социо-

технических систем не безграничны. Так, на производстве, затрачивая

чрезмерные средства на повышение безопасности технических систем,

можно ослабить финансирование социальных программ производства (со-

кращение затрат на приобретение спецодежды, медицинское обслужива-

ние, санаторно-курортное лечение и др.).

При увеличении затрат на совершенствование оборудования техниче-

ский риск снижается, но растет стоимость ПАЗ. Суммарный риск имеет

минимум при определенном соотношении между инвестициями в техни-

ческую и социальную сферу. Это обстоятельство надо учитывать при вы-

боре приемлемого риска. Подход к оценке приемлемого риска очень ши-

рок. График выделения области приемлемого риска показан на рис. 5.3.

Выбор приемлемого риска для отрасли нефтегазодобычи установлен при-

нятыми нормативами компаний НГО.

69

Рис. 5.4. Определение приемлемого риска

В настоящее время с учетом международной практики принято счи-

тать, что действие техногенных опасностей (технический риск) должно

находиться в пределах от 10–7

– 10–6

(смертельных случаев чел–1

× год–1

),

а величина 10–6

является максимально приемлемым уровнем индивиду-

ального риска. В российском законодательстве в области безопасности эта

величина используется для оценки пожарной безопасности и радиацион-

ной безопасности.

В случае производственных аварий, пожаров, в целях спасения лю-

дей, пострадавших от аварий и пожаров, человеку приходится идти на

риск. Обоснованность такого риска определяется общественной необхо-

димостью оказания помощи пострадавшим людям, служебной обязанно-

стью, личным желанием спасти от разрушения дорогостоящее оборудова-

ние или сооружения предприятия. В то же время, пренебрежение челове-

ком выявленных опасностей приводит к ситуациям, связанным с индиви-

дуально и общественно неоправданным рискам. Так, нежелание работни-

ков на производстве руководствоваться действующими требованиями без-

опасности технологических процессов, неиспользование средств индиви-

70

дуальной защиты и т.п. может сформировать необоснованный риск, как

правило, приводящий к травмам и формирующий предпосылки аварий на

производстве.

Во многих случаях принятия решений о «минимальном практически

приемлемом уровне риска» достаточно простого сравнения затрат и выго-

ды. В позволительные затраты, которые могут учитываться при анализе

рисков, включают:

• установку;

• эксплуатацию;

• обучение;

• техническое обслуживание;

• коммерческие убытки, которые могут последовать в случае оста-

нова только с

• целью принятия мер по снижению уровня риска;

• процент на замедленную добычу, например, нефть или газ, остав-

шийся на

• месторождении во время проведения работ на платформе;

• все заявленные затраты, понесенные ответственным лицом (все за-

траты

• третьих сторон, т.е. общественности, исключаются);

• затраты, которые считаются необходимыми при принятии мер по

снижению

• уровня риска (без роскоши и чрезмерных затрат).

Риск угроз вычисляют как:

.

Риск может быть рассчитан с использованием как качественного, так

и количественного методов.

Угроза безопасности приводит к «риску» только в том случае, если

она связана с летальным исходом, нанесением ущерба имуществу или

окружающей среде. Шкала ущерба выражается схемой «графа риска»,

стандартной для МЭК (рис. 5.5).

71

Рис. 5.5. Граф рисков, связанных

с безопасностью технологического оборудования

Дискретные значения четырех параметров C, F, P и W указаны

в стандартных таблицах графа риска. Значения этих параметров оценива-

ются для каждой единицы опасного оборудования.

Стандарт рассматривает следующие параметры риска, свойственные

технологическим процессам:

Последствия риска – Ci, где i = A, B, C, D.

Частота и время действия риска – Fj, где j = A, B.

Возможность избегания опасного риска – Pm, где m =A, B.

С учетом качественной оценки вероятности нежелательного события (Wn,

где n =1, 2, 3) показатель уровня риска (RCl, где l= 1, 2, 3, 4) устанавлива-

ется целочисленной функцией:

RCl = RC(Ci Fj Pm Wn).

Здесь параметры риска определяют следующим образом:

1. Травматизм:

• CA – незначительные травмы;

• CB – серьёзные травмы одного или нескольких человек, смерть

одного человека;

• CC – смерть нескольких человек;

• CD – катастрофические последствия, большие человеческие по-

тери.

72

2. Продолжительность нахождения в опасной зоне:

• FA – от редкого до относительно частого;

• FB – частое или постоянное.

3. Предотвращение опасности:

• PA – возможно при определённых обстоятельствах;

• PB – невозможно.

4. Интенсивность запросов (число случаев за год, когда опасная ситу-

ация возникает в отсутствие рассматриваемой функции безопасности SIS):

• W1 – крайне низкая;

• W2 – низкая;

• W3 – -высокая.

С помощью данной оценки можно оценивать риски неисправности

контролируемого оборудования, например, предположим, что имеет ме-

сто неисправность клапана.

Пусть при этом возможна дальнейшая работа на установке.

Насколько велик потенциальный риск, для работников обслуживающих

технологическую установку?

Исходная точка оценки этого риска Сi.

Следующей точкой оценки рисков является продолжительность

нахождения в опасной зоне: FA – от редкого до относительно частого,

FB – частое или постоянное. Типичным случаем для FВ является вход,

а зону технологической установки при периодических интервалах для ма-

нипуляций на ТУ при работе. Если доступ необходим время от времени,

выбирается F1. В итоге возникает вопрос: «Какие существуют возможно-

сти для предотвращения несчастного случая?».

Несчастного случая можно, как правило, избежать, если опасность

идентифицирована. Принимаются во внимание следующие моменты:

Может ли опасность быть идентифицирована непосредственно на ос-

нове ее физических характеристик или только с помощью технических

средств, таких, как диспетчерская станция?

Появляется ли опасность внезапно, быстро и непредвиденно, или это

происходит медленно и визуально контролируется?

Могут ли несчастные случаи быть предотвращены посредством вы-

хода или вмешательства третьих лиц?

Оборудование эксплуатируется неподготовленным или квалифици-

рованным персоналом?

Работа контролируется на установке или нет?

Какой имеется практический опыт относительно безопасности во

время работы?

Существует ли реальный способ предотвращения несчастного случая

или существенного снижения последствий?

73

Если предусмотрены средства оповещения оператора об отказе при-

борной системы безопасности; независимые средства останова процесса,

которые позволяют избежать опасности или позволить персоналу эвакуи-

роваться в безопасную зону, если время между оповещением оператора и

опасным событием превышает 1 час или явно достаточно для выполнения

необходимых действий, то выбирается РА.

Если опасность вряд ли можно избежать, то выбирается PВ.

Цель введения W (вероятности нежелательного события) – оценить

частоту появления опасности без SIS. Интенсивность запросов W это ко-

личество случаев в год, когда опасное событие возникает при отсутствии

SIS. Для того чтобы определить частоту запроса необходимо рассмотреть

все причины возможного отказа, которые могут привести к опасному со-

бытию. При определении интенсивности роль системы управления и ее

вмешательство в ход процесса следует учитывать в минимальной степени.

В нормативных документах компанией, которая будет эксплуатировать

EUC, задают величину интенсивности запросов D на срабатывание защи-

ты в нормальных условиях. Тогда будут:

• W1 – если оценочная частота запросов 0,1D в год;

• W2 – если оценочная частота запросов лежит в диапазоне 0,1D и D

в год;

• W3 – если частота запросов лежит в диапазоне больших чем 10D

в год.

После определения всех характеристик риска определяется номина-

ция риска угроз (a, 1, 2, 3, 4, b) по графу местом пересечения следа графа

риска с вертикалью Wi. Эта номинация одновременно указывает на по-

тенциал SIL.

Калибровка. Процесс калибровки преследует следующие цели:

• описать все параметры таким образом, чтобы дать возможность

команде, занимающейся оценкой риска, сделать объективное заключение,

основанное на характеристиках (опасностях) объекта;

• обеспечить соответствие выбранного для данного объекта SIL кор-

поративному критерию риска и обеспечить при определении SIL учет

возможного риска со стороны других источников;

• обеспечить проверку процесса выбора параметров.

Калибровка графа риска – это процесс присвоения численных значе-

ний параметрам графа риска. При этом формируется расчетный базис для

оценки существующего риска процесса и оказывается возможным опре-

делить требуемую полноту безопасности рассматриваемой функции без-

опасности SIS. Каждому параметру присваивается диапазон значений, та-

ких, что, будучи примененными в комбинации, они позволяют получить

количественную оценку риска, существующего в отсутствие данной

74

функции безопасности. Так устанавливается мера степени доверия функ-

ции безопасности SIS. Граф риска связывает определенные комбинации

параметров риска с SIL. Связь между комбинациями параметров риска

и SIL устанавливается путем рассмотрения величины допустимого риска,

связанного с конкретной опасностью.

Рассматривая калибровку графа риска, важно принять во внимание

требования к риску, возникающие как со стороны собственников, так

и со стороны регламентирующих органов. Риск для жизни должен быть

рассмотрен, как со стороны индивидуального риска, учитывающего сово-

купность воздействий от всех источников опасности, так и общественного

риска.

Обычное требование к ПАЗ в этом случае состоит в том, чтобы сни-

зить общественный риск, по меньшей мере, до такого значения, которое

может быть воспринято обществом как допустимое и дальнейшее сниже-

ние которого связано с непропорциональными по отношению к результа-

ту затратами.

Оценка токсикологического риска.

Рис. 5.6. Кривая Доза -воздействие

Оценку токсикологического риска применяют для оценки подвер-

женности окружающей природы, животных и людей воздействию эколо-

гических опасностей. Менеджмент токсикологического риска необходим

на каждом этапе принятия решений, включая сравнительную оценку и об-

работку риска.

75

Метод оценки токсикологического риска включает в себя анализ

опасностей или источников ущерба и их воздействий на целевые группы

работников, населения и путей экспозиции опасных воздействий на эти

группы. Полученную информацию затем обрабатывают и получают веро-

ятностную оценку степени и характера ущерба. Отдельным элементом

метода оценки такого риска является анализ путей экспозиции, в котором

исследуют различные способы распространения опасности на объект, мо-

гут быть адаптированы и применены в различных областях менеджмента

риска для здоровья человека и окружающей среды и полезны при иденти-

фикации методов обработки риска.

Входные данные. Для данного метода необходимы объективные дан-

ные о характере, свойствах опасностей, уязвимых местах целевой группы

населения (или обслуживающих технологический процесс работников)

и взаимодействии идентифицированных опасностей. Эти данные обычно

основаны на лабораторных и эпидемиологических исследованиях.

Процесс выполнения метода включает в себя перечисленные ниже

этапы:

• формулировка проблемы, включая установление области примене-

ния оценки путем определения целевых групп населения и типов опасно-

стей;

• идентификация опасностей, включая идентификацию всех воз-

можных источников вреда для целевой группы населения от исследуемых

опасностей. Идентификация опасностей обычно основана на знаниях экс-

пертов и данных опубликованных источников;

• анализ опасностей, включая исследование характера и природы

опасностей и их взаимодействия с объектом воздействия. Например, при

исследовании воздействия на человеческий организм химических веществ

опасности могут включать в себя острую и хроническую токсичность,

возможность повреждения ДНК, вызывающего онкологические заболева-

ния, нарушения эмбрионального развития и репродукции человека. Для

каждого опасного воздействия определяют величину воздействия (Воз-

действие), совокупность воздействующих опасностей, которым подверга-

ется целевая группа населения (Дозу), а также, по возможности, механизм

этого опасного воздействия. Необходимо отметить уровни, на которых

нет заметного воздействия (NOEL) и нет заметного отрицательного воз-

действия (NOAEL). Эти уровни иногда используют в качестве критериев

приемлемости риска. Для оценки экспозиции химических веществ ис-

пользуют результаты тестирования и строят кривую Доза – Воздействие.

Данные обычно получают на основе тестов на животных или из экспери-

ментов на искусственно выращенных тканях или клетках животных. По-

сле того как характер взаимодействия опасностей для здоровья с объектом

76

исследования определен, оценивают вероятность того, что в результате

подверженности конкретному виду опасности будет нанесен конкретный

уровень вреда;

• анализ экспозиции, включая исследование того, как опасное веще-

ство или его остатки могут воздействовать на целевую группу населения

и в каком количестве. Данный этап часто содержит анализ путей распро-

странения опасностей, препятствующих барьеров и факторов, влияющих

на уровень экспозиции. Например, при исследовании химических выбро-

сов анализ экспозиции должен включать в себя:

o исследование того, насколько велика область распыления хими-

ческих веществ;

o исследование того, каким путем выбросы могут произойти и при

каких условиях может возникнуть прямое воздействие на людей и животных;

o исследование того, сколько химических веществ осядет на рас-

тения;

o исследование того, каковы пути распространения ядохимикатов,

попавших в грунт, могут ли эти химические вещества накапливаться

в живых организмах и в грунтовых водах;

o анализ экспозиции может содержать исследование паразитов,

попадающих из других регионов, пути их распространения и воздействия

на объекты живой природы.

• характеристика риска, включающая сбор и обобщение полученной

информации на этапах анализа опасностей и анализа экспозиции и оценку

вероятности последствий в случае совместного воздействия опасностей.

В ситуации с большим количеством опасностей и путей их распро-

странения может быть проведен их начальный анализ, а затем детальный

анализ опасностей и экспозиции. Анализ риска должен быть выполнен на

основе общих сценариев риска.

Выходные данные обычно характеризуют уровень риска воздействия

экспозиции на рассматриваемый объект конкретной опасности в имею-

щихся условиях. Риск может быть представлен в виде количественной,

смешанной или качественной оценки. Например, риск онкологических за-

болеваний часто характеризуют вероятностью того, что человек заболеет

в течение указанного периода вследствие воздействия конкретных вред-

ных химических веществ. Смешанный анализ может быть использован

для получения индекса риска конкретного вредного химического веще-

ства. Качественная оценка риска может представлять собой отнесение

риска к одному из уровней (высокому, среднему, низкому) или описание

вероятного воздействия.

77

Преимущество данного анализа состоит в том, что он обеспечивает

детальное понимание проблемы и факторов, способствующих повыше-

нию риска.

Анализ путей распространения очень полезен для всех областей ана-

лиза риска. Он позволяет идентифицировать, как и где можно усовершен-

ствовать средства управления или применить новые.

Однако для данного анализа необходимы достоверные данные, кото-

рые часто не доступны или имеют высокий уровень неопределенности.

Например, общие данные об опасностях, полученные на основе экспери-

ментов на животных, используют для построения кривой Доза – Воздей-

ствие и экстраполируют для оценки воздействий на человека. Существу-

ют множественные модели такой экстраполяции. Если объектом является

окружающая среда, а не люди, и опасности не являются химическими,

данных, соответствующих конкретным условиям исследования, может

быть недостаточно.

78

РАЗДЕЛ 6.

СРЕДСТВА СНИЖЕНИЯ

НЕЖЕЛАТЕЛЬНОГО РАЗВИТИЯ

АВАРИЙНЫХ СОБЫТИЙ

Риски развития аварийных событий оборудования, контролируемого

АСДУ, снижаются путем выбора надежных компонентов СПАЗ, их резер-

вированием, применением дополнительных слоев защиты. Дополнитель-

ные слои защиты обеспечивают основу построения современных систем

обеспечения безопасности. Независимый уровень защиты (IPL) – это си-

стема устройств или действие, которые способны предотвращать сцена-

рий, приводящий к нежелательным последствиям, независимо от причин-

ного события или какого-либо иного уровня защиты, связанного с данным

сценарием.

Слои защиты (рис. 6.1) разрабатываются так, чтобы уменьшить ча-

стоту возникновения опасных ситуаций и/или их последствия.

Сигнализация

уровня

опасности

Поток

опасностей

Механические

средства

защиты

Участие

оператораБлокировки

Контролируемый

процесс (EUC)

Предотвращение

Физические

средства

Ослабление

Констр

ослабление МЧС

Рис. 6.1. Слои защиты от опасных ситуаций

Независимые уровни защиты (IPL) включают:

• конструктивные особенности;

• физические устройства защиты;

79

• системы блокировки и отключения;

• аварийная сигнализация в критических случаях и ручное вмеша-

тельство;

• физическая защита при произошедшем событии;

• системы аварийного реагирования (процедуры и проверки не яв-

ляются независимыми уровнями защиты).

В процессе функционирования система управления безопасностью,

выполненная на основе нескольких слоев защита может не выполнить

своих функций (рис. 6.2).

Рис. 6.2. Модель «швейцарского сыра»

аварийной защиты Джеймса Ризона

Концепция снижения риска с использованием независимых слоев

защиты является фундаментально важной для формулирования техниче-

ских требований к безопасности функций безопасности (особенно в ча-

сти требований к полноте безопасности спецификации требований к без-

опасности).

Анализ уровней надежности средств защиты (LOPA, Layers of

Protection Analysis) – это полуколичественный метод оценки рисков, свя-

занных с нежелательным событием или сценарием. Он позволяет анализи-

ровать достаточны ли меры по управлению риском или его уменьшению.

Степень снижения риска, требуемая от функции безопасности, – это

первое требование соответствия стандарту МЭК 61508. Она выражается в

числовой форме меры безопасности.

Необходимая степень снижения риска (которая может быть уста-

новлена либо качественно, либо количественно) – это такое снижение

риска, которое должно быть обеспечено для достижения уровня риска

(заданного уровня безопасности процесса), приемлемого в конкретной

ситуации.

80

При анализе выбирается пара причина-следствие и определяются

уровни защиты, которые предотвращают причину, приводящую к нежела-

тельному последствию. Проводится расчет величины последствий для

определения пригодности и надежности мер защиты для уменьшения рис-

ка до приемлемого уровня.

Входные данные анализа уровней надежности средств защиты вклю-

чают:

• основную информацию о рисках, включая опасности, причины

и последствия, полученную, например, из предварительного анализа

опасностей (РНА);

• информацию об имеющихся или предлагаемых мерах управления;

• частоты причинных событий и вероятности отказа уровней надеж-

ности средств защиты, величины последствий и определение допустимого

риска;

• частоты исходных причин, вероятности отказа уровней надежности

средств защиты, величины последствий и определение допустимого риска.

Анализ уровней надежности средств защиты проводится группой

экспертов в соответствии со следующей процедурой:

• установление исходных причин нежелательного результата и поиск

информации об их частотах и последствиях;

• выбор отдельной пары причина-следствие;

• определение уровней защиты, которые препятствуют переходу от

причины к нежелательному последствию, и анализ их результативности;

• определение независимых уровней защиты (IPL) (не все уровни

защиты являются независимыми уровнями защиты);

• количественная оценка вероятности отказа каждого независимого

уровня защиты (IPL);

• объединение частоты исходной причины с вероятностями отказа

всех независимых уровней защиты (IPL) и вероятностями всех условных

модификаторов для определения частоты возникновения нежелательного

последствия; для частот и вероятностей отказов применяются десятичные

порядки;

• сравнение расчетного уровня риска с допустимыми уровнями рис-

ка для определения необходимости дополнительной защиты.

Цель определения приемлемого риска (заданного уровня безопасно-

сти процесса) в случае конкретного опасного события состоит в дости-

жении величины «разумного» риска, учитывающего как частоту возник-

новения опасных событий, так и их специфические последствия с ис-

пользованием слоев защиты.

Для достижения приемлемого риска требования в отношении уров-

ней полноты безопасности формулируются на основании периодичности

81

опасных событий. В зависимости от последствий опасности определяется

максимально приемлемая периодичность, и все функции безопасности

проектируются с целью приведения этой периодичности к приемлемому

уровню.

Необходимое снижение риска может достигаться с помощью одной

или нескольких SIS либо с помощью независимых слоев защиты.

Хотя приборная система безопасности реализует функции безопас-

ности, необходимые для достижения или для поддержания безопасного

состояния процесса, и, следовательно, вносит весомый вклад в решение

задачи необходимого снижения риска для достижения приемлемого рис-

ка, в реальных условиях эксплуатации ее может быть недостаточно.

Рис. 6.3. Изменения частоты последствий опасности

при резервированном слое защиты

В промышленных технологических процессах для их защиты при-

меняют различные слои защиты (СЗ), как это показано, например, на

рис. 6.3.

Пусть отдельными слоями защиты являются:

СЗ 2 – слой защиты SIS;

СЗ 1 – слой защиты самой установки;

реакция оператора в HMI АСДУ и СВД – сигнализация высокого

давления, реализованная средствами полевого уровня АСДУ.

Каждый слой защиты, показанный на этом рисунке, состоит из спе-

циального оборудования и/или элементов административного управле-

ния, которые, действуя совместно с другими слоями, уменьшают риск

процесса и/или управляют им.

82

В соответствии с практикуемыми рекомендациями каждый слой за-

щиты должен удовлетворять следующим критериям:

• быть независимым;

• снижать определенный риск, по меньшей мере, в 10 раз;

• обладать такими важными характеристиками, как надежность

и безопасность.

Слои защиты проектируется для того, чтобы предотвратить или

ослабить последствия потенциально опасного события. Причин возник-

новения этого опасного события может быть много, и, следовательно,

действие этих слоев должны противодействовать всем исходными собы-

тиями.

Снижение риска с помощью дополнительных слоев защиты. Преж-

де чем установить необходимость выполнения функции безопасности

приборной системой защиты, следует рассмотреть слои защиты, исполь-

зующие конструкционные технологии собственной защиты оборудова-

ния (ГОСТ Р МЭК 62061) и слой защиты АСДУ (SCADA). Чтобы проил-

люстрировать эту процедуру, примем, что в целях дальнейшего усиления

действия существующей системы (АСДУ безопасности) вводится еще

один дополнительный, независимый от АСДУ – слой защиты 1.

Изменение частоты и последствий опасности с использованием но-

вого слоя защиты показано на рис. 6.3.

Пусть специфическим требованием технологического объекта явля-

ется то, чтобы выброс газа в окружающую среду не превосходил часто-

ты, превышающей 10–3

.

Для выявления всех потенциально опасных событий можно вос-

пользоваться методом дерева событий. Из рис. 6.3 следует, что в услови-

ях превышения давления на контролируемом объекте могут произойти

семь видов аварийных событий.

Для того чтобы выполнить задание по не превышению опасности

частоты появления опасных событий и их последствиях (рис. 6.3), необ-

ходимо снизить риск так, чтобы аварийные ситуации по сценариям 3 и 5

отвечали заданному уровню безопасности. Без слоя защиты 2 частота со-

бытий оказывается равной 1,7 × 10–2

. Дополнительный слой защиты 2

решает задачу путем сброса газа в систему утилизации (1,7 × 10–4

) и ре-

шением этой задачи является СПАЗ.

Однако анализ частоты появления опасных событий, отображенных

на рис. 6.3, показывает, что заданный для емкости уровень безопасности

может быть не достигнут в случаях опасных событий 4 и 7, т.е. когда

имеет место выброс газа в окружающую среду, и, следовательно, уро-

вень безопасности оказывается ниже заданного. Фактически общая ча-

стота выбросов в окружающую среду составляет 1,9 × 10–4

раз в год. В

83

этом случае следует предусмотреть еще один дополнительный слой за-

щиты, смягчающий последствия сброса газа в атмосферу.

Фундаментальным условием успешного управления промышленным

риском является четкое и ясное определение задаваемого уровня без-

опасности процесса (приемлемого риска). Он может быть установлен на

базе национальных и международных стандартов и правил, корпоратив-

ной политики, а также под влиянием заинтересованных сторон, таких

как сообщества и/или местные органы и страховые компании с хорошей

технической подготовкой. Заданный уровень безопасности процесса

специфичен для конкретного процесса, корпорации или отрасли. Таким

образом, обобщения невозможны, за исключением ситуаций, когда су-

ществующие правила и стандарты обеспечивают поддержку таким

обобщениям.

Степень снижения риска, требуемая от функции безопасности, пер-

вое требование соответствия стандарту – это выраженная в качественной

форме мера безопасности.

При проектировании безопасного процесса следует принимать во

внимание следующее.

Чем выше требования по безопасности, тем выше должна быть стой-

кость (отказоустойчивость) всех компонентов оборудования (в том числе

и СПАЗ) к неисправностям. Можно рекомендовать для используемого

в управляемом технологическом процессе оборудования, чтобы покупные

зарубежные компоненты соответствовали бы категориям B, 1, 2, 3 и 4,

определяемым EN 954-1. И в целом выполнены все рекомендации в соот-

ветствии с ГОСТ Р 54124-2010 по принятию решений, относящихся к без-

опасности машин и (или) оборудования, а также по ведению типовой до-

кументации, необходимой для выполнения оценки риска.

Категория определяет стойкость компонентов оборудования в том

числе и защиты к неисправностям. Выбор технических средств СПАЗ со-

ответствующей категории защиты позволяет решать задачу правильного

построения системы безопасности технологического процесса:

категория В: основная категория. Компоненты защиты, косвенно

влияющие на безопасность системы управления, должны как минимум

соответствовать современному уровню техники. Они должны выдержи-

вать ожидаемые опасные воздействия контролируемого оборудования;

категория 1. Компоненты, косвенно влияющие на безопасность си-

стемы управления, должны быть спроектированы и изготовлены с исполь-

зованием проверенных комплектующих и методов безопасности. Прове-

ренные принципы обеспечения безопасности – это, например, применение

позиционных выключателей с непосредственным отключением. Обычно

категория 1 не может применяться к электронным компонентам;

84

категория 2. Функции безопасности компонентов, косвенно влия-

ющих на безопасность системы управления, должны проверяться через

необходимые интервалы времени. Проверка может выполняться автома-

тически или вручную и, как минимум, при каждом запуске. Проверка

должна также проводиться периодически во время работы, как определе-

но в анализе рисков. Опасная ситуация может появиться на ТУ в проме-

жутке между проверками;

категория 3. Отдельные ошибки в системе управления элементов,

косвенно влияющих на безопасность, не ведут к потере функции безопас-

ности. Накопление неопределенных неисправностей может вызвать опас-

ную ситуацию на EUC, поскольку не все неисправности определяются.

Пример этого – использование резервной цепи без самоконтроля;

категория 4. Отдельные ошибки в системе управления элементов,

косвенно влияющих на безопасность, не должны приводить к потере

функции безопасности. Такая неисправность должна определяться немед-

ленно или перед следующей потенциальной опасностью, например, при

закрытии двери перед перезапуском машины. Если это невозможно,

накопление неисправностей не должно приводить к потере функции без-

опасности.

Диаграмма графа выбора категории безопасности компонентов защи-

ты приведена на рис. 6 и в некоторой степени она похожа на диаграмму

оценки риска, приведенной на рис. 5.5.

85

Рис. 6.4. Диаграмма выбора категории защиты для компонента СПАЗ

Другим вариантом увеличения безопасности является резервирова-

ние в СПАЗ.

В зависимости от требований к отказоустойчивости средств СПАЗ

используются различные принципы резервирования, например, «Lockstep»

и «Active-Standby».

В режиме «Active-Standby» резервное устройство не выполняет про-

грамму управления (находится, в так называемом, «спящем состоянии»)

и, следовательно, в этом случае проявляется недостаток этого метода ре-

зервирования: при отказе основного устройства ему требуется время, что-

бы активизироваться.

В режиме «Lockstep» резервное устройство выполняет ту же про-

грамму, что и активное и ему не требуется дополнительного времени на

86

активизацию. В режиме «Lockstep» применяются следующие структуры

резервирования:

• дублированный логический контур по схеме «ИЛИ», реализующий

срабатывание ПАЗ при появлении сигнала опасного уровня в одном из

контуров защиты, который носит название конфигурации 1оо2 (табл. 5.5).

Данная структура утверждена по TUV для классов сертификации аварий-

ной безопасности: АК5, АК6;

• дублированный логический контур по схеме «И», реализующий

срабатывание ПАЗ при появлении сигнала опасного уровня в обоих кон-

турах, который носит название конфигурации 2оо2. Применение такой

схемы ограничено. Так данная структура не утверждена по TUV для клас-

сов АК5, АК6;

• троированный логический контур по схеме «ИЛИ», реализующий

срабатывание ПАЗ при появлении сигнала опасного уровня в одном из

контуров – это конфигурация 1оо3. При обнаружении неисправности од-

ного из контуров для классов безопасности АК5, АК6 (TUV) не разрешает-

ся работа ПАЗ;

• троированная (TMR) система с мажоритарным голосованием 2оо3

(логический контур по схеме «два из трех», который реализует срабаты-

вание ПАЗ при появлении сигнала опасного уровня в двух из трех конту-

ров). При обнаружении неисправности одного из контуров для классов

безопасности АК5, АК6 (TUV) разрешается работа ПАЗ в течение 1500 ча-

сов до устранения неисправности, однако, при этом система деградирует

до архитектуры 1оо2;

• схемы 1оо1D, 1оо2D, 2оо2D, 2оо3D, которые имеют встроенное

диагностирование (если диагностика обнаруживает опасный отказ, то

осуществляется включение контакта блокировки).

Сравнивая возможности этих схем, следует отметить достоинства

конфигурации 1оо2D. Это дублированный логический контур по схеме

«ИЛИ» с диагностикой, который обеспечивает срабатывание ПАЗ при по-

явлении сигнала опасного уровня в одном из логических контуров. При

обнаружении неисправности в одном из контуров для класса безопасно-

сти АК5 (TUV) разрешается работа ПАЗ в течение 72 часов, которые да-

ются на устранение неисправности (замену модуля).

87

Варианты архитектуры приборных каналов ПАЗ

Рис. 6.5. Простая структура аварийного отключения

Рис. 6.6 Простая структура аварийного отключения с диагностированием отказа

Рис. Голосующая структура 1 из 2-х

88

Рис.6.7. Голосующая структура 1 из 2-х с диагностированием отказа

Рис.6.8. Голосующая структура 2 и 2-х

2oo2D

Рис.6.9. Голосующая структура 2 из 2-х с диагностированием отказа

89

Рис.6.10. Голосующая структура 2 из 3-х

На схемах МЭК, приведенных выше показано резервирование только

ПЛК:

I – входной модуль;

L – процессор, например, ПЛК;

– выходной модуль;

D – диагностирующий модуль.

Однако такое же резервирование может быть реализовано и для из-

мерительного, и исполнительного устройств

Общие рекомендации по выбору структуры контуров приборной за-

щиты СПАЗ.

Одноканальные системы 1оо1 – ненадежны и небезопасны. Промыш-

ленный вариант этой категории, сертифицируемый по классу SIL2 (SIL3) –

это система 1оо1D.

Пример применения структуры 1oo1D – это контур защиты, сертифи-

цируемый TUV по уровню безопасности RC6 / SIL3, который в концепту-

альном виде показан на рис. 6.11. Как следует из рисунка, выходной сиг-

нал проходит через двойной переключатель, дублирующие компоненты

которого выполнены по различным технологиям. Через электронный

ключ подаётся нормальный выходной сигнал контроллера; в то же время

реле, управляемое встроенной схемой диагностики, обеспечивает (через

цепь нормально открытых контактов) дополнительный ключ, контроли-

рующий подачу выходного сигнала.

В нерезервированной конфигурации, в том случае, если диагностиче-

ской схемой будет обнаружена неисправность, контакты реле будут авто-

матически приведены в «безопасное состояние», то есть разомкнуты.

Высокий уровень безопасности технологического процесса достига-

ется за счёт развитых в схеме 1оо1D функций самодиагностики, включа-

90

ющих, например, измерения тока и напряжения, временных параметров,

параметров синхронизации сигналов, проверку целостности передавае-

мых и обрабатываемых данных.

Рис. 6.11. Резервирование 1оо1D

Примером голосующей структуры «два отказа из двух» является

схема 2оо2 (дублированный логический контур по схеме «И»). Оборудо-

вание, выполненное по такой схеме резервирования, имеет повышенную

опасность: частота несрабатывания и риск возникновения аварийных си-

туаций по причине несрабатывания в схеме 2оо2 по сравнению со струк-

турой 1оо1 удваивается. Это означает, что частота и вероятность ложного

срабатывания и, соответственно, беспричинного останова процесса уве-

личивается.

Система с тройным модульным резервированием с голосующей

структурой «два одинаковых голосующих имеют преимущество из трех»

2оо3 обеспечивают приемлемый баланс безопасности и надежности

и обеспечивает безопасность уровня SIL3, SIL4.

При рассмотрении требуемой степени снижения риска следует исхо-

дить из критериев, связанных с приращением стоимости устранения фа-

тального исхода. Эту величину можно подсчитать, разделив суммирован-

ные за год расходы на дополнительное оборудование и технику, обеспе-

чивающие увеличение полноты безопасности, на приращение сокращения

риска. SIL большего уровня считается оправданным, если затраты такого

выбора на устранение фатального исхода оказывается меньше предусмот-

ренного заданием на СПАЗ величины расходов.

«Минимальному практически приемлемому уровню» трудно дать ко-

личественную оценку. Предполагается, что необходимо произвести вы-

числения, приняв во внимание достигаемое дополнительное снижение

уровня риска и связанные с этим потери (денежных средств, времени,

91

комфорта). Если обнаруживается существенная диспропорция, то полу-

ченные преимущества ничтожны в сравнении с затратами.

Принять решение о целесообразности дальнейшего снижения уровня

риска ответственному лицу помогает «анализ эффективности затрат»

(CBA). Дополнительные меры по снижению уровня риска могут считаться

целесообразными до тех пор, пока затраты на их реализацию находятся

в разумном соотношении с приносимой пользой.

Попросту говоря, если соотношение «затраты / польза» превышают

«коэффициент диспропорции» (DF), то такие меры считаются неоправ-

данными для достигаемого снижения уровня риска.

Величина коэффициента диспропорции, которая считается чрезмер-

ной, – это от 1 и выше – в зависимости от числа факторов воздействия,

включающих тяжесть и периодичность последствий, т.е. чем выше риск,

тем выше и коэффициент диспропорции.

Позволительные преимущества, которые могут быть заявлены в ходе

анализа эффективности затрат, могут включать все преимущества от мер

повышения безопасности в полном объеме, если они не недооценены.

Преимущества должны включать все аспекты снижения уровня риска для

населения, работников и общественности, включая:

• предотвращение гибели;

• предотвращение травм (легких и тяжелых);

• предотвращение ухудшения состояния здоровья;

• предотвращение ущерба окружающей среде, если применимо

(например, контроль за основными факторами опасности на производстве).

Заявленные преимущества, если необходимо, также могут включать

предотвращение развертывания аварийных служб и принятия контрмер,

таких как эвакуация и очистка после аварий. Однако для сравнения пре-

имуществ мер повышения безопасности и соответствующих затрат долж-

ны использоваться общие основания. Например, простой метод грубого

отбора мер позволяет сопоставить преимущества и затраты в простой

форме денежных средств в год для всего жизненного цикла предприятия.

Зарубежные консультационные органы очень осторожны в рекомен-

дациях по установлению коэффициента диспропорции для защиты проек-

тируемого объекта. Не существует и каких-либо конкретных указаний су-

дебных органов относительно того, что необходимо учитывать при оценке

диспропорции затрат и выгоды. В связи с этим решение следует прини-

мать с учетом условий каждого конкретного случая, опираясь на доступ-

ные данные об известных происшествиях.

Для разъяснения возможной оценки диспропорции затрат и выгоды

СПАЗ приводится следующий пример: «Со времен исследований на объ-

92

екте «Б» в Сайзуэлле 1987 года применяются следующие коэффициенты

диспропорции:

• для рисков низкого уровня для общественности принят коэффици-

ент 2;

• для рисков для работников принят коэффициент до 3 (т.е. затраты

превышают отдачу в 3 раза);

• для рисков высокого уровня принят коэффициент 10».

Пусть в качестве примера рассматривается химический завод с про-

цессом, который в случае взрыва, может привести к:

• гибели 20 человек;

• инвалидности 40 человек;

• травмированию 100 человек (тяжелые травмы);

• легким травмам у 200 человек.

Вероятность взрыва оценивается в 10–5 в год, что эквивалентно 1 на

100 000 в год.

Расчетный срок работы предприятия – 25 лет. Каковы разумные за-

траты организации на предотвращение риска взрыва?

Ответы: Если риск взрыва исключен, то преимущества можно оце-

нить следующим образом:

• гибель: 20 × 1,336,800 фунтов стерлингов × 10–5 × 25 (лет) = 6684

фунтов стерлингов;

• инвалидность: 40 × 207,200 фунтов стерлингов × 10–5 × 25 (лет) =

2072 фунтов стерлингов;

• тяжелые травмы: 100 × 20,500 фунтов стерлингов × 10–5 × 25 (лет)

= 512 фунтов стерлингов;

• легкие травмы: 200 × 300 фунтов стерлингов × 10–5 × 25 (лет) = 15

фунтов стерлингов;

• общие преимущества = 9 283 фунтов стерлингов.

Величина 9 283 фунтов стерлингов – это предполагаемая польза от

предотвращения возможности взрыва на предприятии, основанная на со-

кращении возможного числа жертв. (Этот метод не учитывает амортиза-

цию или инфляцию). Для мер, которые считаются неприемлемыми, затра-

ты на безопасность должны несоизмеримо превышать полученные пре-

имущества. В этом случае коэффициент диспропорции укажет на то, что

последствия такого взрыва имеют высокую цену. Коэффициент превы-

шающий 10, маловероятен, поэтому для предотвращения угрозы взрыва

может оказаться «практически целесообразным» ограничить затраты на

безопасность суммой на уровне 93 000 фунтов стерлингов (9 300 фунтов

стерлингов × 10). Ответственное лицо должно обосновать применение

низкого коэффициента.

93

Такой простой анализ позволит исключить или предусмотреть за-

тратные меры безопасности путем оценки альтернативных решений для

снижения уровня риска.

94

РАЗДЕЛ 7.

РАСЧЕТНЫЕ ФОРМУЛЫ ПРОЕКТИРОВАНИЯ

СИСТЕМ АВАРИЙНОЙ БЕЗОПАСНОСТИ

Существуют различные варианты последовательности проектирова-

ния СПАЗ.

В этом пособии предлагается следующая последовательность проек-

тирования систем аварийной безопасности [4]:

1. Исходя из практики эксплуатации объектов НГО, устанавливается

заданная приемлемая безопасность технологического процесса (приемле-

мый риск).

2. Осуществляется анализ опасностей и риска технологического объ-

екта, например, с использованием технологий HAZID на начальном этапе

проекта или рекомендаций HAZOP (выделяются опасности процесса

и устанавливаются требования к CПАЗ). По результатам анализа разраба-

тывается декларация промышленной безопасности опасного производ-

ственного объекта.

3. Для снижения уровня риска до допустимого (допустимым считает-

ся риск приемлемый в нефтегазовой отрасли с учетом существующих

в настоящее время социальных ценностей) разрабатываются технологиче-

ские (конструктивные, ПТЭ, энергетические) меры по обеспечению при-

емлемой надежности технологических установок (ГОСТ Р МЭК 62061).

Часто, такая защита реализуется в виде многослойной структуры.

4. Для обеспечения допустимого уровня риска от возможных допол-

нительных опасностей разрабатываются контуры (каналы управления)

приборной функции безопасности (SIF), отвечающие за отдельно выде-

ленные критические параметры (параметры процесса, связанные с уста-

новленными опасностями).

5. Каждый контур SIF системы аварийной безопасности СПАЗ про-

ектируется отдельно, и каждому контуру назначается свой системный

уровень надежности SIL, обеспечивающий заданное снижение уровня

риска с используемой проектируемой СПАЗ.

6. Чтобы достичь установленного уровня SIL, для каждого контура

индивидуально подбирают его архитектуру, включающую в себя следу-

ющие основные элементы: измерительное устройство, устройство логиче-

ского управления, барьер искробезопасности, источник энергопитания,

телекоммуникационные средства и исполнительные механизмы. Уровни

отказоустойчивости SIF в свою очередь определяют их структуру: 1oo1,

1oo1D, 1oo2, 1oo2D, 2oo3, 2oo2, 2oo4 и т.д.

95

7. Выбор структуры SIF производится по рекомендациям ГОСТ Р

МЭК 61508, 61511 в зависимости от применяемого устройства (а точнее,

его показателей: PFDavg (средняя вероятность опасного отказа), SFF (доли

безопасных отказов), Diagnostic coverage (диагностического охвата) доли

отказов по общей причине (β)).

8. При выборе компонентов СПАЗ каждое устройство SIF (датчик,

барьер искробезопасности, контроллер, блок питания, клапан, устройство

включения / выключения) должно иметь свой сертификат, подтверждаю-

щий соответствие характеристик устройства требованиям стандартов

ГОСТ Р МЭК 62061, 61508, и указывающий на то, что данное устройство

может применяться в контурах, связанных с безопасностью до уровня

полноты безопасности SIL1–4.

9. Используя данные об интенсивности опасных и безопасных отка-

зов отдельных устройств SIF, и задаваясь периодом тестового обслужива-

ния (диагностического охвата) контура инструментальной функции без-

опасности, рассчитывается общая PFDavg контура защиты, которая должна

соответствовать системному уровню надежности SIL, обеспечивающему

заданное снижение уровня риска.

10. Идентифицируют STL (Spurious Trip Level), уровень ложных от-

ключений каждого контура защиты.

11. Определяют (например, из документов на компонент) ожидаемую

интенсивность ложных отказов Spurious Trip Rate (STR) для каждого из

компонентов СПАЗ. Эти интенсивности объединяются для каждого кон-

тура SIF СПАЗ.

12. Используя полученную в результате проектирования структуру

СПАЗ, вычисляется PFS (Probability to Fail Safe, вероятность безопасного

отказа), значение которого указывает на вероятность тех отказов СПАЗ,

которые могут привести к ложной остановке процесса.

Общая интенсивность отказов аппаратных средств подсистемы дат-

чиков или логической подсистемы является суммой интенсивности опас-

ных отказов и интенсивности безопасных отказов, которые в случае от-

сутствия подтвержденной детальной информации с указанием долей ти-

пов отказов полагают равными (т.е. половину отказов составляют опасные

отказы и половину безопасные отказы).

В случае отсутствия подтвержденной детальной информации с ука-

занием долей разных типов отказов подсистемы оконечных (исполни-

тельных) элементов все отказы таких компонентов считаются опасными

отказами.

13. Устанавливается (принимается) решение по обеспечению надеж-

ности, которое позволяет получить требуемое среднее время наработки до

безопасного отказа MTTFspurious для СПАЗ.

96

14. Если расчетное время наработки до безопасного отказа

MTTFspurious неприемлемо, то необходимо изменить структурные ком-

поненты СПАЗ (конфигурацию аппаратных средств, добавить резервиро-

вание, уменьшить тест-интервал, выбрать аппаратные средства с большей

надежностью, и т.д.), и повторно вычислить соответствие требованиям

SRS, определенным в Технических документах требованиям техники без-

опасности для каждого SIF.

15. Определяется вариант интеграции СПАЗ и АСДУ в АСУ ТП

16. Определяется необходимый временной интервал тестового кон-

троля TI СПАЗ.

17. Оценивается эффективность тестового контроля TI СПАЗ, назна-

чаемого для эксплуатационного периода.

Таким образом, при проектировании ПАЗ выполняются:

расчеты, связанные с анализом опасностей/рисков и возможности

использования различных слоев защиты для снижения риска;

расчеты, связанные с выбором компонентов SIS, обеспечивающих

требуемый SIL;

расчеты, связанные с технико-экономическим потерями, вызван-

ными ложными остановками оборудования;

расчеты, связанные с определением диагностики СПАЗ и оценкой

эффективности тестового контроля в период эксплуатации.

В соответствии с ГОСТ Р 61508 проектируемая система безопасности

может отказать одним из двух способов.

Во-первых, система защиты может отказать, НЕ выполнить функцию

защиты, в то время как это действительно требуется со стороны процесса

развития аварийной ситуации на EUC.

Примером подобной ситуации являются промежуточное реле с за-

липшими контактами, которые не могут разомкнуться для правильного

срабатывания блокировки. Подобные отказы называют опасными отка-

зами.

Уровень SIL, обеспечивающий снижение опасных отказов до допусти-

мого, можно определить путем согласованной с заказчиком степени сниже-

ния риска аварийности EUC при внедрении СПАЗ. Пример.

Пусть в результате сравнении рассчитанного риска с допустимым

установлено требование о снижении риска, связанного с неисправностью

EUC, до уровня риска 2 (диаграмму рис. 5.5). При риске 2 в соответствии

с рекомендациями ГОСТ Р 61508 следует использовать контур аварийной

защиты SIF с допустимым уровнем SIL не меньшим 2.

97

Во-вторых, SIS может вызвать или инициировать ложный, немоти-

вированный останов и остановить технологический процесс, в то время

как фактически ничего опасного не произошло.

Функции и системы безопасности устанавливаются для того, чтобы

защитить людей, окружающую среду и сохранить оборудование. Функция

безопасности должна активироваться только при возникновении опасной

ситуации. Функция безопасности, которая активируется без наличия

опасной ситуации (например, из-за внутреннего сбоя), приводит к эконо-

мическим потерям.

Например, если выходные цепи контура защиты будут спроектиро-

ваны таким образом, что в нормальных рабочих условиях реле выключе-

ния насоса будет находиться под напряжением с замкнутым контактом

промежуточного реле ПЛК. Следовательно, в случае отказа системы

электропитания шкафа управления напряжение с реле снимется и насос

остановится, что вызовет остановку EUC. Некоторые специалисты назы-

вают подобную ситуацию «безопасным» отказом системы защиты EUC.

Метрика допустимого уровня опасности ложных отключений STL при-

борной системы защиты может быть определена потерями активов или

финансовым ущербом производства из-за внутреннего сбоя функции без-

опасности, вызванной ложным срабатыванием СПАЗ.

Безопасные отказы могут быть учтены при расчетах вероятности

ложной остановки производства.

Ложное срабатывание может произойти:

по причине отказа оборудования;

из-за ошибки программного обеспечения;

из-за ошибки обслуживания;

неправильной калибровки;

неправильной предаварийной уставки (задания);

отказа полевого оборудования;

отказа модулей ввода-вывода;

отказа центрального процессора;

электрического сбоя;

электромагнитной наводки, и т. д.

STL является метрикой, которая используется для определения уров-

ня производительности функции безопасности с точки зрения ложных от-

ключений, которые она потенциально вызывает. Типичные системы без-

опасности, которые могут приводить к финансовым потерям в зависимо-

сти от уровня STL определены в нормах ANSI / ISA S84, EN 50204. STL

предоставляет конечным пользователям функций безопасности измеряе-

мый показатель, который помогает им определить желаемую допусти-

98

мость ложных отказов их функций безопасности. STL можно определить,

как для всего контура безопасности, так для его компонентов.

Для конечных пользователей всегда существует потенциальный кон-

фликт между стоимостью решений по безопасности и потерей рентабель-

ности, вызванной ложными решениями по безопасности. Концепция STL

помогает конечным пользователям покончить с этим конфликтом таким

образом, чтобы решения по обеспечению безопасности обеспечивали как

желаемую безопасность, так и требуемую отказоустойчивость процесса.

Уровень STL устанавливает задаваемую заказчиком вероятность без-

опасных (ложных) отказов (PFS) системы аварийной защиты EUC (табл.

7.1). Значение PFS определяется внутренними сбоями системы безопасно-

сти, которые запускают CПАЗ EUC. В приведенной ниже таблице показа-

но среднее значение PFSavg, соответствующее номинированному уровню

безопасных отказов STL и степень снижения некоторых технико-

экономических показателей, например, финансовых потерь из-за ложных

отказов STD для каждого уровня STL.

Таблица 7.1

Вариант STL-уровней

STL level PFSavg STD

X ≥10–(X+1)

to <10–X

10X

... ... ...

5 ≥10−6

to <10−5

100000

4 ≥10−5

to <10−4

10000

3 ≥10−4

to <10−3

1000

2 ≥10−3

to <10−2

100

1 ≥10−2

to <10−1

10

Чем больше финансовый ущерб, к которому может привести ложное

отключение, тем необходим более высокий уровень STL СПАЗ. Каждая

компания сама решает для себя, какой уровень финансовых потерь из-за

необоснованных (ложных) остановок производства она может или готова

взять на себя. Это на самом деле зависит от многих различных факторов,

таких как финансовое положение компании, страховой полис, стоимость

процесса остановки и запуска, и так далее. Все эти факторы являются

уникальными для каждой компании. В табл. 7.2 приведен пример того,

как компания может калибровать свои уровни потерь из-за ложных за-

пусков ПАЗ.

99

Таблица 7.2

Функции потерь

STL Значения

6 Финансовые потери ложной защиты 10M and 20M RUB




2 Финансовые потери ложной защиты 500k and 1M RUB

1 Финансовые потери ложной защиты 100k and 500k RUB

None Финансовые потери ложной защиты 0 and 100k RUB

Пусть значение STL для ложных остановок оборудования определено,

исходя из финансовых потерь, в размере 1М RUB (1 миллион рублей)

в пересчете на период годовой эксплуатации EUC.

Это соответствует уровню STL3. При реализации СПАЗ с таким уров-

нем безопасности из-за ложных отказов интенсивность безопасных отказов

СПАЗ должна быть снижена в соответствии с STD в 1000 раз.

В-третьих, в процессе эксплуатации между периодами технического

обслуживания СПАЗ вероятность ее отказа увеличивается до тех пор, по-

ка не будет выполнена диагностика в момент времени T (рис. 7.3) и пока

не будут выполнено соответствующее техническое обслуживание.

Процесс редкого случайного сбоя, характерного для большинства

EUC НГО, может быть описан как процесс Пуассона.

Кумулятивная (накопленная) интенсивность отказа для такого про-

цесса определяется кривой экспоненциального распределения до тех пор,

пока в конечном итоге не наступит полный отказ СПАЗ. Пуассоновский

закон распределения можно заменить линейно возрастающей функцией

вероятности отказов во времени. Это тренд (касательная к кривой вероят-

ности в начальной точке) накопленной интенсивности отказов, в частно-

сти, не детектируемых опасных отказов (λDU), показатель которого про-

порционален времени эксплуатации.

Компонентный состав приборной реализации функции безопасности

SIF СПАЗ может быть различным.

Пусть проектный контур защиты (SIF) реализуется в виде архитекту-

ры 1оо1 и включает в себя 5 элементов: измерительное устройство, логи-

ческое устройство (контроллер), источник питания, исполнительный ме-

ханизм (контактор) и барьер искробезопасности (рис. 7.1).

100

Они образуют приборный контур защиты для выполнения функции

обеспечения безопасности работы установки, например, при аварийном

изменении температуры. Вероятность отказа контура защиты PFDavg

и включенных в него SIF, каждый из которых реализован на основе 5-ти

компонентов вычисляется как:

изм лог ист исп барSISPFD PFD PFD PFD PFD PFD .

Для расчетов безопасности контура защиты воспользуемся данными

табл. 5.5 где приведены количественные данные интенсивности безопас-

ных отказов, опасных детектируемых отказов, безопасных, безопасных

недектируемых отказов соответственно λ s, λ dd, λ du, которые можно найти

в руководствах по безопасности, предоставляемые производителями кон-

кретных КИПиА.

Пусть задан уровень безопасности SIF SIL2.

Системы, связанные с обеспечением безопасности, можно подразде-

лить на две категории: работающие в режиме низкой частоты запросов на

блокировку опасной ситуации и в режиме высокой частоты запросов. ГОСТ

61508 количественно определяет эту классификацию, устанавливая, что ча-

стота запросов на работу системы обеспечения безопасности в режиме низ-

кой частоты запросов (категория А) не превышает одного раза в год и более

одного раза в год в режиме высокой частоты запросов (категория В).

Примем для расчетов низкую интенсивность запросов технологиче-

ским процессом на аварийное отключение. Исходные и расчетные данные

сведем в табл. 7.3.

Таблица 7.3

Расчетные данные

Элемен-

ты SIF

MTB

F

(лет)

λ/год λs/год λdd/го

д

λdu/го

д

PFDavg

1оо1=

λdu/2

RRF=

1/PFDa

vg

Допусти-

мый

SIL

Датчик

Tx

102 0,0098

0

0,0080

0

0,001

0

0,0008

0

0,00040

0

2500 SIL3

Барьер

ИБ

314 0,0031

8

0,0015

9

0,001

4

0,0001

9

0,00009

5

10526 SIL3

ПЛК 685 0,0014

6

0,0013

5

0,000

1

0,0000

1

0,00000

5

200000

Контак-

тор

12 0,0833

3

0,0415

0

0,020

0

0,0218

3

0,01091

5

92 SIL1

Источ-

ник пи-

тания

167 0,0060

0

0,0053

0

0,000

0

0,0007

0

0,00035

0

2857 SIL3

Общая

(SIF)

10 0,1037

7

0,0577

4

0,022

5

0,0235

3

0,01176

5

85 SIL1

101

Определение соответствия величины PFDavg1оо1 выбранного про-

ектного варианта SIF требованиям безопасности. При расчете исполь-

зуются следующие допущения.

Пусть для каждого компонента SIF эффективность периодических

тестов по выявлению опасных отказов равна 100 %.

Это позволяет использовать простую формулу для расчета средней

вероятности отказа выполнения требуемой функции безопасности. Для

компонентов с архитектурой 1оо1 формула расчета PFDavg имеет вид:

( ) λ λ / 2avg dd du

PFD TI MTTR TI ,

где MTTR – время восстановления в часах (обычно его принимают равным

8 часам или 0,0009 года);

TI – интервал времени между функциональными проверочными те-

стами (обычно полгода, год (8 760 час), два года).

Поскольку слагаемое (λdd × 8) существенно меньше (λdu × 4 380), то

формулу можно упростить:

( ) λ / 2 λ 8760/ 2avg du duPFD TI TI .

Развернутые формулы расчётов приведены в табл. 7.6.

Для расчета фактора риска выражение RRF воспользуемся:

_ _ _ _ _ 1

_ _ avg

Частота инцидентов без принятия мер защитыRRF

Допустимая частота инцидентов PFD .

Сопоставим значения SIL (табл. 7.4) по опасным отказам PFDavg

и RRF отдельных элементов SIF с табличными (табл. 7.3).

Таблица 7.4

Интегрированные уровни безопасности

SIL

Интегральный

уровень без-

опасности

PFDavg

Средняя веро-

ятность отка-

за на запрос

(низкая ин-

тенсивность

запросов)

(1-PFDavg)

Готовность


RRF

Фактор сни-

жения риска

PFDavg

Средняя веро-

ятность отка-

за на запрос

(высокая ин-

тенсивность

запросов)

SIL4 ≥ 10–5

и 10–4

От 99,99 до

99,999 %

От 100000 до

10000

≥ 10–9

и < 10–8

SIL3 ≥ 10–4

и 10–3

От 99,9 до

99,99 %

От 10000 до

1000

≥ 10–8

и < 10–7

SIL2 ≥ 10–3

и 10–2

От 99 до 99,9

%

От 1000до 100 ≥ 10–7

и < 10–6

102

SIL1 ≥ 10–2

и 10–1

От 90 до 99 % От 100 до 10 ≥ 10–6

и < 10–5

Рис. 7.1. Структура аварийной защиты 1oo1 архитектуры

для технологического объекта

Паспортные данные датчика Тx указывают на то, что уровень его без-

опасности соответствует SIL3, так как расчетная средняя вероятность от-

каза при выполнении заданной функции безопасности PFDavg1оо1 оказа-

лась равной 0,0004 отказов/год. Аналогично источник питания тоже соот-

ветствует SIL3. Барьер и ПЛК соответствуют SIL3. Однако контактор

насоса (автоматный включатель/выключатель насоса) с PFDavg = 0,010915

соответствует только SIL1. Это недостаточно для обеспечения приборной

безопасности, соответствующей SIL2.

При пересчете на годовой интервал технического обслуживания рас-

считываемого контура защиты величина вероятности опасного отказа

PFDavg будет равной 0,011765, а RRF – 85.

Это значит, что интегрированный уровень безопасности контура

защиты соответствует SIL1.

Так как класс требований к системе аварийной безопасности (был

установлен выше) должен соответствовать SIL2, то делаем заключение,

что контур аварийной защиты не может обеспечить требуемый уровень


Поэтому необходимо либо использовать другой контактор с меньшей

вероятностью отказа при выполнении заданной функции безопасности,

либо осуществить его резервирование, либо уменьшить период его техоб-

служивания TI.

Пусть по соображениям обеспечения регулярности технического

обслуживания контактора принято решение выполнить его резервирова-

ние.

103

Для расчетов PFDavg различных схем резервирования можно исполь-

зовать следующие упрощенные выражения (табл. 7.5).

Таблица 7.5

Упрощенные формулы расчета avgPFD

Тип архитектуры Формула упрощенного расчета

1oo1 λ / 2avg duPFD TI

1oo2 2 2λ

3du

avg

TIPFD

1oo3 3 3λ

4du

avg

TIPFD

2oo2 λavg duPFD TI

2oo3 2 2λavg duPFD TI

Таблица 7.6

Развернутые формулы расчета значений PFDavg

Тип

архитектуры Формула

1 2

1оо1

1оо2

2оо3

Примечания:

• DU – интенсивность скрытых опасных отказов компонента си-

стемы (блока);

• DD – интенсивность опасных отказов компонента системы (бло-

ка), выявляемых системой самодиагностики;

• PTC – охват контрольными проверками (proof test coverage);

104

• DT – интервал между тестами самодиагностики;

• SL – срок жизни СПАЗ. Это может быть время, после которого си-

стема полностью тестируется, заменяется или срок жизни объекта, если

система никогда полностью не тестируется и не заменяется;

• TI – интервал между поверочными тестами (proof test interval);

• – доля отказов по общей причине.

1. В левой колонке табл. 7.6 проставлены коды вида архитектуры, по

которой построена рассматриваемая СПАЗ. При этом код MooN означает,

что данная система сохраняет свою работоспособность при отказе любых

M – 1 из имеющихся в ней N параллельно работающих частей (блоков,

каналов).

2. В формулах табл. 7.6 не учтено влияние длительности периодиче-

ских тестов. Предполагается, что периодическое тестирование реализует-

ся во время останова технологической линии, а также существенным об-

разом не влияет на показатели безопасности.

С учетом среднего времени восстановления системы защиты для

нерезервированной архитектуры 1оо1 средняя вероятность отказа ПАЗ по

требованию можно вычислять по упрощенной формуле

λ / 2 λavg du ddPFD TI MTTR .

В процессе роста диагностического охвата элементов ПАЗ и увели-

чения усложнения СПАЗ повышается ее чувствительность к возможным

безопасным отказам. Из-за этого поток безопасных отказов ПАЗ начинает

быстро расти. В результате начинает расти число неоправданных остано-

вок EUC (ТП). Неоправданные остановки технологических процессов

приводят к большим экономическим потерям бизнеса.

Сводка формул расчета частоты ложных аварийных срабатываний

STR приведена табл. 7.7.

Таблица 7.7

Сводка формул расчета частоты

ложных аварийных срабатываний STR

105

Определение показателей СПАЗ, связанных с ее ложным отказом

(PFSavg1оо1).

Probability to Fail Safe (PFS) – это вероятность безопасных отказов

ПАЗ, которые могут привести к остановке технологического процесса.

Значение PFSavg1оо1 определяется внутренними сбоями системы безопас-

ности, которые запускают ПАЗ процесса.

Пусть в компании соответствие PFS уровням безопасности ложных

отказов STL определено так, как показано в табл. 7.2.

Пусть при годовой интенсивности остановок производства λs, связан-

ной с ложными отказами ПАЗ известна (табл. 7.3), и в случае выполнения

процедуры короткого рестарта время восстановления, вызванного ложной

остановкой, определено нормативом компании: SD = 8 час. или 0,0009 года.

Тогда средняя вероятность процедуры восстановления в течение 8

час. с последующим рестартом определяется как:

PFSavg1оо1 =λ × +λ ×susdSD SD = 0,05774 0,0009= 0,57 10

–4 .

Эта величина согласно табл. 7.1 соответствует уровню STL4. а это

означает, что благодаря использованию приборной ПАЗ, финансовые по-

106

тери из-за одной ложной остановки возможны большие и исходя из при-

емлемого для предприятия уровня экономических потерь должны быть

уменьшены более чем в 10 000 раз.

Сводка упрощенных формул для расчета среднего времени наработ-

ки SIF до ложного отказа приведена в табл. 7.8.

Таблица 7.8

Упрощенные формулы для ложных откакзов

Тип архитектуры Формула упрощенного расчета

1oo1 1/ λs s

MTTF

1oo2 2 / λs s

MTTF

2oo2

2

1

2 λs

s

MTTFMTTR

2oo3

2

1

6 λs

s

MTTFMTTR

В процессе эксплуатации CПАЗ необходимо учитывать особенности

ее технического обслуживания и восстановления (рис. 7.2).

.

Рис. 7.2. Особенности технического обслуживания СПАЗ

Разница между средним временем ремонта MDT (Mean down time)

и средним временем восстановления MTTR заключается в том, что MDT

включает в себя все время простоя, связанное с ремонтом, корректирую-

щим и профилактическим обслуживанием, вынужденное время простоя

плюс любые логистические или административные задержки рестарта

СПАЗ, а MTTR – это исключительно время ремонта.

Теперь произведем учет реальностей технического обслуживания

СПАЗ1001.

107

По мере роста времени вероятность отказов ПАЗ, не обнаруженных

диагностикой, увеличивается (тренд рис. 7.3).

Рис. 7.3. Изменение вероятности опасных отказов

между периодами технического обслуживания

Если интервал тестирования контактора установить ежеквартальный,

то в этом случае вероятность его опасного отказа PFDavg1оо1 может быть

снижена до 0,0043, что будет соответствовать величине уровня безопас-

ности – SIL2.

В соответствии с техническими регламентами опасного производства

ежеквартальное техническое обслуживание ПАЗ в случае использования

архитектуры 1оо1 будет требовать ежеквартальную остановку EUC. Такая

частая остановка, естественно, будет негативно отражаться на экономиче-

ских показателях производства.

Оценим возможности изменения периода технического обслуживания.

Если периодическое тестирование КИПиА CПАЗ выявляет 99 %

опасных отказов λdu (это, тем более, справедливо из-за того, что эффек-

тивность проверочных тестов никогда не может достигать 100 %), то

формула расчета PFDavg в зависимости от планового-предупредительного

периода технического обслуживания ПАЗ для 1оо1-архитектуры компо-

ненты ПАЗ принимает следующий вид:

( ) λ (1 ) λ2 2avg t tdu du

TI SLPFD TI E E ,

где Et – эффективность проверочного теста (0–100 %); а SL – может быть:

108

• время между двумя заменами компонента;

• срок службы компонента (если не производятся проверочные те-

сты или его замены).

Пусть вероятность выявления и устранения опасных отказов контак-

тора в течение года эксплуатации составляет 90 % и предусмотрена его

замена через 2 года эксплуатации с заменой всего контура защиты.

Тогда

PFDavg1оо1 = 0,90,021830,5 + (1–0,9) 0,02183 1=

=0,0107 + 0,002183 = 0,013.

Из этого расчета PFDavg1оо1 следует, что в результате технического

обслуживания, хотя и с высокой эффективностью проверочного теста, но

не 100 % гарантией выявления и устранения опасных отказов, средняя ве-

роятность отказа контактора на запрос выполнения требуемой функции

безопасности увеличивается незначительно (всего на 30 %).

Для расчета вероятности опасного отказа PFDavg1оо1 при регулярном

тестировании воспользуемся схемами расчета, приведенными на рис. 7.4

и 7.6.

Рис. 7.4. Схема расчета надежности архитектуры 1оо1

На рис. 7.4 показано, что канал с регулярной диагностикой его состо-

яния можно рассматривать состоящим из двух компонентов потока отка-

зов, одного с интенсивностью опасных отказов λdu

, обусловленной необ-

наруженными отказами, а другого с интенсивностью опасных отказов

λdd

, обусловленной обнаруженными отказами.

Эквивалентное среднее время простоя канала 1оо1 CEt можно рас-

считать, суммируя с учетом эффективности тестирования времена про-

стоя для двух компонентов, 1C

t и 2C

t :

1λ λ

( )λ 2 λdu dd

CEd d

Tt MTTR MTTR

(час) = 0,25 года,

109

где λ λ λd du dd

=0,046 (отк/год).

Тогда средняя вероятность отказа выполнения функции безопасности

схемы 1оо1 PFDavg:

λ1 λCEd

tavg CEd

PFD e t ,

PFDavg= 0,0460,25= 0,011.

Обычно для устройств, сертифицированных по стандарту ГОСТ Р

МЭК 61508, исходные данные интенсивностей отказов для проверочного

расчета можно найти на сайте производителя и (или) в руководстве по

безопасности (например, изделия Exida). Расчеты по безопасности явля-

ются неотъемлемой частью сертификата соответствия устройства стан-

дарту, в котором указываются его SIL и количественные характеристики

отказов по типам.

Для того чтобы выполнить проектную верификацию соответствия

контуров безопасности назначенным уровням SIS, необходимо, во-

первых, убедиться, что выполнены требования, предъявляемые к отказо-

устойчивости контура, так называемые структурные ограничения. Во-

вторых, следует убедиться, что выполнены рекомендации по снижению

систематических отказов. После этого можно переходить к расчету PFDavg

или PFH для функции безопасности SIS. Для выполнения расчета необхо-

димы следующие исходные данные: структура контура безопасности;

значения интенсивностей отказов оборудования, входящего в контур; до-

ля отказов для избыточных структур; временной интервал между кон-

трольными проверками оборудования контура; время ремонта и восста-

новления отказавшего оборудования. Структура контура безопасности SIF

определяет модель, по которой будут проведены расчеты PFDavg.

Если в рассматриваемом контуре ПАЗ хотя и используется контрол-

лер SIL3, но полевые КИПиА устаревшее и не отвечают требованиям по

полноте безопасности, то уровень полноты безопасности всего контура

будет равен SIL1. Однако многие разработчики оправдывают выбор ПЛК

с таким уровнем безопасности тем, что он единственный контроллер, ко-

торый осуществляет сбор данных измерений множества датчиков ПАЗ

и выдачу сигналов блокировок множеству исполнительных устройств

и его отказ делает неминуемым отказ всей системы ПАЗ технологическо-

го процесса.

110

Рис. 7.5. Варианты резервируемых архитектур СПАЗ

Определение показателей безопасности СПАЗ1оо2

Для улучшения показателей безопасности СПАЗ1001 логично восполь-

зоваться резервированием каналов защиты путем реализации ПАЗ1оо2. То-

гда при техническом обслуживании одного из каналов ПАЗ1оо2 другой бу-

дет продолжать обеспечивать защиту.

Интенсивность опасного отказа для такой схемной реализации ПАЗ

будет: 2

1sys DT = 0,0021 отк/год.

Вероятность опасного отказа будет равна

PFDavg=2 2

1(λ )

3du

T= 0,000176.

Поэтому в случае выбора архитектуры ПАЗ 1оо2 межтестовый пери-

од может быть увеличен и что еще очень важно: при техническом обслу-

живании СПАЗ EUC можно не останавливать, так как его аварийная за-

щита во время тестирования одного из каналов защиты будет поддержи-

ваться.

Пусть для сертифицированной СПАЗ техническим регламентом сер-

тифицируюшей компании ограничивается время нахождения ПАЗ с 1оо2-

резервированием в деградированном состоянии (пусть время деградации

ПАЗ в конфигурации 1оо1 должно не превышать 4 час).

Определение среднего времени восстановления ПАЗ1оо2 в результате

технического обслуживания. Стандарт ГОСТ Р МЭК 61508-6 требует,

чтобы в результате тестовых проверок контур SIF (канал СПАЗ) должен

восстанавливаться до исходного состояния в течение установленного ре-

гламентом времени и тесты должны выявлять все опасные недектируемые

отказы. Эти условия довольно жесткие и практически невыполнимые. По-

этому воспользуемся принципом ALARP.

111

Принцип ALARP «Аs Low As Reasonably Practicable» устанавливает

более слабое требование – чтобы отказы после тестирования уменьшались

настолько (или до столь низкого уровня), насколько это практически осу-

ществимо.

Рис. 7.6. Структурная схема технической диагностики архитектуры 1оо2

Эквивалентное среднее время простоя резервированной системы GEt

можно рассчитать:

1λ λ

( )λ 3 λdu dd

GEd d

Tt MTTR MTTR

(час),

где MTTR (Mean Time To Repair), среднее время восстановления системы

(примем его равным 8 часам или 0,0009 года). λd

= 0,046 отк/год. Тогда

эквивалентное время простоя при годовом техническом обслуживании

будет равным:

tGE= 0,02353 / 0,046 (0,33+0,0009) + (0,0225 / 0,046)0,0009 = 0,166 года.

Такое время простоя является критичным и связано это с тем, что не

учитывается эффективность проверочного теста и λdu

соизмеримо с λd

(обычно оно отличается на несколько порядков и в этом случае первое

слагаемое становится даже меньше второго).

Определение влияния зависимых отказов на PFDavg1оо2 CПАЗ.

Резервированная система существенно более надежна по сравнению

с нерезервированной при условии, что её каналы отказывают независимо

друг от друга. Однако, если у резервированных элементов могут произойти

зависимые отказы, например, из-за общего производственного дефекта ПАЗ,

112

ошибки в конструкции, несовершенства эксплуатационной процедуры, то

это приводит к существенному снижению надежности такой системы.

Согласно общепринятому в мире определению, отказы по общей

причине, которые в отечественной нормативной документации именуются

отказами общего вида (ООВ) – это зависимые отказы группы из несколь-

ких компонентов CПАЗ, происходящие одновременно или в течение ко-

роткого промежутка времени (т.е. почти одновременно), вследствие дей-

ствия одной общей причины. Наличие ООВ существенно снижает воз-

можность повышения надежности системы за счет резервирования. По-

этому при расчете PFDavg следует учитывать коэффициент влияния необ-

наруживаемых отказов, называемого бета-фактором (β), который учиты-

вает общую причину возникновения отказа каналов CПАЗ (dangerous un-

detected commoncause failure).

В случае редкого включения CПАЗ (низком уровне требований по

исполнению функции безопасности) для схемы 1оо2 расчетными являют-

ся следующее выражение средней вероятности отказа в выполнении за-

данной функции безопасности для всей системы:

22((1 β) λ ) [(1 β) λ λ ]

3

[β λ ] [λ ]2 2

avg du du dd

DFdu

TIPFD MTTR TI

TI TI

или в более простой записи:

22(λ ) [λ λ ] [β λ ] [λ ]

3 2 2D

avg Fdu du dd du

TI TI TIPFD MTTR TI

,

(5.1)

где MTTR – среднее время восстановления (год);

λdd

– интенсивность детектируемых опасных отказов (отк/год);

λdu

– интенсивность недетектируемых опасных отказов (отк/год)

λDF

– интенсивность систематических опасных отказов (отк/год);

β – коэффициент влияния необнаруживаемых отказов (примем его

равным 0,01).

Последнее слагаемое в этом уравнении – это систематический отказ,

который вводится в расчет только тогда, когда не были учтены система-

тические ошибки отдельных компонент ПАЗ, и заказчик (или регламенты

компании) устанавливают требование включения систематического отка-

за в расчет общей величины всей системы защиты (кстати, именно такие

отказы являются причиной зависимых отказов).

113

Пусть для данного примера расчета ПАЗ систематический отказ со-

гласно регламенту заказчика отсутствует.

Будем считать, что для однотипных элементов, состоящих из ком-

плектов разных предприятий поставщиков, отказы могут быть обусловле-

ны только общностью конструкции. Вследствие такого проектного реше-

ния практически невозможно мгновенное возникновение их одновремен-

ного отказа. Кроме того, явные отказы после обнаружения практически

сразу восстанавливаются (например, расчетное среднее время восстанов-

ления элементов АСДУ составляет 8 ч). Поэтому отказы по общим при-

чинам для элементов, состоящих из разных комплектов, следует рассмат-

ривать только по отношению к скрытым отказам. Значение параметра бе-

та-фактора для них на порядок меньше, чем для групп, относящихся к од-

ному комплекту аппаратуры.

Пусть βD

– доля отказов, обнаруженных диагностическими тестами

и имеющих общую причину возникновения равна 0,02. Тогда:

Рис. 7.7. Схема расчета надежности архитектуры 1оо2

с отказом по общей причине

2 12[(1 β )λ (1 β)λ ] β λ βλ ( )2D DG CE GEdd du dd du

TPFD t t MTTR MTTR .

Здесь с учетом общих причин отказов проектируемой СПАЗ выраже-

ние G

PFD состоит из трёх слагаемых. Первое слагаемое с квадратной ча-

стью описывает простые отказы (normal cause failure). Второе и третье сла-

гаемые определяют вероятность возникновения опасных отказов, имеющих

общую причину возникновения, причём в системе могут происходить как

опасные обнаруживаемые отказы с интенсивностью отказов λdd, так

и опасные необнаруживаемые отказы с интенсивностью отказов λdu.

Расчет дает следующую величину G

PFD :

GPFD = 0,000275,

114

что соответствует уровню безопасности SIL3.

Одновременно вычислим интенсивность ложных отказов STR для

контура защиты, выполненного в соответствии с требованиями архитек-

туры 1оо2:

1 22 λsoo

STR ,

С учетом бета-фактора:

1 2[2 (λ λ )] [ (λ λ )] λSF

oo S Sdd ddSTR ,

1 22 λsoo

STR ,

где λs – интенсивность безопасных отказов;

λSF – интенсивность систематических безопасных отказов (отк/год).

Используя численные значения табл. 5.5, получим интенсивность

ложных отказов CПАЗ равную:

STR1оо2= 0,16 отк/год.

Полученные расчетные данные являются основой для оценки показа-

телей CПАЗ.

Предполагается, что, если случается отказ, он в среднем приходится

на середину интервала между проверками. Иными словами, отказ остается

не выявленным на протяжении 50 % испытательного периода.

Для выявленных и не выявленных отказов среднее время простоя

(MDT) зависит от интервала между проверками, а также от продолжи-

тельности ремонта, или MTTR.

Следовательно, MDT вычисляется как:

MDT = интервал между проверками (TI) + MTTR/2.

Поэтому MDT для выявленных отказов приближается к времени ре-

монта, поскольку интервал между проверками (автотестирование), как

правило, несоизмеримо мал по сравнению с MTTR. Для не выявленных

отказов продолжительность ремонта несоизмеримо мала по сравнению с

интервалом между проверками (периодичность контрольных проверок

Tp), поэтому MDT для не выявленных отказов приближается к Tp/2.

115

РАЗДЕЛ 8.

ПРОЕКТИРОВАНИЕ СИСТЕМЫ БЕЗОПАСНОСТИ

В СООТВЕТСТВИИ С МУ П1-01.04 М-0084

ПАО «НК «РОСНЕФТЬ»

Функции ПАЗ НГО, обеспечивающие перевод EUC в безопасный ре-

жим, должны выполняться в полностью автоматизированном режиме.

Средства ПАЗ выполняют функции отключения автономно без участия

других систем, в частности, АСДУ.

Решения задачи по выбору типа архитектуры СПАЗ рекомендуется

принимать с учетом следующих положений:

при современном уровне эксплуатационной надежности техниче-

ских средств автоматики, информационной и вычислительной техники,

применяемых в составе СПАЗ опасного технологического объекта, требу-

емый уровень полноты безопасности такой системы во многих случаях

может быть достигнут только путем придания ей определенной отказо-

устойчивости и, как следствие, – аппаратурной избыточности. Это озна-

чает, что такие системы должны обладать способностью продолжать вы-

полнение заданных функций автоматической защиты даже при наличии

в системе определенного числа отказавших компонентов;

отказоустойчивостью может обладать как СПАЗ в целом, так и ее

основные технические (аппаратные) подсистемы: блок датчиков, логиче-

ская подсистема (блок ПЛК), блок ИМ и т.п.;

для того чтобы отказоустойчивость ПАЗ была достаточной, SIL

СПАЗ должен удовлетворять ограничениям, налагаемым на ее архитектуру.

Таблица 8.1

Архитектурные ограничения

на уровень полноты безопасности КТС ПАЗ

№

П/П

Отказобезопасность SIL Минимально требуемая

отказоустойчивость

1 1 (Любой режим) 0

2 2 (Режим низкой интенсивности запросов) 0

3 2 (Режим высокой/непрерывной частоты запро-

сов)

1



116

Предварительные проектные решения по архитектуре ПАЗ рекомен-

дуется выбирать так, чтобы достигаемый с их помощью показатель SIL

не уступал требуемому значению, установленному в НГО, например,

в ПАО РНК [3], а отказоустойчивая архитектура была бы способна свести

к минимуму вероятность появления безопасного отказа.

Программное обеспечение СПАЗ должно соответствовать требовани-

ям ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-3, ГОСТ Р МЭК 61508-7,

ГОСТ Р МЭК 61511-1.

Окончательные решения задачи о выборе архитектуры ПАЗ должны

приниматься только после получения проектных оценок показателей

надежности и функциональной безопасности для СПАЗ, построенной по

выбранной архитектуре.

Выбор типов и структуры полевого оборудования (датчиков и ИМ)

для СПАЗ необходимо проводить с учетом следующих положений:

в соответствии с Федеральным законом от 21.07.1997 № 116-ФЗ

«О промышленной безопасности опасных производственных объектов»,

включение в состав любой ПАЗ устройств, не имеющих выданного

надзорным органом (Ростехнадзор) Разрешения на применение на EUC,

не допускается;

в соответствии с уровнем показателей безотказности датчики

и ИМ, применяемые в системах защиты, в значительной степени опреде-

ляют уровень надежности и безопасности всей ПАЗ в целом.

В качестве датчиков состояния технологических объектов противо-

аварийной защиты могут применяться автоматические устройства, имею-

щие на выходе дискретный (логический) или аналоговый сигнал. Приме-

нение в ПАЗ датчиков с аналоговым выходом обладает по сравнению

с дискретными датчиками такими преимуществами, как возможность кон-

троля переходов объекта в два (или более) предаварийных состояния, по-

вышенная точность срабатывания, расширенные возможности самодиа-

гностики исправности датчика и др.

Не рекомендуется использовать в качестве источников информации

для CПАЗ те же датчики, которые в данном проекте применяются в составе

других подсистем АСУ ТП (например, в системе автоматического регули-

рования, в системе технологического или коммерческого учета и т.п.).

Примечание:

Согласно ГОСТ Р МЭК 61511-1 «совместное» использование одного

и того же датчика для CПАЗ и для какой-либо другой подсистемы АСУ

ТП возможно при соблюдении следующих условий:

если требуемый уровень полноты безопасности конкретного бло-

кировочного контура CПАЗ не хуже значения SIL1;

117

если выходной сигнал этого датчика используется в АСУ ТП для

выполнения функции, не связанной с безопасностью.

Поэтому рекомендуется применять этот способ только при необхо-

димости и в сочетании с принципом «проверено практикой».

Не допускается использовать в качестве исполнительных устройств

CПАЗ те же устройства, которые, согласно проекту, предусмотрены в со-

ставе САР АСУ ТП.

Применение в CПАЗ такого способа повышения их надежности

и безопасности, как резервирование датчиков и – особенно – ИМ, связано

со значительными трудностями при эксплуатации. Поэтому рекомендует-

ся применять этот способ только при необходимости и в сочетании

с принципом «проверено практикой».

Примечание: В соответствии с ГОСТ Р МЭК 61511-1 принцип «про-

верено практикой» означает, что устройство данного типа может приме-

няться в системах, связанных с безопасностью (включая CПАЗ), если су-

ществует документированная оценка, основанная на опыте предыдущего

использования таких устройств и доказывающая, что эти устройства при-

годны для применения в CПАЗ.

Для CПАЗ логика аварийного состояния компонентов всегда должно

соответствовать нулевому уровню, а не единице (инверсная логика).

CПАЗ должна функционировать независимо от системы управления

технологическим процессом. Нарушение работы системы управления

не должно влиять на работу CПАЗ.

Должны быть использованы следующие основные способы повыше-

ния надежности CПАЗ:

резервирования центральных контроллеров, модулей вво-

да/вывода, блоков питания, источников бесперебойного питания, инфор-

мационных и управляющих сетей связи с обеспечением горячего и без-

ударного переключения;

резервирование КИПиА посредством:

o технической избыточности;

o информационной избыточности;

o функциональной и алгоритмической избыточности, обеспечи-

вающей работоспособность деградированных систем при единичных от-

казах без останова оборудования.

переход на резерв без останова оборудования и без потери инфор-

мации;

применение отказоустойчивых структур;

выбор ремонтопригодных технических средств с высокими показа-

телями наработки на отказ;

118

реализация мер по обеспечению помехозащищенности (экраниро-

вание кодовых и слаботочных сигнальных связей, выполнение требуемых

правил заземления);

обеспечение возможности горячей замены отказавшего компонен-

та СПАЗ (на уровне ПЛК) на аналогичное из состава ЗИП;

хранение наиболее важной информации и программ в энергонеза-

висимом запоминающем устройстве;

гальваническое разделение каналов, модулей, шин и т.п.

СПАЗ должна быть синхронизирована по времени с системой АСДУ.

К выполнению управляющих функций СПАЗ предъявляются следу-

ющие требования:

команды управления, сформированные алгоритмами защит (бло-

кировок), должны иметь приоритет по отношению к любым другим ко-

мандам управления технологическим оборудованием, в том числе к ко-

мандам, формируемым оперативным персоналом АСУ ТП (если иное

не оговорено в ТЗ на ее создание);

срабатывание одной СПАЗ не должно приводить к созданию на

объекте ситуации, требующей срабатывания другой такой системы;

в алгоритмах срабатывания защит следует предусматривать воз-

можность включения блокировки команд управления оборудованием,

технологически связанным с аппаратом, агрегатом или иным оборудова-

нием, вызвавшим такое срабатывание.

В СПАЗ должно быть исключено их срабатывание от кратковремен-

ных сигналов нарушения нормального хода технологического процесса,

в том числе и в случае переключений на резервный или аварийный источ-

ник электропитания.

В случае отключения электроэнергии или прекращения подачи сжа-

того воздуха для питания систем контроля и управления СПАЗ должны

обеспечивать перевод технологического объекта в безопасное состояние.

Необходимо исключить возможность случайных (незапрограммирован-

ных) переключений в этих системах при восстановлении питания. Возврат

технологического объекта в рабочее состояние после срабатывания СПАЗ

выполняется обслуживающим персоналом по инструкции.

Надежность СПАЗ должна обеспечиваться аппаратурным резервиро-

ванием различных типов (дублирование, троирование), временной

и функциональной избыточностью, наличием систем диагностики с инди-

кацией рабочего состояния и самодиагностики с сопоставлением значений

технологических связанных параметров, уменьшением промежутка вре-

мени между этапами технического обслуживания. Достаточность резер-

вирования и его тип обосновываются разработчиком проекта.

119

При реализации СПАЗ не допускается применение одноканальных

систем (1оо1) для задач защиты взрывоопасных EUC.

СПАЗ НГО должна реализовываться с использованием одной из ар-

хитектур:

одноканальных систем на основе резервированных процессорных

модулей и с поддержкой самодиагностики (1оо1D);

системы с дублированием «один отказ из двух возможных» с под-

держкой самодиагностики (1оо2D)

системы с тройным модульным резервированием с голосующей

архитектурой «два отказа из трех возможных» (2оо3, 2оо3D).

Выбор архитектуры производится по рекомендациям ГОСТ Р МЭК

61511-1. Примеры реализации архитектуры 1оо1D приведены на рис. 8.1–

8.2.

Д

Входной модуль

Вход

Диагностика

Управляющий модуль

Процессорный модуль





Выходной модуль

Выход


1оо1D

Рис. 8.1. Пример 1 реализации архитектуры 1оо1D

120

Д


Вход








Выход

Ключ

1оо1D

Рис. 8.2. Пример 2 реализации архитектуры 1оо1D

Примечание: Все модификации систем с архитектурой 1oo1D атте-

стуются по SIL2.

В системе с дублированием «один отказ из двух возможных» с под-

держкой самодиагностики (1оо2D) (рис. 8.3).

1оо2D

Д


Вход









Вход



Выход



Выход


Рис. 8.3. Пример реализации архитектуры 1оо2D



121

ПАЗ с тройным модульным резервированием с голосующей архитек-

турой «два отказа из трех возможных» (2оо3, 2оо3D) показана на рис. 8.3.


Вход




Выход


Вход




Выход


Вход




Выход

Д

2оо3

Рис. 8.4. Пример реализации архитектуры 2оо3

Примечание: Система с архитектурой 2oo3 имеет большую вероят-

ность отказов, чем система 1оо2D. Однако архитектура 1oo2D может быть

неудовлетворительна с точки зрения безопасных отказов и ложных сраба-

тываний (особенно в условиях низкого диагностического покрытия), в то

время, как система с архитектурой 2оо3 обеспечивает удовлетворитель-

ные показатели для отказов обоих видов (безопасных и опасных). Выбор

архитектуры 2oo3 целесообразен при использовании неинтеллектуальных

устройств, таких как термопары, термометры сопротивления, реле и дру-

гие подобные компоненты.

Построение СПАЗ НГО и её взаимодействие с АСДУ объекта должны

соответствовать концепции, удовлетворяющей требованиям ПБ, функцио-

нальной и кибербезопасности (рис. 8.5). При построении СПАЗ необходи-

мо обеспечить выполнение требований киберфизической безопасности.

122

Рис. 8.5. Киберустойчивая структура АСУ ТП

Примечание: АРМ ПАЗ служит для управления «деблокирующими

ключами», регистрации информации о первопричине и последовательно-

сти срабатывания, визуализации работы ПАЗ, реализации менеджера КИП

через HART-протокол. Необходимость отдельного АРМ ПАЗ определяет-

ся в ТЗ на проектирование АС.

В ПАЗ должны быть использованы технические средства со сроком

службы не менее 10 лет. Применение технических средств с меньшим

сроком службы допускается только в обоснованных случаях и по согласо-

ванию с заказчиком СПАЗ. Технические устройства в течение всего срока

их использования подлежат техническому обслуживанию. Объем и сроки

проведения профилактических работ для поддержания технического

устройства в исправном состоянии определяются в технической докумен-

тации на данное устройство. Предприятие, эксплуатирующее объекты по-

вышенной опасности, организует работы по техническому обслуживанию

указанных устройств и контролирует их проведение, а также обеспечива-

ет регистрацию конкретных видов (типов) технических устройств в орга-

нах Госгортехнадзора РФ.

СПАЗ должна выполнять функции по обеспечению дистанционного

контроля процессов на объекте повышенной опасности, включающие ре-

гистрацию параметров, определяющих опасность технологических про-

цессов, срабатывания систем защиты с записью в журнале событий, и пе-

редачу в Ростехнадзор данной информации в электронном виде.

Для определения (подтверждения) соответствия контура безопасно-

сти назначенному (целевому) SIL необходимо обеспечение такого соот-

ветствия по следующим критериям:

123

систематическая полнота безопасности (стойкость к систематиче-

ским отказам);

выполнение требований к архитектурным ограничениям;

полнота безопасности по случайным отказам.

Полнота безопасности, касающаяся систематических отказов элемен-

тов контура ПАЗ НГО, может быть подтверждена одним из двух способов:

подтверждением на соответствие требуемым SIL выбранного обо-

рудования (соответствие требованиям ГОСТ Р МЭК 61508-1);

соответствием требованиям безопасности с помощью доказатель-

ства того, что оборудование «проверено в эксплуатации». Соответствие

требованиям безопасности может также подтверждаться специально

назначенной экспертной группой, состоящей из специалистов-экспертов

по техническим направлениям Компании, в рамках процедуры опытно-

промышленных испытаний оборудования и программного обеспечения,

предназначенного для выполнения функций ПАЗ.

Выполнение требований к архитектурным ограничениям осуществ-

ляется на этапе выбора (обоснования) архитектуры СПАЗ НГО. После

определения архитектуры СПАЗ НГО на основе указанных архитектур-

ных ограничений с целью анализа полноты безопасности по случайным

отказам для каждого контура защиты должна обязательно проводиться

проверка соответствия расчетных оценок показателей надежности назна-

ченному показателю SIL.

При построении расчетных моделей СПАЗ и выборе способов расче-

та показателей их надежности необходимо учитывать следующие особен-

ности таких систем в НГО:

используемые при расчетах (в качестве исходных данных) значе-

ния показателей надежности всех компонентов (устройств, приборов,

блоков, модулей, элементов и т.п.), входящих в состав системы, известны

Проектировщику СПАЗ НГО лишь приближенно и/или с недостаточной

достоверностью. Поэтому применение расчетных моделей, обладающих

повышенной точностью и, как следствие, относительно высокой сложно-

стью, редко бывает практически целесообразным;

отказы всех технических компонентов СПАЗ НГО могут считаться

случайными событиями. При этом распределение вероятности отказа для

отдельных электрических и электронных элементов системы с достаточ-

ной для практики точностью подчиняется экспоненциальному закону,

а для компонентов других видов тоже может в первом приближении счи-

таться экспоненциальным.

Примечание: Экспоненциальная зависимость объясняется тем, что

устройства СПАЗ НГО подвержены старению, вызванному коррозией,

124

эрозией, усталостью материалов, негативным воздействиям внешней сре-

ды (ультрафиолетовые, радиочастотные помехи и т.д.), и т.п. Как правило,

последствия подобных отказов по причине старения постепенно увеличи-

ваются до тех пор, пока это не приводит к износу оборудования и быст-

рому увеличению вероятности отказа:

отказы программных компонентов СПАЗ НГО в большинстве слу-

чаев могут рассматриваться как систематические, т.е. вызванные такими

постоянно присутствующими недостатками программы, которые могут

быть устранены только путем изменения ее структуры, логического со-

держания, полноты проверки, документации или иных существенных

факторов;

необходимый уровень надежности (безошибочности) средств ПО

СПАЗ НГО достигается путем строгого выполнения требований установ-

ленной технологии их разработки, проверки, реализации и эксплуатации

согласно ГОСТ Р МЭК 61508-3. Подтверждение соответствия ПО требуе-

мым уровням полноты безопасности SIL должно проводиться в соответ-

ствии с положениями п. 8 ГОСТ Р МЭК 61508-1-2012 и ГОСТ Р МЭК

61508-3, приложения F ГОСТ Р МЭК 61508-7-2012, п.15.2 ГОСТ Р МЭК

61511-1-2011.

Теоретические методы и практические приемы получения расчетных

оценок показателей надежности, применимые к различным техническим

системам (включая СПАЗ НГО технологических объектов) достаточно

подробно освещены в отечественной и зарубежной научно-технической

и методической литературе. Для проектной оценки показателей надежно-

сти СПАЗ НГО, разрабатываемых для опасных технологических объектов

НГО, рекомендуется использовать метод блок-схем надежности.

Допускается использовать иные методы оценки показателей надеж-

ности СПАЗ НГО, например, дерево отказов (FTA) и Марковские диа-

граммы. Например, в случае сложных программируемых электронных

подсистем (при перекрестном голосовании по нескольким каналам с ав-

томатическим тестированием и т.п.) более целесообразным может быть

использование методов анализа системы в динамике, основанных на Мар-

ковских цепях. В этом случае расчеты строятся с использованием системы

дифференциальных уравнений, достаточно сложных для использования

на практике.

Методы блок-схем надежности рекомендуются для применения при

проектировании СПАЗ НГО, т.к. они достаточно просты в использовании,

позволяют достаточно наглядно учесть особенности проектируемых си-

стем, в т.ч. при применении средств автоматизированного расчета. При

этом расчетную оценку показателей надежности контуров СПАЗ НГО

в большинстве случаев можно выполнить с помощью типовых формул, по-

125

лученных на основе базовых соотношений теории вероятности. При рас-

четной оценке показателей функциональной безопасности СПАЗ НГО, ис-

пользуют следующие показатели и характеристики надежности системы:

интенсивности отказов (λ) СПАЗ НГО, ее подсистем (блоков)

и/или отдельных компонентов (устройств);

MTTR работоспособности ПАЗ НГО или ее подсистемы после от-

каза по функции защиты;

уровень отказоустойчивости (FTL) ПАЗ НГО или ее подсистемы;

охват контрольными проверками (PTC) ПАЗ НГО или ее подси-

стемы;

интервал между поверочными тестами (TI) ПАЗ НГО или ее под-

системы;

срок жизни (SL) ПАЗ НГО или ее подсистемы;

интервал между тестами самодиагностики (TD) ПАЗ НГО или ее

подсистемы;

доля отказов по общей причине (β) ПАЗ НГО или ее подсистемы.

Основными расчетными величинами, влияющими на характеристики

надежности (безопасности) контура ПАЗ НГО, являются:

средняя вероятность (PFDavg) опасного отказа по запросу;

средняя наработка между безопасными отказами (MTBFS) ПАЗ

НГО.

В силу того, что для реальных защитных функций СПАЗ НГО по-

требность в срабатывании может возникать в любое время, при проекти-

ровании СПАЗ НГО необходимо учитывать динамику среднего показате-

ля PFDavg на протяжении всего срока работы защитных функций SIS.

Обнаруженные отказы определяются средствами диагностики и опе-

ративно устраняются, либо EUC переводится в заданное безопасное со-

стояние. При расчетах показателей безопасности особое внимание требу-

ется уделять скрытым (средствами самодиагностики) опасным отказам,

т.к. именно они являются опасными с точки зрения невыполнения функ-

ций СПАЗ НГО. Скрытые опасные отказы средствами самодиагностики

можно определить в результате периодического тестирования СПАЗ НГО

или ее компонентов. Как правило, такое тестирование компонентов СПАЗ

НГО может быть реализовано при техническом обслуживании технологи-

ческой установки, т.е. в период, когда технологический процесс переведен

в безопасное состояние. Также частичное тестирование может проводить-

ся, в режиме «онлайн». Эффективность частичного тестирования значи-

тельно ниже, чем полного тестирования. Однако частичное тестирование,

например, при использовании HART-протоколов, позволяет оперативно

и более часто проводить тесты без необходимости останова технологиче-

126

ского процесса и могут использоваться для дополнительного повышения

безопасности между процедурами полного тестирования. Эффективность

тестирования по выявлению отказов в реальности составляет величину

менее 100 %. Поэтому часть опасных отказов могут оставаться скрытыми,

что оказывает влияние на расчеты показателей безопасности СПАЗ НГО.

Влияние скрытых опасных отказов учитывается при расчетах показателей

надежности, с использованием показателя охвата контрольными провер-

ками (PTC).

Примечания:

1. Данные о надежности, подробное описание с результатами перио-

дических тестов и сведениями об их эффективности приводятся в руко-

водстве по функциональной безопасности компонентов или в отчетах по

обслуживанию оборудованию. Если данные документы отсутствуют, то

информацию необходимо запросить у производителя.

2. Безопасные отказы могут приводить к большим экономическим

потерям в результате остановки технологических процессов. Более того,

если в СПАЗ происходит много безопасных отказов, персонал теряет до-

верие к ней и, как результат, может организовать частичное отключение

функций безопасности.

Опасный отказ может произойти в любое время между испытаниями.

В среднем, в случае возникновения такого сбоя он происходит в середине

интервала испытаний. Таким образом, отрезок времени, в течение которо-

го прибор может находиться в скрытом состоянии после опасного отказа

равно периодичности отказов, помноженной на половину интервала ис-

пытаний. Отрезок времени, в течение которого прибор может находиться

в скрытом состоянии после опасного отказа, также отражает вероятность

того, что он будет обнаружен в состоянии отказа при возникновении по-

требности в нем, т.к. потребность в приборе может возникать в любой

момент времени.

Диагностика имеет очень большое значение для показателей без-

опасности, поскольку отказ, который при других обстоятельствах остает-

ся незамеченным до проведения следующих испытаний, может быть об-

наружен и устранен. Замена неисправного компонента должна выпол-

няться максимально оперативно, что значительно улучшает показатель

«продолжительности простоя». В качестве времени восстановления СПАЗ

НГО (замены отказавшего компонента ПАЗ) принимается время не более

8 часов.

Соответствие значения PFDavg уровню SIL через фактор снижения

риска (Risk Reduction Factor – RRF) устанавливается выражением:

127

1

avg

RRFPFD

Понятие среднего времени между отказами (MTBF), относится толь-

ко к ремонтируемым устройствам и системам. Обычно производители

компонентов указывают именно значение MTBF, а не среднее время нара-

ботки до отказа (MTTF), которое также используется в теории безопасно-

сти. Зависимость между MTBF и среднем временем восстановления

(MTTF) выражается формулой:

MTBF MTTR MTTF .

MTTR существенно меньше, чем MTTF, поэтому справедливо при-

ближенное соотношение

MTBF = MTTF.

Интенсивность отказов, характеризующая число отказов за установ-

ленную единицу времени, рассчитывается по упрощенной формуле, спра-

ведливой для экспоненциального распределения:

1λ

MTBF

Если из цели и условий решения конкретной задачи не вытекает

иное, расчетную оценку показателей СПАЗ следует проводить при следу-

ющих требованиях и упрощающих допущениях:

частота отказов компонентов СПАЗ НГО постоянна в течение ста-

дий жизни системы;

принимается, что безотказность компонентов, выполняющих

(в случае отказа основного компонента) операции автоматического пере-

ключения на резервный компонент, достаточно высока, чтобы вероятно-

стью отказа таких элементов можно было пренебречь;

принимается, что в каждом случае обнаружения отказа любого

компонента рассматриваемой СПАЗ его восстановление является полным

и неограниченным (т.е. может быть начато сразу после обнаружения);

все отказы технических компонентов СПАЗ являются редкими,

случайными, полными, внезапными и взаимно независимыми;

общая интенсивность отказов аппаратных средств подсистемы

датчиков или логической подсистемы является суммой интенсивности

опасных отказов и интенсивности безопасных отказов, которые в случае

отсутствия подтвержденной детальной информации с указанием долей

типов отказов полагают равными (т.е. половину отказов составляют опас-

ные отказы и безопасные отказы);

128

в случае отсутствия подтвержденной детальной информации с ука-

занием долей разных типов отказов подсистемы оконечных (исполни-

тельных) элементов все отказы таких компонентов считаются опасными

отказами;

охват контрольными проверками (PTC) для элементов подсистемы

оконечных (исполнительных) устройств должен составлять не менее

85 %;

охват контрольными проверками (PTC) для элементов подсистемы

блока датчиков должен составлять не менее 90 %;

интервал между поверочными тестами (TI) для элементов подси-

стем оконечных устройств и блока датчиков составляет 1 год;

интервал между поверочными тестами (TI) логической подсистемы

составляет 10 лет;

срок жизни (SL) ПАЗ НГО или ее подсистемы – 10 лет;

интервал между тестами самодиагностики (TD) для элементов под-

систем оконечных устройств (например, тестирование частичным ходом)

принимается равным 30 дней;

интервал между тестами самодиагностики (TD) для элементов бло-

ков датчиков принимается пренебрежительно малым;

доля отказов по общей причине (β) для элементов подсистем око-

нечных устройств и блока датчиков составляет не более 10 %;

рекомендуемое время наработки на безопасный отказ (MTBFS)

СПАЗ НГО составляет не менее 25 000 часов;

минимальное среднее время наработки на безопасный отказ

(MTBFS) СПАЗ НГО должно быть не менее 10 000 часов;

уменьшение среднего времени наработки на безопасный отказ

(MTBFS) СПАЗ НГО допускается только в обоснованных случаях, исходя

из технико-экономических соображений;

распределение долей средней вероятности опасного отказа контура

СПАЗ НГО для входящих в него подсистем осуществляется следующим

образом: 15 % – для подсистемы блока датчиков, 10 % – для подсистемы

логического блока, 75 % – для подсистемы оконечных устройств (ИМ,

пускателей), в соответствии с рис. 8.6.

Если из цели и условий решения конкретной задачи не вытекает иное,

выбор характеристик оборудования (подсистем) при различных архитек-

турах СПАЗ НГО на основании назначенного уровня полноты безопасно-

сти (SIL) может быть выбран из типовых значений, рекомендуемых отрас-

левыми нормативными документами.

При организации СПАЗ НГО для уровня полноты безопасности SIL1

в качестве типовой принимается архитектура, приведенная на рис. 8.5.

129

От объектаОт объекта ДатчикЛогический

блокИМ К объектуК объекту

Рис. 8.6. Конфигурация типовой защитной функции ПАЗ НГО

для SIL1 (1OO1 как показано на рисунке)

Для выполнения требований к обеспечению требований безопасности

в соответствии с уровнем полноты безопасности SIL1 интенсивности от-

казов элементов подсистемы датчиков и оконечных элементов СПАЗ НГО

[3] не должны превышать значений, указанных в табл. 8.6. Доли безотказ-

ных отказов элементов подсистемы датчиков и оконечных элементов ПАЗ

НГО не должны быть меньше значений, указанных в табл. 8.6.

Допустимые значения интенсивностей отказов компонентов СПАЗ

для уровня полноты безопасности SIL1 в случае конфигурации, приведен-

ной на рис. 8.7.

Таблица 8.1

Компонент СПАЗ

Интенсивность

скрытых опас-

ных отказов

DU , 10–6

/час

Интенсивность обнару-

женных опасных отка-

зов DD , 10–6

/час

1 2 3

Датчик Не более 1,78 Не более 1,80

Оконечный элемент Не более 6,71 Не более 15,70

При организации СПАЗ НГО для уровня полноты безопасности SIL2

в качестве типовых принимаются архитектуры, приведенные на рис. 8.7–

8.11.

От объектаОт объекта

Датчик 1

Логический


Датчик 2

Рис. 8.7. Конфигурация типовой защитной функции ПАЗ НГО для SIL2

при голосовании элементов блока датчиков 1OO2

130


Датчик 1



Датчик 3

Датчик 2


для SIL2 при голосовании элементов блока датчиков 2OO3


в соответствии с уровнем полноты безопасности SIL2 характеристики

компонентов СПАЗ НГО с самодиагностикой [3] должны быть не больше

значений, указанных в табл. 8.8–8.10.

Таблица 8.2.

Максимально допустимые значения интенсивностей отказов

компонентов СПАЗ для уровня полноты безопасности SIL2

в случае конфигурации 1OO1D

Компонент спаз


скрытых опасных

отказов DU , 10–6

/час


обнаруженных

опасных отказов DD ,

10–6

/час

1 2 3

Датчик 0,178 0,30

Оконечный элемент 0,671 1,57

Таблица 8.3.



в случае конфигурации 1OO2





/час




10–6

/час

1 2 3

Датчик 2,750 4,20


Таблица 8.4



131

в случае конфигурации 2OO3





/час




10–6

/час

1 2 3

Датчик 2,180 2,20


Таблица 8.5.



в случае конфигурации 1OO2D


Интенсивность скрытых

опасных отказов DU ,

10–6

/час

Интенсивность об-

наруженных опас-

ных отказов DD ,

10–6

/час

1 2 3

Датчик 0,325 3,500


Таблица 8.6



в случае конфигурации типовой защитной функции СПАЗ

для SIL3 при голосовании элементов блока датчиков 2OO3D

и блока исполнительных механизмов 1OO2D


Интенсивность скрытых

опасных отказов DU ,

10–6

/час



опасных отказов

DD , 10–6

/час

1 2 3

Датчик 0,310 3,500


Таблица 8.7

Максимальные допустимые значения средних вероятностей

132

опасных отказов по запросу подсистем СПАЗ

для уровней полноты безопасности SIL1, SIL2, SIL3

Подсистема спаз PFDAVG

SIL1 SIL2 SIL3

1 2 3 4

Подсистема датчиков Не более

0,015

Не более

0,0015

Не более

0,00015

Логическая подсистема Не более 0,01 Не более 0,001 Не более

0,0001

Подсистема оконечных элементов Не более

0,075

Не более

0,0075

Не более

0,00075

Таблица 8.8

Максимально допустимые значения интенсивностей

безопасных отказов компонентов СПАЗ

для конфигураций СПАЗ с диагностикой

для различного количество контуров


Общее количество

контуров в систе-

ме ПАЗ

Тип архитектуры


безопасных

отказов s ,

10–6

/час

1 2 3 4

Датчик 1–5 1OO1D 13,8

1OO2D 6,9

2OO3D 536,19

Оконечный элемент 1OO1D 5

1OO2D 2,5


1OO2D 3,45

2OO3D 379,143

Оконечный элемент 1OO1D 2,5

1OO2D 1,25


1OO2D 2,3

2OO3D 309,569


1OO2D 0,8333

Датчик 16–20 1OO1D 3,45

1OO2D 1,725

2OO3D 268,095

133




ме ПАЗ




отказов s ,

10–6

/час

1 2 3 4


1OO2D 0,625

Датчик 21–25 1OO1D 2,76

1OO2D 1,38

2OO3D 239,791

Оконечный элемент 1OO1D 1

1OO2D 0,5


1OO2D 1,15

2OO3D 218,898


1OO2D 0,4166

Датчик 31–35 1OO1D 1,971

1OO2D 0,9857

2OO3D 202,66


1OO2D 0,3571

Датчик 36–40 1OO1D 1,725

1OO2D 0,8625

2OO3D 189,571


1OO2D 0,3125

Датчик 41–45 1OO1D 1,533

1OO2D 0,7667

2OO3D 178,73


1OO2D 0,2777

Датчик 46–50 1OO1D 1,38

1OO2D 0,69

2OO3D 169,558


1OO2D 0,25

Датчик 51–55 1OO1D 1,254

1OO2D 0,6272

2OO3D 161,667


1OO2D 0,2272

Датчик 56–60 1OO1D 1,15

1OO2D 0,575

2OO3D 154,784

134




ме ПАЗ




отказов s ,

10–6

/час

1 2 3 4


1OO2D 0,2083

Датчик 61–65 1OO1D 1,061

1OO2D 0,5307

2OO3D 148,712


1OO2D 0,1923

Датчик 66–70 1OO1D 0,9857

1OO2D 0,4928

2OO3D 143,302


1OO2D 0,1785

Датчик 71–75 1OO1D 0,92

1OO2D 0,46

2OO3D 138,443


1OO2D 0,1665

Датчик 76–80 1OO1D 0,8626

1OO2D 0,4312

2OO3D 134,047


1OO2D 0,15625

Датчик 81–85 1OO1D 0,8117

1OO2D 0,4058

2OO3D 130,045


1OO2D 0,147

Датчик 86–90 1OO1D 0,7666

1OO2D 0,3833

2OO3D 126,381


1OO2D 0,1388

Датчик 91–95 1OO1D 0,7263

1OO2D 0,3631

2OO3D 123,01


1OO2D 0,1315

Датчик 96–100 1OO1D 0,69

1OO2D 0,345

2OO3D 119,895

135




ме ПАЗ




отказов s ,

10–6

/час

1 2 3 4


1OO2D 0,125

Таблица 8.9

Максимально допустимые значения интенсивностей

безопасных отказов логической подсистемы

для различного количество контуров


Общее ко-

личество

контуров в

системе

ПАЗ



отказов s ,

10–6

/час

1 2 3

Логическая подсистема 1–5 1,2

6–10 0,6

11–15 0,4

16–20 0,3

21–25 0,24

26–30 0,2

31–35 0,1714

36–40 0,15

41–45 0,133

46–50 0,12

51–55 0,109

56–60 0,1

61–65 0,0923

66–70 0,0857

71–75 0,08

76–80 0,075

81–85 0,0705

86–90 0,0666

91–95 0,0631

96–100 0,06

136

При организации СПАЗ НГО с самодиагностикой для уровня полно-

ты безопасности SIL3 в качестве типовых принимаются архитектуры,

приведенные на рис. 8.9, 8.10.


Датчик 1


блок

ИМ 2

К объектуК объекту

Датчик 2

ИМ 1

Рис. 8.9. Конфигурация типовой защитной функции CПАЗ НГО

с самодиагностикой для SIL3 при голосовании элементов блока датчиков

и блока исполнительных механизмов 1OO2D


Датчик 1


блок

ИМ 2

К объектуК объекту

Датчик 3

Датчик 2

ИМ 1


для SIL3 при голосовании элементов блока датчиков 2OO3

и блока исполнительных механизмов 1OO2


Вход




Выход


Вход




Выход


Вход




Выход

Д

2оо3

Рис. 8.11. Пример реализации архитектуры 2оо3


в соответствии с уровнем полноты безопасности SIL3, характеристики

компонентов СПАЗ НГО с самодиагностикой [3] должны быть не хуже

значений, указанных в табл. 8.13, 8.14.

137

Состав логической подсистемы контура СПАЗ НГО устанавливается

изготовителем (поставщиком) центральной (контроллерной) части СПАЗ

НГО на основании требований к основным показателям надежности,

установленным с учетом данных, указанных в табл. 8.13:

λs – интенсивность безопасных отказов;

средняя вероятность опасного отказа по запросу (PFDavg).

Дополнительно в табл. 8.13 приведены требования к показателям

надежности подсистем датчиков и оконечных элементов.

Примеры схем СПАЗ с самодиагностированием приведены на рис.

8.1–8. 2.



1оо2D

Д


Вход









Вход



Выход



Выход


Рис. 8.12. Пример реализации архитектуры 1оо2D



СПАЗ НГО для случая SIL4 не рассматривается как типовой, с уче-

том того, что при соответствующем уровне риска должен быть реализован

физический слой защиты, уменьшающий требования уровня полноты без-

опасности до значения SIL3.

В случае целей и условий решения конкретных задач, отличных от

рассмотренных типовых вариантов архитектур контуров СПАЗ НГО или

характеристик компонентов СПАЗ НГО, необходим расчет показателей,

учитывающий конкретные особенности применяемых решений.

138

Для определения средней вероятности отказа СПАЗ по запросу необ-

ходимо придерживаться следующей процедуры:

строится графическая модель (блок-схема надежности) рассматри-

ваемой системы; на такой схеме каждое техническое средство (или их

группа), возможность отказов которого необходимо учесть в расчетах по-

казателей надежности системы, отображается прямоугольным блоком,

а связи между блоками отражают наличие взаимодействия между соот-

ветствующими устройствами в процессе их функционирования;

проводятся сбор и (при необходимости) расчеты показателей

надежности каждого устройства (или блока устройств), отображенного на

схеме;

для каждого участка блок-схемы надежности, представляемого как

последовательное соединение аппаратных компонентов, оценки показате-

лей надежности рассчитываются на основе известной формулы сложения

интенсивностей независимых случайных событий (отказов компонентов);

для каждого из тех участков схемы надежности, которые отобра-

жают группу компонентов, соединенных и работающих параллельно,

оценки показателей надежности рассчитываются с использование извест-

ной из теории вероятности формулы умножения вероятностей независи-

мых случайных событий.

Примечание: При расчетах допускается использовать готовые фор-

мулы, учитывающих принятые упрощения.

При построении расчетной блок-схемы надежности СПАЗ НГО сле-

дует иметь в виду, что такая блок-схема может не совпадать со схемой

технической структуры системы. В частности, блок-схема надежности

СПАЗ НГО, в которой предусмотрены средства аппаратного резервирова-

ния, будет разной в зависимости от того, отказы какого типа (опасные или

безопасные) рассматриваются в данном случае.

Примечание: Следует иметь ввиду, что применение упрощенных

формул учитывает особенность архитектур резервирования и уменьшает

трудоемкость работ на этапе построения расчетных блок-схем.

В случае если требуемый показатель PFD для оцениваемой архитек-

туры не может быть реализован, возможны следующие решения:

добавление устойчивости к опасным скрытым отказам:

o голосование 1oo2;

o голосование 2oo3.

добавление/улучшение диагностических средств:

o средства диагностики позволяют выявлять опасные отказы, ко-

торые иначе остаются незамеченными до проведения испытаний;

139

o коэффициент полноты диагностических работ: чем выше этот

показатель, тем лучше.

улучшение показателя интенсивности скрытых безопасных отказов

λdu:

o выбор приборов и средств с низкой интенсивностью отказа;

o выполнение профилактического технического обслуживания та-

ким образом, чтобы отказы, связанные с возрастом оборудования,

«не наносили вреда» (если применимо);

o уменьшение сроков тестирования (если применимо).

Если компонент СПАЗ резервируется, то в этом случае общий пока-

затель PFD изменяется. Если компоненты (например, клапан) применяют-

ся в жестких условиях эксплуатации, подвергаясь быстрому износу, то от-

казы, связанные с периодом их эксплуатации, будут случаться намного

раньше и его отказы уже не имеют случайного характера. Такие режимы

отказа, связанные с периодом эксплуатации (например, заклинивание ар-

матуры из-за чрезмерного загрязнения), допустимо «вывести за пределы

расчетных уравнений» при условии обоснования достаточности проведе-

ния профилактического технического обслуживания для предотвращения

отказа (например, регулярного проведения очистки или частичного за-

крытия и открытия клапана с целью предотвратить заклинивание), а также

замены оборудования по истечении срока службы.

MTBFS для контура СПАЗ НГО может быть в общем случае вычисле-

на по формуле:

общ

ИМ БД ПЛК

1λ λ λS

S S S

MTBF

,

где БД

λS

– интенсивность безопасных отказов для подсистемы (блока)

датчиков;

ПЛК

λS

– интенсивность безопасных отказов для логической подси-

стемы;

ИМ

λS

– интенсивность безопасных отказов для подсистемы оконеч-

ных (исполнительных) элементов.

Для определения средней вероятности отказа по запросу для каждой

из подсистем необходимо придерживаться следующей процедуры:

строится графическая модель (блок-схема надежности) рассматри-

ваемой системы; на такой схеме каждое техническое средство (или их

группа), возможность отказов которого необходимо учесть в расчетах по-

казателей надежности системы, отображается прямоугольным блоком,

140

а связи между блоками отражают наличие взаимодействия между соот-

ветствующими устройствами в процессе их функционирования;

проводятся сбор и (при необходимости) расчеты показателей

надежности (интенсивности безопасных отказов) каждого устройства (или

блока устройств), отображенного на схеме;

для каждого участка блок-схемы надежности, представляемого как

последовательное соединение аппаратных компонентов, оценки показате-

лей надежности рассчитываются на основе известной формулы сложения

интенсивностей независимых случайных событий (отказов компонентов);

для каждого из тех участков схемы надежности, которые отобра-

жают группу компонентов, соединенных и работающих параллельно,

оценки показателей надежности рассчитываются с использование извест-

ной из теории вероятности формулы умножения вероятностей независи-

мых случайных событий;

при архитектуре подсистемы СПАЗ НГО с голосованием (при ак-

тивации СПАЗ НГО в случае срабатывания не менее двух элементов под-

системы), например, 2oo3, необходимо учитывать среднее время восста-

новления (MTTR) резервированного компонента после его отказа

и нахождения СПАЗ НГО в деградированном состоянии.

Примечание: При расчетах допускается использовать готовые фор-

мулы, учитывающих принятые упрощения.

Квалификационный состав исполнителей, выполняющих расчет

надежности контуров безопасности в соответствии с установленным

уровнем SIL, определяется следующими требованиями:

наличие у исполнителя высшего технического образования по ав-

томатизированным системам управления;

наличие у исполнителя сертификата, свидетельствующего об

успешном прохождении обучения по тематике проектирования СПАЗ

НГО и изучения ГОСТ Р МЭК 61508-1, ГОСТ Р МЭК 61508-2, ГОСТ Р

МЭК 61508-3, ГОСТ Р МЭК 61508-5, ГОСТ Р МЭК 61511-1.

наличие у исполнителя опыта проектирования или эксплуатации

автоматизированных систем управления опасными технологическими

процессами не менее 3 лет;

выбор архитектуры производится по рекомендациям ГОСТ Р МЭК

61511-1.

Примечание: Система с архитектурой 2oo3 имеет большую вероят-

ность отказов, чем система 1оо2D. Однако архитектура 1oo2D может быть

неудовлетворительна с точки зрения безопасных отказов и ложных сраба-

тываний (особенно в условиях низкого диагностического покрытия), в то

время, как система с архитектурой 2оо3 обеспечивает удовлетворитель-

141

ные показатели для отказов обоих видов (безопасных и опасных). Выбор

архитектуры 2oo3 целесообразен при использовании неинтеллектуальных

устройств, таких как термопары, термометры сопротивления, реле и дру-

гие подобные компоненты.

142

РАЗДЕЛ 9.

ВЫБОР СРЕДСТВ АВТОМАТИЗАЦИИ ПАЗ

В соответствии с международными стандартами в проект, связанный

с обеспечением функциональной безопасности, включают следующие до-

кументы:

документы по планированию функциональной безопасности;

спецификация требований (Safety Requirements Specification, SRS) и

системная архитектура (System Architecture Design, SAD);

проект аппаратных средств, называемый также конструкторской

документацией (Hardware Design);

проект программного обеспечения (Software Design);

документы по верификации и валидации;

документы, относящиеся к так называемому квалификационному

тестированию оборудования (Equipment Qualification Testing) на устойчи-

вость к экстремальным воздействиям (обычно задаются уровни таких воз-

действий, как климатические (температурно-влажностные), механические

(удары, поиск резонанса, транспортная тряска, сейсмика), электро-

магнитные;

документы, относящиеся к инструментальным средствам (руко-

водства пользователя, спецификации требований, сертификаты, подтвер-

ждающие соответствие требованиям, информация о поставщиках);

документы по управлению изменениями (Change Control);

пользовательская документация на поставляемый продукт, в том

числе руководство пользователя по безопасности (Product Safety Manual);

руководства, процедуры и инструкции, используемые в проекте

для организации работы (такие документы могут быть использовать при-

нятые в компании практики либо могут быть разработаны специально для

проекта), связанной с функциональной безопасностью.

В Российской практике рекомендуется объединять описание техни-

ческих решений при проектировании АСДУ и СПАЗ в составе единых

комплектов документации.

143

Таблица 9.1

Состав документации на СПАЗ

№

П/П Наименование документа Код документа Примечание

1 2 3 4

Общие решения

1 Отчет по оценке рисков и требо-

ваний к организации СПАЗ

– Приводятся результаты расче-

та энергетического потенциала

технологических блоков.

Результаты анализа опасно-

стей и рисков приводятся со-

гласно п. 3.4 настоящих мето-

дических указаний.

Также приводятся результаты

по определению функций

(контуров) СПАЗ и уровней

безопасности SIL согласно п.

4.4 настоящих методических

указаний

Общесистемные решения

2 Пояснительная записка П2 ГОСТ 34.201

3 Схема функциональной струк-

туры

С2 ГОСТ 34.201

4 Описание автоматизируемых

функций

П3 ГОСТ 34.201

Для СПАЗ должны быть при-

ведены: требования к конту-

рам СПАЗ в соответствии с

отчетом по оценке рисков и

требований к организации

СПАЗ; ссылки на отчет по

оценке рисков и требований к

организации СПАЗ.

5 Программа и методика испыта-

ний

ПМ ГОСТ 34.201

6 Схема организационной струк-

туры

С0 ГОСТ 34.201

7 Проектная оценка надежности Б1 ГОСТ 34.201

Для СПАЗ должны отражаться

расчеты в соответствии разде-

лом 7 настоящих методиче-

ских указаний

8 Ведомость эксплуатационных

документов

ЭД ГОСТ 34.201

9 Формуляр Ф0 ГОСТ 34.201

http://eltomsk.intranet.nipineft.tomsk.ru:8081/ELArch/show_archiveunit.jsp?archiveunit_s=313800673













144

№


1 2 3 4

Организационное обеспечение

10 Описание организационной

структуры

ПВ ГОСТ 34.201

11 Руководство системного инже-

нера

И3.1 ГОСТ 34.201

Рекомендуется для выполне-

ния разработчиком программ-

но-технического комплекса в

составе эксплуатационной до-

кументации

12 Руководство пользователя АРМ

оператора

И3.2 ГОСТ 34.201

Информационное обеспечение

13 Перечень входных сигналов и

данных

В1 ГОСТ 34.201

14 Перечень выходных сигна-

лов (документов)

В2 ГОСТ 34.201

15 Описание информационного

обеспечения СПАЗ

П5 ГОСТ 34.201

16 Чертежи форм документов С9 ГОСТ 34.201

Видеокадры второго уровня

АСУ ТП должны отображать

информацию СПАЗ (без воз-

можности реализации управ-

ляющих функций)

17 Инструкция по формированию

и ведению базы данных

И4 ГОСТ 34.201

Рекомендуется для выполне-





18 Описание системы классифи-

кации и кодирования

П7 ГОСТ 34.201

19 Таблица распределения сигна-

лов и функций управления

СР Рекомендуется для выполне-





Математическое обеспечение

20 Описание алгоритмов ПБ ГОСТ 34.201

Программное обеспечение

21 Описание программного обес-

печения

ПА ГОСТ 34.201



















145

№


1 2 3 4

Техническое обеспечение

22 Рабочие чертежи в составе: АК (АТХ) Марка по ГОСТ Р 21.1101

Отдельный комплект рабочих

чертежей для СПАЗ не разра-

батывается. Выполняется в

составе комплексной АСУ ТП

на объект

23 Схема функциональная автома-

тизации

- Отдельный документ для

СПАЗ не разрабатывается.

Выполняется в составе ком-

плексной АСУ ТП на объект

24 Схема структурная КТС - Отдельный документ для




25 Схема соединений информаци-

онных сетей

- Отдельный документ для




26 Спецификацию оборудования,

изделий и материалов

АК.C ГОСТ 21.110

Отдельный документ для




27 Технические требова-

ния/опросный лист на проек-

тирование, изготовления и по-

ставку программно-

технического комплекса

ТТ/ОЛ Отдельный документ для



плексной АСУ ТП на объект.

Положение Компании «Авто-

матизированные системы

управления технологическими

процессами нефтегазодобычи.

Требования к функциональ-

ным характеристикам» № П3-

04 С-0038

Методические указания Ком-

пании «Порядок разработки

опросных листов и техниче-

ских требований на оборудо-

вание для объектов обустрой-

ства нефтяных, газовых и га-

зоконденсатных месторожде-

ний Компании» № П1-01.04

М-0016. Положение Компании

146

№


1 2 3 4

«Разработка технических тре-

бований на создание автома-

тизированной системы управ-

ления технологическими про-

цессами (АСУ ТП)»

№ П3-04 Р-0106.

Срабатывание ПАЗ приводит к останову и запрету повторного пуска

до устранения причин срабатывания защиты и аварии и выполнения де-

блокировки с АРМ оператора. Причинами срабатывания защит являются

аварийные значения технологических параметров, отказы технологиче-

ского оборудования, неисправность технических средств системы автома-

тизации, нажатие кнопок аварийного отключения EUC. Каждая защита

срабатывает при определенных условиях (большинство защит срабатыва-

ет в зависимости от текущего состояния EUC). Для ряда защит преду-

смотрена временная задержка на срабатывание.

При срабатывании агрегатной защиты по тому или иному параметру

алгоритм СПАЗ выполняет следующие действия:

1. Формируется запись в массиве агрегатных защит.

2. Устанавливается флаг «Агрегатная защита».

3. Производятся защитные отключения оборудования (останов дви-

гателя, закрытие агрегатных задвижек).

4. Выполняется автоматический ввод резерва (АВР) агрегата (при

необходимости).

Флаг «Технологические параметры не в норме» контролируется при

отсутствии режима «Ремонт» и устанавливается, например, по следую-

щим условиям:

электрозащита;

отключение по автоматической частотной разгрузке (АЧР);

отсутствие связи с УСО;

неисправность прибора контроля вибрации;

флаг «Агрегатная защита», команды аварийного отключения ис-

полнительных устройств.

В соответствии с международными стандартами алгоритмы аварий-

ных защит представляются в графической нотации, показанной на рис. 9.1.

147

Рис. 9.1. Фрагмент схемы алгоритма ПАЗ

Рекомендуется при проектировании использовать следующее функ-

циональное описание уровней защиты технологического оборудования

(табл. 9.2).

148

Основные требования к средствам автоматизации СПАЗ – это:

1. Обязательное наличие разрешения Госгортехнадзора РФ на при-

менение компонента в системах ПАЗ. Для применения средств автомати-

зации на поднадзорных Госгортехнадзору объектах необходимо иметь

разрешение на их изготовление и применение, выдаваемое Госгортех-

надзором России.

2. Регистрация средства автоматизации как средства измерения

в Госреестре средств измерений, т.к. в состав средства автоматизации

должны входить аналоговые каналы.

3. Взрывобезопасное исполнение средства автоматизации, например,

с видом защиты «искробезопасная электрическая цепь», что должно быть

подтверждено соответствующим сертификатом Госгортехнадзора.

4. Гибкость при реализации различных схем резервирования. Сред-

ства автоматизации должны обеспечивать, как минимум, возможность

выбора следующих схем резервирования:

100 % «горячее» резервирование (дублирование) контроллеров

ПАЗ;

100 % «горячее» резервирование вычислительных модулей кон-

троллера без дублирования модулей ввода-вывода;

149

100 % «горячее» резервирование вычислительных модулей

и 100 % «горячее» резервирование наиболее ответственных каналов вво-

да-вывода;

троирование (для особо опасных производств, для объектов

нефтегазопереработки практически не применяется).

Принятие окончательного решения об уровне структурной избыточ-

ности системы ПАЗ зависит от следующих факторов:

категория взрывоопасности объекта;

уровень надежности отдельных компонентов средства автоматиза-

ции и всей ПАЗ в целом;

размер экономического ущерба от ложных остановов и др.

Масштабируемость средства автоматизации должна быть рассчитана

на возможность применение как для небольших технологических агрега-

тов (колонн нефтегазопереработки, печей и т.п.), так и для сложных ком-

бинированных установок.

1. Номенклатура модулей ввода-вывода должна охватывать практи-

чески все типы входных-выходных сигналов (от мВ до 220 В переменного

тока), желательно, без промежуточных преобразователей.

2. Гальваническая изоляция всех входных и выходных цепей, в т.ч.

межканальная. Желательный уровень изоляции – не менее 1000 В.

3. Использование высоконадежных операционных систем (ОС)

«жесткого» реального времени.

4. Наличие гибких программных средств настройки и программиро-

вания прикладных задач ПАЗ, в т.ч. наличие простого «технологического»

языка (структурный текст) и/или языка функционально-блочных диа-

грамм, соответствующих требованиям международного стандарта IEC-

61131-3.

5. Наличие развитой функции регистрации всех событий с привязкой

к меткам астрономического времени с погрешностью не хуже 10 м/сек.

6. Наличие функций протоколирования предаварийных и послеава-

рийных ситуаций в виде последовательности временных срезов (трендов)

наиболее важных параметров с циклом записи не хуже 1 сек.

7. Наличие развитых функций архивирования событий, действий

операторов, протоколов предаварийного и послеаварийного состояний и

т.п., в т.ч. на резервные носители информации.

8. Наличие программных и технических средств защиты от несанк-

ционированного доступа к функциям СПАЗ.

9. Простота и прозрачность интеграции с другими подсистемами

АСУ ТП (регулирования, информирования и др.).

10. Наличие развитых средств самодиагностики.

150

11. Возможность передачи информации от системы ПАЗ в смежные

или вышестоящие системы управления, желательно с использованием

международных стандартов в области программных и сетевых технологий

(TCP/IP, Ethernet, OPC, ODBC и т.д.).

Особые требования:

логическое устройство защиты должно быть обособлено от АСДУ;

сенсоры системы безопасности должны быть отделены от сенсоров

АСДУ.

Для всех основных компонент ПАЗ, включая ПЛК, датчики и испол-

нительные устройства, поставщик должен предоставить:

данные по среднему времени наработки на отказ;

данные по частоте появления выявленных отказов;

каждое полевое устройство должно иметь свою собственную ли-

нию связи с модулем ввода-вывода;

рекомендуется использование интеллектуальных датчиков, испол-

нительных устройств и протоколов HART и Fieldbus, чем обеспечивается

расширенный уровень диагностики и тестовых испытаний полевого обо-

рудования, и что приводит к повышению надежности системы;

для объектов I и II категории взрывоопасности (5–6 класс DIN,

3 уровень SIL) использование одного запорно- регулирующего клапана

и для АСДУ и для ПАЗ запрещается;

операторский интерфейс в отличие от инженерного не должен да-

вать возможности изменять прикладное программное обеспечение систе-

мы безопасности;

если требуется проведение процедуры тестирования ПАЗ в рабо-

чем функционирующем состоянии online, тестовые процедуры должны

быть встроены в систему безопасности при проектировании.

Для обслуживания полевых устройств рекомендуется применение

специальной выделенной системы обслуживания КИПиА (Plant Asset

Management System), специальной системы управления оборудованием

производства).

Статистика отказов КИПиА показана на рис. 9.2. Утверждается, что

вероятности отказов полевого и логического устройства соотносятся

практически на порядок. Причем доля ложных отказов смещена в сторону

сенсоров, а доля опасных отказов – в сторону исполнительных элементов.

Однако возможен и иной взгляд на отказоустойчивость ПАЗ.

Отказ одного из множества датчиков это в худшем случае отказ

только одной функции защиты из множества имеющихся функций защи-

ты. Отказ логического устройства – это отказ множества функций защи-

151

ты, что может привести к катастрофе. В этом случае необходимо исполь-

зовать наиболее надежные образцы ПЛК.

Рис. 9.2. Статистика отказов КИПиА

Типовая схема объединения АСДУ и СПАЗ в АСУ ТП показана на

рис. 9.3.

Рабочие режимы системы безопасности должны включать:

автоматический мониторинг и автоматические защитные действия

при выявлении датчиком аварийного условия, указывающего на наступ-

ление несоответствия;

автоматическое защитное действие, активированное персоналом,

наблюдающим аварийные условия или оповещении о них сигналом тре-

воги;

непрерывную защиту, обеспечиваемую вспомогательными систе-

мами, которая ограничивают объем и эффект от выброса углеводородов.

152

Рис. 9.3. Схема АСУТП, включающую в себя ПАЗ и АСДУ

В настоящее время решение обеспечения безопасности с помощью

одного или более реле блокировки (т.н. релейная защита) становится до-

рогим в связи с очень ограниченными возможностями логического соче-

тания сигналов. Классический контроллер защит экономит пространство

и упрощает сборку. Недостатки:

1. Существенной становится стоимость необходимости организовы-

вать отдельный интерфейс для управления контроллером защит и отоб-

ражения его состояния.

153

2. Интерфейс, способный предоставлять информацию о состоянии

контроллера защит, должен включать несколько дискретных сигнальных

контактов, что снижает надежность СПАЗ.

Тем не менее, программная реализация приложений по безопасности

сокращает количество компонентов безопасности и стандартных модулей

ввода/вывода. Помимо замены специально выделенных кабелей на пере-

дачу данных безопасности по существующей сети, это значительно сни-

жает стоимость и сложность систем обеспечения безопасности. Благодаря

использованию существующих сетевых соединений, изменение конфигу-

рации технологических установок или их опций не требуется прокладка

специальных кабельных линий. Кроме того, это повышает гибкость и сво-

боду проектирования приложений по безопасности, а также упрощает мо-

дификацию существующих агрегатов в течение их жизненного цикла,

а применение интегрированных систем безопасности ускоряет проектиро-

вание и существенно сокращает время выхода на рынок. К тому же в про-

цессе диагностики СПАЗ диагностические сигналы можно передавать без

дополнительного оборудования.

Стандарты безопасности IEC 61508 / 61511, ISA S84.00.01 требуют

разделения функций управления АСДУ и функций СПАЗ. Существует 4

области, где разделение функций СПАЗ и АСДУ особенно необходимо

для удовлетворения требований функциональной безопасности:

• полевые приборы;

• конечные исполнительные устройства;

• логические решающие устройства;

• связь между АСДУ и ПАЗ.

Для каждой из этих областей должен быть определен и обеспечен не-

обходимый уровень безопасности.

Достижение абсолютной интеграции между распределенными систе-

мами управления (АСДУ, BPCS) и системами противоаварийной защиты

(СПАЗ) для автоматизации производства традиционно влечет за собой

усложненную структуру и проблемы интеграции. Обычно для АСДУ

и СПАЗ в этом случае требуются две раздельных среды: среда монито-

ринга и операционная среда. Должны быть установлены различные архи-

тектуры связи и аппаратные архитектуры. Так как автоматические систе-

мы аварийного останова или противоаварийной защиты оборудования

(ГОСТ Р МЭК 62061) всегда полностью автономны и имеют свои отдель-

ные датчики, логические контроллеры и исполнительные устройства, то

возникают проблемы объединения их с СПАЗ АСУТП.

Руководители предприятий, стремящиеся оптимизировать управле-

ние технологическим процессом, воспринимают увеличение сроков реа-

154

лизации проекта и затрат как данность, отягощающая внедрение Е/Е/РES

систем защиты.

Рис. 9.4. Интегрированная ИСУБ

В настоящее время предлагаются альтернативные схемы интеграции

АСДУ и ПАЗ. Основное различие схем включения СПАЗ в АСУ ТП за-

ключается в следующих трех концепциях интеграции с АСДУ (рис. 9.4):

1. Объединение системы противоаварийной защиты и АСДУ через

шлюз. Такая концепция реализуется, но представляется необоснованно

сложной и дорогостоящей. В эксплуатационном отношении ее недостатка-

ми являются нормативная раздельность эксплуатации АСДУ и СПАЗ

и сложность синхронизации данных и событий. Кроме того, необходимость

использования разных технических средств при ремонте повышает стои-

мость технического обслуживания, а раздельные методы эксплуатации

и пользовательские интерфейсы увеличивают затраты на обучение и могут

привести к ошибкам оператора в условиях чрезвычайной ситуации.

2. Целевая разработка единой системы с использованием общих

условий выбора технического обеспечения, эксплуатации и обслуживания,

а также единой системы связи. Такая комплексная и в то же время раз-

дельная архитектура обеспечивает эксплуатационные преимущества: от-

казы аппаратуры или программного обеспечения АСУТП не могут оказать

влияния на систему аварийной безопасности, в то же время, данные из

каждой системы доступны другим системам в оперативном режиме. АС-

ДУ и система безопасности работают в одних условиях технического

обеспечения и эксплуатации, что упрощает обучение персонала, исключа-

ет необходимость отображения данных и квитирования, а также обеспечи-

вает единый интерфейс оператора.

3. Объединение через базу данных и связь. Эта концепция предусмат-

ривает незначительное разделение между АСДУ и системой аварийной

безопасности. Основным недостатком является то, что отказ оборудования

155

или потеря/повреждение данных в АСДУ может поставить под угрозу без-

опасность технологического процесса. В этом случае в соответствии

с общесистемными требованиями проектирования вся АСУ ТП, в том

числе и АСДУ, должна рассматриваться как единая система аварийной


Объединение оборудования защиты и модулей ввода/вывода АСДУ

дает пользователю дополнительные преимущества: минимизируется об-

щая стоимость этого решения с точки зрения компонентов, сборочных ра-

бот и работ по проектированию.

Уменьшенное число интерфейсов делает систему более простой для

понимания и упрощает доступ к их техническому обслуживанию.

Рис. 9.5. Совмещенная система управления безопасностью

Так в инновационном продукте PROFIsafe воплощено для интер-

фейсного обеспечения PROFIBUS всестороннее открытое решение для

приложений, связанных с безопасностью, которое удовлетворяет самым

известным критериям безопасности.

Спецификация этих решений была совместно разработана произво-

дителями, пользователями, комитетами по стандартизации и инспекциями

156

(TUV, BIA). Она основывается на релевантных стандартах, в первую оче-

редь на IEC 61508.

Спецификация PROFIsafe определяет то, каким образом устройства

(кнопки аварийного останова, световые матрицы, предохранители и т.д.)

могут обмениваться данными через PROFIBUS с контроллерами, чтобы

их можно было использовать в приложениях, связанных с противоава-

рийной защитой, вплоть до категории KAT4 с EN954, AK6 или SIL3 (Safety

Integrity Level). Эта спецификация предлагает реализовывать безопасные

коммуникации посредством профиля, т. е. специальным форматом поль-

зовательских данных и специальным протоколом.

Стандартные компоненты PROFIBUS, такие как специализированные

интегральные схемы, протоколы остаются без изменений. Сохраняются

возможности резервирования и модификации. PROFIsafe принимает во

внимание вероятность количества ошибок, которые могут возникнуть при

обмене данными через совместную последовательную шину, например,

задержки, потери и повтора данных, некорректных адресаций, последова-

тельностей или данных. Поэтому в PROFIsafe были выбраны следующие

меры корректировки:

• последовательная нумерация безопасных пакетов передач;

• тайм-аут для входящих фреймов с подтверждением их получения;

• идентификатор между отправителем и получателем («пароль»);

• дополнительная безопасность данных (использование CRC).

PROFIsafe использует ациклический обмен данными с применением

технологий RS485, медных витых проводников или оптоволоконной свя-

зи. Это обеспечивает, и короткое время отклика (что важно для нефтехи-

мической промышленности), и искробезопасность (что важно для автома-

тизации процессов, связанных с углеводородной продукцией).

Комбинируя эти меры с патентованным «SIL монитором», PROFIsafe

достигает класса безопасности SIL3 и выше. Однако применение такого

варианта СПАЗ оправдано только при условии значительных материаль-

ных потерь вызванных неэффективной работой СПАЗ. Другим вариантом

является выбор ПЛК повышенной безопасности (безопасные ПЛК, F-

типа).

Так как существуют серьезные ограничения на использование ПЛК,

в особенности при временных ограничениях на восстановление работоспо-

собности после сбоя, то ПЛК общего назначения, не имеющие специально-

го допуска на применение в системах защиты, не могут использоваться

в критичных по отношению к безопасности технологических приложениях.

Программируемые контроллеры повышенной безопасности (F-типа)

предназначены для построения систем безопасного управления, в которых

возникновение отказов не влечет за собой появление опасности для жизни

157

обслуживающего персонала и не приводит к загрязнению окружающей

природной среды

Безопасные программируемые логические контроллеры специально

спроектированы для достижения двух важнейших целей:

обеспечение безотказности за счет достаточного уровня резерви-

рования;

возможный отказ СА ПАЗ должен сказываться на процессе только

предсказуемым, безопасным образом.

Для того чтобы наделить системы данным набором качеств, пред-

принимается ряд специальных проектных решений. Безопасные ПЛК

имеют сложную внутрисистемную аппаратную и программную диагно-

стику, которая позволяет программно-техническому комплексу с большой

степенью достоверности определять собственную нештатную работу:

безопасные ПЛК имеют специальные средства для проверки пра-

вильности и надежности программного обеспечения;

безопасные ПЛК по определению используют резервирование, ко-

торое позволяет поддерживать безопасность технологического процесса

даже при отказе части оборудования;

безопасные ПЛК имеют дополнительные средства защиты опера-

ций чтения и записи по каналам связи;

в безопасном ПЛК может быть два, три или даже четыре микро-

процессора, которые выполняют ту же самую логику, проверяют друг

друга и обновляют выходы в случае мажоритарного соглашения;

микропроцессоры могут диагностировать друг друга время от вре-

мени, чтобы удостовериться, что они все работают правильно.

В среднем, безопасность двойного процессора ПЛК может быть оце-

нена от 25 до 30-процентов выше по сравнению со стандартным ПЛК.

Контроллеры F-типа выпускаются в трех модификациях:

система безопасного управления, в которой возникновение отказов

приводит к переводу технологического оборудования в безопасные состо-

яния и остановке производственного процесса;

резервированная система безопасного управления, выполняющая

функции ПЛК, например, типа S7-400F и обеспечивающая повышенную

надежность функционирования автоматики безопасности;

система безопасного управления, в которой возникновение отказов

приводит к переводу технологического оборудования в безопасные состо-

яния и остановке производственного процесса.

На основе F-систем могут создаваться системы безопасного управле-

ния, отвечающие требованиям:

классов AK1 … AK6 по DIN V 19250/ DIN V VDE 0801;

158

классов SIL 1 … SIL 3 по IEC 61508;

категорий 1 … 4 по EN 954-1, подтверждённым сертификатом

TUV.

F-модули поддерживают расширенный набор диагностических

функций и позволяют на аппаратном уровне выявлять расхождения в счи-

тываемых значениях для каждого канала ввода или выводимых для каж-

дого канала вывода F-системы.

Функционирование центральных процессоров сопровождается вы-

полнением расширенного набора диагностических функций, контролем

хода и времени выполнения программы, а также работоспособности стан-

ций распределенного ввода-вывода. Выявление ошибок автоматически

сопровождается переводом технологического оборудования в безопасное

состояние.

Необходимое программное обеспечение либо интегрировано в опе-

рационную систему аппаратных компонентов, либо загружается в процес-

сор в виде сертифицированных программных блоков.

На большинстве АСУ ТП основными компонентами защиты ПЛК яв-

ляются сторожевой таймер и блок контроля питания (рис. 9.6).

Рис. 9.6. Контроль отказа ПЛК

159

Такой контроль отказа ПЛК упрощенно можно описать следующим

образом (рис. 9.7).

Рис. 9.7. Реализация диагностики в системах управления

Watchdog (ватчдог) контролирует простейший отклик от микросхем,

выполняющих обработку данных, и при обнаружении проблемы: в случае

прекращении отклика отключает питание и переводит систему в безопас-

ное состояние. Кроме того, Watchdog может контролировать уровень пи-

тания и выдавать аналогичную команду на отключение при опасном от-

клонении питания от заданного уровня.

В общем случае, если самодиагностика обнаружила критическую

проблему (например, отказ аппаратных узлов, нарушение конфигурации

аппаратных или программных средств, нарушение передачи данных

и т.п.), то выдается команда на перевод системы в безопасное состояние,

которая выполняется так же, как если бы команда поступила от основной

управляющей логики.

Приложения безопасности для ПЛК на основе сертифицированного

ПО программируются с помощью функциональных блоков, таких как

счетчики, таймеры или датчики скорости. Работая на специальных кон-

троллерах безопасности, они заменяют традиционные цепи безопасности

с жесткими подключениями.

ПЛК могут быть и отказобезопасными, и отказоустойчивыми (вы-

полненными с использованием резервирования). Между этими двумя по-

нятиями есть разница: задача отказобезопасности – перевести процесс

в безопасное состояние в случае возникновения ошибки, вплоть до пол-

160

ной остановки процесса, а задача отказоустойчивости – поддержать рабо-

ту системы в случае выхода из строя компонентов управления, не влияю-

щих на безопасность процесса.

В резервированных системах управления повышенной надежности

каждый элемент, начиная со станции оператора до устройств полевого

уровня, включая и саму шину, может быть зарезервирован посредством

дублирования. Дублирующие модули ПЛК синхронно выполняют одну

и ту же программу и могут находиться как рядом, так и на значительном

расстоянии друг от друга, например, на противоположных концах цеха

или завода. В зависимости от задачи автоматизации и вытекающих из нее

требований по обеспечению безопасности степень резервирования может

быть отдельно определена для контроллера, полевой шины и децентрали-

зованной периферии. Таким образом, могут быть реализованы индивиду-

альные, точно адаптированные к конкретным задачам отказоустойчивые

архитектуры, которые могут парировать несколько одновременно возни-

кающих отказов.

В случае одновременного использования модулей ПЛК для ПАЗ

и АСДУ в одном ПЛК могут одновременно выполняться как несколько

программных приложении для управления основным процессом, так

и приложений, направленных на обеспечение безопасности. Программы

выполняются в разных циклах и областях памяти и не зависят друг от

друга, но при необходимости могут обмениваться данными через систем-

ную шину, например, Industrial Ethernet. Взаимодействуя с отказобез-

опасными сигнальными модулями станций децентрализованной перифе-

рии или подключенными непосредственно через полевую шину надеж-

ными преобразователями, эти программы могут распознавать как ошибки

процесса, так и собственные, внутренние ошибки и в случае сбоя автома-

тически переводят установку в безопасное состояние.

Инструментальные средства разработки отказобезопасных систем

типа S7 F делают возможной параметризацию отказобезопасных контрол-

леров и их отказобезопасных F-модулей ввода вывода. Они поддержива-

ют проектирование систем посредством следующих функций:

• сравнение отказобезопасных F-программ;

• распознавание изменений F-программ через контрольную сумму;

• разделение функций обеспечения безопасности (F-функций)

и стандартных функций.

Доступ к F-функциям ПЛК защищают отдельным паролем. Встроен-

ная библиотека F-блоков содержит готовые к применению функциональ-

ные блоки для создания отказобезопасных приложений с помощью CFC

или основанной на CFC матрицы безопасности (Safety Matrix). Сертифи-

161

цированные F-блоки перехватывают такие ошибки программирования,

как деление на ноль или выход значений за допустимые пределы.

Резервируемые отказобезопасные сигнальные F-модули/субмодули

могут диагностировать как внутренние, так и внешние ошибки. Стандарт-

ные модули ввода/вывода можно использовать в одной системе с F-

модулями, однако в F-программе допускается использовать информацию

только от F-модулей. Модули ввода/вывода имеют дополнительные кон-

трольные цепи для каждого канала, что дает возможность проводить про-

верку достоверности сигнала и выявлять ошибки (рис. 9.8). Сигнал с дат-

чика логически раздваивается в канале и проходит дополнительную обра-

ботку с последующим сравнением, что гарантирует его правильную оцен-

ку и интерпретацию.

Рис. 9.8. Контроль каналов

Для F-модулей ввода/вывода в зависимости от уровня безопасности,

который необходимо обеспечить, предусмотрена возможность разных

схем подключения датчиков и исполнительных элементов. Например, ес-

ли при менее жестком уровне безопасности SIL2 подключение произво-

дится по схеме датчик-канал, то при SIL3 датчик разводится сразу на два

аппаратных канала или используется специальный двухканальный датчик,

т. е. сигнал проходит удвоенную проверку в контрольных цепях каждого

из каналов. Они не дублируют друг друга, хотя это возможно, а проводят

дополнительный контроль сигнала на предмет выявления ошибки. Между

каналами могут устанавливаться логические связи с принципами обработ-

ки сигналов 1оо1, 1оо2, 2оо2 и 2оо3.

Логика выполнения отказобезопасных программ в сравнении с обыч-

ным ПО ПЛК АСДУ претерпевает значительные изменения. Так, напри-

мер, в типовых логических операциях осуществляется сравнительный

анализ с использованием обратных логических операций (рис. 9.9).

162

Рис. 9.9. Логика выполнения отказобезопасных программ

Основное отличие любого Failsafe компонента в том, что он «работа-

ет как параноик», постоянно проверяя все вокруг себя на предмет возник-

новения любой ошибки и, если она возникает, то компонент автоматиче-

ски переводит СПАЗ в безопасное для EUC состояние. Это достигается за

счет внутренних функций и специализированного ПО на системном

уровне. Это дает гарантию того, что на безопасность СПАЗ не повлияет

пресловутый человеческий фактор.

С применением Failsafe компонентов следует убедиться, что имеется

сертификат, удостоверяющий необходимый уровень безопасности и даю-

щий определенные гарантии от изготовителя и сертифицирующих органов.

Несколько большие финансовые затраты на закупку Failsafe программных

компонентов с лихвой окупаются на этапе проектирования и работы уста-

новки в технологическом и, самое важное, в аварийном режиме. Общие требования к датчикам и исполнительным устройствам.

85 % вероятности ошибок могут быть возложены на датчики и исполни-

тельные устройства. Это соответствует известному распределению отка-

зов между датчиками, исполнительными устройствами и электронными

схемами для ввода, обработки и вывода в системах обеспечения безопас-

ности (рис. 9.2).

Выбор датчиков СПАЗ. Оснащение датчиками и исполнительными

устройствами несет на себе значительную долю ответственности разра-

ботчика СПАЗ за безопасность. Каждый сенсор, определяющий безопас-

ность процесса, должен иметь свою собственную (не групповую) связь

с контроллером.

Сенсоры должны иметь сертификацию на право использования в си-

стемах защиты данного класса. Обычно датчики и исполнительные

устройств не выдерживают 10-летнего интервала профилактического об-

служивания, предписанного стандартом ГОСТ Р МЭК 61508 без суще-

ственного снижения безопасности. Поэтому важным является выбор дли-

тельности интервала между контрольными испытаниями, периодичности

163

профилактического обслуживания. Если качество датчика хуже, чем

необходимо для требуемого класса безопасности, то датчик должен резер-

вироваться и подключаться через два канала. Для СПАЗ-датчиков используется возможности удаленного диагно-

стирования и конфигурирования предоставляемые в настоящее время

SMART датчиком.

При этом схема строится таким образом, что с барьеров искрозащиты

снимаются физические сигналы, который непосредственно поступает на

входные каналы СПАЗ. Одновременно через мультиплексорный модуль

с этих же барьеров снимается цифровая информация с датчиков. Все это

собирается в общий канал и поступает на отдельную станцию, на которой

устанавливается OPC сервер для SMART детекторов и ПО для отображе-

ния информации. Любой доступ к конфигурационной информации датчи-

ков высокого уровня безопасности (SIL) должен быть закрытым паролем.

Причем имеется в виду, что пароль ставится не на станцию, а прописыва-

ется непосредственно в датчик.

Рекомендации при выборе сенсоров:

в общем случае аналоговые устройства предпочтительнее дискрет-

ных;

в режиме обеспечения безопасности для сигнала допустим только

диапазон от 4 до 20 мА;

там, где это оправдано и где это возможно нужно использовать

классическое резервирование или альтернативное резервирование (ис-

пользовать датчики, построенные по другим физическим принципам);

устройства, которые выбраны в качестве альтернативных, должны

иметь достаточную надежность, чтобы можно было считаться и с их пока-

заниями;

каждый сенсор определяющий безопасность процесса должен

иметь свою собственную (не групповую) связь с контроллером;

сенсоры должны иметь сертификацию на право использования

в системах защиты данного класса.

Выбор датчиков технологических параметров осуществлялся соглас-

но стандартам и требованиям предприятия, с учетом ряда факторов мет-

рологического и режимного характера, наиболее существенные из кото-

рых следующие:

1. Расстояние, на которое может быть передана информация, снима-

емая с датчиков (интерфейс связи датчика).

2. Предельное значение измеряемой величины и других параметров

среды.

164

3. Допустимая для АСУ ТП погрешность, определяющая подбор по

классу точности датчика.

4. Пределы измерения с гарантированной точностью.

5. Инерционность датчика, характеризуемая его постоянной времени.

6. Влияние внешних факторов окружающей среды (температуры,

давления, влажности) на нормальную работу датчиков. Разрушающее

влияние на датчик контролируемой и окружающей среды, агрессивных

свойств.

7. Наличие в месте установки датчиков недопустимых для его нор-

мального функционирования вибраций, магнитных и электрических по-

лей, радиационного излучения возможности пожара и взрывобезопасно-

сти и др.

Регулирующие и отсечные клапаны. В схеме соединений трубопро-

водов предусматриваются специальные исполнительные устройства,

обеспечивающие технологическую безопасность арматурного оборудова-

ния. К таким элементам относятся следующие:

запорная арматура для отключений трубной проводки от контро-

лируемой среды;

запорная арматура для сброса давления из трубной проводки и

прибора перед их отсоединением;

запорная арматура для выравнивания давления в линиях перед

дифференциальным прибором;

запорная арматура для организации продувки и промывки трубной

проводки и организации дренажа проводки;

устройства для сбора выделяющихся газов из жидкости и выделя-

ющейся влаги из газов – газовлагосборники.

Так в клапанах-отсекателях SIL-PAC, предлагаемых компанией

Emerson, используются приводы с треугольным кривошипом Bettis серии

G и CBA и реечные приводы HyTork и FieldQ, специально приспособлен-

ные для выполнения защитных функций СПАЗ. Хорошо зарекомендовав-

шие себя за многие годы приводы Bettis имеют сертификацию TÜV для

использования в применениях по классу SIL3 с целью выполнения перио-

дических тестов на неполный ход. Решение SIL-PAC можно использовать

с любым клапаном-отсекателем. Другими словами – его можно смонтиро-

вать на том клапане, который наиболее полно соответствует требованиям

конкретного применения. Предохранительные клапаны, компании

Emerson, в СПАЗ выполняют тест на неполный ход, автоматически прове-

ряя способность клапана исполнить требуемое действие. Автоматический

тест на неполный ход, выполняемый контроллером, позволяет операторам

и обслуживающему персоналу находиться вдали от опасной зоны техно-

165

логического процесса, где обычно размещаются аварийные задвижки.

Проведение автоматического теста на неполный ход позволяет увеличить

интервалы времени между тестами на полный ход, следовательно, дает

уверенность в том, что клапан выполнит требуемое действие, увеличивая

безопасность персонала и снижая риск сбоя.

Для объектов низкого уровня взрывоопасности допускается устанав-

ливать интегрированный уровень безопасности SIL2 или RC4. Единствен-

ный запорно-регулирующий клапан в этом случае может быть использо-

ван как для АСДУ, так и для ПАЗ, если соблюдены требования безопас-

ности, то есть не возникает противоречия при выполнении функций

управления и защиты. Для этих объектов высокого уровня взрывоопасности устанавливает-

ся интегрированный уровень безопасности SIL3 или RC5–RC6 и необхо-

димо полное разделение функций и соответственно установка собствен-

ных клапанов АСДУ и ПАЗ чтобы обеспечить требуемый уровень без-

опасности.

Дополнительный запорно-регулирующий клапан может быть исполь-

зован как для АСДУ, так и ПАЗ, если соблюдены требования безопасно-

сти, т.е. исключены противоречия при выполнении функций управления

и защиты. При использовании дополнительных клапанов, сигнализаторы

положения этих клапанов могут быть подключены как к ПАЗ, так

и к АСДУ, поскольку данная связь не нарушает работу системы ПАЗ.

Что касается барьеров искробезопасности, то есть серия барьеров,

сертифицированных на SIL2 с поддержкой SMART. Для безопасного управления:

необходимо непрерывное сравнение показаний резервированных

устройств в течение всего времени работы системы, приводящее к сигна-

лу тревоги или останову процесса в случае слишком большого расхожде-

ния, сравнение измеренных значений критических по отношению к без-

опасности параметров и других взаимосвязанных переменных процесса

с последующей сигнализацией оператору процесса;

при каждом предаварийном останове процесса необходим про-

граммный контроль показаний сенсоров на согласованность с предполага-

емыми условиями останова. При этом должен осуществляться контроль

над срабатыванием и положением клапанов по концевым выключателям;

непрерывным условием является сигнализация оператору процесса

при любом нарушении регламентной процедуры останова технологиче-

ского процесса;

все данные, которые поступают в АСУ ТП из системы защиты

должны использоваться и отображаться на операторских станциях только

166

по своему действительному фактическому значению и не должны подвер-

гаться какой-либо дополнительной обработке или «интерпретации»;

обязательное извещение оператора технологического процесса

в случае, если исполнительный элемент системы защиты не выполнил ко-

манду переключения в течение предопределенного интервала времени;

обязательное извещение оператора технологического процесса

в случае, если полевое устройство самопроизвольно изменило свое состо-

яние без команды от системы защиты;

отслеживание данных оборудования по среднему времени нара-

ботки на отказ (MTTF) и между отказами (MTBF). Основными мерами по повышению отказоустойчивости ПАЗ явля-

ются:

• непрерывное сравнение показаний резервированных устройств

в течение всего времени работы системы, приводящее к сигналу тревоги

или останову процесса в случае слишком большого расхождения. Сравне-

ние измеренных значений критических по отношению к безопасности па-

раметров и других взаимосвязанных переменных процесса выполняется

с последующей сигнализацией оператору процесса;

• при каждом предаварийном останове процесса должен выполнять-

ся программный контроль показаний сенсоров на согласованность с пред-

полагаемыми условиями останова. При этом должен осуществляться кон-

троль над срабатыванием и положением клапанов по концевым выключа-

телям;

• непременным условием является сигнализация оператору процесса

при любом нарушении регламентной процедуры останова технологиче-

ского процесса;

• все данные, которые поступают в АСДУ из системы защиты,

должны использоваться и отображаться на операторских станциях только

по своему действительному фактическому значению и не должны подвер-

гаться какой-либо дополнительной обработке или «интерпретации»;

• обязательное извещение оператора технологического процесса

в случае, если исполнительный элемент системы защиты не выполнил ко-

манду переключения в течение предопределенного интервала времени;

• обязательное извещение оператора технологического процесса

в случае, если полевое устройство самопроизвольно изменило свое состо-

яние без команды от системы защиты;

• отслеживание данных оборудования по среднему времени нара-

ботки на отказ (MTTF) и между отказами (MTBF);

• периодическое тестирование позиций долгое время находящихся

в неизменном состоянии;

167

• идентификация, сигнализация и регистрация на диспетчерской

станции всех событий, происходящих с системой защиты.

В дополнение к действиям, направленным на перевод технологиче-

ского процесса в безопасное состояние, ПАЗ должна выполнять сигнали-

зирующие функции.

Аварии – это по своей сути события, требующие принятия каких-

либо мер. Поэтому аварийные сигналы являются основным механизмом,

инициирующим выполнение оператором предписанных регламентами

действий.

Обычно в дизайне HMI для сообщения оператору о текущих аварий-

ных сигналах используются крупные контрастные надписи (баннеры). Но

при одновременном отображении множества баннеров сигналы меньшей

степени серьезности могут мешать восприятию более серьезных. Если аг-

регировать все аварийные сигналы в ту же иерархическую систему, что

и для построения структуры навигации, то появляется возможность визу-

ально отображать общее состояние аварий в виде специальных значков

возле навигационного элемента.

Передовые методики управления аварийной сигнализацией рекомен-

дуют использовать максимум четыре градации серьезности аварийных

сигналов: критическая, высокая, средняя и низкая. Максимальное время

реагирования на сигналы этих четырех степеней серьезности обычно со-

ставляет 5, 30, 60 и 120 секунд соответственно. Это ориентировочные ве-

личины, которые можно корректировать согласно реальным особенностям

процесса. Чтобы облегчить процесс выделения аварийных сигналов, тре-

бующих принятия мер, каждой степени серьезности присваивается уни-

кальный вариант визуализации, то есть уникальные цвет, форму и иден-

тификатор.

Очень часто при построении систем ПАЗ на вопрос «какой структу-

ры она должна быть?», следует ответ – дублированной, что в принципе,

соответствует правилам и удобствам обслуживания ПАЗ. И повсеместно

в России на крупные установки ставят в качестве ПАЗ контроллеры с «го-

рячим» резервом.

Однако, здесь допускается серьезная ошибка, ведь контроллеры по-

вышенной надежности (дублированные системы) решают задачу обрат-

ную системам повышенной безопасности (ПАЗ системам). Отказоустой-

чивость резервированной системы снижается и возрастает вероятность

ложных отказов.

Ложные срабатывания и остановы процесса не только приносят

убытки, но и в большинстве случаев представляют значительную опас-

ность. Опыт показывает, что на процессах с большим количеством лож-

ных сигналов технологический персонал теряет бдительность и реагирует

168

на предупреждения с опозданием или вовсе не реагирует на действитель-

но аварийную ситуацию.

Примеры предпосылок ложного срабатывания:

неправильная калибровка датчика;

нормально закрытые контакты имеют неожиданно высокое сопро-

тивление;

отказ модуля ввода вывода;

отказ ПЛК.

Другая частая причина ложных срабатываний – оперативное техни-

ческое обслуживание в реальном времени (калибровка, тестирование по-

левых приборов, замена неисправных модулей, переключения кабелей).

Разделение функций между АСДУ и СПАЗ способно существенно

уменьшить вероятность того, что обе функции АСУТП: АСДУ и управ-

ляющие и функции защиты станут недоступными одновременно и что не-

внимательные и неквалифицированные действия персонала не повлияют

на выполнение функций защиты.

Функциональное разделение АСУТП на АСДУ и ПАЗ дает дополни-

тельное преимущество за счет уменьшения вероятности систематических

ошибок и влияния общих дефектов.

Очень важно определять и прогнозировать возникновение проблем,

возникающих в датчиках, вычислительных логических устройствах, ис-

полнительных элементах и в окружающем технологическом процессе.

В равной степени важно быстро отправлять эту информацию персоналу,

который может предпринять корректирующие действия.

169

СПИСОК ЛИТЕРАТУРЫ

1. Громаков Е.И. Интегрированные компьютерные системы проекти-

рования и управления: учеб. пособие / Е.И. Громаков, А.В. Лиепиньш;

Томский политехнический университет. – Томск: Изд-во Томского поли-

технического университета, 2013. – 222 с.

2. Проектирование системы противоаварийной защиты (СПАЗ): ме-

тод. указ. компании ПАО «НК»Роснефть» № П1-01.04 М-0084 версия 1. –

М., 2017.

3. Safety Manual, VEGAPULS серии 60 [Электронный ресурс]. – Ре-

жим доступа: https://vega-rus.ru/upload/iblock/db7/31338-RU-Safety-Manual-

VEGAPULS-61-68-4-...-20-mA-HART.pdf, свободный.

4. Руководство по безопасности датчиков серии one для систем без-

опасности [Электронный ресурс]. – Режим доступа: OneST-SM-RU-01

https://www.ueonline.com/techinfo/russian/im_onest_sm_ru.pdf, свободный.

5. Общие правила взрывобезопасности для взрывопожароопасных

химических, нефтехимических и нефтеперерабатывающих производств.

2013.

6. Федоров Ю.Н. Основы построения АСУТП взрывоопасных произ-

водств: в 2 томах. Т.1. «Методология» / Ю.Н. Федоров. – М: СИНТЕГ,

2006. – 720 с.

7. Федоров Ю.Н. Основы построения АСУТП взрывоопасных произ-

водств: в 2 томах. Т.2. «Проектирование» / Ю.Н. Федоров. – М.: СИНТЕГ,

2006. – 620 с.

8. Руководство по безопасности процессов. Функциональная без-

опасность в непрерывных производствах Rockwell Automation, Inc. –

2013. – 178 с. [Электронный ресурс]. – Режим доступа:

www.rockwellautomation.com, свободный.

9. Лисанов М.В. Применение методов анализа опасностей HAZID

и HAZOP при проектировании газотранспортного терминала // Безопас-

ность труда в промышленности / М.В. Лисанов, В.В. Симакин. – № 8. –

2008.

10. Паршин А.Д. Прогрессивное развитие систем ПАЗ: DeltaV SIS с

технологией электронной кроссировки // Автоматизация в промышленно-

сти / А.Д. Паршин, П.Н. Кирюшин. – № 3. – 2016.

11. Кирюшин П.Н. Система ПАЗ – от риска к безопасности // Автома-

тизация в промышленности / П.Н. Кирюшин. – № 3. – 2016.

12. Ицкович Э.Л. Необходимые свойства систем противоаварийной

защиты производственных объектов // Автоматизация в промышленности

/ Э.Л. Ицкович. – № 2. – 2016.

https://vega-rus.ru/upload/iblock/db7/31338-RU-Safety-Manual-VEGAPULS-61-68-4-...-20-mA-HART.pdf

https://vega-rus.ru/upload/iblock/db7/31338-RU-Safety-Manual-VEGAPULS-61-68-4-...-20-mA-HART.pdf

https://www.ueonline.com/techinfo/russian/im_onest_sm_ru.pdf

http://www.rockwellautomation.com/

170

13. Rausand M. Reliability of Safety-Critical Systems: Theory and Appli-

cations. – Willey, 2014. – 448 p.

14. Денисенко В. Выбор аппаратных средств автоматизации опасных

промышленных объектов // Современные технологии автоматизации / В.

Денисенко. – № 4. – 2005.

171

Учебное издание

ГРОМАКОВ Евгений Иванович ЗЕБЗЕЕВ Алексей Григорьевич

ПРОЕКТИРОВАНИЕ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

ТЕХНОЛОГИЧЕСКОЙ БЕЗОПАСНОСТИ

Учебное пособие

Научный редактор кандидат технических наук,

доцент ОАР ИШИТР Филипас А.А.

В авторской редакции

Компьютерная верстка О.А. Гончарук

Национальный исследовательский Томский политехнический университет

Система менеджмента качества Издательства Томского политехнического университета

Cертифицирована в соответствие с требованиями 9001:2008

. 634050, г. Томск, пр. Ленина, 30. Тел./факс: 8(3822)56-35-35, www.tpu.ru

Documents

J K I @ E M C K ; = M I G ; M C R @ L E C P L M @ P H I F