МЭК-проектирование интегрированной системы безопасности (ПАЗ)
Согласно статистике, ущерб от аварийности и травматизма достигает 5-10% от валового национального продукта промышленно развитых государств, а загрязнение окружающей природной среды и несовершенная техника безопасности являются причиной преждевременной смерти 20-30% мужчин и 10-20% женщин [9,10].
Проблемы безопасности на объектах нефтегазового комплекса имеют особое значение. Они связаны с физико-химическими свойствами углеводородных веществ, приводящими к отравлению, возгоранию или взрыву в случае аварий. Авариям на нефтеперерабатывающих предприятиях сопутствуют большие объемы выброса взрывопожароопасных веществ, образующие облака топливно-воздушных смесей, разливы нефтепродуктов и как следствие – пожары, взрывы, разрушение соседних аппаратов и целых установок. Для управления такими аварийными ситуациями в нефтегазовой отрасли применяют специальные системы безопасности:
· от нарушений технологических режимов, приводящих к отказу выполнения требуемой функции;
· от взрывов и пожаров;
· от загазованности технологических объектов и помещений.
Техническое регулирование промышленной безопасности объектов НГО осуществляется следующими международными стандартами:
· DIN V 19250 “Fundamental Safety Aspects To Be Considered For Measurement And Control Protective Equipment” – Фундаментальные аспекты безопасности, рассматриваемые для связанного с безопасностью оборудования измерения и управления.
· DIN V VDE 0801 “Principles For Computers In Safety Related Systems” – Принципы для компьютеров в системах, связанных с безопасностью.
· ANSI/ISA S84.01-1996 “Application of Safety Instrumented Systems for the Process Industries” – Применение инструментальных систем безопасность для технологических процессов.
· ISA-TR84.0.02 “Safety Instrument Systems (SIS) - Safety Integrity Level (SIL) Evaluation Techniques” – Инструментальные системы безопасности – Техника оценки интегрального уровня безопасности.
· IEC 61508 “Functional Safety of Electrical/Electronic/Programmable Electronic Safety Related Systems” – Функциональная безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью.
· IEC 61511 “Functional Safety: Safety Instrumented Systems for the Process Industry Sector” - Функциональная безопасность: Оборудованные под безопасность системы для перерабатывающего сектора промышленности.
В настоящее время специальная система, обеспечивающая безопасность, Safety Related System (SRS) является обязательной практически для всех объектов нефтегазовой отрасли. В большинстве случаев она представляется отдельными системами ПАЗ, АСПС и пожаротушения, АСКУЗ, которые проектируются независимо от других АС. В процессе эксплуатации согласно отечественным стандартам никакое вмешательство в их работу с пульта оперативного управления диспетчером невозможно.
Нормативы международной электротехнической комиссии (IEC) устанавливают следующую последовательность разработки противоаварийной защиты: анализ источников риска и опасностей; определение уровней рисков критических параметров технологического процесса и документированное обоснование необходимой степени их снижения и мероприятий противоаварийной защиты; выбор инструментальной структуры функции безопасности для каждого параметра опасности; определение и распределение требований к безопасности; проектирование компонентов ПАЗ, обеспечивающих необходимое снижение уровня рисков.
· Концепция архитектуры интегрированной SRS.
На практике используются несколько концепций интеграции систем аварийной безопасности и АСУТП.
1. Объединение системы противоаварийной защиты и АСУТП через шлюз. Такая концепция реализуется, но представляется необоснованно сложной и дорогостоящей. В эксплуатационном отношении ее недостатками являются нормативная раздельность эксплуатации АСУТП и ПАЗ и сложность синхронизации данных и событий. Кроме того, необходимость использования разных технических средств при ремонте повышает стоимость технического обслуживания, а раздельные методы эксплуатации и пользовательские интерфейсы увеличивают затраты на обучение и могут привести к ошибкам оператора в условиях чрезвычайной ситуации.
2. Целевая разработка единой системы с использованием общих условий выбора технического обеспечения, эксплуатации и обслуживания, а также единой системы связи. Такая комплексная и в то же время раздельная архитектура обеспечивает эксплуатационные преимущества: отказы аппаратуры или программного обеспечения АСУТП не могут оказать влияния на систему аварийной безопасности, в то же время, данные из каждой системы доступны другим системам в оперативном режиме. АСУТП и система безопасности работают в одних условиях технического обеспечения и эксплуатации, что упрощает обучение персонала, исключает необходимость отображения данных и квитирования, а также обеспечивает единый интерфейс оператора.
3. Объединение через базу данных и связь. Эта концепция предусматривает незначительное разделение между АСУТП и системой аварийной безопасности. Основным недостатком является то, что отказ оборудования или потеря/повреждение данных в АСУТП может поставить под угрозу безопасность технологического процесса. В этом случае в соответствии с общесистемными требованиями проектирования вся ИКСУ, в том числе и АСУТП, должна рассматриваться как единая система аварийной безопасности.
В 2004 году ряд западных компаний-производителей систем управления технологическими процессами представили на рынок, интегрированные системы аварийной безопасности, которые включали в себя также автоматизированную систему управления (SCADA) объекта. Такое решение обеспечивает ряд преимуществ, в частности:
· повышает производительность благодаря упрощенному доступу к информации по безопасности с операторского интерфейса АСУТП;
· сокращает объем инженерно-проектных работ;
· снижает эксплуатационные затраты за счет объединения обслуживания централизованных систем в рамках ответственности единого поставщика.
Интеграция аварийной защиты в НГО обеспечивает:
необходимое управление и безопасность нефтегазового производства с одновременным поддержанием функциональной и физической автономности ПАЗ и АСУТП;
возможность визуального контроля технологическим процессом, как в обычном, так и аварийном режимах работы;
связывание АС диспетчерского управления технологическим процессом и системы аварийной через общую сеть передачи данных и возможность конфигурирования ПАЗ на основе общих технических условий;
независимость источников питания, каналов связи, программно-технических средств оборудования аварийной защиты от компонентов и подсистем АСУТП.
Все операции, связанные с эксплуатацией и обслуживанием АСУТП и аварийной защиты, оказываются интегрированными, включая:
· подачу сигналов тревоги;
· управление конфигурацией;
· универсальную базу данных;
· синхронизацию времени;
· обеспечение безопасности работников;
· контрольный журнал / контроль версий;
· историю данных;
· регистрацию последовательности событий;
· управление оборудованием;
· моделирование технологического процесса;
· систему обучения.
Все это, доступное для экранного взаимодействия с диспетчером, обеспечивает возможность принятия им дополнительных решений по устранению опасностей аварии и позволяет сократить расходы на инженерно-техническое обеспечение и обслуживание.
Определение требований к ПАЗ. В нефтегазовой отрасли РФ проектирование систем аварийной безопасности осуществляется в соответствии с требованиями следующих из большого числа нормативных документов:
ГОСТ 27.310-95, “Анализ видов, последствий и критичности отказов”;
ПБ 09-540-03, «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств»;
ПБ 03-246-98, “Правила проведения экспертизы промышленной безопасности”;
ПБ 03-517-02, “Общие правила промышленной безопасности для организаций, осуществляющих деятельность в области промышленной безопасности опасных производственных объектов”;
ПБ 09-563-03, “Правила промышленной безопасности для нефтеперерабатывающих производств”;
ПБ 08-624-03, «Правила безопасности нефтяной и газовой промышленности»;
ПБ 03-585-03, «Правила устройства и безопасной эксплуатации технологических трубопроводов»;
ПБ 03-576-03, «Правила устройства и безопасной эксплуатации сосудов, работающих под давлением»;
РД 03-616-03, “Методические рекомендации по осуществлению идентификации опасных производственных объектов”;
РД 03-418-01, «Методические указания по проведению анализа риска опасных производственных объектов»
РД 09-398-01, “Методические рекомендации по классификации аварий и инцидентов на опасных производственных объектах химической, нефтехимической и нефтеперерабатывающей промышленности”;
РД 09-539-03, “Положение о порядке проведения экспертизы промышленной безопасности в химической, нефтехимической и нефтеперерабатывающей промышленности”;
РД 03-409-01 «Методика оценки последствий аварийных взрывов топливно-воздушных смесей» (с изменениями и дополнениями).
В требованиях этих документов существует неопределенность в выборе программно-технического оборудования системы аварийной безопасности, способов и объемов резервирования технических средств.
Поэтому ряд компаний в нефтегазовой отрасли вносят при выборе оборудования системы аварийной безопасности требование обязательного соответствия приборных средств автоматизации противоаварийных защит и блокировок рекомендациям МЭК. В настоящее время эти рекомендации изложены в новых стандартах:
ГОСТ Р МЭК 61508-1-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования».
ГОСТ Р МЭК 61508-2-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам».
ГОСТ Р МЭК 61508-3-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению».
ГОСТ Р МЭК 61508-4-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Термины и определения».
ГОСТ Р МЭК 61508-5-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 5. Рекомендации по применению методов определения уровней полноты безопасности».
ГОСТ Р МЭК 61508-6-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2-2007 и ГОСТ Р МЭК 61508-3-2007».
ГОСТ Р МЭК 61508-7-2007 «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства».
ГОСТ Р МЭК 61511-1, 2, 3-2011 «Безопасность функциональная. Системы безопасности приборные для промышленных процессов»
ГОСТ Р 51901.11-2005 «Менеджмент риска. Исследование опасности и работоспособности. Прикладное руководство».
ГОСТ(ы) Р МЭК 61508 описывают в своих семи частях рекомендации по реализации жизненного цикла оборудования системы аварийной безопасности.
Часть 1 ГОСТ Р МЭК 61508 определяет полный жизненный цикл оборудования в отношении безопасности, требования к обеспечивающей его безопасность системам и значения параметров PFDavg (Probability of Failure on Demand) и PFH (Probability (intensity) of dangerous failures per hour), соответственно: среднюю вероятность отказа выполнения требуемой функции (отказа на запрос) и вероятность (интенсивность, частоту) опасных отказов в час.
В части 2 определены дополнительные требования к обеспечивающим безопасность системам и их архитектуре.
Жизненный цикл программного обеспечения и аппаратуры систем, а также методы для достижения и поддержания безопасности разъясняются в части 3.
В части 4 объясняются используемые термины и сокращения, причем эта часть является важным источником информации для изучения самой нормы безопасности.
Методы анализа в отношении использования обеспечивающих безопасность систем определяются в части 5. В этой части описываются методы для определения интегрированного уровня безопасности (SIL).
Часть 6 описывает применение частей 2 и 3.
Часть 7 объясняет методы, используемые во всех остальных частях.
ГОСТ (ы) Р МЭК 61511 описывают в трех частях руководство по установлению требований, разработке, монтажу, эксплуатации и техническому обслуживанию функций безопасности приборных систем безопасности и приборных систем безопасности в соответствии с МЭК 61511.
ГОСТ Р 51901.11-2005 устанавливает рекомендации по исследованию опасности и работоспособности технологического оборудования (HAZOP). Это структурированный и систематический анализ планируемого или существующего процесса или операции, с целью выявления и оценки проблем, которые могут представлять собой риск для персонала или оборудования.
Анализ источников риска и опасностей. HAZOP-метод был первоначально разработан для анализа химических технологических систем, но позже был распространен на другие типы технологических процессов. Этот метод один из нескольких, рекомендованных стандартом IEC-61511 для такого анализа. По результатам анализа разрабатывается документ (Декларация промышленной безопасности опасного производственного объекта), в котором представлены результаты всесторонней оценки риска аварии, анализа достаточности принятых мер по предупреждению аварий и по обеспечению готовности предприятия к эксплуатации опасного производственного объекта в соответствии с требованиями норм и правил промышленной безопасности, а также к локализации и ликвидации последствий аварии на опасном производственном объекте (РД-03-14-2005). Исследование HAZOP широко используют для анализа программного обеспечения. Если его применяют к управлению безопасностью критических видов оборудования и компьютерных систем, то метод обозначают CHAZOP Control Hazards and Operability Analysis (Исследование управления опасностью и работоспособностью или исследование компьютерной опасности и работоспособности, ГОСТ Р ИСО/МЭК 31010).
Следует иметь в виду то, что согласно международным нормам ПАЗ вовсе не обязательно должна быть надежной системой, но она обязана быть безопасной.
Так, например, сертифицированная по всем правилам TUV/IEC ПАЗ может быть безопасной, но при этом может ломаться хоть каждый день (т.е. иметь очень низкую надежность). Главное, чтобы она ломалась каждый раз в безопасное состояние [9,10]. То есть, заказчик будет терпеть убытки от простоя, но ни один человек не должен пострадать. В соответствии с требованиями МЭК-стандартов сложилась следующая практика проектирования систем аварийной безопасности:
1. Исходя из практики эксплуатации объектов НГО устанавливается заданная приемлемая безопасность технологического процесса (приемлемый риск).
2. Осуществляется анализ опасностей и риска технологического объекта, например, с использованием технологий HAZID на начальном этапе проекта или рекомендаций HAZOP (выделяются опасности процесса и устанавливаются необходимые слои защиты). По результатам анализа разрабатывается декларация промышленной безопасности опасного производственного объекта.
3. Для снижения уровня риска до допустимого (допустимым считается риск приемлемый в нефтегазовой отрасли с учетом существующих в настоящее время социальных ценностей) разрабатываются технологические (конструктивные, ПТЭ, энергетические) меры по обеспечению приемлемой надежности технологических установок. Часто, такая защита реализуется в виде многослойной структуры.
4. Для обеспечения допустимого уровня риска от возможных дополнительных опасностей разрабатываются контуры (каналы управления) инструментальной функции безопасности (SIF), отвечающие за отдельно выделенные критические параметры (параметры процесса связанные с установленными опасностями).
5. Каждый контур системы аварийной безопасности (SIS) проектируется отдельно, и каждому контуру назначается свой системный уровень надежности SIL, обеспечивающий заданное снижение уровня риска.
6. Чтобы достичь установленного уровня SIL, для каждого контура индивидуально подбирают архитектуру автоматической системы аварийной защиты, включающая в себя следующие основные элементы: измерительное устройство, устройство логического управления, барьер искробезопасности, источник энергопитания и исполнительные механизмы.
7. Выбор структуры SIF производится по рекомендациям ГОСТ Р МЭК 61508, 61511. В зависимости от применяемого устройства (а точнее, его показателей: PFDavg (средняя вероятность опасного отказа), SFF (доли безопасных отказов), Diagnostic coverage (диагностического охвата)) выбирается требуемый уровень отказоустойчивости (Fault Tolerance) SIS. Fault Tolerance в свою очередь определяет структуру SIS: 1oo1, 1oo2, 2oo3, 2oo2, 2oo4 и т.д.
8. При выборе компонентов ПАЗ каждое устройство SIF (датчик, барьер искробезопасности, контроллер, блок питания, клапан, устройство включения/выключения) должно иметь свой сертификат, подтверждающий соответствие характеристик устройства требованиям стандарта IEC 61508, и указывающий на то, что данное устройство может применяться в контурах, связанных с безопасностью до уровня полноты безопасности SIL 1-4.
9. Используя данные об интенсивности опасных и безопасных отказов отдельных устройств SIF, и задаваясь периодом тестового обслуживания (диагностического охвата) контура инструментальной функции безопасности, рассчитывается общая PFDavg контура защиты, которая должна соответствовать системному уровню надежности SIL, обеспечивающему заданное снижение уровня риска.
10. Идентифицируют STL (Spurious Trip Level), уровень ложных отключений каждого контура защиты.
11. Используя архитектуру SIS, вычисляются PFS (Probability to Fail Safe), значения которых показывает все отказы и указывает на вероятность тех отказов, которые находятся в безопасном режиме.
12. Определяют ожидаемую интенсивность ложных отказов Spurious Trip Rate (STR) для компонентов SIS и они объединяются для канала ПАЗ.
13. Устанавливается (принимается) решение по обеспечению надежности, которое позволяет получить требуемое среднее время наработки до безопасного отказа MTTFspurious для SIS.
14. Если расчетное время наработки до безопасного отказа MTTFspurious неприемлемо, то необходимо изменить SIS (конфигурацию аппаратных средств, добавить резервирование, уменьшить тест-интервал, выбрать аппаратные средства с большей надежностью, и т.д.), и повторно вычислить соответствие требованиям SRS, определенным в Технических документах требованиям техники безопасности для каждого SIF.
15. Определяется необходимый временной интервал тестового контроля SIS.
16.Оценивается эффективность тестового контроля SIS, назначаемого для эксплуатационного периода.
Установленные уровни SIL (от 1 до 4) определяют заданные частоты отказов функций КИПиА при реализации следующих аварийных защит:
4 - Защита от общей катастрофы;
3 - Защита обслуживающего персонала и населения;
2 - Защита оборудования и продукции, защита от травматизма;
1 – Эксплуатационная защита оборудования и продукции.
При определении уровня SIL рассчитывается риск угроз:
.
Риск может быть рассчитан с использованием как качественного, так и количественного методов. Количественный метод расчета может выполняться с использованием САПР системы противоаварийной защиты, например, программы SILence ф. HIMA (демо-версия – http://www. hima.com/).
Рис. 5.1. Граф риска
Несмотря на различия рекомендаций и требований ГОСТ, ПБ, РД и МЭК-стандартов, прослеживается единство их методологий при проектировании противоаварийной защиты.
Так оценка риска через вероятность отказа системы безопасности в существенной мере соответствует методики расчета категории взрывобезопасности через потенциал взрывоопасности технологического блока (ПБ 09-540-03).
Для определения уровня безопасности SIL рекомендуется воспользоваться диаграммой рисков ГОСТ Р МЭК 61508 (рис. 5.1).
Согласно терминологии этого стандарта, угроза приводит к «риску» только в том случае, если она связана с летальным исходом, нанесением ущерба имуществу или окружающей среде. Шкала ущерба выражается схемой «графа риска», стандартной для МЭК (рис. 5.1). Дискретные значения четырех параметров C, F, P и W указаны в стандартных таблицах графа риска. Значения этих параметров оцениваются для каждой единицы опасного оборудования. Такой подход приводит к заданию класса безопасности (SIL) технологического процесса.
Стандарт рассматривает следующие параметры риска, свойственные технологическим процессам:
Последствия риска – Ci, где i = A, B, C, D.
Частота и время действия риска – Fj, где j = A, B.
Возможность избегания опасного риска – Pm, где m =A,B.
С учетом качественной оценки вероятности нежелательного события (Wn, где n =1,2,3) показатель уровня риска (RCl, где l= 1, 2, 3, 4) устанавливается целочисленной функцией:
RCl = RC(Ci Fj Pm Wn).
Здесь параметры риска по стандарту IEC 61508 (см. рис. 5.1) (качественный метод оценки) определяют следующим образом:
1. Травматизм:
CA – незначительные травмы.
CB – серьёзные травмы одного или нескольких человек, смерть одного человека.
CC – смерть нескольких человек.
CD – катастрофические последствия, большие человеческие потери.
2. Продолжительность нахождения в опасной зоне:
FA – от редкого до относительно частого.
FB – частое или постоянное.
3. Предотвращение опасности:
PA – возможно при определённых обстоятельствах.
PB – невозможно.
4. Вероятность нежелательного события:
W1 – крайне низкая.
W2 – низкая.
W3 – -высокая.
В зависимости от требований к отказоустойчивости SIF используются различные принципы резервирования, например, «Lockstep» и «Active-Standby».
В режиме «Active-Standby» резервное устройство не выполняет программу управления (находится, в так называемом, «спящем состоянии») и, следовательно, при отказе основного устройства ему требуется время, чтобы активизироваться.
В режиме "Lockstep" резервное устройство выполняет ту же программу, что и активное и ему не требуется дополнительного времени на активизацию. В режиме «Lockstep» применяются следующие структуры резервирования:
– дублированный логический контур по схеме «ИЛИ», реализующий срабатывание ПАЗ при появлении сигнала опасного уровня в одном из контуров защиты, который носит название конфигурации 1оо2 (табл. 5.5). Данная структура утверждена по TUV для классов сертификации аварийной безопасности: АК5, АК6.
– дублированный логический контур по схеме «И», реализующий срабатывание ПАЗ при появлении сигнала опасного уровня в обоих контурах, который носит название конфигурации 2оо2. Применение такой схемы ограничено. Так данная структура не утверждена по TUV для классов АК5, АК6.
– троированный логический контур по схеме «ИЛИ», реализующий срабатывание ПАЗ при появлении сигнала опасного уровня в одном из контуров – это конфигурация 1оо3. При обнаружении неисправности одного из контуров для классов безопасности АК5, АК6 (TUV) не разрешается работа ПАЗ.
– троированная (TMR) система с мажоритарным голосованием 2оо3 (логический контур по схеме «два из трех», который реализует срабатывание ПАЗ при появлении сигнала опасного уровня в двух из трех контуров). При обнаружении неисправности одного из контуров для классов безопасности АК5, АК6 (TUV) разрешается работа ПАЗ в течение 1500 часов до устранения неисправности, однако, при этом система деградирует до архитектуры 1оо2.
– схемы 1оо1D, 1оо2D, 2оо2D, 2оо3D, которые имеют встроенное диагностирование (если диагностика обнаруживает опасный отказ, то осуществляется включение контакта блокировки).
Сравнивая возможности этих схем, следует отметить достоинства конфигурации 1оо2D. Это дублированный логический контур по схеме «ИЛИ» с диагностикой, который обеспечивает срабатывание ПАЗ при появлении сигнала опасного уровня в одном из логических контуров. При обнаружении неисправности в одном из контуров для класса безопасности АК5 (TUV) разрешается работа ПАЗ в течение 72 часов, которые даются на устранение неисправности (замену модуля).
Таблица 5.5
Варианты архитектуры приборных каналов ПАЗ
На схемах МЭК, приведенных в этой таблице показано резервирование только ПЛК:
I – входной модуль,
L- процессор, например, ПЛК,
O- выходной модуль,
D диагностирующий модуль.
Однако такое же резервирование может быть реализовано и для измерительного, и исполнительного устройств
Общие рекомендации по выбору структуры SIF.
Одноканальные системы 1оо1 – ненадежны и небезопасны. Промышленный вариант этой категории, сертифицируемый по классу SIL2 (SIL3)- это система 1оо1D.
Пример применения структуры 1oo1D – это контур защиты, сертифицируемый TUV по уровню безопасности RC6/SIL3, который в концептуальном виде показан на рис.5.2. Как следует из рисунка, выходной сигнал проходит через двойной переключатель, дублирующие компоненты которого выполнены по различным технологиям. Через электронный ключ подаётся нормальный выходной сигнал контроллера; в то же время реле, управляемое встроенной схемой диагностики, обеспечивает (через цепь нормально открытых контактов) дополнительный ключ, контролирующий подачу выходного сигнала.
В нерезервированной конфигурации, в том случае, если диагностической схемой будет обнаружена неисправность, контакты реле будут автоматически приведены в «безопасное состояние», то есть разомкнуты.
Высокий уровень безопасности технологического процессадостигается за счёт развитых в схеме 1оо1D функций самодиагностики, включающих, например, измерения тока и напряжения, временных параметров, параметров синхронизации сигналов, проверку целостности передаваемых и обрабатываемых данных.
Рис.5.2. Резервирование 1оо1D
Примером голосующей структуры «два отказа из двух» является схема 2оо2(дублированный логический контур по схеме «И»). Оборудование, выполненное по такой схеме резервирования, имеет повышенную опасность: частота несрабатывания и риск возникновения аварийных ситуаций по причине несрабатывания в схеме 2оо2 по сравнению со структурой 1оо1 удваивается. Это означает, что частота и вероятность ложного срабатывания и, соответственно, беспричинного останова процесса увеличивается.
Система с тройным модульным резервированием с голосующей структурой «два отказа из трех возможны» 2оо3 обеспечивают приемлемый баланс безопасности и надежности и обеспечивает безопасность уровня SIL 3 SIL-4.
Контрольные вопросы
1. Какими нормативными документами осуществляется техническое регулирование промышленной безопасности в НГО?
2. Какие концепции архитектур автоматических и автоматизированных систем, обеспечивающих безопасность технологического процесса (SRS), применяются в НГО?
3. Какова международная практика проектирования систем аварийной безопасности с использование приборных систем защиты?
4. Каким образом определяют необходимый уровень интегрированной безопасности (SIL) для объектов НГО?
5. Какие архитектуры ПАЗ находят применение в технологических процессах НГО?
Проектирование ПАЗ
Основная задача ПАЗ – это обеспечение перевода технологического процесса в безопасное состояние в случае аварийных нарушений параметров (функций) технологических режимов [9,10]. Приборный контур защиты является одним из слоев комплекса, отвечающего за безопасность технологического процесса (рис. 5.3).
Это логическая контрольно-измерительная система, которая обнаруживает ненормальные события в технологическом процессе (АС) и инициирует автоматические действия по размыканию энергии, срабатыванию клапанов и останову технологического объекта для приведения нарушения технологического режима к безопасному уровню.
Описание проблемы безопасности. В качестве примера рассмотрим последовательность проектирования ПАЗ оборудования перекачки диэтиленгликоля (ДЭГ) комплексной подготовки газа (УКПГ).
Рис. 5.3 Слои защиты технологического процесса НГО |
Идентификация опасности. Анализ опасности.В соответствии с рекомендациями ГОСТ Р 51901.11-2005 для анализа причин возникновения аварийных ситуаций при работе оборудования перекачки диэтиленгликоля построим «дерево» событий (отказов). Структура «дерева» событий включает одно головное событие (аварию, инцидент), которое соединяется с набором соответствующих нижестоящих событий (ошибок, отказов, неблагоприятных внешних воздействий), образующих причинные цепи (сценарии аварий). Для связи между событиями в узлах «деревьев» используются знаки «И» и «ИЛИ». Логический знак «И» означает, что вышестоящее событие возникает при одновременном наступлении нижестоящих событий. Знак «ИЛИ» означает, что вышестоящее событие может произойти вследствие возникновения одного из нижестоящих событий.
Рис.5.4. Дерево» событий
Построенная диаграмма на рис. 5.4 указывает на то, что основными источниками аварий (отказов) оборудования перекачки диэтиленгликоля УКПГ могут быть:
– ошибочные действия персонала при пуске и останове насоса теплообменника, несоблюдение очередности оперативных переключений технологических трубопроводов и запорной арматуры и др.;
– высокая температура диэтиленглюколя после теплообменника;
– отказ системы электрических блокировок (ESD), приборов контроля и сигнализации, систем управления, в частности, насоса теплообменника;
– отказ электрооборудования и исчезновение электроэнергии;
– производство ремонтных работ без соблюдения необходимых организационно-технических мероприятий;
– старение оборудования (моральный или физический износ);
– коррозия оборудования и трубопроводов (образование свищей);
– применение запорной арматуры без необходимых прочностных характеристик (несоответствие Ру и Dу);
– гидравлический удар в трубопроводе ДЭГ;
– факторы внешнего воздействия (ураганы и удары молний и др.).
Все эти источники аварий наблюдаемы и могут быть предотвращены, если есть соответствующие средства мониторинга, побуждающие оператора к принятию по их устранению.
Выделим цепочки опасных событий, которые могут быть устранены с использованием программно-аппаратных средств (Е/Е/РЕ).
Сценарными событиями необходимости использования приборной ПАЗ являются события, приведенные в таблице 5.1.
Таблица 5.1
События техпроцесса
№ п/п | Событие или состояние техпроцесса |
Оператор отреагировал на необходимость закрытия клапана | |
Оператор не заметил световой индикации на РСУ о высокой температуре ДЭГ | |
Оператор растерялся и нарушил последовательность включения резервного насоса | |
Оператор не смог включить резервный насос вовремя |
По материалам анализа аварийной ситуации разрабатывается таблица 5.2 мероприятий противоаварийной защиты.
Таблица 5.2.
Пример оформления результата анализа аварийного состояния на
Объекте
Уровень аварийной ситуации | Наименование аварийной ситуации | При каких условиях возможна аварийная ситуация | Возможное развитие аварийной ситуации, последствия | Реальное состояние системы (средств) противоаварийной защиты (ПАЗ) и локализации аварийных ситуаций | Мероприятия по дооснащению системы ПАЗ и средств для локализации аварийных ситуаций |
А | Высокая температура ДЭГ после теплообменника. | Ошибки производственного персонала при выполнении технологического процесса | Розлив взрывопожароопасного вещества; взрыв; пожар; разрушение технологического оборудования; поражение производственного персонала | Отсутствуют средства ПАЗ (SIS). Имеет место ручное управление технологическим оборудованием (насосом) при возникновении аварийного режима. В частности, нет автоматического переключения насосов теплообменника е (SIF) | Оснастить технологическую схему средствами контроля и аварийной защиты от перегрева теплообменника |
Пусть в результате анализа рисков аварий на этой установке выделено конкретное аварийное событие – «Разлив ДЭГ, возникновение облака паров при подаче диэтиленгликоля (ДЭГ) в технологическую емкость». Это событие может быть вызвано ошибками оператора, неисправностью теплообменника или АСУ ТП.
Оценим в соответствии с диаграммой рис.5.1 уровень требований к системе аварийной безопасности в метрике уровня рисков аварийного события «Неисправность теплообменника диэтиленгликоля».
Определение необходимого уровня безопасности процесса. Заданный уровень безопасности процесса специфичен для каждого конкретного процесса, предприятия или отрасли. Пусть типизация уровня безопасности для такого процесса установлена нормативными документами предприятия. Пусть нормативными документами установлено то, что средняя частота аварийного события на УКПГ не должна превышать 10–4 в год. Это объясняется ожидаемыми последствиями выброса природного газа для людей и окружающей среды. Будем считать, что нештатное отключение процесса ведет к нежелательной ситуации, хотя бы потому что (процесс) производство должно быть остановлено и запущено вновь. Запуск и нештатная остановка технологических процессов считаются двумя самыми опасными режимами работы данного производства и должны быть ограничены до абсолютного минимума.
Задавшись примерным ситуационным планом этого аварийного события, можно установить следующие атрибуты риска разлива диэтиленгликоля:
· травматизм соответствует – CB;
· продолжительность нахождения в опасной зоне – FB,;
· предотвращение опасности – PB,;
· вероятность нежелательного события - W2.
Воспользовавшись диаграммой риска (рис.5.1), в соответствии с этими атрибутами риска, его уровень соответствует – 2.
Оценка возможности снижения риска с помощью технологических слоев защиты. Анализ возможности применения технологических ограждений, равно как и других средств пассивной защиты показывает, что заданный уровень безопасности не достигается, в случае возникновения рассматриваемого события. Эти средства лишь ограничивают развитие опасности. Слой защиты, связанный с обязательностью выполнения правил технической эксплуатации, не обеспечивает технологическую безопасность при изменении внутренних свойств технологических объектов УКПГ, в частности, оборудования охлаждения ДЭГ. Поэтому для снижения риска такой опасности следует использовать специальный прибо