Справочник инженера по АСУТП Проектирование и разработка 2008. Справочник инженера по асутп Проектирование и разработка Учебнопрактическое пособие ИнфраИнженерия

138 Справочник инженера по АСУТП: Проектирование и разработка
Модель жизненного цикла
системы безопасности
Рис. 2.5

Глава 2. Современная концепция автоматизации
139
Первый шаг.
Для каждой из перечисленных методик первым шагом яв- ляется определение интенсивности отказов для каждого эле- мента, модуля, или комплектной подсистемы. Многие по- ставщики предоставляют эти данные с большой неохотой.
Отказ от предоставления данных о надежности оборудования и, что не менее важно, методик расчета параметров надежно- сти, должен породить сомнения в добросовестности постав- щика оборудования.
Для метода логических блок-диаграмм следующим ша- гом будет объединение (логическое сложение и умножение) вероятностей отказов отдельных компонентов. Однако и этот метод может оказаться не совсем простым, если в составе ана- лизируемой цепочки компонентов оказывается конкретная конфигурация из нескольких логических устройств, несколь- ких сенсоров и нескольких исполнительных устройств, завя- занных в единую физическую и логическую последователь- ность.
Конкретные примеры расчетов приведены в стандарте
IEC 61508. По результатам этих расчетов производится срав- нение полученных вероятностей с требуемыми для опреде- ленного класса значениями (таблица 2.3).
Таблица 2.3
Интегральный уровень безопасности (SIL)
SIL ;
Допустимая
вероятность
опасного
отказа
pfd
avg
Требуемая
надежность
(стационарная
готовность)
(1
PFD
avg
)
Вероятность
(частота)
опасных
отказов (1/час)
PF
^avg ( ^AVG )
Фактор
снижения
риска
(годы)
RRF = 1/PFH
AVG
1
t
от 10"
2
ДО Ю
-1
90% - 99%
от 10"
6
до 10"
5
>
От 10 до 100 лет
2
от Ю
-3
ДО Ю-
2
99% - 99.9%
от 10
7
до 10"
6
От 100 до 1000
лет
з ;
от 10^
Д0 1СГ
3
<
99.9% -
99.99%
от КГ
8
до 1(Г
7
|
От 1000 до
10000 лет
4 ! Менее 1СГ*
Более 99 99%
Менее 1СГ
8 !
Более 10000 лет

140 Справочник инженера по А СУТП: Проектирование и разработка
В случае метода анализа дерева отказов следующим шагом будет создание диаграммы дерева отказов. Анализ де- рева отказов - это специальная техника, которая используется для анализа и идентификации условий и факторов, вызываю- щих появление определенного нежелательного события.
Дерево отказов имеет одно головное нежелательное со- бытие - аварию или инцидент, которое обуславливается набо- ром нижестоящих событий - ошибок или отказов. Эти при- чинно-следственные цепи называют сценариями.
Для связи между событиями в узлах деревьев использу- ются операции "И" и "ИЛИ". Операция "И" означает, что вы- шестоящее событие возникает при одновременном наступле- нии подлежащих событий. Операция "ИЛИ" означает, что вышестоящее событие может произойти при возникновении одного из подлежащих событий. Собственно анализ дерева заключается в определении причин и их комбинаций, которые приводят к появлению головного события.
На первом этапе - это качественный анализ. Но если ве- роятности появления базовых событий известны, то вероят- ность головного события может быть вычислена по правилам булевой алгебры. Существуют программные средства генера- ции и обсчета деревьев.
И так же, как и в первом случае, по результатам расчетов производится сравнение полученной сводной вероятности от- каза с требуемыми значениями (таблица 2.3).
Наиболее точным является Марковский анализ. Метод заключается в разработке диаграммы состояний и переходов
Марковского процесса. В диаграмму состояний и переходов включаются все мыслимые состояния процесса, которые мо- гут возникнуть вследствие отказа любого из компонентов процесса, включая состояния полного останова, и задаются интенсивности перехода системы из одного состояние в дру- гое. По диаграмме формируется система дифференциальных уравнений, и в результате ее решения определяются вероятно- сти нахождения процесса в определенных состояниях как
функции времени. Естественно, что полученная Марковская модель допускает и статические решения в зависимости от предопределенных начальных условий.
Все другие методы оценки вероятностей отказов системы позволяют производить только статические расчеты.

Глава 2. Современная концепция автоматизации
141
Всеобъемлющий учет всех факторов, влияющих на на- дежность и безопасность, делает Марковский анализ лучшим, но одновременно и самым сложным и трудоемким с матема- тической (и не только) точки зрения методом предсказания надежности и безопасности системы. И так же, как и в первом случае, по результатам расчетов производится сравнение по- лученных значений вероятности отказа с требуемыми значе- ниями таблицы 2.3, и определяется общий уровень безопасно- сти процесса.
Из сказанного следует, что самым простым является ме- тод логических блок-схем, который дает наиболее консерва- тивную оценку опасности процесса, и обычно используется в качестве первого приближения для оценки требуемого уровня безопасности.
Метод анализа дерева отказов рассматривается многими как возможный компромисс между простотой метода логиче- ских блок-схем, и полнотой Маковского анализа для вычисле- ний общего уровня безопасности.
Марковский анализ проводится экспертами по промыш- ленной безопасности, и используется ими не только для опре- деления существующего уровня опасности, но и для перепро- ектирования системы безопасности с целью снижения этого уровня.
Технический отчёт обеспечивает сравнение различных ар- хитектур программируемых электронных систем. Технический отчёт определяет уровень допуска по интенсивности отказов, по наработке на отказ, по требуемой степени диагностики, по требуемой периодичности тестирования.
2.11. Методы анализа риска и опасных факторов в США
Перед конкретным применением стандарта 84.01-96 тре- буется провести специальное обследование опасности техно- логического процесса. В Соединенных Штатах существуют нормы управления безопасностью процесса PSM (Process
Safety Management), управления по технике безопасности и охране труда OSHA (Occupational Safety and Health Admini-
stration), и программы управления рисками RMP (Risk Man-
agement Program) агентства по защите окружающей среды
EPA (Environment Protection Agency).

142 Справочник инженера по А СУТП: Проектирование и разработка
Эти нормы требуют проведения анализа опасности про- цесса PHA (Process Hazards Analysis) для идентификации по- тенциально опасных факторов в ходе эксплуатации техноло- гического процесса, и для разработки мер, необходимых для защиты персонала, населения и окружающей среды.
Объем проведения РНА может меняться от простейшего классификационного анализа до всестороннего исследования опасности и работоспособности HAZOP (Hazard and Operabil-
ity Study). Процедура HAZOP представляет собой системати- ческую и методическую проверку технологического процесса, в ходе которой команда, представленная различными специа- листами, идентифицирует опасные факторы и проблемы экс- плуатации, способные стать причиной аварии. Процедура
HAZOP обеспечивает приоритетный базис для внедрения стратегий снижения риска, таких как системы безопасности
SIS (Safety Instrumented System).
Если в результате анализа опасности процесса (Process
Hazards Analysis - РНА) выясняется, что механическая целост- ность оборудования и стандартное управление процессом не- достаточны для снижения потенциальной опасности, то ут- верждается, что необходима система защиты. Она состоит из измерительных приборов и органов управления (в общем слу- чае - резервированных), устанавливаемых с целью уменьше- ния опасности или перевода процесса в безопасное состояние в случае нарушения нормального хода технологического про- цесса, либо сбоя самой системы защиты. Если в ходе анализа опасности процесса выявляется, что необходима система безо- пасности, в соответствии с требованиями стандарта ANSI/ISA
84.01-96 задается целевой уровень допуска безопасности SIL.
В отличие от уникальной попытки МЭК формализовать методы выбора архитектуры систем безопасности, в США за- дание SIL является по преимуществу корпоративным решени- ем, основанным на философии управления риском, и исходя из допустимого риска. Нормы по безопасности предписывают, чтобы процедура задания SIL проводилась тщательно и доку- ментировалась полностью.
По завершению процедуры HAZOP определяется серьез- ность и вероятность возникновения связанных с данным про- цессом рисков.

Глава 2. Современная концепция автоматизации
143
Серьезность риска оценивается по степени ожидаемого воздействия и последствиям, к которым относятся:
• Последствия на территории установки;
• Травмы или смерть производственного персонала;
• Ущерб оборудованию;
• Последствия за пределами установки;
• Воздействие на население, в том числе травмы и смерть;
• Ущерб собственности;
• Воздействие на окружающую среду;
• Выброс опасных химических веществ;
• Загрязнение воздуха, почвы и водных источников;
• Ущерб в экологически чувствительных зонах.
Степень риска - это оценка вероятности наступления не- благоприятного события. Степень риска классифицируется как высокая, средняя или низкая, и часто основывается на опыте самой компании или ее конкурентов.
Для преобразования данных HAZOP в SIL используются различные методы - от принятия корпоративного решения по всем установкам системы безопасности до более точных ме- тодик, таких как диаграмма риска стандарта IEC 61508, заим- ствованная из немецкого стандарта DIN V 19250.
2.12. Российские нормы анализа рисков и последствий
отказов
За последние годы появилась группа очень добротных отечественных нормативных документов по анализу рисков и оценке последствий отказов:
• РД 03-418-01 "Методические указания по проведению
анализа риска опасных производственных объектов",
основанные на анализе деревьев отказов и событий.
• ГОСТ 27.310-95 "Анализ видов, последствий и критич-
ности отказов
РД 03-418-01 дает вполне определенные рекомендации:
Пункт 5.2: "При выборе и применении методов анализа риска
рекомендуется придерживаться следующих требований:
• Метод должен быть научно обоснован и должен со-
ответствовать рассматриваемым опасностям;

144 Справочник инженера по А СУТП: Проектирование и разработка
• Метод должен давать результаты в виде, позволяю-
щем лучше понять формы реализации опасностей и
наметить пути снижения риска;
• Метод должен быть повторяемым и проверяемым ".
Пункт 5.3: "На стадии идентификации опасностей рекомен-
дуется использовать один или несколько из перечисленных
ниже методов анализа риска:
• "Что будет, если... ? ";
• Проверочный лист;
• Анализ опасности и работоспособности;
• Анализ вида и последствий отказов;
• Анализ дерева отказов;
• Анализ дерева событий
Приводятся конкретные показатели по уровню и критичности последствий отказа, аналогичные тем, что используются на западе.
Критерии отказов по тяжести последствий:
• Катастрофический отказ - приводит к смерти людей, существенному ущербу имуществу, наносит невос- полнимый ущерб окружающей среде;
• Критический / Некритический отказ - угрожает / не угрожает жизни людей, приводит / не приводит к су- щественному ущербу имуществу, окружающей среде;
• Отказ с пренебрежимо малыми последствиями - отказ, не относящийся по своим последствиям ни к одной из первых трех категорий.
Категории (критичность) отказов:
• "А" - Обязателен количественный анализ риска, или требуются особые меры обеспечения безопасности;
• "В" - Желателен количественный анализ риска, или требуется принятие определенных мер безопасности;
• "С" - Рекомендуется проведение качественного анали- за опасностей или принятие некоторых мер безопасно- сти;
• "Д" - Анализ и принятие специальных (дополнитель- ных) мер безопасности не требуется.
Возможные сочетания этих показателей приводятся в таблице 2.4.

Глава 2. Современная концепция автоматизации
145
Таблица 2.4
Тяжесть последствий отказов |
Частота
возникновения
отказа, 1/год
катастрофи-
ческий
отказ
критический
отказ
некритиче-
ский отказ
отказ с
пренеб-
режимо
малыми
послед-
ствиями
Частый отказ
> 1
с
Вероятный отказ
1 - 1<Г
2
• m i
ж н м ш к
шшшш
шШШШШШ
в
с
Возможный отказ
10
2
-КГ
4
f > ; V
.m--;
г "
в
в
с
Редкий отказ
КГ
4
-10*
А
в
с
д
Практически неве-
роятный отказ
<10*
В
с
с
д
Из представленных категорий и критериев тяжести отка- зов следует, что взрывоопасные объекты нефтегазодобываю- щей, химической, нефтехимической и нефтеперерабатываю- щей промышленности прочно занимают ячейки, выделенные серым цветом, поэтому количественный анализ риска для
них обязателен.
Существенное замечание
Необходимо понимать, что при всей внешней стройнос-
ти метод на основе анализа дерева отказов и событий имеет
существенные ограничения:
• Лишь одно нежелательное событие может быть
корневым. Соответственно, для каждого типа отка-
за нужно создавать свое дерево. Пример - дерево
опасных отказов (несрабатывание), и дерево ложных
отказов - немотивированный останов.
• Модель статична. Поэтому вероятность проявления
нежелательного события представляет собой супер-
позицию отказов, возникшую в некий абстрактный
срез времени.
• Базовые отказы имеют неприятное свойство концен-
трироваться и, как правило, взаимосвязаны самым не-
предсказуемым образом. Классическое дерево не име-
ет горизонтальных и перекрестных связей, и не мо-
жет представить взаимную коррелированность от-
казов на разных ветвях.

146 Справочник инженера по А СУТП: Проектирование и разработка
• Дерево по определению не имеет циклов и, соответ-
ственно, не позволяет моделировать системы с вос-
становлением после отказа - обратного хода нет.
И самый важный аспект - высокая зависимость резуль-
тативности метода от компетентности исследователя. Он
должен досконально знать свойства того объекта, который
исследуется. Иначе какие-то из возможных комбинаций от-
казов будут пропущены, и результат анализа во многом по-
теряет смысл.
2.13. Международные стандарты безопасности
Уровни защиты. На рис. 2.6 показано, как различные уровни защиты используются для снижения неприемлемого риска до приемлемого уровня.
Э ф ф е к т и в н о с т ь с н и ж е н и я р и с к а д л я т е х н о л о г и ч е с к о г о п р о ц е с с а
в з а в и с и м о с т и о т у р о в н я з а щ и т ы
Приемлемый
уровень риска
Низкий уровень риска
Высокий уровень риска
РСУ (DCS)
ПАЗ (SIS)
ПК (SV)
- Распределенная система управления
- Система противоаварийной защиты
( включая сенсоры и исполнительные устройства )
- Предохранительный клапан
Рис. 2.6
Величина снижения риска для каждого уровня зависит от конкретной природы фактора риска, и влияния уровня защиты на данный фактор. В общем случае фактор снижения риска может быть определен как степень, в которой снижается про- изводственный риск по сравнению с ситуацией при отсутст- вии системы безопасности. Естественно, что при определении подходящей комбинации уровней защиты для снижения фак- торов риска необходимо учитывать и экономическую целесо- образность.