Начинается...

Система ПАЗ от риска к безопасности

Система ПАЗ от риска к безопасности

П. Н. КИРЮШИН – эксперт по системам противоаварийной автоматической защиты (ПАЗ) компании Эмерсон

В статье рассматриваются существующие практики создания систем противоаварийной защиты (ПАЗ) на российских предприятиях. Предлагается алгоритм практического применения требований ГОСТ Р МЭК 61511 к системам ПАЗ с целью повышения их функциональной безопасности. Представлен комплексный подход к проектированию, реализации и обслуживанию полноценных контуров защиты от уровня датчиков до исполнительных устройств.

Обеспечение безопасности является важнейшей задачей на промышленных предприятиях. Главный технолог и главный инженер должны обеспечить безотказное функционирование всего оборудования, защитить здоровье людей и окружающую среду, а также выполнить требования надзорных органов. Это не всегда легко сделать – устаревшие технологии, отсталость оборудования, неэффективные подходы к обеспечению безопасности значительно влияют на решение выше обозначенных задач. Аварии последних лет говорят о том, что для обеспечения промышленной безопасности сделано недостаточно, и есть области, которые требуют отдельного внимания. Причины аварий – это, как правило, фатальная комбинация ошибок проекта, отказов оборудования, нарушения процедур [1, 2]. В данной статье рассказывается, почему нужно обязательно выполнять этап анализа рисков при проектировании системы безопасности, что рекомендует ГОСТ, и почему построение SIL ориентированных контуров защиты на базе анализа рисков экономит затраты предприятия и предоставляет ему требуемый уровень безопасности. С экспертной точки зрения, область внимания по повышению функциональной безопасности – это корректное применение норм стандартов серии ГОСТ Р МЭК 61508/61511 (http://protect.gost.ru) в задачах создания и эксплуатации систем противоаварийной автоматической защиты (ПАЗ).

Практика применения уровня полноты безопасности SIL в России

В России традиционно прижилось понятие уровня полноты безопасности – SIL (Safety Integrity Level), но игнорируется жизненный цикл системы безопасности. Требования к системе ПАЗ учитывают только обеспечение уровня полноты безопасности SIL контроллером, а этап анализа риска, на котором должен определяться целевой уровень SIL всего контура защиты, игнорируется.

Типовая ситуация бывает следующей: компания объявляет тендер на АСУТП установки и размещает технические требования на официальном сайте. Требования попадают в компании потенциальных поставщиков, которые начинают готовить технико-коммерческие предложения. Зачастую, можно увидеть следующие сформулированные типовые требования к системе ПАЗ:

  • «Контроллер системы ПАЗ должен соответствовать нормам SIL3. Для подтверждения соответствия нормам SIL3 необходимо предоставление сертификатов с перечнем модулей»
  • «Контроллер системы ПАЗ должен иметь резервируемую архитектуру, включающую...».

Как правило, распределение сигналов на контуры защит и требования к датчикам, отсечным клапанам, интерфейсным устройствам отсутствуют. Тем самым, нарушается основа построения системы ПАЗ – целостность контура от датчика до исполнительного устройства.

Распределение основного технологического оборудования между РСУ или системой ПАЗ выполняется следующим образом. Насосы, электрические задвижки, отсечные клапаны относятся к системе ПАЗ; а датчики, участвующие в регулировании, и регулирующие клапаны – к РСУ. Такой подход представляется избыточным. В результате, общее число шкафов системы ПАЗ получается больше, чем число шкафов в РСУ. Тогда как по статистике поставляемые контроллеры уровня SIL3 влияют на безопасность в объеме только 8% от общей вероятности отказов в контуре.

Так, в результате аварии на российском НПЗ в 2014 г. одной из названных Ростехнадзором причин являлось «...отсутствие оценки оснащенности ТП средствами контроля, управления и противоаварийной защиты, и их действий в период пуска и останова технологического оборудования» (http://www.gosnadzor.ru). Под «отсутствием оценки оснащенности» следует понимать невыполненный этап анализа рисков и отсутствие градации контуров защиты по уровням полноты безопасности SIL.

Анализ рисков. Ключевые концепции ГОСТ Р МЭК 61511

Стандарт ГОСТ Р МЭК 61511 оперирует двумя ключевыми концепциями:

  1. Жизненный цикл безопасности;
  2. Уровень полноты безопасности SIL.

Уровень полноты безопасности SIL, с одной стороны, определяет необходимое снижение риска возможной аварии ТП, за счет применения контура защиты на основе системы ПАЗ, а с другой – определяет требования к показателям безопасности самого контура: среднюю вероятность отказа при запросе на останов (PFDavg), аппаратную избыточность для обеспечения функции безопасности (HFT).

Общая концепция снижения риска представлена на рис. 1, SIL распространяется на часть риска, устраняемого ПСБ.

Жизненный цикл безопасности определяет набор этапов, работ и методов контроля и проверки (рис. 2).

Рассмотрим каждый из этапов жизненного цикла подробнее.

Общая концепция снижения риска ГОСТ Р МЭК 61511, где ПСБ – приборная система безопасности (система ПАЗ – частный случай ПСБ)

Рис. 1. Общая концепция снижения риска ГОСТ Р МЭК 61511, где ПСБ – приборная система безопасности (система ПАЗ – частный случай ПСБ)

Жизненный цикл безопасности

Рис. 2. Жизненный цикл безопасности

Этап анализа риска

Выполняется с использованием одного из методов, например, анализа опасности и работоспособности – HAZOP (Hazard and Operability study). На этом этапе рассматриваются: опасности, связанные с отклонением технологического режима; их причины – как правило, это отказ средств управления; последствия таких отклонений; существующие методы защиты и целесообразность дополнительных средств защит. Результат анализа HAZOP – это таблица технологических опасностей с ранжированием по последствиям. Далее проводится распределение функций безопасности по слоям защит. В первую очередь рассматривается возможность использования механических защит – предохранительные клапаны, разрывные диафрагмы. Там, где это невозможно, нужно реализовать приборные контуры защиты.

Определение уровней полноты безопасности SIL для приборных контуров защиты SIF (Safety Instrumented Function) может быть выполнено с применением одного из методов, например, матрицы риска или анализа слоев защит LOPA (Layers of protection analysis), графа риска или др. Следует отметить, что уровень SIL определяется для контура защит от датчика до исполнительного устройства. После определения уровней SIL можно распределить функции защит по исполнению: реализовать уровень SIL0 с коэффициентом снижения риска менее 10 средствами РСУ; реализовать уровни SIL1 и выше средствами системы ПАЗ. На выходе этапа должна появиться спецификация требований безопасности – Safety Requirment Specification (SRS). Это техническое задание на создание системы ПАЗ. Спецификация определяет блокировочные контуры: датчикконтроллер-исполнительное устройство; требования к ним по уровню SIL, требования к интервалам тестирования, требования к архитектуре, требования приказов Ростехнадзора и т.п.

Этап реализации

На основании спецификации SRS выбираются КИП, контроллер, исполнительные устройства. Путем расчета подтверждается, что проектируемые контуры защит по уровню SIL соответствуют требуемым значениям из спецификации. Разработка документации включает: проект «поля», проект верхнего уровня, разработку рабочей документации, сборку системы, приемо-сдаточные испытания, пусконаладочные работы, комплексные испытания. Осуществляется валидация – подтверждение того, что заложенные алгоритмы и реализация полностью соответствуют исходным требованиям спецификации SRS.

Этап эксплуатации

Поскольку любая система со временем деградирует как в плане надежности, так и в плане безопасности, предприятие должно иметь планы тестирования элементов контура. Они тестируются с частотой, определенной в спецификации SRS. Результаты тестирования должны документироваться.

Периодично необходимо проводить оценку функциональной безопасности с участием технологов, электриков, специалистов службы КИП и АСУ. Должен быть определен ответственный за соблюдение жизненного цикла функциональной безопасности. Все люди, вовлеченные в стадии жизненного цикла системы ПАЗ, должны быть обучены.

SIL-ориентированный поход. Как применять ГОСТ Р МЭК 61511

По определению, Safety Instrumented Function (SIF) – это приборная функция безопасности (контур защиты), включающий все элементы от датчика до исполнительного устройства (рис. 3).

Пример контура защиты

Рис. 3. Пример контура защиты, где XooN – схема голосования X из N входов, для обеспечения блокировки (реализуется в контроллере); YooZ – схема голосования Y из Z выходов, обеспечения блокировки (определяется установкой исполнительного устройства в «поле»); ИУ – исполнительное устройство (отсечный клапан, насос и т.д.).

Вероятность отказа контура при запросе на блокировку равна сумме вероятностей отказа элементов, входящих в контур. Упрощенно: PFDloop = PFDsensor + PFDplc + PFDvalve.

Поэтому, если в рассматриваемом контуре присутствует контроллер SIL3, но устаревшее и не отвечающее требованиям по полноте безопасности «полевое» оборудование, то уровень полноты безопасности всего контура будет равен SIL0.

Задача перехода от «требований к контроллеру» к «требованиям к контуру» заключается в выполнении следующих мероприятий:

  1. Соблюдение этапов выполнения проектов по системе ПАЗ согласно ГОСТ Р МЭК 61511: от анализа опасностей и работоспособности (HAZOP) к распределению и назначению уровней SIL функциям безопасности, разработка требований к системе ПАЗ (спецификации SRS);
  2. Организационные меры на предприятии (управление функциональной безопасностью, обучение персонала, организация процессов проверки, процедуры и учет);
  3. Технические меры на предприятии (инструменты оценки функциональной безопасности);
  4. Готовность поставщиков к выполнению работ.

В итоге, для заказчика системы ПАЗ целесообразно разбить работы на два этапа:

  1. Выполнение анализа опасностей и риска;
  2. Поставка и выполнение работ по системе ПАЗ.
  • В техническое задание по этапу 1 должны быть включены следующие работы.Выполнение идентификации, анализа и прогнозирования риска аварий [2] в соответствии с п. 4 статьи 11 ФЗ № 116 «О промышленной безопасности опасных производственных объектов». В результате выполнения анализа опасностей и риска согласно требованиям п. 8.2.1 ГОСТ Р МЭК 61511-1-2011 [3] должны быть:
    – получены описания каждого определенного опасного события и влияющих на него факторов;
    – проведено описание последствий и правдоподобности события;
    – рассмотрены условия, такие как условия нормальной работы, запуска, останова, обслуживания, запуска процесса, аварийного останова;
    – установлены требования по дополнительному снижению риска, необходимому для достижения требуемой безопасности;
    – проведено описание (или даны соответствующие ссылки) мероприятий, предпринимаемых для снижения или устранения опасностей и риска;
    – подробно описаны допущения, сделанные в ходе анализа рисков, включая вероятные интенсивности запросов и интенсивности отказов оборудования, а также любые сведения об ограничениях условий работы и вмешательстве человека;
    – принято распределение функций безопасности по слоям защиты, учитывающее возможное снижение эффективности защиты, вызванное отказом по общей причине, возможным как между разными слоями защиты, так и между этими слоями и общей системой управления процессом (РСУ);
    – определены те функции безопасности, которые реализуются как функции безопасности приборной системы безопасности (ПАЗ);
  • Установление уровней полноты безопасности SIL (назначенный SIL) для функции безопасности, реализуемых на средствах системы ПАЗ.
  • Разработка концептуальной спецификации требований по безопасности (Safety Requirment Specification), согласно ГОСТ Р МЭК 61511-1, на основе результатов этапа анализа опасностей и рисков.

Как правило, этап 1 должна выполнять независимая от поставщика экспертная организация, так как результаты этапа (перечень контуров защит SIF и назначенный SIL) напрямую влияют на спецификацию решения и его стоимость. Анализ опасностей и риска может быть выполнен проектным институтом для новой стройки или независимой от эксплуатации структурой организации, обладающей необходимой экспертизой, при модернизации АСУТП.

Концептуальная спецификация требований по безопасности (SRS) должна содержать общие требования к системе ПАЗ, перечень контуров защит и требования к каждому из них, архитектурные решения от датчика до исполнительного устройства, требования приказов Ростехнадзора и т.п.

При выборе единого поставщика средств системы ПАЗ, концептуальный SRS должен являться техническими требованиями на систему в целом. Если выбрать единого поставщика не представляется возможным, то опросные листы на КИП и исполнительные устройства, технические требования к контроллеру заполняются с учетом данных SRS.

В техническое задание по этапу 2 должны быть включены следующие требования:

  • Выбор компонентов контура, который обосновывается расчетом на соответствие назначенному уровню SIL. Компоненты контуров с назначенным уровнем SIL1 и выше должны иметь сертификацию и отвечать требованиям ГОСТ Р МЭК 61508 / 61511.
  • Выполнение верификации контуров безопасности с учетом определенных требований по назначенному SIL, выбранного оборудования и схем построения, проводится на этапе создания рабочей документации необходимо.
  • Разработка детальной спецификации требований по безопасности SRS с учетом выбранного оборудования и принятых проектных решениях.

Поставщик системы ПАЗ, приступая к выполнению работ по этапу 2, имея в основе концептуальную спецификацию требований по безопасности SRS, подбирает элементы контуров защит от датчика до исполнительного устройства и выполняет проверочный расчет на соответствие назначенному (целевому) уровню SIL.

При определении соответствия контура безопасности назначенному (целевому) уровню SIL стандарты ГОСТ Р МЭК 61508/61511 требуют соответствия по трем критериям:

  1. Полнота безопасности, касающаяся систематических отказов (systematic integrity);
  2. Случайные отказы (random failure);
  3. Архитектурные ограничения (architectural constraints).

Несоответствие одному из них влечет изменение интервалов и методов тестирования, архитектуры или аппаратной реализации.

Примером может служить ситуация с отсечными клапанами. При отсутствии средств диагностики, таких как тестирование частичным ходом (PST), показатель доли безопасных отказов SFF будет менее 60%. Согласно табл. 2 ГОСТ Р МЭК 61508-2, при SFF менее 60% для обеспечения в контуре SIL2 нужно будет ставить два отсекателя (HFT=1), а для обеспечения в контуре SIL3 нужно будет ставить три отсекателя (HFT=2). При применении тестирования частичным ходом SFF будет более 90%, и как результат для обеспечения SIL3 будет достаточно двух отсечных клапана (HFT=1).

Сокращение затрат при достижении требуемого уровня безопасности

По статистике компании EXIDA [4], распределение контуров безопасности (SIF) по уровням SIL в нефтехимической промышленности следующее: SIL0 – 8%; SIL1 – 51%; SIL2 – 32%; SIL3 – 8%; SIL4 – 1%.

На этапе анализа опасностей и работоспособности (HAZOP) с последующим ранжированием рисков по уровням SIL следует учитывать все возможности по применению механических средств защит (предохранительные клапаны, разрывные мембраны и т.п.) с целью сокращения числа контуров системы ПАЗ с высоким уровнем SIL.

Реализация SIL4 может потребовать изменения технологической части проекта, так как его достижение средствами системы ПАЗ – задача затратная и технически сложная. Выполнения уровня SIL3, как правило, в 3 раза дороже SIL1. Применение технологии тестирования клапанов частичным ходом (PST) может сократить разницу до 2 раз, так как основная стоимость контура – это отсечное оборудование.

Компания Эмерсон, являясь производителем всего спектра оборудования для систем защит, может с уверенностью сказать, что SIL-ориентированный подход к реализации контуров защит от датчика до исполнительного устройства позволяет:

  • исключить формальный подход распределения сигналов между РСУ и СПАЗ, тем самым сократить число шкафов СПАЗ;
  • сконцентрироваться на безопасности;
  • получить количественные оценки (SIL) элементов системы ПАЗ;
  • удешевить проект АСУТП.

Для оценки проектных решений компания разработала альбом типовых SIL1/2/3 контуров защиты для основных технологических параметров: давления, расхода, уровня, температуры.

Возможности Эмерсон в России и СНГ

В области систем ПАЗ предприятий компания Эмерсон выполняет следующие виды консалтинговых услуг:

  • консультации предприятий по основам и практическому применению ГОСТ Р МЭК 61511; проведение семинаров «Система ПАЗ – от риска к безопасности»
  • GAP-анализ существующих систем ПАЗ с выдачей рекомендаций по достижению требуемого уровня безопасности с перечнем необходимых организационных и технических мероприятий в соответствии с ГОСТ Р МЭК 61511;
  • анализ результатов исследования риска и формирование требований к системе защит SRS;
  • подбор КИП, исполнительных устройств, контроллеров, выбор архитектуры контура, процедур и интервалов тестирования;
  • проверка существующих или прорабатываемых в проекте контуров защиты на соответствие назначенному уровню SIL и требованиям к системе.

Один из последних проектов по анализу результатов HAZOP и проверке существующих контуров на соответствие уровню полноты безопасности с рекомендаций возможной модернизацией оборудования «полевого» уровня успешно выполнен для нефтехимического завода.

ЛИТЕРАТУРА:

  1. Федоров Ю. Н. Справочник инженера по АСУТП: Проектирование и разработка. – М.: Инфра-инженерия, 2008.
  2. Ицкович Э. Л. Необходимые свойства систем противоаварийной защиты производственных объектов // Автоматизация в промышленности. 2016. №2.

Скачать статью в формате pdf →

454003, Челябинск,
Новоградский пр., д. 15
☎ +7 (351) 799-51-52
info.metran@emerson.com
www.emerson.ru


Читайте также: