Рациональность использования контуров безопасности ПАЗ с системой голосования 2оо3
Компания «Эр Би Ай Концепт» - поставщик услуг по проведению анализа опасности и работоспособности HAZOP, проводит риск-сессии достаточно давно и за это время проанализировала множество проектных документов, на основании которых проводились риск-сессии HAZOP.
Цель статьи
Обосновать исключение проектирования контуров безопасности ПАЗ при применении системы голосования 2оо3 для снижения проектных и эксплуатационных затрат.
Описание проблемы
Еще на стадии предварительного анализа документов мы выявляли однотипные подходы в проектировании, которые необоснованно повышали расходы Заказчика на проектные, строительно-монтажные работы, и в дальнейшем, эксплуатационные расходы.
Как правило, мы сообщаем Заказчику о таких моментах, но решение остается за ним. На один, из наиболее часто встречающихся аспектов, мы хотим обратить ваше внимание.
Практически в 90% проектных документов контуры безопасности ПАЗ имеют систему голосования 2оо3. Что это значит? Это значит, что один из критических параметров, например давление, контролируют одновременно 3 трансмиттера по системе голосования 2 из 3. В случае, если сработают 2 трансмиттера из 3, включается система противоаварийной автоматической защиты (ПАЗ).
Во время проведения риск-сессии инженеры рабочей группы HAZOP со стороны Заказчика нацелены на понижение уровня SIL контуров безопасности ПАЗ до уровня SILa, с помощью существующих слоев защиты, что позволяет использовать эти контуры в РСУ, но при этом датчики остаются в проекте с системой голосования (резервирования) 2 из 3.
Попробуем понять в каких случаях необходима такая система голосования и когда она назначается.
Требования Ростехнадзора
Рассмотрим один из важных НПА Ростехнадзора, касающийся химических, нефтегазодобывающих, нефтехимических и нефтеперерабатывающих предприятий, но и в других отраслях промышленности РФ, подход регулятора подобный. Это Приказ №533 от 15 декабря 2020 года «Об утверждении федеральных норм и правил в области промышленной безопасности «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств».
В этих правилах целая глава (п.п. 218-292) посвящена требования по проектированию систем ПАЗ на опасном производственном объекте (ОПО).
В частности, п. 236 Правил гласит: «Контроль за текущими показателями параметров, определяющими взрывоопасность технологических процессов с блоками I категории взрывоопасности, осуществляется не менее чем от двух независимых датчиков с раздельными точками отбора, логически взаимодействующих для срабатывания ПАЗ». Т.е. есть требования по применению как минимум 2-х датчиков в технологических блоках I категории взрывоопасности.
Схема подключения датчиков не нормируется, т.е. возможно использование любой схемы указанной на рис.2.
Кроме того, Приказ РТН №533 устанавливает показатели надежности систем ПАЗ не менее, чем для двух типов отказов данных систем: отказы типа «несрабатывание» и отказы типа «ложное срабатывание».
В случае, когда наступления опасного события на процессе, а система ПАЗ не способна отреагировать на него. Такой отказ называется «опасным отказом».
В случае, когда система ПАЗ совершает ложный немотивированный аварийный останов процесса, это называется «ложный или безопасный отказ».
Вывод по текущей главе: никаких нормативных требований к применению датчиков по системе голосования 2 из 3-х в требованиях Приказа №533 не присутствуют.
Как выбирается система голосования 2оо3?
Для того, чтобы понять каким образом нормируется выбор системы голосования 2 из 3 в контурах безопасности ПАЗ, необходимо обратиться к серии стандартов ГОСТ Р МЭК 61508 и 61511 на основании которых проводится проектирование систем ПАЗ.
Первое на что следует обратить внимание в этих стандартах – это жизненный цикл функциональной системы безопасности, где СПАЗ является ее частью.
Из диаграммы на рис.3 мы видим, что первым шагом к проектированию ПАЗ является оценка рисков (вероятность реализации опасности и ее последствия), которые определяются с помощью анализа опасности и работоспособности HAZOP.
После того, как мы определились с рисками методом HAZOP, нам необходимо оценить существующие меры защиты объекта с помощью методик независимых слоев LOPA или Граф рисков, описанных в ГОСТ Р МЭК 61511-3-2018. Наглядно это показано на рис. 4.
Т.е. используя методики LOPA или Граф риска мы определяем целевой уровень SIL, который снижает риск до приемлемого уровня. В этом случае, также ни о какой система голосования в подключении датчиков речи не ведется.
В случает, когда слоев защиты достаточно, риск закрыт, то необходимости в применении контуров безопасности ПАЗ (или функции безопасности приборной системы безопасности по ГОСТ Р МЭК 61508) нет необходимости, см. нижнюю графу на рис.4. Но, это лишь в том случае, если нет противоречия с требованиями пунктов по проектированию СПАЗ в Приказе №533 РТН, который имеет безусловный приоритет по сравнению с ГОСТами.
После того, как мы назначили целевой уровень SIL по таблице на рис.5, мы смело можем приступать к проектированию системы ПАЗ, т.е. готовится спецификация требований безопасности, по который подбираются элементы контуров безопасности ПАЗ: датчик, контроллер, исполнительный механизм. См. рис.3.
Наша цель в проектировании СПАЗ – достижение целевого уровня SIL, определенного на этапе анализа LOPA или Граф риска.
Элементы контуров безопасности ПАЗ поставляются с характеристиками, указывающих 4 типа вероятностей отказов: опасный диагностируемый, опасный не диагностируемый, безопасный диагностируемый, безопасный не диагностируемый.
Одним из ключевых параметров, определяющих уровень полноты безопасности (SIL) является доля безопасных отказов (SFF), напрямую связанным с интенсивностью отказов и определяемая по формуле:
Чем выше SFF, тем выше встроенная диагностика, что позволяет присвоить более высокий уровень SIL. Из уравнения видно, что чем меньше не детектируемые опасные отказа (λdu) тем выше SFF. Следующим шагом в проверке достижения целевого уровня SIL является определение системы голосования, или необходимость аппаратного резервирования, которое проводится по таблицам ГОСТ Р МЭК 61508-2 указанных на рис. 7.
Определение аппаратного резервирования, где:
- Группа А: простые устройства, отказы которых легко диагностируются (клапан, реле, переключатель, соленоид и д.р.)
- Группа В: сложные компьютеризированные устройства, отказы которых неизвестны или сложно диагностируются (умные трансмиттеры, контроллеры, позиционеры и т.д.)
Уровень аппаратного отказа (Hardware Fault Tolerance) от 0 до 2, и показывает сколько отказов может произойти до выхода устройства из строя. По сути, это резервируемые каналы.
Например: HFT=0 — это система голосования 1оо1, HFT=1 — это система голосования 1оо2 или 2оо3, HFT=2 – это система голосования 2оо4.
Выводы по системе голосования контуров безопасности ПАЗ
Архитектура голосования контуров безопасности ПАЗ определяется только на этапе проектирования системы ПАЗ, после HAZOP и LOPA/Граф риска, и только для того, чтобы достичь целевого уровня SIL.
Нет необходимости повсеместно использовать в контурах ПАЗ систему 2оо3, т.к. это только увеличит стоимость проекта и эксплуатационные расходы.
В процессе проектирования контуров безопасности ПАЗ полученный уровень полноты безопасности SIL не должен быть ниже целевого SIL, определенного методом LOPA или Граф риска, для того чтобы существующие риски были закрыты.