Москва, Полесский пр-д, 16, офис 307Санкт-Петербург, пр-кт Медиков, 3, офис 230
Войти
Обратный звонок

Рациональность использования контуров безопасности ПАЗ с системой голосования 2оо3

Компания «Эр Би Ай Концепт» - поставщик услуг по проведению анализа опасности и работоспособности HAZOP, проводит риск-сессии достаточно давно и за это время проанализировала множество проектных документов, на основании которых проводились риск-сессии HAZOP.

Цель статьи

Обосновать исключение проектирования контуров безопасности ПАЗ при применении системы голосования 2оо3 для снижения проектных и эксплуатационных затрат.

Описание проблемы

Еще на стадии предварительного анализа документов мы выявляли однотипные подходы в проектировании, которые необоснованно повышали расходы Заказчика на проектные, строительно-монтажные работы, и в дальнейшем, эксплуатационные расходы.

Как правило, мы сообщаем Заказчику о таких моментах, но решение остается за ним. На один, из наиболее часто встречающихся аспектов, мы хотим обратить ваше внимание.

Практически в 90% проектных документов контуры безопасности ПАЗ имеют систему голосования 2оо3. Что это значит? Это значит, что один из критических параметров, например давление, контролируют одновременно 3 трансмиттера по системе голосования 2 из 3. В случае, если сработают 2 трансмиттера из 3, включается система противоаварийной автоматической защиты (ПАЗ).

paz-2oo3
Рис.1. Подключение датчиков по схеме голосования 2 из 3. Источник: https://instrumentationtools.com/sis-sensors/

Во время проведения риск-сессии инженеры рабочей группы HAZOP со стороны Заказчика нацелены на понижение уровня SIL контуров безопасности ПАЗ до уровня SILa, с помощью существующих слоев защиты, что позволяет использовать эти контуры в РСУ, но при этом датчики остаются в проекте с системой голосования (резервирования) 2 из 3.

Попробуем понять в каких случаях необходима такая система голосования и когда она назначается.

Требования Ростехнадзора

Рассмотрим один из важных НПА Ростехнадзора, касающийся химических, нефтегазодобывающих, нефтехимических и нефтеперерабатывающих предприятий, но и в других отраслях промышленности РФ, подход регулятора подобный. Это Приказ №533 от 15 декабря 2020 года «Об утверждении федеральных норм и правил в области промышленной безопасности «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств».

В этих правилах целая глава (п.п. 218-292) посвящена требования по проектированию систем ПАЗ на опасном производственном объекте (ОПО).

В частности, п. 236 Правил гласит: «Контроль за текущими показателями параметров, определяющими взрывоопасность технологических процессов с блоками I категории взрывоопасности, осуществляется не менее чем от двух независимых датчиков с раздельными точками отбора, логически взаимодействующих для срабатывания ПАЗ». Т.е. есть требования по применению как минимум 2-х датчиков в технологических блоках I категории взрывоопасности.

Схема подключения датчиков не нормируется, т.е. возможно использование любой схемы указанной на рис.2.

paz-2oo3
Рис.2. Варианты подключения 2-х датчиков в технологических блоках I категории взрывоопасности. Источник: https://studopedia.ru/7_69953_shemi-rezervirovaniya-looD-oo-oo-sravnitelnaya-otsenka.html

Кроме того, Приказ РТН №533 устанавливает показатели надежности систем ПАЗ не менее, чем для двух типов отказов данных систем: отказы типа «несрабатывание» и отказы типа «ложное срабатывание».

В случае, когда наступления опасного события на процессе, а система ПАЗ не способна отреагировать на него. Такой отказ называется «опасным отказом».

В случае, когда система ПАЗ совершает ложный немотивированный аварийный останов процесса, это называется «ложный или безопасный отказ».

Вывод по текущей главе: никаких нормативных требований к применению датчиков по системе голосования 2 из 3-х в требованиях Приказа №533 не присутствуют.

Как выбирается система голосования 2оо3?

Для того, чтобы понять каким образом нормируется выбор системы голосования 2 из 3 в контурах безопасности ПАЗ, необходимо обратиться к серии стандартов ГОСТ Р МЭК 61508 и 61511 на основании которых проводится проектирование систем ПАЗ.

Первое на что следует обратить внимание в этих стандартах – это жизненный цикл функциональной системы безопасности, где СПАЗ является ее частью.

paz-2oo3
Рис.3. Жизненный цикл системы ПАЗ

Из диаграммы на рис.3 мы видим, что первым шагом к проектированию ПАЗ является оценка рисков (вероятность реализации опасности и ее последствия), которые определяются с помощью анализа опасности и работоспособности HAZOP.

После того, как мы определились с рисками методом HAZOP, нам необходимо оценить существующие меры защиты объекта с помощью методик независимых слоев LOPA или Граф рисков, описанных в ГОСТ Р МЭК 61511-3-2018. Наглядно это показано на рис. 4.

paz-2oo3
Рис.4. Снижение риска методом независимых слоев защиты в соответствии с ГОСТ Р МЭК 61511-3-2018 по методикам LOPA и Граф риска.

Т.е. используя методики LOPA или Граф риска мы определяем целевой уровень SIL, который снижает риск до приемлемого уровня. В этом случае, также ни о какой система голосования в подключении датчиков речи не ведется.

В случает, когда слоев защиты достаточно, риск закрыт, то необходимости в применении контуров безопасности ПАЗ (или функции безопасности приборной системы безопасности по ГОСТ Р МЭК 61508) нет необходимости, см. нижнюю графу на рис.4. Но, это лишь в том случае, если нет противоречия с требованиями пунктов по проектированию СПАЗ в Приказе №533 РТН, который имеет безусловный приоритет по сравнению с ГОСТами.

paz-2oo3
Рис.5. Уровни полноты безопасности УПБ/SIL по ГОСТ Р МЭК 61508-1-2016

После того, как мы назначили целевой уровень SIL по таблице на рис.5, мы смело можем приступать к проектированию системы ПАЗ, т.е. готовится спецификация требований безопасности, по который подбираются элементы контуров безопасности ПАЗ: датчик, контроллер, исполнительный механизм. См. рис.3.

Наша цель в проектировании СПАЗ – достижение целевого уровня SIL, определенного на этапе анализа LOPA или Граф риска.

Элементы контуров безопасности ПАЗ поставляются с характеристиками, указывающих 4 типа вероятностей отказов: опасный диагностируемый, опасный не диагностируемый, безопасный диагностируемый, безопасный не диагностируемый.

paz-2oo3
Рис.6. Классификация отказов и показатели безопасности в соответствии с ГОСТ Р МЭК 61508

Одним из ключевых параметров, определяющих уровень полноты безопасности (SIL) является доля безопасных отказов (SFF), напрямую связанным с интенсивностью отказов и определяемая по формуле:

paz-2oo3
Рис.7 Формула доли безопасных отказов (SFF)

Чем выше SFF, тем выше встроенная диагностика, что позволяет присвоить более высокий уровень SIL. Из уравнения видно, что чем меньше не детектируемые опасные отказа (λdu) тем выше SFF. Следующим шагом в проверке достижения целевого уровня SIL является определение системы голосования, или необходимость аппаратного резервирования, которое проводится по таблицам ГОСТ Р МЭК 61508-2 указанных на рис. 7.

paz-2oo3
Рис.8. Определение аппаратного резервирования

Определение аппаратного резервирования, где:

  • Группа А: простые устройства, отказы которых легко диагностируются (клапан, реле, переключатель, соленоид и д.р.)
  • Группа В: сложные компьютеризированные устройства, отказы которых неизвестны или сложно диагностируются (умные трансмиттеры, контроллеры, позиционеры и т.д.)

Уровень аппаратного отказа (Hardware Fault Tolerance) от 0 до 2, и показывает сколько отказов может произойти до выхода устройства из строя. По сути, это резервируемые каналы.

Например: HFT=0 — это система голосования 1оо1, HFT=1 — это система голосования 1оо2 или 2оо3, HFT=2 – это система голосования 2оо4.

Выводы по системе голосования контуров безопасности ПАЗ

Архитектура голосования контуров безопасности ПАЗ определяется только на этапе проектирования системы ПАЗ, после HAZOP и LOPA/Граф риска, и только для того, чтобы достичь целевого уровня SIL.

Нет необходимости повсеместно использовать в контурах ПАЗ систему 2оо3, т.к. это только увеличит стоимость проекта и эксплуатационные расходы.

В процессе проектирования контуров безопасности ПАЗ полученный уровень полноты безопасности SIL не должен быть ниже целевого SIL, определенного методом LOPA или Граф риска, для того чтобы существующие риски были закрыты.