Общая статья по автоматизированным системам управления технологическими процессами (АСУ ТП) расположена тут. В части сегодняшней темы автор желает сразу обозначить, что супер-пупер экспертом себя не считает. Пришлось разобраться в общих чертах: так как в качестве исполнителя одну систему мы реализовывали, но по уже имеющейся документации. Потом было несколько сомнительных проектов, где вроде как тоже фигурировали системы такого класса, но я точно не уверен. Обоснованные комментарии и дополнения приветствуются.
Вполне очевидно, что противоаварийная автоматическая защита (ПАЗ) направлена на предотвращение аварий. Однако взять и назвать ПАЗ отдельный контур вульгарной системы автоматизации, что по превышению, например, концентрации метана в помещении отрубает клапан подачи газа на установку (котельщики грешат), совершенно неправильно.
В первой части статьи мы разберем, почему так. А дальше рассмотрим некоторые практические вопросы построения приборных систем безопасности.
Отличие ПАЗ от базовой АСУ ТП
И это на самом деле иногда проблема, когда понапишут всякого в этих ваших технических заданиях, а потом люди, которые по ним реализовывают АСУ (и немного в теме) пребывают в перманентном недоумении. Вот была у меня система, где в требованиях указывалось, что она ПАЗ. Кроме названия и определенного защитного функционала ничего в ней от таковой не наблюдалась. Элементная база самая обычная. Ну вроде как один отдельный контроллер имеется, но зато сразу на несколько производств. Когда я стал задавать вопросы, типа «как будем полноту безопасности рассчитывать», ответном было: «а зачем?». Далее часть планируемого функционала нашли в локальных АСУ смежников и вообще благополучно из спецификации исключили. Короче, что мы в итоге реализовали под такой вывеской, до сих пор не понимаю.
Интуитивно понятно, что система ПАЗ (СПАЗ) — это некая особая АСУ ТП, что в общем-то зафиксировано в нормативных документах. Например, в ГОСТ 21.408 (СП 77.13330.2016) приводится следующее определение: система управления технологическим процессом, которая в случае выхода процесса за безопасные рамки выполняет комплекс мер по защите оборудования и персонала. Вместе с тем вульгарная АСУ ТП может включать в себя сотни и тысячи параметров безопасности, блокировок, локальных защит. Почему она или ее часть не может считаться ПАЗ?
Есть два общих основных документа, которые регламентируют требования к системам ПАЗ. Причем делают это в рамках общей единой концепции функциональной безопасности производства, если познать которую, то все становится более-менее понятным. Речь про ГОСТ Р МЭК 61508-4-2012 и ГОСТ Р МЭК 61511-1-2018 (далее просто ГОСТы). Они являются дословными переводами международных стандартов, поэтому пробраться через их текст, конечно, является весьма нетривиальной задачей. Но в итоге настоящая ПАЗ должна им соответствовать, иначе это будет гнусная подделка.
На такой нормативной базе составлен соответствующий раздел Приказа Ростехнадзора от 15.12.2020 N 533 «Об утверждении федеральных норм и правил в области промышленной безопасности «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств», где добавлено немного обязательной конкретики применительно к отечественной терминологии промышленной безопасности (см. 116-ФЗ).
Для каких промышленных объектов РФ разрабатывается ПАЗ в обязательном порядке?
ПАЗ согласно ФНиП должна в обязательном порядке разрабатываться для взрывопожароопасных и химически опасных этих самых производств, причем не всех, а имеющих в своем составе технологические блоки I и II категории взрывоопасности (п. 34). Производства, имеющие в своем составе технологические блоки III категории могут оснащаться только общей АСУ ТП с эффективными быстродействующими подсистемами, обеспечивающими приведение при возникновении опасности взрывоопасных процессов к регламентированным значениям или к остановке процесса (п. 35). Как обычно, все технические решения обосновываются разработчиком проектной документации (документации на техническое перевооружение). Могу лишь напомнить, что для вновь строящихся (реконструируемых) опасных производственных объектов I и II категории опасности в состав проектной документации обязательно должна включаться декларация промышленной безопасности, куда эта информация и включается.
Системы ПАЗ (п.230) функционируют независимо от АСУ ТП. Нарушение работы системы управления не должно влиять на работу системы ПАЗ.
Методы создания систем ПАЗ (п. 233) должны определяться в соответствии с требуемым уровнем полноты безопасности (УПБ), определяемым на стадии формирования требований при проектировании АСУТП на основании анализа опасности и работоспособности контуров безопасности с учетом риска, возникающего при отказе контура безопасности. Далее по тексту используются в большом количестве термины из ГОСТов, поэтому, увы, но читать их любому, кто собрался заниматься ПАЗ, придется.
Можно ли для любого другого промышленного объекта разрабатывать ПАЗ? Конечно, кто вам запрещает. Однако следует помнить, что назвался груздем — полезай в кузов. Изволь соответствовать предъявляемым требованиям. Есть ведь не нулевая вероятность, что случись какое ЧП на производстве, начнут копать — и в списке виноватых, окажутся все, кто, так или иначе причастен к этой недоПАЗ, которая, такая редиска, уровень безопасности-то не обеспечила. Как вы понимаете, стоимость настоящей ПАЗ и сопутствующих ей организационно технических мероприятий очень-очень не маленькая.
Функциональная безопасность
Опасное производство всегда сопряжено с риском аварии. Ничего не поделаешь: оборудование может отказать, персонал ошибиться, сверху прилетит метеорит. Допуская такой завод общество заранее смиряется с потенциальной опасностью, принимая риск, однако требует его разумного уменьшения. С этим связано концептуальное понятие безопасности — отсутствие неприемлемого обществом (представленного практически, конечно, государством) риска.
Важно понимать, что достижение полной безопасности невозможно, любые действия для ее обеспечения требуют значительных затрат. Хотя опять же, речь идет об инвестициях в безопасность, так как затраты на устранение аварии могут стоить в десятки раз больше. Отдельные мероприятия также не способны обеспечить безопасность, требуется разработка многоплановой общей системы безопасности конкретного предприятия, где ПАЗ является лишь малой ее частью.
Давайте рассмотрим производственный объект, как систему. Производственная система будет состоять из подсистем и компонентов, которые в ее рамках выполняют свои функции. Ну, например, какая-нибудь мешалка обеспечивает приведение к однородному состоянию поступающих в нее веществ. Протекание процесса может сопровождаться непреднамеренными отказами. Причинами таковых могут быть дефекты программы управления или поступающих в нее данных, дефекты аппаратуры. Нельзя исключать случайное влияние внешней среды и непреднамеренно неправильные действия обслуживающего персонала. На вопрос, насколько безопасно мешалка выполняет свою функцию отвечает ее функциональная безопасность. Для достижения высокой функциональной безопасности производитель будет закладывать дополнительные функции безопасности (ФБ), которые должны реагировать на возникновение некоторых (значимых для безопасности опасных событий) отказов за определенное время. Эти ФБ будут работать по алгоритму: измерение — вычисление — действие (контур защиты).
Тут надо сказать об отличии функциональной безопасности от надежности. Последняя не учитывает вероятность возникновения опасной ситуации во время отказа. Так надежность программируемого логического контроллера (ПЛК) в системах управления лифтом и пожаротушения (АПТ) может быть одинаковой, однако отказ его в лифте приведет к существенному снижению безопасности, в то время, как об отказе компонента в АПТ может никто и не узнать за весь срок ее эксплуатации.
Таким образом, владелец технологии должен оценить необходимость каждой возможной ФБ и выбрать для реализации только те, что гарантировано и существенно окажут влияние на снижение риска аварии. Это делается в рамках процедуры «анализ опасности и рисков».
ГОСТ определяет функциональную безопасность, как часть общей безопасности процесса и основной системы управления процессом (ОСУП), которая зависит от правильного функционирования приборной системы безопасности ПСБ и других слоев защиты.
Слои защиты
Галя, у нас отмена отказ. На автоматизированном рабочем месте (АРМ) оператора замигал желтым индикатор, а из колонок зазвучало последнее китайское предупреждение о том, что пора отвлечься от смартфона и сосредоточить внимание на работе. Давление в одном из реакторов превысило нормальное значение и почему-то растет. Это отработала ОСУП, а по-простому — общая АСУ ТП производства.
К делу безопасности подключается оператор. Он начинает пытаться регулировать процесс: убавлять подводимое тепло, расход закачиваемых растворов — и ничего у него не получается. Пока работник судорожно листает инструкцию с целью найти указание чего бы еще нажать, давление приближается к критическому порогу.
Где-то далеко в шкафу управления ПСБ (наша СПАЗ) запускается алгоритм аварийного, но очень безопасного останова процесса. Система даже известит от том оператора подмигивающим красным цветом элемента на экране.
По идее на этом все и заканчивается, причастные в зависимости от психологической устойчивости обделываются разными степенями испуга. Потенциальная авария предупреждена, ПАЗ — молодец, оператор — на усмотрение начальства.
Ну а если нет? Процесс оказался неостановимым или ПАЗ спроектировали-таки неправильно, и она не успела, не смогла. Давление достигло апогея, должен был прозвучать взрыв, но не прозвучал — это отработали предохранительные клапаны. Цех, конечно, засран ядовитой химией, но совсем уж страшного не произошло. Даже никого еще не травмировало.
А если нет? Фрилансер Сергей очень торопился спихнуть заказ и накосячил с расчетами клапана, бабах произошел. На этот случай по проекту предусматривался защитный ров, но его еще не успели насыпать, торопясь перерезать ленточку к приезду губернатора. Взрывная волна последовательно прошла через вагоны с исходным (на минуточку совсем не экологичным) сырьем, миновала ограждение, снесла самовольно построенные в санитарно-защитной зоне дачные домики «всю жизнь здесь сажающих картошку» пенсионеров. Смертельное облако газа медленно поползло во все стороны по направлению ветра.
Очнувшийся оператор срочно снимает получившиеся руины на телефон и сбрасывает видео знакомому специальному корреспонденту из телеграмм-канала «Жесть Мухосранска». Еще через пару десятков минут журналист ведет свой репортаж для известного федерального канала из самого очага разрушения в посеревшей ватно-марлевой повязке (как раз шил для сына в школу). Руководство местной администрации узнает об аварии из новостей и по результатам срочного совещания с использованием дистанционных технологий из Индии животворящего звонка из столицы объявляет срочную эвакуацию.
Вот так мы рассмотрели разные слои защиты, которые должна (может) включать в себя система функциональной безопасности для опасного производственного объекта (ОПО) согласно ГОСТ. Слои ОСУП (АСУ ТП) и ПСБ (ПАЗ) являются разными, но предотвращающими уровнями защиты. Если ни один из них не сработает, то остается только смягчать последствия.
Мы приходим к пониманию важнейшего параметра системы ПАЗ, а именно: времени реакции. Для его определения нужно понимать, когда с момента тревожного звоночка произойдет бабах, этот параметр может определить только технолог процесса — параметр обязательно должен фигурировать в ТЗ на ПАЗ.
Под временем безопасности процесса понимается период времени между отказом процесса или ОСУП и опасным событием в случае, если ФБ ПСБ не выполняется. Это время связано только с процессом и оценивается заказчиком разработки ПСБ (технологом) и обязательно должно указываться в техническом задании. Данный параметр учитывается при разработке системы. Реакция ПСБ с учетом всех запаздываний должна быть намного быстрее, чем время безопасности процесса. Запуск работы исполнительных механизмов должен быть выполнен заблаговременно до развития аварии.
Менеджмент функциональной безопасности
Стоит отметить, что обеспечить безопасность ОПО только приборными (техническими) средствами невозможно. Стандарт говорит о необходимости организации системы управления — менеджменте функциональной безопасности. И это не только зона ответственности владельца ОПО. Предполагается, что у любой инжиниринговой компании, которая разрабатывает компоненты ПАЗ (включая программное обеспечение) и планирует таковые сертифицировать, должен быть развернут менеджмент функциональной безопасности. Естественно, просто сказать «ok, он есть у нас» будет недостаточно, придется подтверждать. Потребуется организовать кучу процедур внутри компании, выполнить много писанины и найти для каждого участка работ крайнего. Во время работы над продуктом надо документировать каждый чих этап максимально подробно.
Вопрос организации менеджмента функциональной безопасности не является темой настоящей статьи. Однако в рамках менеджмента должен планироваться как жизненный цикл ОПО в общем, так его ПСБ. Причем думать о ней надо на каждом этапе цикла, чтобы не получилось: ФБ реализовать нужно, а на оборудовании это сделать физически невозможно.
Владелец ОПО осуществляет оценку опасностей и рисков, в рамках которой определяет ФБ и далее распределяет их по слоям (уровням) защиты. В первую очередь рассматривается возможность использования механических защит, типа предохранительных клапанов, разрывных диафрагмы. Там, где это невозможно, реализуются приборные контуры защиты. Формируется подробная спецификация требований безопасности (техническое задание), содержащая в том числе перечень всех необходимых ФБ для каждого опасного события. В описании ФБ определяют целевые требования уровня полноты безопасности или УПБ (Safety Integrity Level: SIL) для удовлетворения допустимого риска. ПАЗ в общем случае должна обеспечивать, как правило, самый строгий уровень УПБ из предъявляемых к ФБ. Хотя тут имеются нюансы, о которых позднее. Спецификация направляется поставщику ПАЗ. Система проектируется и разрабатывается строго на ее основе. Разработчик ПАЗ не должен заниматься выдумываем функционала системы, но он должен подтвердить соответствии выполненной системы установленным требованиям.
Каждая фаза жизненного цикла и действия в ее рамках должны быть строго задокументированы на основании процедур, разработанных в рамках менеджмента. Каждая фаза проходит верификацию. Процедура включает подтверждение с помощью исследования и предоставления объективных свидетельств того, что требования к фазе были выполнены. Осуществляется просмотр выходных данных, проверка проектов, тестирование разработанных изделий /программ, наконец, испытание интеграции (при которой все части системы последовательно объединяются в единое целое и испытываются). Верификация выполняется в соответствии с планом, включающим действия по верификации, процедуры (меры и способы действий), время выполнения действий, определение ответственных лиц (отделов, организаций), определение объектов верификации и необходимой для выполнения информации, критерии адекватности результатов к требованиям, определение корректности, способы преодоления несоответствий, инструменты и средства анализа.
ГОСТ также описывает процедуру подтверждения соответствия, так называемую валидацию. Это подтверждение с помощью исследования и предоставление объективных свидетельств того, что определенные требования (заложенные в спецификации) к конкретному предназначенному использованию были выполнены. Это проверка соответствия функций ПСБ спецификации требований к безопасности, выполняемая а) путем заводских приемочных испытаний, б) испытаний на месте.
Первый тест, который выполняется над системой ПАЗ — заводские приемочные испытания (ЗПИ). Проводятся с целью проверки достижения ФБ, которые описываются в спецификации требований к безопасности. Делаются для уменьшения рисков ошибок проектирования. Выполняются путем испытаний логического устройства с соответствующими прикладными программами и аппаратными средствами перед установкой на объекте. ЗПИ иногда называются интеграционными, и они могут быть частью подтверждения соответствия. Выполняются на площадке разработчика ПСБ, куда приглашаются представители заказчика, которым демонстрируются соответствие спецификации и в соответствии с программой испытаний результаты некоторых логических тестов. Требования по организации ЗПИ установлены стандартом точно такие же, как для верификации (план, ответственные, процедуры, критерии и т. д.).
Следующая стадия — приемочные испытания объекта (ПИ). Требования аналогичны, однако сами испытания выполняются на ОПО, на смонтированном оборудовании, комиссией из представителей подрядчика, заказчика и иных лиц, установленных менеджментом функциональной безопасности.
Для созданной ПАЗ стандарт регламентирует также процедуру оценки функциональной безопасности. Производится группой, которая обладает достаточной компетентностью оценивать ПСБ, причем хотя бы один из ведущих членов группы должен быть из сторонней организации для обеспечения независимости (в зависимости от значения УПБ требования к составу отличаются). Цель — изучение фактов, позволяющих судить о функциональной безопасности, достигаемой с помощью одного или нескольких слоев защиты ПСБ и (или) других слоев защиты. Группа оценивает документацию, которая выполняется на каждой фазе жизненного цикла ПСБ. Результаты работы должны быть также задокументированы и доступны. Данная процедура должна проводиться периодически при эксплуатации и техническом обслуживании.
Еще одна процедура — аудит функциональной безопасности. Выполняет сторонняя организация, может быть составной частью ОФБ. Проверяется вся документация, связанная с ФБ. Систематическое и независимое исследование для определения: согласуются ли процедуры, характерные для требований к функциональной безопасности, с запланированными мероприятиями и насколько они пригодны для достижения поставленных целей.
Уровень полноты безопасности
Стандарт выделяет четыре уровня полноты безопасности (SIL), которые выбираются для каждой ФБ на этапе анализа рисков. Дело в том, что риск по ГОСТ — это совокупность вероятности возникновения вреда и тяжести последствий от этого вреда. Поэтому на данном этапе рассматриваются: опасности, связанные с отклонением технологического режима; их причины; возможность возникновения; последствия таких отклонений; существующие методы защиты и целесообразность дополнительных средств защит и т.д.
Риск для технологического процесса ОПО рассчитывается и если получившиеся значение не удовлетворит установленные требования, то определяют способы уменьшения, например, путем повышения УПБ ФБ ПАЗ. Так при изменении УПБ SIL1 на SIL2 риск возникновения аварии может быть снижен в сотни раз.
Уровень SIL4 является самым высоким, наиболее труднодостижимым. Практически его чрезвычайно сложно организовать. Применяется в атомной промышленности. Поэтому в иных случаях его стараются не назначать. Уровень SIL3 ниже, чем SIL4, но требует дорогостоящего оборудования, избыточности технических решений, высокой квалификации и высокого уровня организации процесса проектирования. Уровень SIL2 требует управления работами в соответствии со стандартом ИСО 9001. Достижение этого уровня требует большего числа испытаний, чем SIL1, что приводит к увеличению стоимости реализации ПАЗ. Уровень SIL1 является самым низким, как правило, не требует сложной архитектуры ПСБ, для его выполнения достаточно иметь компетентных специалистов по АСУ ТП.
Уровни SIL являются мерой вероятности того, что ПАЗ будет правильно выполнять свои функции, влияющие на безопасность.
Следует повторить, что уровень SIL определяется для контура защит от датчика до исполнительного устройства каждой ФБ. Так при распределении ФБ по уровням ПСБ часть ФБ с уровнем SIL0 допускается реализовать на уровне АСУ ТП (РСУ).
Дополнительные требования к разработке технического задания на систему ПАЗ
О требованиях к ТЗ на АСУ ТП в общем я размышлял в статье.
Как уже упоминалось по тексту, дополнительно документ должен содержать в себе спецификацию ФБ. В общем случае она должна однозначно определять:
- контуры управления ПАЗ «датчик — ПЛК —исполнительное устройство» (ФБ);
- требования к ним по уровню SIL;
- требования по времени их срабатывания;
- требования к интервалам тестирования в оперативном режиме и отключенном состоянии;
- требования к архитектуре ПАЗ;
- требования к функциям самодиагностики;
- требования приказов Ростехнадзора;
- и т.д.
Спецификации могут быть документированы с использованием текста, блок-диаграмм, матриц, логических диаграмм и т. д. в том случае, опять же, если функции безопасности чётко определены. Еще больше требований содержит раздел 10 ГОСТ Р МЭК 61511-1 — 2018.
Вообще, на что сразу обращаешь внимание, читая ТЗ на ПАЗ — на его «толщину». Документ редко содержит менее 70-80 страниц нудного отборного технического текста.
На сегодня и все. Конкретные требования ГОСТ к разным частям ПАЗ, а также как считать подтверждать SIL вашей ПСБ расчетом посмотрим, надеюсь, в следующей статье этой темы. Ну как я отойду от написания текущего текста — очень уж пришлось прочитать много буков и продраться кучу специальных терминов.
Источники, дополнительная информация:
- МЭК 61508-4:2010 (ГОСТ Р МЭК 61508-4-2012) «Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения».
- МЭК 61511-1.2016 (ГОСТ Р МЭК 61511-1-2018) «Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 1. Тер мины, определения и технические требования».
- Федеральный закон от 21.07.1997 N 116-ФЗ (ред. от 08.08.2024) «О промышленной безопасности опасных производственных объектов»
- Приказ Ростехнадзора от 15.12.2020 N 533 «Об утверждении федеральных норм и правил в области промышленной безопасности «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств» (Зарегистрировано в Минюсте России 25.12.2020 N 61808)
Ознакомиться с содержанием журнала.
Уважаемые коллеги, желаю хорошего дня. Подписывайтесь, чтобы иметь возможность обсудить со мной вашу задачу в комментариях. Буду рад лайку, альтернативному мнению или истории по теме статьи.
ПРЕДУПРЕЖДЕНИЕ №1: Оценки, суждения и предложения по рассматриваемым вопросам являются личным мнением автора.
ПРЕДУПРЕЖДЕНИЕ №2: Техническая информация, представленная на сайте, не является официальной и предоставлена только в целях ознакомления. Владелец сайта не несет никакой ответственности за риски, связанные с использованием информации, полученной из данного источника.
