Содержание к диссертации
Введение
Глава 1. Особенности функционирования систем противоаварийной защиты 10
1.1. ПАЗ как основной предотвращающий слой защиты в составе АСУТП 10
1.2. Структура ПАЗ и процесс взаимодействия ПАЗ с ОПО 13
1.3. Задание процесса взаимодействия ПАЗ с ОПО 21
1.4. Процесс взаимодействия ПАЗ с ОПО с авариями 25
1.5. Показатели безопасности ПАЗ 27
Глава 2. Синтез системы противоаварийной защиты 30
2.1. Методы синтеза технических систем безопасности 30
2.2. Задача синтеза ПАЗ 35
2.3. Структура затрат и потерь в стоимостном функционале 39
2.4. Задача синтеза ПАЗ с ограничениями 43
Глава 3. Моделирование системы противоаварийной защиты 45
3.1. Оценка стоимостного функционала 45
3.2. Особенности процесса взаимодействия ПАЗ с ОПО 46
3.3. Алгоритм определения значения функционала по реализации процесса взаимодействия ПАЗ с ОПО 55
3.4. Алгоритм определения оценки стоимостного функционала 62
Глава 4. Алгоритм и программное обеспечение синтеза систем противоаварийной защиты 65
4.1. Исходные данные необходимые для синтеза ПАЗ 65
4.2. Алгоритм синтеза ПАЗ 67
4.3. Программное обеспечение синтеза ПАЗ 69
4.4. Пример синтеза ПАЗ 71
Заключение 86
Cписок литературы 87
- Структура ПАЗ и процесс взаимодействия ПАЗ с ОПО
- Структура затрат и потерь в стоимостном функционале
- Алгоритм определения значения функционала по реализации процесса взаимодействия ПАЗ с ОПО
- Алгоритм синтеза ПАЗ
Структура ПАЗ и процесс взаимодействия ПАЗ с ОПО
В этой главе указывается на место ПАЗ в классификации систем, обеспечивающих безопасность функционирования опасных производственных объектов (ОПО), входящих в состав технологических процессов подготовки продукции нефтегазовых скважин. Рассматривается структура ПАЗ и особенности процесса взаимодействия ПАЗ с ОПО, а также предлагается математическая модель, учитывающая основные особенности этого процесса. Математическая модель представляет собой многомерный случайный процесс с авариями, который является модификацией полумарковского процесса с катастрофами, предложенного для целей оценки характеристик безопасности Соловьевым А.Д., Каштановым В.А., Северцевым Н.А., Зайцевой О.Б., Дивеевым А.И. и др. При этом процесс с авариями может быть задан некоторой совокупностью исходных данных, включающей в себя инженерную спецификацию ПАЗ, определяющую перечень всех технических средств и архитектур подсистем каждого канала ПАЗ.
ПАЗ как основной предотвращающий слой защиты в составе АСУТП Опасные производственные объекты (ОПО), входящие в состав технологических процессов (ТП) нефтегазовой отрасли, обладают тем свойством, что при их эксплуатации могут возникать аварии, способные привести к различным негативным последствиям: экономическим потерям; нанесению вреда производственному персоналу, окружающей среде и собственности.
Для уменьшения риска возникновения негативных последствий опасные производственные объекты снабжаются различными, в том числе и техническими, системами безопасности. Основное назначение этих систем является обеспечение необходимого уровня безопасности в течение всего периода эксплуатации технологического процесса.
Структура слоев защиты ТП Структура обеспечения промышленной безопасности, заимствованная из [107 и 24, 25] и изображенная на рисунке 1.1, представляется последовательными слоями защиты ТП, которые делятся на два класса: предотвращающие слои и смягчающие слои. Такая классификация слоев защиты обуславливается их целевым назначением: предотвращающие слои – предотвращают возникновение аварии и ее последствий; смягчающие слои – ослабляют тяжесть (ущерб) возможных последствий от возникшей аварии. В итоге слои защиты обоих классов снижают риск аварий, где под риском понимается произведение среднего значение «тяжести аварии» на частоту ее появления. В промышленной безопасности риск, в основном, имеет стоимостное выражение с размерностью (денежная единица/год) и вычисляется по формуле [60]: (риск) = (ущерб от аварии) х (частота аварий), (1.1) где ущерб – стоимостное выражение «тяжести аварии» или средние затраты организации-собственника ТП, связанные с ликвидацией аварии, ее последствий и восстановлением работоспособности производственных объектов, а частота – среднее число аварий в год.
В общем случае, применительно к технологическим процессам нефтегазовой отрасли [78] к первому классу (предотвращающие) относятся слои защиты, обеспечиваемые средствами АСУ ТП и системой предохранительных клапанов; ко второму классу (смягчающие) – системы противопожарной и противовзрывной защиты, защитные ограждения, рвы и т.п. При этом АСУ ТП, как слой защиты [78], представляется следующими двумя последовательными предотвращающими слоями: 1. РСУ – распределенная система управления, которая выполняет защитные функции за счет контроля за значениями технологических параметров и за счет штатных действий диспетчера по предотвращению инцидентов на ОПО. 2. ПАЗ – система противоаварийной защиты, которая является основным специализированным предотвращающим слоем защиты ОПО. ПАЗ предназначается для автоматического перевода объекта, на котором возник инцидент, в безопасное состояние, т.е. для осуществления мотивированного останова ОПО. При этом значительно снижается частота появления аварий от возникновения инцидентов и, следовательно, риск аварий.
Теперь укажем некоторые обстоятельства, в рамках которых излагается материал последующих разделов настоящей работы:
1. Под инцидентом понимается такое опасное событие на функционирующем ОПО, когда значение некоторого технологического параметра объекта попадает в так называемую область критических значений (в критическую область). При этом дальнейшее функционирование ОПО запрещается по технологическому регламенту. Однако если в этой ситуации функционирование ОПО продолжается, то через некоторое время (в отсутствии других предотвращающих слоев защиты) возникает авария, которая, как правило, приводит к разрушению объекта и к иным опасным последствиям.
2. Эксплуатация ПАЗ рассматривается на интервале [0,Т] лет, где Т – время эксплуатации ПАЗ. В частности, Т может являться временем амортизации ПАЗ, которое по сегодняшним нормам, утвержденным правительством РФ, не превышает 10 лет (пятая амортизационная группа: коды 143520580-143520586: «Аппаратура и устройства специализированные для автоматизации технологических процессов»). В дальнейшем интервал [0,Т] именуется периодом эксплуатации ПАЗ.
3. Время эксплуатации опасных объектов, обслуживаемых ПАЗ на практике значительно превышает время Т. Отметим, что указанное соотношение практически всегда выполняется для производственных объектов, входящих в состав технологических процессов нефтегазовой отрасли.
Структура затрат и потерь в стоимостном функционале
Материал данной главы посвящается как качественной, так и формальной постановке задачи синтеза систем противоаварийной защиты (ПАЗ) в составе АСУ опасных технологических процессов нефтегазовой отрасли. Синтез ПАЗ основывается на предложенной трактовке принципа ALARP, рекомендованного к использованию для этих целей стандартами ГОСТ Р МЭК 61508, 61511. Эта трактовка позволяет провести синтез ПАЗ, обслуживающий группу опасных производственных объектов (ОПО), таким образом, чтобы минимизировать стоимостной функционал, который представляет собой сумму ожидаемых затрат на разработку, внедрение, эксплуатацию ПАЗ и риска от функционирования ОПО, отнесенную к одному году функционирования ПАЗ. Эксплуатация таким образом синтезированной ПАЗ позволит оптимально сбалансировать затраты на обеспечение безопасности средствами ПАЗ и риски, возникающие при функционировании ОПО.
Методы синтеза технических систем безопасности Существующие методы синтеза систем противоаварийной защиты (ПАЗ) основываются на внутрифирменных стандартах проектных организаций, разрабатываемых, как правило, в соответствии с рекомендациями ГОСТ Р МЭК 61508, 61511 и иными отраслевыми нормативными документами.
Напомним, что многоканальная ПАЗ является одним из предотвращающих слоев защиты группы Г = {ОПО1,…,ОПОn} опасных производственных объектов, т.е. она предназначена для существенного снижения частоты аварий, являющихся следствием инцидентов на этих ОПО. При возникновении инцидента ПАЗ переводит ОПО в безопасное состояние, осуществляя процедуру мотивированного останова объекта. Однако ПАЗ, например из-за отказа, может не осуществить перевод ОПО в безопасное состояние и тогда может возникнуть авария. К тому же, например, из-за сбоев в работе ПАЗ может осуществлять немотивированные остановы ОПО, т.е. остановы ОПО в отсутствии инцидентов (ложные срабатывания ПАЗ). Понятно, что как авария, так и остановы ОПО являются внештатными ситуациями, которые могут повлечь за собой нежелательные экономические потери.
Качество функционирования ПАЗ определяется свойствами процесса ((Z,t),), рассмотренным в разделе 1.5. При этом качество ПАЗ должно быть таким, чтобы обеспечить так называемый приемлемый риск [24,25,56], связанный с функционированием опасных производственных объектов.
Выбор величины приемлемого риска, обеспечиваемого техническими системами безопасности, основывается на принципе ALARP («as low as reasonably practicable»), указанном во многих нормативных документах по промышленной безопасности, в частности, в ГОСТ Р МЭК 61508 и 61511. По сути, этот качественный принцип формулируется в следующем виде: система безопасности должна обладать такими значениями показателей качества функционирования, которые позволяют снизить риск возникновения внештатных ситуаций при эксплуатации опасных технологических объектов настолько, насколько это «практически целесообразно».
ГОСТ Р МЭК 61508 предлагает несколько методов, рекомендуемых для определения проектных требований к качеству технических систем безопасности. Эти методы позволяют оценить уровень полноты безопасности (SIL), которым должна обладать система для обеспечения приемлемого риска. SIL – один из основных численных показателей безопасности, суть которого рассматривалась в разделе 1.5 применительно к многоканальной ПАЗ. Эти методы классифицируются на количественные и качественные: 1. Количественные методы предлагают использовать таблицы классификации рисков или иные аналогичные таблицы [24, 25, 56] для определения приемлемого класса риска и соответственно диапазона приемлемых частот возникновения аварий. При этом необходимо на основе статистических данных разработать (или иметь уже ранее разработанную) таблицу рисков для той отрасли промышленности, к которой относится анализируемый опасный технологический процесс. Эта таблица ставит в соответствие каждой паре - [частота аварий; тяжесть опасных последствий от аварий] - класс риска рассматриваемого технологического процесса. Применение таблицы классификации рисков при проектировании ПАЗ будет излагаться ниже при рассмотрении традиционного подхода к использованию принципа ALARP.
2. Качественные методы основываются на использовании графов рисков, матриц тяжести и иных схем определения [24, 56] уровня полноты безопасности (SIL). Эти методы позволяют на основе ответов специалистов по безопасности на вопросы, сформулированные в [24, 56], определить требуемый уровень SIL технической системы безопасности для обеспечения приемлемого риска.
Существуют несколько подходов к использованию принципа ALARP, позволяющие как оценить значения приемлемых частот аварий, так и указать основные методы синтеза технических систем безопасности, к которым относятся ПАЗ.
Первый традиционный подход, основанный на вышеуказанных методах. Коротко рассмотрим этот подход на примере использования таблиц классификации рисков, которые наиболее часто используются на практике. Напомним, что таблицы классификации рисков [24] формируются на основе экспертных оценок, учитывающих частоту и «тяжесть» опасных последствий от возникновения аварий по отдельным отраслям промышленности. Пусть имеется таблица классификации рисков для той отрасли промышленности, к которой принадлежит анализируемый опасный технологических процесс. Пример такой таблицы для процессов нефтехимической отрасли приводится в [78]. Тогда упрощенная схема использования этой таблицы для определения задания на проектирование ПАЗ, обеспечивающей приемлемый риск, представляет собой следующую процедуру:
1. Определить по таблице класс риска процесса в отсутствии ПАЗ по каждой из четырех групп опасных последствий, введенных ГОСТ Р МЭК 61508. Например, эксперты по промышленной безопасности на основе анализа рисков [78] технологического процесса установили, что это - первый класс риска.
2. Указать приемлемый класс риска для рассматриваемого технологического процесса. Этот класс определяется также экспертами. Например, эксперты, анализирующие процессы в нефтехимической промышленности, определяют, что приемлемым классом риска является третий класс [78].
3. Так как класс риска представляет собой пару (частота и группа опасных последствий), то на основании имеющихся частот (в рассматриваемом примере, для первого и третьего классов риска) определяются коэффициенты снижения риска и, следовательно, SIL для проектируемой ПАЗ, которая обеспечит приемлемый риск, т.е. третий класс риска для объектов рассматриваемого технологического процесса.
Основными недостатками этого подхода (применительно к синтезу систем противоаварийной защиты) может являться следующее: на практике в таблицах классификации риска используются данные о «тяжести» опасных последствий аварий, зарегистрированных соответствующими компетентными организациями по отраслям промышленности всех стран мира [24];
Алгоритм определения значения функционала по реализации процесса взаимодействия ПАЗ с ОПО
В соответствии с выражением (3.1), для определения значения оценки стоимостного функционала, необходимо получить q реализаций процесса ((Z,t),) и определить значение функционала по каждой реализации. Для получения реализаций используется метод статистического моделирования (метод Монте-Карло), суть которого заключается в получении большого числа реализаций случайного процесса ((Z,t),) (и соответственно большого числа значений функционала C(r) по каждой реализации r для заданного Z). Число реализаций q, используемых для получения значения оценки функционала, зависит от требуемой ошибки и доверительной вероятности и определяется в соответствии с выражением (3.2).
Алгоритм определения значения оценки функционала для заданных значений Z и T (процедура 3), состоит из следующих этапов: 1. Задается: совокупность Z – полностью определяющая процесс взаимодействия ПАЗ с ОПО; Т – предельное время эксплуатации ПАЗ; 2. Определение q – числа необходимых реализаций (в соответствии с выражением (3.2)). 3. Получение необходимого числа реализаций (r(1)…r(q)) процесса ((Z,t),) и соответственно определение значения функционала C(r) по каждой реализации этого процесса по алгоритму приведенному в разделе 3.3. 4. Определение значения оценки стоимостного функционала C (Z) по выражению (3.1) для заданных значений Z и T.
Блок схема алгоритма определения оценки функционала по реализациям процесса ((Z,t),), приведена на рисунке 3.7. Рисунок 3.7 – Блок схема алгоритма определения оценки функционала
На основе данного алгоритма был разработан модуль для программного обеспечения синтеза ПАЗ, который позволяет на основе совокупности Z получить необходимое число реализаций процесса взаимодействия ПАЗ с ОПО и соответственно значение оценки функционала. Результаты и выводы
В данной главе получены следующие основные результаты: 1. Изложено подробное описание процесса ((Z,t),) взаимодействия ПАЗ с ОПО и предложен метод получения реализаций этого процесса. 2. Предложен алгоритм определения значения оценки стоимостного функционала на процессе взаимодействия заданной ПАЗ с ОПО.
Основным выводом по третьей главе является следующее утверждение: моделирование процесса ((Z, t), ) осуществляется методом статистического моделирования (методом Монте-Карло), позволяющим получить реализацию этого процесса и определить значение оценки стоимостного функционала (по полученным реализациям). Глава 4
Алгоритм и программное обеспечение синтеза систем противоаварийной защиты В данной главе излагается решение задачи синтеза ПАЗ, определяемой выражениями (2.4)-(2.6). Решение этой задачи осуществляется итерационным алгоритмом, построенным на основе метода статистического моделирования (метода Монте-Карло) случайного процесса {(([L,A],t), ), АGD}, где D множество управлений, определенное в выражении (2.4).
Под синтезом ПАЗ в соответствии с принципом ALARP понимается выбор такой архитектуры, характеристик обслуживания и технических средств на базе которых будет реализована ПАЗ, обеспечивающая минимум стоимостного функционала (формирование которого изложено во второй главе).
Прежде всего, остановимся на исходных данных задачи синтеза ПАЗ, обслуживающей группу Г = (ОПОь…,ОПОп). Для осуществления синтеза ПАЗ необходимо наличие следующих исходных данных:
Необходимо отметить, что в практической деятельности проектных организаций, занимающихся разработкой ПАЗ, совокупность D представляет собой конечный набор совокупностей А, определяемых выражением (1.10). При этом, совокупность D формируется на основе следующих данных:
Перечень используемых типов датчиков, ПЛК и исполнительных устройств ПАЗ, который формируется с учетом конструктивных особенностей конкретных ОПО, входящих в группу Г. Надежностные характеристики датчиков, ПЛК и исполнительных устройств указываются в паспортах, предоставляемых заводами-поставщиками указанных технических Перечень технических средств (датчиков, ПЛК, ИУ) возможных для использования на каждом ОПО ограничен числом производителей, с которыми взаимодействует организация проектировщик и особенностями конкретных ОПО (видами технологических параметров, на которых есть критические области; конструктивными особенностями ОПО).
Возможные архитектуры обычно ограничены числом возможных резервных элементов, которых обычно бывает не более трех. Контрольные проверки ПАЗ обычно проводятся не чаще чем раз в квартал, и не реже чем раз в год. Указывается А1 и ПАЗ(Аг) (т.е. спецификации ПАЗ, которая обеспечивает минимум стоимостного функционала), а также значение оценки стоимостного функционала и значение оценки потерь от внештатных ситуаций на ОПО для варианта исполнения ПАЗ(Аг).
Таким образом, используя стоимостной функционал (приведенный во второй главе) и алгоритм моделирования процесса взаимодействия ПАЗ с ОПО (изложенный в третьей главе), можно осуществить синтез оптимальной ПАЗ. Алгоритм синтеза оптимальной ПАЗ можно представить в виде следующей блок-схемы:
На основе приведенного в разделе 4.2 алгоритма было создано программное обеспечение, позволяющее осуществить синтез оптимальной ПАЗ в автоматизированном режиме. При этом в программном обеспечении используются две базы данных:
База данных технических средств, на базе которых возможно формирование варианта исполнения ПАЗ, т.е. датчики, ПЛК и исполнительные устройства. В базе данных содержатся надежностные и стоимостные характеристики указанных технических средств.
База данных технологических процессов, содержащая следующие сведения: перечень ОПО входящих в состав технологического процесса, критические области на каждом ОПО, частоты появления инцидентов по каждой критической области, предельное время нахождения параметра в каждой критической области, ущербы от возникновения аварий на ОПО и ущербы от остановов ОПО.
Программное обеспечение состоит из следующего набора модулей: Модуль формирования всех возможных вариантов исполнения ПАЗ. Данный модуль позволяет, после указания тех технических средств, которые возможно использовать на конкретных ОПО входящих в состав исследуемого технологического процесса, сформировать множество всех возможных вариантов исполнения ПАЗ для исследуемой группы ОПО.
Модуль формирование стоимостного функционала. Данный модуль формирует стоимостной функционал для конкретного выбранного технологического процесса (и соответственно группы ОПО) с целью учета затрат необходимых для обеспечения безопасности группы ОПО средствами ПАЗ и потерь от внештатных ситуаций на этих ОПО.
Модуль моделирование процесса функционирования ПАЗ и ее взаимодействие с ОПО. Данный модуль осуществляет моделирование конкретного варианта исполнения ПАЗ и определяет значение оценки стоимостного функционала для этого варианта. Модуль синтеза оптимальной ПАЗ. Данный модуль, используя модуль моделирования, определяет значение стоимостного функционала для каждого варианта исполнения ПАЗ и далее осуществляет выбор того варианта ПАЗ, который минимизирует значение стоимостного функционала. Также этот модуль формирует спецификацию ПАЗ. Структура программного обеспечения автоматизированного синтеза ПАЗ (на основе исходных данных изложенных в разделе 4.1 и алгоритма изложенного в разделе в 4.2) приведена на следующем рисунке:
Алгоритм синтеза ПАЗ
Исходя из вышеприведенных вариантов развития событий следует, что если ( -канал ПАЗ исправен (не произошло отказа), то он переведет объект в безопасное состояние если выполняется неравенство: т.е. если время между опросами ПЛК датчиков и время необходимое для перевода объекта в безопасное состояние меньше допустимого времени нахождения параметра в критической области.
Откуда следует, что для заданного значения максимальное число каналов, для которых ПАЗ корректно отработает все инциденты (при условии что не было отказа ПАЗ) можно определить, следующим образом:
Очевидно, что в случае не выполнения данного неравенства, необходимо пересмотреть проект ПАЗ, т.к. могут возникнуть случаи когда (j,s)-канал ПАЗ исправен, но при появлении инцидента, ОПО не будет переведен в останов.
Для осуществления синтеза в соответствии в ГОСТ Р МЭК 61508, прежде всего необходимо определить приемлемый риск, т.е. риск, который требуется обеспечить на группе ОПО. Для этого, в данном примере, будет использоваться таблица классификации рисков, которая для каждой группы последствий и частот ставит в соответствие один из четырех классов риска. Вид этой таблицы приведен в таблице П2.1.
При этом качественный вид этой таблицы предложен в ГОСТ Р МЭК 61508, а определение количественных значений зависит от области применения этой таблицы. В данной таблице количественные значения для частот последствий были определены в соответствии с рекомендациями, изложенными в [60]. При этом класс риска, который рекомендуется обеспечивать на технологическом процессе в соответствии с [24, 70], является третий класс.
Т.к. система противоаварийной защиты способна снижать только частоту аварий, то необходимо определить приемлемую частоту аварий для обеспечения третьего класса риска и соответственно коэффициент снижения риска (КСР) ПАЗ, т.е. насколько необходимо снизить частоту появления аварий (от возникновения инцидентов) средствами ПАЗ. При этом, в соответствии с [24], каждому значению КСР соответствует один из четверых уровней полноты безопасности – SIL (safety integrity level).
Тогда, для осуществления синтеза ПАЗ в соответствии с ГОСТ Р МЭК 61508 необходимо: 1. Определить частоту появления инцидентов по каждой критической области в отсутствии ПАЗ. Заметим, что в отсутствие слоев защиты (в т.ч. слоя ПАЗ) частота инцидентов равна частоте аварий. 2. Определить приемлемую частоту появления аварий по каждой критической области. 3. Определить требуемое значение коэффициента снижения риска (КСР), по каждой критической области, для обеспечения приемлемой частоты аварий и соответственно для обеспечения третьего класса риска. По требуемому значению коэффициента снижения риска также можно определить требуемое значение «уровня полноты безопасности» - SIL, по таблице П2.2. 4. Определяется тот варианта исполнения ПАЗ, который обеспечивает требуемый уровень КСР по каждой критической области.
Стоит отметить, что в результате определения варианта ПАЗ, обеспечивающий требуемый КСР (и соответственно приемлемую частоту), получается некоторое множество вариантов исполнения ПАЗ, обеспечивающих приемлемый вариант и при этом нет четких рекомендаций, какой вариант исполнения ПАЗ необходимо выбрать. В данном сравнении целесообразно выбрать тот вариант исполнения ПАЗ, который обеспечивает приемлемую частоту аварий при минимальных затратах на ПАЗ.
Рассмотрим пример синтеза системы ПАЗ по методу рекомендованному в ГОСТ Р МЭК 61508, для группы ОПО, рассмотренных в примере в разделе 4.4. Т.к. частоты появления инцидента по каждой критической области известны, возможно применение количественного метода для определения требуемого значения КСР по каждой критической области.