Управление безопасностью в перерабатывающей промышленности Часть 1. Стандарты Роберт Мартинес, Пер-Христиан Юэль, Пер Фьельдален Производственные процессы сопряжены с управлением огромными количествами энергии, например, раскаленной сталеплавильной печью или резервуаром с токсичными химикатами. Отказ или неисправность важного компонента такой системы может высвободить немалый разрушительный потенциал, подвергая опасности людей и окружающую среду. Помимо самых неблагоприятных сценариев, могут иметь место бесчисленные происшествия меньших масштабов, приносящие локальный ущерб и создающие возмущения, отрицательно сказывающиеся на производительности и надежности предприятия и репутации его владельцев. Невозможно создать абсолютно надежную систему. В управлении безопасностью ставится задача минимизировать как риск возникновения нештатных ситуаций, так и последствия таких ситуаций, если они все же возникнут. Для этого вопросы безопасности должны приниматься во внимание повсеместно – в проекте и при эксплуатации, на всех этапах и во всех аспектах жизненного цикла предприятия. Новые стандарты и ясный подход к управлению проектами с ориентацией на безопасность делает решение этих задач возможным. АББ Ревю 3/2005 47 Управление безопасностью в перерабатывающей промышленности Б ольшинство промышленных процессов сопряжено с потенциальными угрозами – персоналу предприятия, местному населению или окружающей среде. Огромные количества физической и химической энергии, используемые в перерабатывающей промышленности, представляют потенциальную опасность. Масштабы этой энергии известны каждому, кому довелось побывать рядом с бумагоделательной машиной или заглянуть в литейную печь. Именно эти высокоэнергетические процессы отличают перерабатывающие отрасли от обрабатывающей промышленности. Происшествия в промышленности, такие как в г. Бхопал (Индия), привлекли внимание общества к необходимости снижения рисков на предприятиях перерабатывающей отрасли. Каждый этап жизненного цикла производства оказывает влияние на безопасность: подготовка технического задания, проектирование, выполнение подрядных работ, испытания, обучение, эксплуатация и техническое обслуживание. Во многих странах существуют жесткие стандарты, распространяющиеся на поставщиков компонентов автоматики, системных интеграторов и операторов. Эти стандарты подразумевают, что безопасность – это больше, чем просто проектирование и монтаж оборудования для обеспечения безопасности. Безопасность – это метод мышления, который должен применяться на всех этапах жизненного цикла завода. Обеспечение безопасности в течение столь длительных временных промежутков и среди столь большого количества рабочих бригад и поставщиков требует применения хорошо проработанных процедур управления. Нормы и требования техники безопасности нового рода часто называют «управлением безопасностью» (safety management). Компании-операторы производства уже усвоили, что управление безопасностью – это надежная деловая практика: оно позволяет защитить основные фонды и оказывает положительное влияние на постоянство и качество производственных процессов. Не следует забывать и о потенциальных последствиях судебных процессов и возмещении ущерба. Менее осязаемым, но тем не менее очень важным является и вопрос под- Глоссарий АББ в области безопасности Глоссарий в области безопасности от АББ разъясняет некоторые специфические термины, которые, вероятно, встретятся пользователю при приобретении или эксплуатации оборудования и систем обеспечения безопасности. Документ представлен в виде файла PDF с гиперссылками на сайте АББ: www. abb. com 48 1 Этапы жизненного цикла системы безопасности согласно Части 1 стандарта IEC-61511 Технические требования Разработка общих требований к безопасности (принципы, охват, анализ угроз и рисков) Пункт 8 Распределение требований к безопасности по автоматизированным функциям и разработка документа «Требования к безопасности» (SRS) Пункты 9 и 10 Этап разработки системы автоматизации безопасности Пункт 11 Этап разработки ПО для системы автоматизации безопасности Пункт 12 Заводские приемочные испытания. Монтаж и пусконаладка, контроль уровня безопасности систем автоматизации безопасности. Пункты 13, 14 и 15 Эксплуатация и техническое обслуживание, модификация и модернизация, вывод из эксплуатации или утилизация систем автоматизации безопасности Пункты 16, 17 и 18 держания благоприятного имиджа компаний в глазах мирового сообщества. За глобализацией производства последовала глобализация средств массовой информации: компании должны демонстрировать все тот же высокий уровень безопасности везде, вне зависимости от того, где они разместили свое производство. Международные стандарты управления безопасностью В течение последних 10 лет МЭК (Международная электротехническая комиссия) руководила работами по созданию международных требований к системам, имеющим отношение к безопасности. В 1998 году МЭК опубликовала обобщенный стандарт на проектирование, изготовление и применение электрических/электронных/программируемых электронных компонентов (E/E/PE), предназначенных для использования в системах обеспечения безопасности. Стандарт IEC-61508 теперь признан во всем мире, и заказчики требуют от поставщиков подтверждения соответствия их приборов и платформ систем управления этому стандарту. Дополнительный стандарт IEC-61511 был опубликован в 2003 году. Этот стандарт распространяется на системных интеграторов и операторов в перерабатывающей отрасли промышленности. При поставке законченных систем автоматизации и обеспечения безопасности необходимо придерживаться этого стандарта. В обоих стандартах делается упор на соблюдение требований на протяжении всего жизненного цикла изделия: от проектирования, разработки и исполнения проекта до ремонта, техобслуживания и вывода из эксплуатации. Американский стандарт ISA sp84, впервые опубликованный в 1997 году, был согласован со стандартом IEC-61511 и теперь соответствует ему, а вскоре будет вытеснен. Третий стандарт МЭК в этом ряду, IEC-62061, охватывает вопросы безопасности механизмов и машин. Этот стандарт, представляющий особый интерес для робототехнической отрасли, в настоящее время находится в стадии разработки и будет на определенном этапе согласован с IEC-61508. Стандарт IEC-61511 состоит из трех частей. Часть 1 – «нормативная», это юридически обязательная часть, сложная для прочтения Таблица 1 Термины из области безопасности согласно IEC-61511 Basic Process Control System (BPCS) – базовая система управления ТП Diagnostic Coverage (DC) – диагностическое покрытие Logic Solver – Логическое решающее устройство Programmable Electronic System (PES) – программируемая электронная система Safety Integrity Level (SIL) – класс надежности Safety Instrumented Function (SIF) – функция автоматизации безопасности Safety Instrumented System (SIS) – система автоматизации безопасности Система управления за вычетом оборудования и программных компонентов для обеспечения безопасности Отношение количества обнаруженных в ходе диагностики неисправностей к общему количеству неисправностей. Блок контроллера с центральным процессором. Контур управления, включающий в себя датчики, логическое решающее устройство и исполнительные механизмы. Число от 1 до 4, определяющее заданные частоты отказов функций КИП, предназначенных для обеспечения безопасности. Программируемая электронная система с заданным SIL для защиты от определенной опасности. Одна или несколько SIF, работающих вместе. АББ Ревю 3/2005 Управление безопасностью в перерабатывающей промышленности неспециалистом, не знакомым со специальной терминологией в области безопасности (табл. 1). Дополнительную терминологическую справку можно получить в «Глоссарии АББ в области безопасности» (см. вставку 1). В оставшихся двух частях текста IEC-61511 даются пояснения и рекомендации в отношении Части 1. полнять для проверки соответствия поставляемых компонентов требованиям (контроль соответствия, верификация) и духу стандарта (контроль пригодности, валидация). Этап оценки угроз и рисков Основной задачей на данном этапе является выявление всех угроз безопасности и количественная оценка рисков. Первый шаг – идентификация и определение характеристик угроз, связанных с технологическим оборудованием, иногда называемые анализом опасности (hazard analysis). Метод HAZOP (см. вставку 2) – один из нескольких, рекомендованных стандартом IEC-61511. Согласно терминологии этого стандарта, угроза приводит к «риску» только в том случае, если она связана с летальным исходом, нанесением ущерба имуществу или окружающей среде. Шкала ущерба выражается схемой «графа риска», стандартной для МЭК (рис. 2). Дискретные значения четырех параметров C, F, P и W указаны в стандартных таблицах графа риска. Значения этих параметров оцениваются для каждой единицы опасного оборудования. Такой подход приводит к заданному классу надежности (SIL), который служит основой для следующего этапа жизненного цикла: разработки функции автоматизации безопасности (SIF), предназначение которой заключается в сокращении риска до приемлемого уровня. Такие приемлемые уровни низки, но не равны нулю; гарантировать полное предотвращение риска невозможно. МЭК является лишь организацией-разработчиком стандартов; компании, которым требуется провести сертификацию систем безопасности, следует обращаться в орган по сертификации, такой как TÜV в Германии. Каждый этап жизненного цикла производства оказывает влияние на безопасность: подготовка технического задания, проектирование, выполнение подрядных работ, испытания, обучение, эксплуатация и техническое обслуживание. Планирование безопасности и этап проектирования Этап выделения функции обеспечения безопасности и определения требований Важным нововведением в стандарте МЭК для систем безопасности в перерабатывающей промышленности явился подход к рассмотрению функции обеспечения безопасности как единого целого. Программируемый контроллер, прибор (ы) и исполнительный механизм (механизмы) образуют сочетание для выполнения определенной функции обеспечения безопасности, надежность которой зависит от всей цепочки подсистем. В Части 1 стандарта IEC-61511 жизненный цикл производства делится на этапы, изображенные на рис. 1. Однако перед началом работ по проекту должна быть составлена всеобъемлющая программа мер по обеспечению безопасности, в подробностях определяющая порядок работ на протяжении жизненного цикла. Также должен быть документирован уровень знаний и роль каждого члена группы по обеспечению безопасности. Программа обеспечения безопасности описывает официальные процедуры, которые следует вы- 2 CA X1 X2 CB CC Обобщенная схема (в практической работе схема конкретизируется в соответствии с областями, охватываемыми графом рисков) CD FA FB FA FB FA FB C = параметр последствий F = время воздействия P = вероятность предотвращения угрожающего события W = при отсутствии рассматриваемой SIF АББ Ревю 3/2005 В течение последних 10 лет МЭК руководила работами по созданию международных требований к системам, имеющим отношение к безопасности. Основной задачей на данном этапе является подготовка требований к функции (SIF) с достаточной надежностью для снижения риска, оцененного на предыдущем этапе. Надежность SIF определяется одним из четырех возможных классов SIL, количественно задающих надежность всего контура SIF. В перерабатывающей промышленности применимы только классы SIL с 1 по 3. Обычно функции SIF уровня SIL-3 составляют менее 15 % всех SIF на производственном объекте. Автоматическая функция обеспечения безопасности (SIF) не обязательно должна отвечать за весь требуемый интервал снижения риска. Стандартом рекомендуется анализ по методу LOPA (Layer of Protection Analysis – анализ уровней защиты) для оценки других, неавтоматизированных средств снижения риска до приемлемого уровня, таких как механические предохранительные клапаны, герметизирующие стенки и т. п. (рис. 3). HAZOP Граф рисков из IEC-61511 Начальная точка для оценки снижения рисков Функция безопасности (SIF) включает в себя три подсистемы: инициирующая подсистема (подсистема измерений), логическое решающее устройство (контроллер) и подсистема исполнительных механизмов. Подсистемы в отдельности должны удовлетворять соответствующим требованиям IEC-61511. Показатели надежности рассчитываются отдельно для каждой подсистемы, и самое слабое звено в цепочке подсистем определяет показатели надежности всей функции в целом. PA PB X3 PA PB X4 PA PB X5 PA PB X6 W3 W2 W1 a --- --- 1 a --- 2 1 a 3 2 1 4 3 2 b 4 3 – – = требований к безопасности нет а = без особых требований к безопасности b = одной функции SIF недостаточно 1,2,3,4 = класс надежности (SIL) HAZOP (HAZard and OPerability Studies – исследование безопасности эксплуатации) – методология, применяемая для выявления потенциальных угроз и эксплуатационных проблем в технологических системах. Процедура начинается с полного описания процесса. После этого каждый элемент этого описания в рамках системной и структурированной процедуры подвергается изучению на предмет того, как могут возникать возможные отклонения от заданных алгоритмов. 49 Управление безопасностью в перерабатывающей промышленности Таблица 2 Значения вероятности отказа по требованию (PFD) для класса надежности (SIL) в режиме низкой востребованности Класс надежности (SIL) 4 3 2 1 Требуемая средняя вероятность отказа по требованию 10-4 > p ≥10-5 10-3 > p ≥10-4 10-2 > p ≥10-3 10-1 > p ≥10-2 Требуемое снижение риска 10000 < k ≤ 100000 1000 < k ≤ 10000 100 < k ≤ 1000 10 < k ≤ 100 ■ ■ ■ Этапы разработки и проектирования функции обеспечения безопасности На этапе проектирования определяется конфигурация SIF и выбор приборов с необходимой надежностью (PFD, Probability of Failure on Demand – вероятность отказа по требованию). Разработка контура SIF – итерационный процесс, включающий в себя расчеты класса надежности SIL для каждого варианта проекта. Основным результатом этапа проектирования является документ «Требования к безопасности» (Safety Requirements Specification, SRS). При разработке подсистемы автоматизированной функции безопасности следует учитывать два параметра: ■ Доля безопасных отказов (Safe Failure Fraction, SFF) выражает долю от общего числа отказов, которая может считаться безопасной по проекту или по диагностическому покрытию. ■ Отказоустойчивость отражает, какое число опасных необнаруженных отказов допускается без снижения надежности (SIL). Например, если для функции автоматизации используется только один аналоговый вход, отказоустойчивость равна нулю. Режим работы определяет вид расчетов надежности. Есть два основных режима работы автоматических функций обеспечения безопасности: режим низкой востребованности и режим непрерывной работы. Низкая востребованность характеризуется условием возникновения не более одного случая в год, требующего срабатывания функции обеспечения безопасности. Значения SIL PFD для этого режима приведены в табл. 2. Поставщики сертифицированных (по IEC-61508) изделий для подсистем обеспечения безопасности должны публиковать эти параметры, крайне важные для определения конфигурации и проверки готового проекта SIF. Эти параметры являются основой требований к безопасности для этапа конструирования. На этом этапе выполняется реализация SIF в программном виде и в виде подробного проекта аппаратной части. 3 Уровни защиты из IEC-61511 Определяются требования к испытаниям, Меры по защите населения которые следует исРадиовещание в аварийной ситуации пользовать на последующих этапах монтажа Меры по защите персонала предприятия и эксплуатации. Процедуры эвакуации Минимизация последствий Механические системы сокращения последствий Автоматизированные системы обеспечения безопасности (управление) Автоматизированные системы обеспечения безопасности (сокращение последствий) Операторский контроль Предотвращение Механическая система защиты Аварийные технологические сигналы, корректирующие действия оператора Автоматизированные системы обеспечения безопасности (управление) Автоматизированные системы обеспечения безопасности (предотвращение) Управление и контроль Базовые системы управления ТП Системы контроля (аварийные технологические сигналы) Операторский контроль Технологический процесс 50 Этапы монтажа и эксплуатации После комплектации системы безопасности ответственность за управление безопасностью передается от поставщика (например, АББ) к заказчику – компании-оператору производства. Подробно рассмотреть эти этапы в объеме статьи невозможно, однако можно выделить важные требования к безопасности на данных этапах: ■ Испытания в процессе производства должны включать проверки контура управления, прикладной ■ и системной частей; рекомендуется использование методов имитационного моделирования. Необходима подготовка руководств по безопасности и прочей документации, а также обучение операторов и обслуживающего персонала. Все происшествия, имеющие отношение к безопасности, должны регистрироваться. Все подсистемы SIF должны регулярно проходить контрольные испытания, результаты испытаний следует документировать. Изменения в системе должны проводиться с соблюдением официальных процедур управления изменениями и конфигурацией. В управлении безопасностью упор должен быть сделан на рисках и аспектах безопасности всех компонентов и подсистем, а также их взаимодействии на всех этапах жизненного цикла предприятия. Общий взгляд Сочетание «безопасных» компонентов не ведет автоматически к построению «безопасной» системы. В управлении безопасностью упор должен быть сделан на рисках и аспектах безопасности всех компонентов и подсистем, а также их взаимодействии на всех этапах жизненного цикла предприятия. При управлении безопасностью следует использовать сертифицированные методы минимизации рисков в единой системе. Чтобы это стало возможным, все бригады и субпоставщики должны быть вовлечены в процесс обеспечения безопасности – от проектирования и конструирования до обучения, эксплуатации, вывода из эксплуатации и утилизации. В следующей статье этого номера рассматривается реализация изложенных здесь принципов и рекомендаций компанией АББ. Роберт Мартинес Пер-Христиан Юэль ABB Corporate Research Биллингстад, Норвегия robert. martinez@no. abb. com per. c. juel@no. abb. com Пер Фьельдален ABB Process automation Осло, Норвегия per. fjelldalen@no. abb. com АББ Ревю 3/2005