Построение системы безопасности на основе анализа рисков
В данной статье на примерах попробуем разобрать порядок построения системы безопасности технологического процесса на основе анализ рисков. Поскольку цель статьи постараться объяснить «нормальным инженерных языком» назначение и порядок создания системы безопасности технологических объектов на основе анализа рисков, придерживаться «процедур в соответствии с ГОСТ-МЭК..» и описывать процедуры я не буду.
Еще раз напомню, что любой технологический процесс или техническое устройство несет потенциальный риск – угрозу жизни и здоровью работающих или находящихся по близости людей. Риск есть всегда и для всех, все живое рискует погибнуть. Риск, которому мы все подвержены в повседневной жизни называют фоновым. Для каждого производства или технологического процесса существует значение риска, принятого как допустимое. При построении нового процесса или технологического объекта необходимо принять такие меры обеспечения безопасности, чтобы обеспечить расчетный риск не выше допустимого.
В целом порядок создания системы безопасности будет следующим:
- исследуем риски, выявляем факторы риска, оцениваем значение;
- если значение риска превышает допустимое, разрабатываем дополнительные мероприятия (технологические, организационные и т.д.) для снижения риска до приемлемого;
- если технологическими и организационными решениями снизить риск до приемлемого не удается, переходим к созданию приборной системы безопасности (ПСБ), определяем контура безопасности, оцениваем требуемый уровень полноты безопасности (SIL) контуров, строим систему аварийного останова (ESD);
Исследуем риски
Чтобы понять, насколько опасен технологический процесс или техническое устройство, необходимо провести оценку риска – некоторый набор процедур по определенным методикам, позволяющих выявить все факторы риска, источники рисков, рассчитать риск по каждому источнику и сравнить полученное значение риска с допустимым. Существует множество методик с различными подходами. Например, можно математически описать весь технологический процесс с расчетом вероятности опасных событий для каждого элемента и рассчитать риск для процесса в целом, но даже для простого процесса или технического устройства это будет сложно, трудоемко, и все равно потребует принять «упрощения и допущения» и «эмпирические данные». Для практического применения разработаны более простые методики, позволяющие оценить риск, пусть даже очень условно, но без каких-либо познаний в математике и серьезной технической подготовки.
При оценке риска опасного производственного процесса или технического устройства оценивается риск гибели одного или нескольких человек в результате разрушения, взрыва и пожара, выброс опасных и отравляющих веществ с серьезным загрязнением окружающей среды (выброс с выходом за границу санитарной защитной зоны на территории проживания N-ного количества человек), аварии с катастрофическими последствиями. Еще в качестве критерия могут рассматривать финансовый ущерб, но этот критерий очень неопределенный.
Отказ технологического оборудования (остановился насос, задрало подшипники у компрессора, закоксовали змеевики в технологической печи, остановили завод из-за ложного срабатывания ПАЗ..) не рассматриваются в оценке риска, так как это не приводит к гибели, взрыву, выбросу или катастрофе. Вообще отказ оборудования или останов технологического процесса не считается аварией, так как процесс был переведен штатными средствами в безопасное состояние. Вот если системы безопасности не выполнили свои функции и не перевели своевременно процесс в безопасное состояние, в следствии чего произошло разрушение оборудование с выбросом опасного вещества, пожаром, взрывом и гибелью людей – вот это уже авария.
Если перейти от красивых терминов к нормальному техническому языку, то получается риск – это вероятность аварии с тяжелыми последствиями (гибелью человека), а безопасность – это мероприятия, направленные на снижение вероятности аварии и ее последствий. Приемлемый риск – это когда на производстве приняты такие меры обеспечения безопасности (технические и организационные), что вы фактически не рискуете погибнуть или получить травму.
Если мы понимаем, что наш технологический процесс или техническое устройство несут потенциальные риски, необходимо определить, чем эти риски вызваны, насколько они критичны, оценить показатели рисков, сравнить показатели с целевыми значениями и определить необходимость дополнительных мероприятий, для снижения риска до допустимых значений.
HAZOP
Все начинается с процедуры исследования рисков, которая получила название HAZOP.
Определение из Википедии: HAZOP (англ. HAZARD and OPERABILITY , Опасность и Работоспособность) это процесс детализации и идентификации проблем опасности и работоспособности системы, выполняемый группой специалистов.
Если говорить нормальным инженерным языком, то это примерно так: после разработки опасного технологического процесса или технического устройства, собирается группа гуру-специалистов и начинают пристально рассматривать все технические решения и придумывать, какие опасные ситуации, как часто, с какой вероятностью и какими последствиями могут возникнуть на том или ином участке технологического процесса или оборудования. Принципиальный момент: в группу гуру должны входить специалисты по технологии, по эксплуатации, по оборудованию, по системам безопасности и обязательно специалист по процедуре HAZOP, который ничего не понимает в предмете исследования, но знает методику, выстраивает порядок рассмотрения процесса и оформления документов (протокола и итоговых рекомендаций). Так же принципиально, что специалист по процедуре HAZOP не вмешивается в технические вопросы, так как это не входит в его компетенции, он отвечает исключительно за соблюдение процедуры. Правильная организация и четкое соблюдение процедуры считается ключевым условием для выполнения полного и качественного исследования рисков.
Организация процедуры может значительно отличаться в зависимости от особенностей технологического процесса или технических устройств. Сложные объекты разделяют на небольшие участки или элементы, и рассматривают как сами элементы, так и их взаимное влияние.
Для наглядности можно рассмотреть анализ рисков на примере участка технологической схемы с насосом высокого давления, подающим сырье (нефтепродукт) из расходной емкости в контур высокого давления (в тройник смешения с водородом, далее теплообменники, печь нагрева, реактор и т.д.). Вся технологическая схема установки очень объемная и поделена на 100 с лишним листов, каждый лист рассматривается отдельно.
На рассматриваемом листе есть расходная емкость, насос, тройник смешения. Схема очень упрощенная, с минимальным количество элементов и без детализации, исключительно для пояснения к процедуре.
Для расходной емкости заданы расчетные предельные параметры: расчетное давление 3,6МПа, расчетная температура 200С. В емкости приборами контролируются значения уровня жидкости, давления и температуры.
Для насоса в приемном трубопроводе расчетное давление 3,6МПа, в напорном 20МПа. Насос центробежный многоколесный. Расчетная температура как и в емкости 200С.
Тройник смешения - это техническое устройство (участок трубопровода с форсункой), расчетное давление 20МПа, расчетная температура 200С.
Изначально схемой не предусматриваются какие-либо элементы защиты, нет ничего синего, красного или зеленого.
Все описанное ниже, дается исключительно для понимания подхода, на практике может значительно отличаться, но суть будет та же.
У риск-менеджера заранее заготовлен перечень возможных отклонений технологического процесса для оценки возможных последствий и рисков. Для формализации подхода придумывают ключевые слова: повышение, понижение, высокий, низкий, очень высокий, очень низкий и т.д., чтобы при рассмотрении процесса перейти с конкретных числовых значений на условные. И так же риск-менеджер готовит граф рисков (матрица или дерево рисков), набранную из разноцветных квадратиков, чтобы хоть как-то скрасить ужасно скучную процедуру. Граф на этом этапе нужен только для того, чтобы возможные риски привязать к определенным буквам (ветвям).
И еще несколько основополагающих моментов к предмету анализа: исходим из того, что операторы не находятся постоянно в опасном месте на установке, а только периодически совершают обходы и осмотры, т.е. если радиус поражения при аварии ограничен несколькими метрами, среднее время нахождения оператора в потенциально опасном месте не более нескольких минут в смену, что соответствует F1 по графу (редко). Если радиус поражения сопоставим с площадью установки, то частота пребывания будет F2 (относительно часто). Именно для того, чтобы максимально убрать операторов из потенциально опасной зоны, начали строить взрывоустойчивые операторные, минимизировать количество операторов-обходчиков и применять технологическое видеонаблюдение. Если операторов заставляют постоянно дежурить на объекте (например, находится в насосной, чтобы при отказе насоса оперативно запустить резервный), это противоречит любой концепции безопасности.
Начинаем анализировать схему
Повышение температуры в емкости выше расчетной – невозможно, так как нет источника с такой температурой (по схеме до емкости нет источника тепла, способного нагреть продукт до значений, выше расчетной температуры емкости), нет риска.
Понижение температуры в емкости ниже допустимой – нижний предел не установлен, нет рисков.
Повышение уровня жидкости в емкости выше допустимого – возможно при некорректной работе регулятора LIC490, как следствие переполнение емкости, поступление жидкости в факельную систему, риск есть. Последствия – переполнение факельного сепаратора (дальнейшие риски рассматриваются при анализе факельного сепаратора), заполнение факельной системы жидкостью, вероятность разгерметизации и пожара низкая (факельная система закрытая и рассчитана на сброс такого объема), вероятность разрушения емкости и трубопроводов обвязки, взрыв, пожар очень низкая. Вероятность нахождения людей в опасной зоне очень низкая. Вероятность аварии очень низкая (W1). Частота пребывания в опасной зоне – редко (F1). Смерть человека практически невозможна, легкие телесные повреждения маловероятны (C1 можно принять с натяжкой).
Понижение уровня жидкости в емкости ниже допустимого – возможно при некорректной работе регулятора LIC490 или из-за проблем «выше» по технологической схеме, как следствие отсутствие жидкости на приеме насоса, нештатная работа насоса (риски насосов рассматриваются отдельно), вероятность разрушения емкости и трубопроводов обвязки отсутствует. Нет рисков.
Понижение давления в емкости ниже допустимого - нижний предел не установлен, нет рисков.
-
Повышение давления в емкости выше расчетного – возможно в нескольких случаях:
a. повышение давления выше по технологической схеме, источник давления (насос на предыдущем листе) незначительно превышает расчетное давление емкости, рост давления ограничен пропускной способностью клапана LV490. Вероятные последствия – механическое разрушение (обрыв штуцера), разгерметизация фланцевых соединений, розлив, пожар. Розлив ограничен отбортовкой площадки. Взрыв маловероятен (продукт – горючая жидкость, температура кипения выше температуры в емкости). Вероятность события (повышения давления) низкая (W2). Частота пребывания людей в опасной зоне – редко (F1). Смерть одного человека возможна (C2). Технологической схемой предусмотрены мероприятия по защите от повышения давления в емкости – предусмотрена сборка предохранительных клапанов;
b. поступление продукта и газа из блока высокого давления - поток через клапан FC328. Пропускная способность клапана ограничивает поток. Условия и последствия аналогичны ранее рассмотренному случаю;
c. поступление продукта и газа из блока высокого давления - обратный поток через насос высокого давления. Насос центробежный, без дополнительных средств защиты обратный поток гарантирован, диаметр трубопровода большой. Если не предусмотреть меры защиты, при каждом останове насоса всегда будет обратный поток из контура высокого давления и повышение давление в емкости выше расчетного, и как следствие давление в емкости увеличится до 20МПа (как в контуре высокого давления), что однозначно приведет к разрушению корпуса емкости. Из блока высокого давления будет поступать газ с высоким содержанием водорода, что приведет к воспламенению и сильному факельному горению (водород при таком давлении при разгерметизации самовоспламенятся). Вероятность аварии высокая (W3). Радиус разрушений сопоставим с площадью установки, частота пребывания будет F2 (относительно часто). Возможна смерть нескольких человек (C3). По типовой схеме в качестве мер защиты от обратного потока на насосах предусматриваются обратные клапаны. Небольшая не герметичность клапанов, пропуски в закрытом состоянии, компенсируется предохранительными клапанами на емкости. Но всегда есть вероятность отказа обратного клапана (не закрылся, остался в открытом положении), и у обратного клапана нет средств диагностики, невозможно предсказать его поведения до момента останова насоса. Учитывая величину риска и последствий однозначно необходимы дополнительные мероприятия.
И так рассматриваем каждый лист, каждый аппарат, каждый участок технологической схемы. В результате получится очень объемный труд, максимально учитывающий все возможные риски.
Чтобы не раздувать статью, будем считать, что рассмотрение схемы окончено. HAZOP провели, все риски выявили.
На следующем шаге необходимо оценить значение риска – вероятность гибели одного или нескольких человек в результате наступления опасного события, и необходимость дополнительных мероприятий по снижению риска. Чтобы не погружаться в математику, на этом шаге оценка риска выполняется по графу (матрице рисков). Двигаемся последовательно слева на право, используя ключевые параметры (C,F,P,W) определяем расчетное значение риска и проверяем, соответствует риск приемлемому значению или превышает приемлемое значение.
Если полученное значение риска превышает приемлемое значение, значит требуется разработка дополнительных мероприятий (организационных, технологических, технических) для снижения риска до приемлемого значения, а если организационных и технических мероприятий не достаточно, то необходимо разработка еще одного слоя защиты, который все таки позволит снизить риск до приемлемого значения. Как правило, этим дополнительным слоем защиты выступает приборная система безопасности (ПСБ).
И на этом этапе уже появляется понятие «Уровень полноты безопасности» (УПБ или SIL), но разбираться с ним будем позже.
Еще раз поясню подход: риск в допустимых пределах – это значит, что вероятность наступления опасного события и вероятность, что система безопасности при этом не выполнить свои функции, и произойдет авария с гибелью одного или нескольких человек, ниже принятого приемлемого значения. Т.е. вероятность погибнуть при аварии на производстве примерно такая же, как в автокатастрофе или при отдыхе на море. Вероятность опасного события – это не повышение давления в емкости, а вероятность гибели человека из-за повышения давления в емкости. Если вероятность гибели оценивается как 1 случай за 1000 лет, значит риск находится в допустимых пределах и никакие дополнительные меры не требуются (вероятность повышения давления в емкости 1 раз в год, вероятность разрушения емкости 1 случай из 500, вероятность нахождения человека при этом в опасной зоне 50/50). Если вероятность повышения давления в емкости высокая и при этом есть вероятность аварии и гибели, то необходимы дополнительные средства защиты, снижающие вероятность до приемлемого уровня – сборка предохранительных клапанов и будет дополнительными средствами защиты. В случае установки на емкость сборки предохранительных клапанов получаем следующее – вероятность повышения давления в емкости 50 случаев в год, вероятность что предохранительный клапан не сработает, система безопасности не выполнит свою функцию – 1 случай на 1000, вероятность разрушения емкости при превышении расчетного давления 50/50, вероятность нахождения человека в опасной зоне 50/50, итого получается вероятность гибели человека будет 1 случай за 80 лет. Наверно, можно считать риск приемлемым. Все вероятности отказов технических устройств, нахождения персонала в опасной зоне, отклонения технологических параметров и т.д. получаются статистически, эмпирически или из справочников, т.е. все исходные данные очень условны. Приведенные рассуждения примитивные, только для пояснения подхода.
Разбираем риски, выявленные п.3 (повышение уровня жидкости в емкости выше допустимого): по матрице рисков получается C1-W1, риск находится в пределах допустимого, никаких дополнительных мероприятий не требуется.
Для пункта 6а (повышение давления в емкости выше расчетного): без учета предохранительных клапанов получаем C2-F1-P2-W2 – SIL1, т.е. существует риск (вероятность аварии с разрушением, пожаром, гибелью) выше приемлемого значения, чтобы снизить риск до приемлемого значения, необходимы дополнительные меры безопасности (технологические, организационные) или приборная система безопасности, отвечающая уровню полноты безопасности не ниже SIL1 (с SILом разберемся позже).
На технологической схеме у нас предусмотрены меры обеспечения безопасности, защищающие емкость от превышения давления, в виде сборки предохранительных клапанов, что дает нам «возможность избежать последствий при определенных условиях». Поэтому для пункта 6а при наличии предохранительных клапанов по матрице рисков получаем C2-F1-P1-W2-a, т.е. при наличии предохранительных клапанов риск находится в допустимых пределах и дополнительных мероприятий теперь не требуется, что и логично.
Для пункта 6с все несколько сложнее (на примере этого пункта будем строить все дальнейшее описание).
Без учета всех средств обеспечения безопасности по матрице рисков получаем C3-F2-P2-W3 – SIL4, т.е. риск (вероятность аварии и гибели людей) значительно выше допустимого, необходимо принять дополнительные меры безопасности, или построить приборную систему безопасности, отвечающую уровню полноты безопасности не ниже SIL4.
На технологической схеме изначально у нас предусмотрены меры обеспечения безопасности (выделены синим цветом), защищающие емкость от превышения давления, в виде обратного клапана на линии нагнетания насосов и сборки предохранительных клапанов на емкости, что дает нам «возможность избежать последствий при определенных условиях». Система безопасности в составе обратного и предохранительного клапана защитит емкость от разрушения при условии, что обратный клапан полностью закроется (или почти полностью) и объем поступающего из блока высокого давления обратным ходом продукта будет очень небольшой и пропускной способности предохранительного клапана будет достаточно, чтобы защитить емкость от превышения давления.
С учетом этого, по матрице рисков получаем C3-F2-P1-W3 – SIL3, т.е. принятых мер (обратного и предохранительного клапана) недостаточно для снижения риска до приемлемого значения, что логично, и требуется разработка дополнительных мероприятий. В качестве дополнительных мероприятий может использоваться приборная система безопасности с уровнем не ниже SIL3.
Но статистика показывает, что обратный клапан может не закрыться (закрыться не до конца или вообще не закрыться), а учитывая коксуемость продукта вероятность такого отказа достаточно высокая. Отказ в случае с устройство безопасности – это когда устройство не выполнило свою функцию безопасности в нужный момент. Насос остановился, через насос из блока высокого давления начался обратный ход продукта, т.е. сформировался запрос на выполнение функции безопасности предохранительного клапана. Если обратный клапан закрылся и обратный поток остановлен – функция безопасности выполнена, а если не закрылся – значит не выполнена. Если при повторном пуске насоса клапан не открылся (залип, заклинил в закрытом положении..), клапан неисправен, но обратного потока нет, значит функция безопасности все равно выполняется. Это называется безопасным отказом – устройство не работает, но функцию безопасности оно все равно выполняет.
Поскольку при обратном потоке из блока высокого давления поступает не только жидкость, но и газ, то при снижении давления с 20МПа до 3,6МПа объем газа увеличивается в 164 раза, а при сбросе через предохранительный клапан в систему с давлением, близким к атмосферному, объем увеличивается еще в 36 раз. Сброс давления с 20МПа – задача технически не простая, это не просто предохранительный клапан. Поэтому просто подобрать предохранительные клапаны на емкость низкого давления, обеспечивающие защиту от превышения давления при обратном потоке через неисправный обратный клапан не получится.
Логично предположить, что если поставить последовательно два обратных клапана, то вероятность обратного потока будет в два раза меньше и этого будет достаточно, чтобы не придумывать какие либо дополнительные мероприятия от обратного потока. Но это не так. Поскольку оба клапана будут находится в одинаковых условиях, на одном трубопроводе, в одной и той же среде, с одинаковой степенью износа и скорее всего одинаковой конструкции, то велика вероятность «отказа по общей причине». Под общей причиной можно понимать что угодно: недостатки конструкции, ошибки при проектировании, одинаковую степень загрязнения, недостатки при техническом обслуживании и т.д. Поэтому вероятность одновременного отказа двух клапанов будет хоть и меньше, чем для одного клапана, но не на много. Так же надо учитывать, что контролировать исправность обратного клапана при работающем насосе невозможно. С учетом риска гибели персонала при разрушении емкости от превышения давления, последовательная установка двух обратных клапанов ничего не меняет.
Дальше можно еще раз собрать гуру-специалистов (или не совсем гуру), можно перерисовать технологическую схему справа налево, разукрасить матрицу рисков другими цветами – но по результату все равно приходим к выводу, что для обеспечения приемлемого значения риска необходимо на нашем технологическом объекте построить еще один слой защиты – Приборную систему безопасности (ПСБ).
В целом ничего сложного: надо придумать параметры процесса, по которым можно определить наличие обратного потока, подобрать приборы, которые будут эти параметры регистрировать, изобрести исполнительные механизмы (клапан или шаровой кран) с электрическим или пневматическим приводом который сможет остановить обратный поток, и все это завязать через программируемый логический контроллер (ПЛК), который будет получать данные с приборов и формировать управляющее воздействие на исполнительный механизм.
Но, чтобы снизить риск до приемлемого значения, надо чтобы ПСБ при запросе на выполнение функции безопасности гарантировано эту функцию выполнила. Как и любая техническая система, ПСБ может отказать, и «гарантировано» в данном случае тоже вероятность того, что ПСБ выполнит функцию безопасности. Вероятность отказа ПСБ, т.е. вероятность того, что система не выполнит функцию безопасности, может быть и 50% (через раз), но зачем такая ПСБ нужна?
Чтобы ПСБ «гарантировано» выполнила функцию безопасности, то вероятность отказа должна быть много меньше вероятности запроса на выполнение функции безопасности. В рассмотренном выше случае получается следующее: вероятность останова насоса и обратный поток продукта из контура высокого давления случается примерно 10 раз в год, вероятность отказа обратного клапана и разрушения емкости условно 2 случая из 10, с учетом катастрофических последствий при каждом разрушении емкости гибнут люди, т.е. вероятность запроса на выполнение функции безопасности 2 случая в год. Срок службы установки 10 лет. Чтобы ПСБ гарантировано выполнила функцию безопасности при запросе в течении всего срока службы, вероятность отказа должна быть не хуже, чем 1 случай в 100 лет, вероятность отказа ПСБ должна быть на порядок меньше, чем вероятность запроса на выполнение функции безопасности.
Следовательно, ПСБ это не просто контроллер, приборы и исполнительные механизмы, это цельная система безопасности, реализующая функцию безопасности, и построенная таким образом, чтобы можно было рассчитать и подтвердить вероятность выполнения (не выполнения) функции безопасности при запросе.
Раз надо что-то рассчитать и подтвердить, значит должна быть методика, классификация и стандартизация. Для ПСБ такими методиками являются ГОСТР(МЭК)61508 и ГОСТР(МЭК)61511. Для классификации придумано категорирование по Уровням Полноты Безопасности (УПБ, SIL).
Сразу надо обратить внимание, что ПСБ это не российская ПАЗ, есть принципиальные отличия, которые разберем позже. Не для всей ПСБ будут определены требования по Уровню полноты безопасности, ПСБ состоит из контуров безопасности, каждый контур реализует свою функцию безопасности, не для всех контуров необходимо обеспечивать какого-либо УПБ. Поэтому в общей ПСБ выделяют подсистему аварийного останова или аварийного отключения (ESD), в ESD включают контура безопасности, к которым предъявляются требования по УПБ.
Переходим к ПСБ, УПБ, ПАЗ, ESD, SIL и т.д.