Приложение F (справочное). Пример проекта ПСБ, иллюстрирующий каждую стадию ее жизненного цикла, с использованием языка линейно-лестничной логики при разработке прикладных программ. Национальный стандарт РФ ГОСТ Р МЭК 61511-2-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 11.09.2018 N 586-ст)

Приложение F
(справочное)

Пример
проекта ПСБ, иллюстрирующий каждую стадию ее жизненного цикла, с использованием языка линейно-лестничной логики при разработке прикладных программ

Примечание - Данный пример используется с разрешения ISA и AIChE CCPS, Guidelines for Safe Automation of Chemical Processes, New York, 1993, доступного по адресу: AIChE, 345 East 47th Street, New York, NY 10017, Tel: (212) 705-7657. Данный пример был модифицирован, чтобы соответствовать требованиям МЭК 61511.

F.1 Обзор

В настоящем приложении представлен пример, иллюстрирующий реализацию каждой стадии жизненного цикла системы безопасности с помощью многоступенчатой логики в соответствии с МЭК 61511.

Это третья редакция данного примера. Первая редакция была выпущена CCPS до издания МЭК 61508 и МЭК 61511. Вторая редакция была выпущена ISA (TR84.00.04, часть 2) и соответствовала первым изданиям МЭК 61508 (2000) и МЭК 61511 (2003). Третья редакция соответствует комплексам стандартов МЭК 61508 (2010) и МЭК 61511 (2016). Кроме того, данный пример был разбит на разделы, соответствующие стадиям жизненного цикла системы безопасности, представленным на рисунке 7 в МЭК 61511-1:2016.

Настоящее приложение предназначено продемонстрировать один из методов для соблюдения требований МЭК 61511. Пользователю следует обратить внимание на то, что комплекс стандартов МЭК 61511 обусловлен потребностями практической деятельности и что для достижения соответствия могут применяться многие методы. Некоторые из методов, используемых в данном примере, включают: причинно-следственный ("что если") и HAZOP методы для анализа опасностей и рисков, анализ уровней защиты (АУЗ) для распределения функций безопасности по слоям защиты, анализ дерева сбоев для верификации УПБ, а также многоступенчатую логику для документального оформления требований ППО. Чтобы выполнить требования стандартов на каждом шаге жизненного цикла системы безопасности могут применяться и другие методы и инструментальные средства.

В данном примере рассмотрен химический процесс, похожий на тот, что представлен в CCPS AIChE, Guidelines for Safe Automation of Process Applications, 1993.

В рассматриваемом примере выбирается подсистема ПСБ процесса и к ней применяются философия, процедуры, методы проектирования, а также методология верификации, рассматриваемые в МЭК 61511.

Данный пример демонстрирует документацию "от появления идеи (концепции) до устранения (списывания)" для каждой ФБ ПСБ. Знание истории этой документации обеспечивает аудиторов и персонал объекта средствами, позволяющими проследить весь путь ФБ ПСБ на всех стадиях жизненного цикла ПСБ, начиная от анализа опасностей процесса (АОП), создавшего ее. Каждая ФБ ПСБ четко идентифицирована в каждом документе для облегчения прослеживания между стадиями жизненного цикла. Очень важная часть системы безопасности - это способность демонстрировать другим (например, аудиторам, регулирующим органам, страховым компаниям), что каждая ФБ ПСБ обеспечивает адекватное снижение риска.

Данный пример не является полным проектом для процесса полимеризации, так как для получения автоматизированного проекта, обеспеченного системой безопасности с высоким уровнем полноты, требуется куда более подробное рассмотрение.

Все приведенные ссылки связаны с информацией в данном примере, если не указано обратное.

F.2 Описание проекта

F.2.1 Общие положения

Рассмотрим процесс полимеризации винилхлоридного мономера (ВХМ)

.

В процессе участвует опасный реагент ВХМ, являющийся воспламеняемым и обладающий токсичными продуктами горения, а также являющийся известным канцерогеном. Процесс также иллюстрирует дозировочную операцию большего масштаба, выполняемую полунепрерывным способом во время периода осуществления полимеризации, приблизительно равного десяти часам. Также представляется упрощенное описание шагов процесса.

F.2.2 Концептуальное планирование

При принятии бизнес-решения о производстве определенного продукта, в данном примере - поливинилхлорида, формируется начальная команда проекта. Данная команда начинает с оценивания возможных путей процесса для определения технологии, которая будет удовлетворять потребностям производства при выполнении обязанностей по обеспечению здоровья, безопасности, защищенности и защиты окружающей среды.

F.2.3 Анализ опасностей процесса

На самых ранних стадиях оценки процесса и определения проекта команда по анализу опасностей процесса начинает тесно взаимодействовать с проектировщиками. Для проектов, связанных с опасными материалами, команда будет включать не только инженеров по проектированию процесса, но также специалистов по здравоохранению и безопасности. Этой команде часто требуется общение с другими специалистами, такими как химики, обслуживающий персонал, консультанты или подрядчики по проектированию, у которых есть опыт работы с таким же или похожими процессами, а также с лицами, лицензирующими процесс. В данном примере с самого начала считаем, что имеем дело с хорошо отработанным процессом. Поэтому мы сосредоточимся на вопросах процесса проектирования, которые влияют или непосредственно связаны с проектированием систем управления процессом и защитных блокировочных систем. Более подробная информация о вопросах, связанных с этим процессом проектирования, может быть найдена в следующих документах из Центра безопасности химических процессов Американского института инженеров-химиков (Center for Chemical Process Safety, American Institute of Chemical Engineers):

- Guidelines for Hazard Evaluation Procedures;

- Guidelines for Chemical Process Quantitative Risk Analysis;

- Guidelines for Safe Storage and Handling of High Toxic Hazard Material;

- Guidelines for Vapor Release Mitigation;

- Guidelines for the Technical Management of Chemical Process Safety.

F.3 Упрощенное описание процесса

Производство ПВХ из мономера является относительно несложным. Основным элементом технологического процесса является корпус реактора, в котором происходит полимеризация, выполняющаяся примерно в течение десяти часов, при этом содержимое реактора механически перемешивается, а выделяемое в результате реакции тепло удаляется с помощью циркуляции охлаждающей воды, поступающей в кожух реактора. Так как процесс предполагает загрузку реактора очередной партией, технологические системы проектируются с большим количеством параллельно работающих модулей реактора так, чтобы технологический процесс мог выполняться полунепрерывно. Для простоты в данном примере рассмотрен один из модулей, учитывая, что реальный производственный объект, как правило, содержит несколько параллельных модулей, работающих последовательно.

На рисунке F.1 представлена упрощенная технологическая схема процесса для типичного предприятия, производящего ПВХ. Если корпус реактора был открыт для обслуживания после завершения обработки и выгрузки последней партии, то его прежде всего необходимо очистить, чтобы избавиться от любых остатков воздуха (кислорода) в паровом пространстве для минимизации окислительной реакции мономера, которая производит HCl и может привести к механической коррозии корпуса реактора и снижению качества итогового продукта. В противном случае первым шагом должна быть обработка корпуса реактора антифоулянтом, чтобы предотвратить полимеризацию на стенах реактора. За этим шагом следует загрузка корпуса деминерализованной водой и поверхностно-активными присадками.

Рисунок F.1 - Упрощенная технологическая схема процесса получения ПВХ

Далее осуществляется загрузка жидким мономером винилхлорида (ВХМ) под давлением его насыщенного пара (примерно 3,86 бар избыточного давления при 21 °С - 56 фунт/кв. дюйм избыточного давления при 70 °F).

Инициатором реакции является пероксид, растворяемый в растворителе. Так как он достаточно активен, то его хранят при низкой температуре в специальном бункере. Небольшие его количества отбираются для ежедневного использования в процессе и хранят в холодильнике. Он первый вводится в небольшой загрузочный бак, связанный с реактором, для обеспечения добавления только корректного количества.

После того как был введен инициатор реакции, в кожух реактора добавляется нагретая паром вода, чтобы поднять температуру примерно до 54,5-60 °С, или до 130-140 °F (в зависимости от стандартного рецепта загрузки для конкретной категории продукта), и далее реакция будет продолжаться со скоростью, удовлетворяющей требованиям. Для удержания ВХМ в воде во взвешенном состоянии (контроль размера частиц), улучшения распределения тепла в партии и получения однородного продукта необходимо перемешивание. Так как реакция является экзотермической, то для управления температурой реактора в кожухе корпуса циркулирует охлаждающая вода. Условия внутри реактора тщательно контролируются на протяжении примерно восьми часов, которые требуются для завершения полимеризации.

Реакция завершается, когда снижается давление в реакторе, подавая сигнал о том, что большая часть мономера вступила в реакцию. Полимер, вступивший в реакцию, выгружается из реактора, и выполняются процессы его дальнейшей обработки для последующего использования ВХМ, отпаривания, дренажа и сушки.

F.4 Техническое проектирование

Проверяются все конкретные локальные требования, идентифицируются применимые правила и нормы и утверждаются общие директивы по риску. Проверяются производственные требования (например, воздух, охлаждающая вода, электропитание) и подтверждается их адекватность для заданного применения.

F.5 Применение МЭК 61511

F.5.1 Общие положения

После завершения предварительного планирования (см. разделы F.2-F.4) начинается выполнение МЭК 61511.

Для настоящего примера стратегией проектирования является инициализация проекта жизненного цикла (см. рисунок F.2) и разбиение стадий жизненного цикла на десять шагов, согласующихся с рисунком F.2 и таблицей F.1 (обзор жизненного цикла системы безопасности). На данном этапе проекта может быть полезно использовать таблицу жизненного цикла для назначения ответственных лиц за каждую стадию жизненного цикла, как это показано в таблице F.1.

F.5.2 Шаг F.1. Оценка опасностей и рисков

См. стадию жизненного цикла ниже в таблице F.2.

Рисунок F.2 - Стадии жизненного цикла ПСБ и этапы ОФБ

Таблица F.1 - Обзор жизненного цикла ПСБ

Стадия или деятельность жизненного цикла системы безопасности		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход	Ответственный
Рисунок F.2, блок N	Заголовок
1	Анализ опасностей и рисков	Определить: опасности и опасные события процесса и связанного с ним оборудования, последовательность событий, ведущую к опасному событию, риски процесса, связанные с опасным событием, требования к снижению риска и функции безопасности, необходимые для достижения требующегося снижения риска	8	Технологический процесс, размещение оборудования, состав персонала, цели безопасности	Описание опасностей, требуемой(ых) функции(й) безопасности и соответствующего снижения риска	Группа анализа опасности процесса (РНА), см. F.2.2
2	Распределение функций безопасности по слоям защиты	Распределение функций безопасности по слоям защиты, а для каждой ФБ ПСБ назначить УПБ		Описание необходимой ФБ ПСБ и соответствующих требований к полноте безопасности	Описание распределения требований к безопасности (см. МЭК 61511:2016, раздел 9)	Группа анализа опасности процесса (РНА), см. F.2.2
3	СТБ ПСБ	Установить для каждой ПСБ требования к ФБ ПСБ и их полноте безопасности, необходимые для достижения требуемой функциональной безопасности	10	Описание распределения требований к безопасности (см. МЭК 61511:2016, раздел 9)	Требования к безопасности ПСБ; требования к безопасности ППО	Группа Е&I
4	Проектирование и разработка ПСБ	Спроектировать ПСБ, отвечающую требованиям к ФБ ПСБ и полноте безопасности	11 и 12.4	Требования к безопасности ПСБ; требования к безопасности ППО	Проект ПСБ, соответствующий требованиям к безопасности ПСБ; планирование испытания интеграции ПСБ	Группа Е&I
5	Установка, ввод в действие и подтверждение соответствия ПСБ	Интеграция и испытание ПСБ; подтвердить соответствие ПСБ всем требованиям к безопасности в части требуемых ФБ ПСБ и полноты безопасности	12.3, 14, 15	Проект ПСБ; план испытания интеграции ПСБ; требования к безопасности ПСБ; план подтверждения соответствия безопасности ПСБ	Полное функционирование ПСБ в соответствии с требованиям к безопасности ПСБ на основе результатов испытаний интеграции ПСБ; результаты деятельности по монтажу, приемке и подтверждению соответствия	Группа сборки
6	Эксплуатация и техническое обслуживание ПСБ	Обеспечить поддержание функциональной безопасности ПСБ в процессе эксплуатации и обслуживания	16	Требования к ПСБ; проект ПСБ; план эксплуатации и технического обслуживания ПСБ	Результаты деятельности по эксплуатации и техническому обслуживанию	Группа по эксплуатации
7	Модификация ПСБ	Провести изменения, улучшения и настройку ПСБ, обеспечивающие достижение и поддержание требуемого УПБ	17	Скорректированные требования к безопасности ПСБ	Результаты модификации ПСБ	Группа по эксплуатации
8	Снятие с эксплуатации	Обеспечить правильную проверку, организацию работ и сохранность ФБ ПСБ	18	Информация о фактическом состоянии требований безопасности и процесса	ФБ ПСБ, выведенная из использования	Группа по эксплуатации
9	Верификация ПСБ	Провести испытания и оценить результаты конкретной стадии, чтобы обеспечить правильность и соответствие изделий исходным для данной стадии регламентирующим документам	7, 12.5	План верификации ПСБ для каждой стадии	Результаты верификации ПСБ для каждой стадии	Группа по эксплуатации
10	ОФБ ПСБ	Обследовать ПСБ и дать заключение о достигнутой функциональной безопасности	5	Планирование ОФБ ПСБ; требование к безопасности ПСБ	Результаты ОФБ ПСБ	Группа по эксплуатации

Таблица F.2 - Жизненный цикл ПСБ. Блок 1

Обзор
Стадия жизненного цикла системы безопасности или деятельность		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
Рисунок 2, блок 1	Анализ опасностей и рисков	Определить: опасности и опасные события процесса и связанного с ним оборудования; последовательность событий, ведущую к опасному событию; риски процесса, связанные с опасным событием; требования к снижению риска и функции безопасности, необходимые для достижения требующегося снижения риска	8	Технологический процесс, размещение оборудования, состав персонала, цели безопасности	Описание опасностей, требуемой(ых) функции(й) безопасности и соответствующего снижения риска

F.5.3 Идентификация опасности

Процесс идентификации опасности начинается во время анализа бизнес-решений (см. раздел F.2). Он является одной из самых важных функций группы анализа опасности процесса и продолжается до тех пор, пока этот процесс не будет передан на производство, где выполняются анализ эксплуатационной безопасности и программы аудита.

F.5.4 Предварительное оценивание опасности

Первым шагом в любом планировании разработки технологического процесса являются идентификация общих параметров процесса производства, определение его безопасности и опасностей окружающей среды (или опасных событий) и выявление возможностей сделать процесс изначально более безопасным. Для этого требуется информация о физических или опасных свойствах всего исходного сырья, промежуточных веществ, продуктов реакций и отходов, участвующих в возможных альтернативных процессах. Для данного примера, в котором определенный полимер создается из своего мономера, выбор базового реагента невелик. Доступные альтернативные процессы различаются раствором-средой, суспензией и эмульсией полимеризации. Набор важных свойств ВХМ приведен в таблице F.3 (в "реальном" примере должна использоваться самая последняя версия списка данных безопасности материала ВХМ).

Как бы там ни было, условия реакции и инициатор (а также любые присадки) должны выбираться осторожно, чтобы они обеспечивали безопасное управление скоростью реакции, позволяющее предотвратить неуправляемые реакции, и в то же время позволяли получать адекватное качество и повышать производительность. Выбранная технология предполагает полимеризацию в воде, но при этом требует малых доз относительно опасного жидкого инициатора. Опасности, связанные с инициатором, также требуют особого внимания, но они не рассматриваются в данном упрощенном примере.

F.5.5 История происшествий

Далее выполняется идентификация опасностей. В данном примере основные опасности связаны с воспламеняемостью и токсичностью продуктов сгорания ВХМ. В реальном проекте предприятия также были бы важными факторами подверженность персонала опасностям и ограничения диапазона рабочих температур ВХМ во внешней среде. Для простоты эти факторы в данном примере не рассматриваются. На первом шаге полезно провести обзор истории прошлых происшествий, связанных с аналогичными технологическими процессами.

Таблица F.3 - Некоторые физические свойства винилхлорида

Формула: СН2 = CHCl Синонимы: винилхлоридный мономер (VCM); Monochloroethylene; Chlorethene; vinyl chloride (VCI). Поставляется в форме сжатого сжиженного газа; упругость паров по Рейду = 5,17 бар абсолютного давления (75 фунтов на кв. дюйм). Газ, бесцветный, запах сладковатый; молекулярный вес = 62,5; Sp. Grav. (vap) = 2,16. Точка кипения при нормальных условиях = -13,4 °С (7,1 F); удельная плотность (liqNBP) = 0,97; держится и закипает на поверхности воды. Критическая T = 431 K (317 °F); критическое Р = 55,4 бар абсолютного давления (775 фунтов на кв. дюйм); температура плавления = -154 °С (-245 °F). Скрытая теплота испарения = 372,16 кдж/кг/160 британских тепловых единиц/Ib; Теплота сгорания = 18924 кдж/кг/8136 британских тепловых единиц/Ib. Теплота полимеризации = 1695,6 кдж/кг/729 британских тепловых единиц/Ib; как правило, стабилен в обычных условиях; полимеризуется при наличии воздуха, солнечного света, влаги, теплоты или инициаторов свободно радикальной полимеризации, если не стабилизован ингибиторами

Опасности возгорания Пределы воспламеняемости на воздухе: 3,6-33 %. Точка возгорания: -61 °С (-108 °F) (открытый тигель); самовозгорание Т = 472 °С (882 °F). Разлив быстро испаряется, закипает и производит облако газа тяжелее, чем воздух, которое может воспламеняться от искры. В огне возникают ядовитые газы (HCl, СО и т.п.). Может взрываться, если возгорает в замкнутом пространстве. Наружное возгорание контейнера может привести к взрыву в результате расширения паров кипящей жидкости (BLEVE)

Опасности для здоровья Испарения, раздражающие глаза, нос и горло. При вдыхании вызывает головокружение, трудности дыхания и может привести к серьезным неблагоприятным последствиям и даже к смерти. Длительное или интенсивное воздействие может привести к негативным последствиям для легких, печени и почек. Признан канцерогеном для человека по решению Федерального агентства по охране труда и здоровья США (OSHA), Международного агентства онкологических исследований (IARC) и Национальным институтом США Национальной токсикологической программы (NTP). Предельная допустимая концентрация: 5 мг/м3. Допустимый уровень воздействия по решению OSHA: 1 мг/м3 (временное среднее значение), 5 мг/м3 (среднее значение предельного отклонения в течение любого периода времени, не превышающее 15 мин). Порог ощущения запаха: 260 мг/м3. Контакт с веществом в жидком состоянии может вызвать обморожение

Загрязнение воды Предел для технологической воды: 10 мг/м3. Предел для выпускаемой воды 1 мг/м3

Выбросы в атмосферу Предел для технологических выбросов в атмосферу: 10 мг/м3 (местный стандарт). Предел для среднегодовой концентрации вредных веществ на территории объекта: 0,2 мг/м3 ВХМ в воздухе

Реакция на выброс Выдать предупреждение "Высокая степень воспламеняемости, удалить источник возгорания"; обеспечить вентиляцию. Остановить поток. Покинуть опасную зону, разрешить ее посещение только со средствами индивидуальной защиты. К большим очагам пожара не приближаться; потушить малые очаги с помощью огнетушащего порошка или СO2. Остудить водой контейнер, подвергшийся возгоранию. Запретить сброс в канализационные системы, чтобы избежать взрывов

Можно найти ссылку на описание происшествия на объекте по производству ПВХ, в котором погибли четыре человека и десять получили ранения. Это происшествие было вызвано выгрузкой партии из неверного корпуса реактора, что привело к выбросу мономера в помещение, где находились параллельно работающие реакторы. По-видимому, испарения ВХМ воспламенились из-за искры от электрического машинного оборудования или из-за статического электричества, и в помещении здания произошел взрыв реакторов.

В следующем происшествии рабочий ошибочно открыл крышку люка действующего реактора, произошел выброс большого количества винилхлорида, который воспламенился и привел к возникновению пожара и гибели лица, занимавшегося обслуживанием, а также двух неквалифицированных рабочих.

В другом происшествии осуществлялась загрузка реактора 946 л (250 галлонами) ВХМ при открытом донном клапане реактора. Хотя в результате этого выброса возникла серьезная опасность, но воспламенения не произошло и пострадавших не было. Отмечаются другие происшествия, например взрыв во время работ по техническому обслуживанию насоса винилхлорида (в связи с загрязнением полимерным пероксидом, которое возникло в результате трех одновременно произошедших непредусмотренных ситуаций). Также был случай выброса ВХМ из газоочистителя на предприятии по производству ВХМ в связи с проблемами технического обслуживания, вызванными забитым клапаном во время периодической перезагрузки. Воспламенение ВХМ привело к одной смерти и нескольким раненым.

Также отмечались случаи выбросов ВХМ и пожаров, связанные с перевозкой. Сход с рельсов 16 вагонов около Хьюстона в США привел к утечке ВХМ из цистерны объемом 182 000 л (48 000 галлонов) и мгновенному воспламенению. По истечении 45 минут горения взорвался вагон с ВХМ, убив пожарника и ранив 37 человек большим огненным шаром. После взрыва большие фрагменты цистерны были обнаружены в 120 м (400 футах) от места происшествия.

Кроме этого, для каждого известного серьезного происшествия, как правило, существуют сообщения о бесчисленных небольших происшествиях. Следует уделять внимание возможным незначительным выбросам, так как вместе они могут приводить к серьезным происшествиям. В особенности это касается легко воспламеняющегося находящегося под давлением материала, воспламенение небольших выбросов которого может приводить к серьезным отказам, если это приведет к нагреву других устройств системы. Поэтому полнота безопасности системы ВХМ должна иметь высокий уровень.

F.6 Предварительные решения по безопасности проектируемого промышленного процесса

Для данного примера желаемый темп производства ПВХ - 90 млн кг (200 млн фунтов) в год, или приблизительно 10 400 кг/ч (23 000 фунтов). Основываясь на известной кинетике реакции при температуре реакции в 60 °С (140 °F), соответствующее время цикла равно 8 ч. При определении емкости реактора в обосновании, как правило, уделяют определенное внимание тому факту, что величина опасности при катастрофическом отказе резервуара связана с количеством опасного материала. В одном из двух предельных случаев можно использовать один реактор для производства партии 81,6 т (180 000 фунтов) ПВХ в 40 % суспензионной смеси, для чего потребуется реактор, вмещающий 189 000 л (50 000 галлонов). Это будет неразумно, так как резервирование невозможно и имеется большой объем воспламеняемого материала под высоким давлением. Кроме того, так как емкость не распределена, то производимые партии будут большими и редкими и им потребуется сопутствующее оборудование, размер которого предназначен для больших объемов материала. Более того, такому реактору потребуется решение по добавлению большого количества опасного раствора инициатора, а работа с достаточно большим объемом такого материала вновь поднимает вопрос об обеспечении безопасности.

В другом предельном случае можно использовать большое количество, например десять, небольших реакторов, каждый из которых спроектирован с расчетом на производство партии в 8,16 т (18 000 фунтов) [примерно 18 900 л (5000 галлонов)]. В первом предельном случае используется большой объем материалов, во втором случае партии небольшие, команды переключения будут выполняться более часто, но имеется куда больше соединительных проводов, клапанов и сложностей в управлении. Компромиссные решения будут зависеть от производственных потребностей, готовности оборудования, стоимости, а также от обеспечения безопасности.

Выполнение таких исследований ведет к выбору числа параллельно работающих реакторов и размера реакторного модуля. В настоящее время это позволяет обеспечить возможности для любого будущего расширения емкости. В рассматриваемом примере решено установить три параллельных реактора, каждый из которых обладает емкостью 64 400 л (17 000 галлонов). Объем раствора инициатора, равный 20 л (5 галлонам), при расчете на партию является количеством, которое обеспечивает безопасное управление. Максимальный объем материала ВХМ в реакторе примерно равен 27,2 т (60 000 галлонов).

Температура реакции выбирается с расчетом достижения желаемого молекулярного веса, который зависит от конечного использования. Чтобы предотвратить выход реакции из-под контроля и обеспечить стабильное функционирование реактора, применяется надлежащее управление температурой охлаждающей воды. Стабильное управление температурой реакции полимеризации требует небольшого температурного различия между охлаждающей водой и температурой реакции. В данном примере температура нагретой охлаждающей воды является достаточно высокой, чтобы обеспечить небольшую разницу температур по сравнению с температурой реакции 60 °С (140 °F). Нагретая охлаждающая вода поступает из хорошо известного источника высокой надежности, в достаточном количестве и под предусмотренным давлением.

Для рассматриваемого примера было принято, что предохранительные и выпускные клапаны связаны с газоочистителем, чтобы выбросы не несли экологические последствия.

F.7 Выявленные опасности для промышленного процесса

Основными кратковременными опасностями, связанными с выбросом ВХМ, являются пожары и взрывы, сопровождаемые возникновением токсичных продуктов горения. Такие типы опасностей включают в себя:

a) факельное горение: утечка из системы, находящейся под давлением, воспламеняется и формирует горящую струю, которая может затронуть и повредить другое оборудование. [Грубо говоря, длина струи приблизительно в 150 раз больше диаметра выходного отверстия - струя из отверстия 50 мм (2 дюйма) может достигать примерно 9 м (30 футов) в длину];

b) вспышка газовоздушной смеси: выбрасываемая под давлением жидкость вспыхивает, создавая воспламеняемый газ, переходящий в источник возгорания. При возгорании пламя возвращается, перемещаясь по облаку воспламеняемого газа (струя дыма в таком случае может быть существенно больше, чем струя пламени);

c) пожар разлития: остаточная жидкость из-под гидроизоляции стыков создает лужу, которая может загореться, а высота пламени может быть в три раза больше ширины лужи;

d) BLEVEs (взрыв в результате расширения паров кипящей жидкости): внешнее возгорание может привести к отказу бака с наддувом, заполненного ВХМ, или связанного с ним трубопровода, вызванному слабостью металла. Подобный отказ может привести к катастрофическому отказу бака, возникновению огненного шара и возможному разбросу осколков. Защита от избыточного давления с помощью предохранительного клапана не предотвращает BLEVE;

e) взрывы: утечка воспламеняющегося газа в замкнутое пространство с последующим возгоранием может привести к взрывам или детонациям со значительным избыточным давлением;

f) отказ гидросистемы: переполнение бака с последующим расширением жидкости в результате ее нагревания может привести к разрушению любого парового пространства и быстрому росту давления. Может произойти неожиданный отказ бака;

g) разрушение от коррозии под напряжением: воздух (кислород) в системе может повысить присутствие ионов хлорида и может привести к потере целостности металла;

h) токсичные продукты сгорания: продукты сгорания ВХМ включают фосген, хлорид водорода и монооксид углерода, а также другие токсины (эти продукты сгорания присутствуют после пожара, в особенности, если пожар произошел в замкнутом пространстве);

i) выход из-под контроля реакции полимеризации: полимеризация ВХМ может привести к разрушению реактора с выбросом ВХМ и нанесению значительного ущерба.

Кроме того, ВХМ, будучи известным канцерогеном для человека, представляет опасность при его длительном воздействии, поэтому воздействие его паров на персонал контролируется регулирующим органом, OSHA PEL (временное среднее значение предельного воздействия на персонал) которого равно 1 мг/м³ в воздухе в течение 8 ч (предельное значение 5 мг/м³ в течение 15 мин). Далее федеральные и местные регулирующие органы утверждают предел уровней выброса из технологической вентиляции и устанавливают системы очистки воды предприятия. На количество остаточного ВХМ в ПВХ также устанавливаются строгие ограничения.

Существуют несколько менее кратковременные опасности, связанные с вдыханием паров ВХМ и возможным отключением охлаждения воспламеняющейся жидкости. Персоналу требуется защита как от вдыхания этих паров, так и от возможного обморожения.

На данном этапе оценки определения масштабов опасных зон предназначены для определения размера возможных крупных происшествий. Выброс 27,2 т (60 000 фунтов) ВХМ может привести к пожароопасному облаку пара, объем которого примерно равен 120 м³ (400 куб. футов). Так как ВХМ является тяжелым газом и может содержать аэрозоли, полученные в результате воспламенения, то крупное паровое облако наиболее вероятно примет дискообразную форму, но по-прежнему может обладать воспламеняемым следом 300-450 м (1000-1500 футов) в диаметре. Это указывает на то, что максимально опасное происшествие, связанное с одним реактором, может сказаться не только на объекте, но и заполнить воспламеняемым газом достаточно большое замкнутое пространство. Используя критерии оценки, рассмотренные в таблице F.8, такие последствия должны считаться, как минимум, "тяжелыми" и, скорее, "обширными" в зависимости от конкретных рассматриваемых данных. В консервативных целях группа анализа опасности процесса рассматривает эти последствия как входящие в категорию "обширные".

Примечание - Хранение ВХМ в резервуарах на объекте не рассматривается в данном упрощенном примере.

F.8 Стратегия проекта технологического процесса

Подробная проработка проекта требует определения базовых технологических процедур и стратегий технического обслуживания производства. На рисунке F.3 представлена предварительная схема Т и КИП, предназначенная помочь этому процессу. Пошаговые действия этого процесса предоставлены ниже:

a) предварительное откачивание воздуха. Если реакторы были открыты для технического обслуживания, то следует удалить кислород из системы в целях обеспечения качества и целостности металла;

b) подготовка реактора. Пустой реактор промывается водой под высоким давлением, проводится проверка на возможность утечки через люк и обработка антифоулянтами;

c) заправка деминерализованной водой. Добавляется контролируемая порция воды. Добавление большего количества может повлечь за собой гидравлическое переполнение; а меньшего - может негативно сказаться на качестве и привести к потенциальной потере контроля над реакцией. На этом шаге также вносятся все поверхностно-активные средства или другие добавки;

d) заправка ВХМ. В реактор добавляется точная порция ВХМ;

е) нагрев реактора. Из загрузочного бака в партию добавляется инициатор, а в охлаждающую воду, циркулирующую в кожухе реактора, добавляется пар до тех пор, пока партия не достигнет температуры, при которой продолжается реакция [примерно на 5,5 °С (10 °F) ниже температуры реакции в стационарном режиме];

f) реакция. Паровая система отключается, и охлаждающая вода циркулирует в кожухе реактора для управления температурой, отводя тепло полимеризации, пока протекает реакция;

g) завершение. Если давление в реакторе начинает падать, так как большая часть ВХМ была разрушена полимеризацией, то партия будет выгружена;

h) разгрузка реактора. Содержимое реактора выгружается под давлением в расположенную далее по технологической цепочке емкость для временного содержания, где осуществляется удаление газа из системы для последующего отпаривания и сушки. Для предотвращения оседания в реакторе смолистых веществ во время процедуры выгрузки работает аппарат для перемешивания. ВХМ, не вступивший в реакцию, извлекается для повторного использования.

В случае аварийной ситуации используются две дополнительные технологические системы. В случае потери контроля над реакцией или наличия возможности возникновения такой ситуации полимеризация может быть быстро остановлена добавлением в партию химического реагента, тормозящего реакцию (агента, останавливающего реакцию). Тем не менее для надлежащего распределения такого реагента, чтобы позволить ему быстро остановить полимеризацию, необходимо перемешивание партии. Если происходит отказ аппарата для перемешивания, то в течение одной или двух минут должен быть добавлен реагент, тормозящий реакцию, чтобы обеспечить его смешивание перед тем, как пропадет водоворот жидкости в реакторе. В качестве запасного варианта содержимое реактора может быть перемешано с помощью "барботажа" реактора - сбросом давления, приводящим к появлению поднимающихся пузырьков внутри находящейся в резервуаре жидкости. Оба этих события запускаются оператором.

Вторая технологическая схема предотвращения аварийной ситуации реализуется автоматической системой сброса давления. В случае потери контроля над реакцией ее можно безопасным образом ограничить сбросом давления в реакторе с помощью системы вентиляции. Отвод тепла при парообразовании кипящей массы реакции позволяет безопасным образом отводить тепло из реактора. Производительность аварийной вентиляционной системы определяется пиковой потребностью в вентиляции системы реактора.

Рисунок F.3 - Пример предварительной схемы Т и КИП для модуля реактора ПВХ

Наименования трубопровода показаны для простоты как объединенные. См. рисунок F.11 для уточнения наименований.

F.9 Предварительная оценка опасностей

F.9.1 Общие положения

После того как проект был разработан довольно подробно, группа анализа опасности процесса подвергает проект предварительной оценке опасностей. Эта оценка считается предварительной, так как проект еще не завершен. Группа анализа опасности процесса для более простых частей технологического процесса выполняет анализ методом возможных ситуаций/таблиц контрольных проверок (см. таблицу F.4), а для более сложных - выполняет HAZOP (см. таблицу F.5).

По результатам идентификации опасностей и из истории прошлых происшествий можно сделать вывод, что в реакторе, реализующем технологический процесс в данном примере, возможны события различной степени тяжести от "незначительного" до "существенного" в соответствии с таблицей F.8.

Кроме того, для обеспечения целостности конструкции необходимо рассмотреть соответствие строгим требованиям ликвидации аварии, чтобы предотвратить распространение выбросов ВХМ, которые могут представлять опасность для здоровья и безопасности рабочих. Результаты анализа этой опасности должны быть надлежащим образом документально оформлены, в особенности учитывая последовательность событий, которые могут привести к неуправляемым выбросам.

В таблицах F.4 и F.5 показаны только частичные списки опасностей, относящихся к рассматриваемому примеру. Типичный проект будет обладать куда более обширным списком элементов "что если" и HAZOP.

На основе этих результатов соответствующая группа экспертов анализа опасности по технологическому процессу и его автоматизации создает список случайных событий, в которых ФБ ПСБ была предложена в качестве меры снижения опасности.

В таблице F.6 приведен неполный список случайных событий и стратегий их предотвращения, на основе которых предлагаются стратегии блокировок и действия, предназначенные помочь в дальнейшем определении или в создании дополнительных независимых слоев защиты. Таблица F.6 подготовлена и одобрена командой анализа опасностей технологического процесса (см. раздел F.2).

После того как опасности были идентифицированы, группа анализа опасности процесса формирует следующие рекомендации:

a) реализовать следующую превентивную стратегию ПСБ для случаев потери контроля над реакцией:

- если в реакторе поднимается температура или давление, то у оператора достаточно времени, чтобы удаленно добавить реагент, тормозящий реакцию.

Примечание - Так как аппарат перемешивания не работает, то после добавления тормозящего реагента, чтобы смешать его с реагирующей массой, требуется выполнить барботаж реактора (см. строки 2 и 3 в таблице F.6);

- если это не поможет установить контроль над реакцией, то при очень высокой температуре или давлении ФБ ПСБ для сброса давления откроет аварийные выпускные клапаны, что позволит безопасным образом вернуть контроль над реакцией;

b) в случае потери контроля, которая происходит из-за неисправности аппарата перемешивания (см. строки 2 и 3 таблицы F.6), в дополнение к рекомендациям, приведенным в перечислении а), требуется дополнительная защита:

- на прекращение перемешивания (низкий ток в цепи) оператору будет указывать аварийный сигнал, и после добавления тормозящего реагента требуется выполнить барботаж реактора, чтобы смешать тормозящий реагент с реакционной массой,

- согласно рекомендации в перечислении а) функция открытия аварийных выпускных клапанов ФБ ПСБ будет запасным вариантом для управления потерей контроля над реакцией;

c) нарушения, такие как низкий расход или отсутствие охлаждающей воды, контролируются защитой, описанной в перечислении а). Если низкий расход охлаждающей воды был вызван прекращением подачи питания на насосы, то оператор получает аварийный сигнал о низком расходе, призывающий его включить паротурбинный привод насоса подачи воды;

d) перегрузка реактора водой или ВХМ может привести к переполнению и возможному гидравлическому повреждению реактора из-за большого давления. Подобного повреждения можно избежать, предотвращая перегрев партии, если весовые камеры или уровень заполнения реактора превышают "высший" предел, установленный для этого шага добавления партии в ОСУП. Запасным вариантом при очень высоком давлении в реакторе является ФБ ПСБ, которая для сброса давления открывает аварийные выпускные клапаны;

e) отказ предохранителя от утечки аппарата перемешивания реактора приводит к опасному выбросу ВХМ. Чтобы защитить реактор от подобной опасности рекомендуется при высоком давлении в предохранителе от утечки аппарата перемешивания активировать ФБ ПСБ аварийного сброса давления;

f) так как система реагента, тормозящего реакцию, является очень важной в управлении реакцией, выходящей из-под контроля, то команда рекомендует также использование блокировок в ОСУП, гарантирующих необходимое наличие тормозящего реагента. Блокировки ОСУП не позволяют загрузку ВХМ в реактор в случае, если уровень жидкости в баке с тормозящим реагентом низкий или если давление азотной подушки на бак является низким.

F.9.2 Шаг F.2. Распределение функций безопасности

В таблице F.7 представлены ключевые элементы при распределении функций безопасности.

Таблица F.4 - Метод "что если"/список контрольных проверок (подготовлена и одобрена командой анализа опасностей промышленного процесса, см. F.2)

Что если...	Опасность	Последствие	Мера обеспечения безопасности	Исходный N	Рекомендация	Выполнил
Происходит отказ подачи электропитания на всей территории (питание контрольно-измерительного оборудования от ИБП сохраняется)	Потеря контроля над реакцией из-за потери возможности перемешивания. На нее указывает отключение двигателя аппарата перемешивания, низкий расход охладителя, высокое давление в реакторе и высокая температура в реакторе	Потеря контроля над реакцией приводит к повышению давления и разгерметизации	Добавление реагента, тормозящего реакцию, и выполнение барботирования реактора, чтобы вернуть контроль над реакцией. Снижение давления в реакторе - ПСБ (с помощью предохранительного клапана давления, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
Ошибка стандартного рецепта загрузки - используются две дозы инициатора	Высокая концентрация инициатора приводит к потере контроля над реакцией. На это указывают высокая температура реактора и высокое давление	Потеря контроля над реакцией приводит к перегрузке давлением и разгерметизации	Добавление реагента, тормозящего реакцию. Разгерметизировать реактор - ПСБ (с помощью предохранительного клапана давления, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
Происходит нарушение предохранителя от утечки в аппарате перемешивания реактора	Выброс ядовитых газов ВХМ. На это указывают высокое давление на предохранителе от утечки реактора и детектор дыма на территории	Ядовитые газы ВХМ воспламеняемы	Дополнительная вентиляция в области предохранителя от утечки реактора. Снижение давления в реакторе в случае высокого давления на предохранителе от утечки - ПСБ		Определить требующийся УПБ с помощью АУЗ
Примечание - Это только частичный список опасностей.

Таблица F.5 - HAZOP (подготовлена и одобрена командой анализа опасностей промышленного процесса, см. раздел F.2)

Справочное слово (GW)	Отклонение	Причина	Последствие	Мера безопасности	Исходный N	Рекомендация	Выполнил
Нет	Отсутствие потока	Отказ системы управления охлаждающей водой	В итоге происходит потеря контроля над реакцией из-за высокой температуры в реакторе и/или высокого давления	Добавление реагента, тормозящего реакцию. Разгерметизировать реактор - ПСБ (с помощью предохранительного клапана давления, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
		Насос останавливается в связи с отказом подачи питания на насос	В итоге происходит потеря контроля над реакцией из-за высокой температуры в реакторе и/или высокого давления	Помимо электропитания у насоса имеется паровой привод. Добавить реагент, тормозящий реакцию. Разгерметизировать реактор - ПСБ (с помощью предохранительного клапана давления, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
Нет	Отсутствие перемешивания	Отказ привода двигателя аппарата перемешивания	Пониженная температура охлаждения, неоднородность приводят к потере контроля над реакцией. На это указывают высокая температура в реакторе, высокое давление и низкая сила тока в двигателе аппарата перемешивания	Добавление реагента, тормозящего реакцию, и выполнение барботирования реактора, чтобы вернуть контроль над реакцией. Разгерметизировать реактор - ПСБ (с помощью предохранительного клапана, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
Больше	Более высокая температура	Отказ управления температурой приводит к перегреву во время парового обогревания	Высокая температура ведет к потере контроля над реакцией. На это указывают высокое давление и температура в реакторе	Добавление реагента, тормозящего реакцию. Разгерметизировать реактор - ПСБ (с помощью предохранительного клапана давления, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
Больше	Более высокий уровень	Отказ управления уровнем приводит к переполнению реактора	С ростом температуры реактор заполняется жидкостью, возможно гидравлическое повреждение реактора и выброс ВХМ. На это указывают высокий уровень загрузки, большой вес загрузки или высокое давление в реакторе	Сравнить высокий уровень и вес с рецептом. Разгерметизировать реактор - ПСБ (с помощью предохранительного клапана давления, размер которого соответствует событию)		Определить требующийся УПБ с помощью АУЗ
Примечание - Это только частичный список опасностей.

Таблица F.6 - Частичная сводка оценки опасностей для разработки стратегии ФБ ПСБ

N	Инициирующее событие	Нарушение процесса	Затронутая переменная процесса	Превентивная стратегия
1	Отказ средств управления охлаждающей водой	Потеря охлаждения приводит к потере контроля над реакцией	Низкий расход охлаждающей воды. Высокая температура реактора. Высокое давление в реакторе	Добавление реагента, тормозящего реакцию. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
2	Отказ привода двигателя аппарата перемешивания	Снижение эффективности охлаждения, неравномерность температуры ведет к потере контроля над реакцией	Низкая сила тока в двигателе аппарата перемешивания. Высокая температура реактора. Высокое давление в реакторе	Добавление реагента, тормозящего реакцию, и выполнение барботирования реактора, чтобы вернуть контроль над реакцией. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
3	Отказ подачи электропитания на всей территории (но питание контрольно-измерительного оборудования от ИБП сохраняется)	Потеря контроля над реакцией из-за потери возможности перемешивания	Двигатель аппарата перемешивания отключен. Низкий расход охлаждающей жидкости. Высокое давление в реакторе. Высокая температура реактора	Добавление реагента, тормозящего реакцию, и выполнение барботирования реактора, чтобы вернуть контроль над реакцией. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
4	Остановка насоса охлаждающей воды, отказ подачи питания на насос	Прекращение охлаждения приводит к потере контроля над реакцией	Низкий расход охлаждающей воды. Высокая температура реактора. Высокое давление в реакторе	Паровые приводы на насосах. Добавление реагента, тормозящего реакцию. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
5	Ошибка стандартного рецепта загрузки - используются две загрузки инициатора	Высокая концентрация инициатора приводит к потере контроля над реакцией	Высокое давление в реакторе. Высокая температура реактора	Добавление реагента, тормозящего реакцию. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
6	Отказ системы управления приводит к переполнению реактора	С ростом температуры реактор заполняется жидкостью, возможно гидравлическое повреждение реактора и выброс ВХМ	Высокий уровень загрузки. Большой вес загрузки. Высокое давление в реакторе	Сравнить уровень и вес с рецептом. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
7	Отказ управления температурой приводит к перегреву во время парового обогревания	Высокая температура ведет к потере контроля над реакцией	Высокое давление в реакторе. Высокая температура реактора	Добавление реагента, тормозящего реакцию. Разгерметизация реактора (ПСБ). Предохранительные клапаны давления (независимый слой защиты)
8	Отказ предохранителя от утечки аппарата перемешивания реактора	Отказ предохранителя утечки ведет к опасному выбросу ядовитых газов ВХМ	Высокое давление в предохранителе от утечки реактора. Обнаружение ядовитых газов на территории, где происходит реакция	Дополнительная вентиляция в области предохранителя от утечки реактора. Разгерметизация реактора в случае высокого давления на предохранителе от утечки (ПСБ)

Таблица F.7 - Жизненный цикл ПСБ. Блок 2

Обзор
Стадия или деятельность жизненного цикла системы безопасности		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок 7, блок 2	Распределение функций безопасности по слоям защиты	Распределение функций безопасности по слоям защиты и для каждой ФБ ПСБ, связанного с ней УПБ	9	Описание требующейся ФБ ПСБ и связанные с ней требования к полноте безопасности	Описание распределения требований к безопасности (см. раздел 9 МЭК 61511-1:2016)

F.10 Определение уровня полноты безопасности ФБ ПСБ

С помощью предложенного списка ФБ ПСБ на собрании группы анализа опасности процесса определяется требующийся УПБ для каждой ФБ ПСБ. Будет использован метод анализа уровней защиты (АУЗ). Описание метода АУЗ см. в МЭК 61511-3:2016, приложение F. Дополнительное руководство представлено в AIChE, CCPS, Layer of Protection Analysis, Simplified Process Risk Assessment, 2001.

F.11 АУЗ для рассматриваемого примера

В данном разделе объясняется переход от данных, представленных в частичной сводке информации по оценке опасностей (см. таблицу F.6), к результатам АУЗ (см. таблицу F.9).

Ниже представлено описание сценария АУЗ.

Событие 1. Отказ управления подачей охлаждающей воды.

Этот сбой оборудования инициирует потерю контроля над реакцией, которая может привести к катастрофическому разрыву реактора. Влияние такого события оценивается как "существенное", что согласно примечанию 1 к таблице F.8 приводит к допустимой интенсивности, равной 10^-5/год для одиночного сценария. Несколько отказов в системе управления могут привести к такому сбою оборудования, а опыт работы указывает на то, что подобный тип сбоя случается примерно один раз в 10 лет. Согласно таблице F.6 методом защиты служит добавление тормозящего реагента, но потеря контроля над реакцией может происходить слишком быстро и оператор может не успеть среагировать на аварийный сигнал. Этот слой защиты не рассматривается для снижения риска. На производственной площади, как правило, присутствуют люди, поэтому предполагаются негативные последствия для персонала, связанные с данным событием. Эффективность предохранительных клапанов давления (ПКД) оценивается только на 90 %, так как забивание клапанов является распространенной проблемой при таком событии. Так как ПКД находятся на одном трубопроводе выгрузки, то их консервативно рассматривают как отдельный независимый слой защиты (НСЗ). Это приводит к значению вероятности возникновения промежуточного события, равному 10^-2 в год. Согласно консервативным предположениям, используемым в данном примере, только ПКД квалифицируются как независимый слой защиты. Группа анализа опасности процесса выполняет анализ всех рисков для обеспечения безопасности технологического процесса и принимает решение, что ФБ ПСБ является надлежащим решением. Как показано в таблице F.9, для этого требуется ФБ ПСБ с УПБ 3.

Примечание - ПКД подбираются в соответствии с документацией на корпус реактора, но как продемонстрировано с помощью АУЗ (используя критерии корпоративного риска в таблице F.8), они не оказываются достаточной защитой, обеспечивающей целевое снижение риска в рассматриваемом сценарии. Это замечание типично для всех сценариев АУЗ в данном примере.

Событие 2. Отказ привода двигателя аппарата перемешивания.

Это нарушение инициирует выход реакции из-под контроля, который похож на Событие 1, с тем исключением, что так как перемешивание прекратилось, то требуется дополнительный шаг - барботаж реактора (см. F.8), чтобы установить контроль над реакцией посредством добавления тормозящего реагента. И снова эта потеря контроля может случиться так быстро, что оператор может не успеть среагировать, поэтому никакого снижения риска от реакции оператора на аварийный сигнал не происходит. Несколько отказов в системе управления или в самом аппарате перемешивания могут привести к такому сбою оборудования, а опыт работы указывает на то, что подобный тип сбоя случается примерно один раз в 10 лет. ФБ ПСБ S-1 является единственной эффективной ФБ ПСБ для данного события, и ей требуется УПБ 3.

Событие 3. Прекращение обычного электропитания на всей территории.

Несмотря на то что это нарушение обладает очевидными отличиями от События 2, выбор УПБ для ФБ ПСБ приводит к похожему результату, как и в случае События 2.

Событие 4. Прекращение подачи питания на насос с охлаждающей водой.

Сбой оборудования в Событии 4 похож на сбой оборудования в Событии 1. Вмешательство оператора может остановить выход реакции из-под контроля посредством запуска водяных насосов с паротурбинным приводом или добавления тормозящего реагента. И хотя это действие оператора полагается достаточно эффективным, никакое снижение риска, связанного с готовностью оператора, не учитывается. Анализ, представленный в таблице F.9, привел к выбору УПБ 3 для ФБ ПСБ S-1.

Событие 5. Двойная загрузка инициатора.

Это нарушение ведет к очень энергичному выходу реакции из-под контроля с высокой интенсивностью выделения тепла и стремительным ростом давления, несмотря на то что осуществляется подача охлаждающей воды. Рост давления должен быть достаточно быстрым для того, чтобы температура послужила действенной мерой для срабатывания ФБ ПСБ. Как ПКД, так и сбрасывающая давление ФБ ПСБ спроектированы для безопасного управления этим выходом операции из-под контроля. Из-за предусмотренных в проекте и процедурных мер обеспечения безопасности для реализации этого нарушения требуется очень маловероятная комбинация отказов. Поэтому средняя вероятность возникновения инициирующего события была выбрана равной 10^-1. Средняя вероятность, один не связанный с ПСБ НСЗ и "существенная" степень тяжести приводят к выбору УПБ 3 для ФБ ПСБ S-2.

Событие 6. Переполнение реактора, вызванное отказом системы управления.

Влияние этого нарушения заключается в гидравлическом воздействии большого давления на реактор, которое может привести к повреждению фланцевой прокладки или другому подобному выбросу. При большом количестве партий в год и их различающихся рецептах вероятность этого события определяется в среднем один раз в 10 лет. Команда приняла решение, что эффективность уровня ОСУП и аварийных сигналов датчиков массы с учетом вовлечения оператора составляет 90 % (10^-1), так как системы аварийной сигнализации располагаются на отдельном контроллере ОСУП. ПКД и ПСБ сброса давления эффективно устраняют это нарушение. "Серьезная" степень тяжести с умеренной вероятностью возникновения инициирующего события и двумя не связанными с ПСБ НСЗ указывали на то, что для ФБ ПСБ сброса давления подходит УПБ 1. Несмотря на то что для ФБ ПСБ определен УПБ 1, ФБ ПСБ S-2 следует проектировать с УПБ 3, как это требуется для События 5.

Событие 7. Отказ управления температурой во время этапа нагревания. Перегрев партии.

Это событие приводит к потере контроля над реакцией, подобно Событию 1. Последствия данного события и мероприятия по защите подобны рассмотренным для События 1 за исключением того, что датчик температуры не очень разумно использовать в мероприятиях по снижению риска данного события. Во время нагревания у оператора есть время добавить тормозящий реагент, чтобы предотвратить выход реакции из-под контроля. Однако, так как температурный датчик используется в системе управления, он может оказаться частью инициирующей причины данного события. Поэтому реакция оператора на аварийный сигнал о высокой температуре не будет являться НСЗ для данного события. ФБ ПСБ S-1 следует проектировать с УПБ 3, что уже требовалось для События 1.

Событие 8. Отказ предохранителя от утечки аппарата перемешивания.

Специальный предохранитель от утечки, используемый для данного реактора, ограничивает выбросы ВХМ до незначительных величин, если предохранитель отказывает. Существующей местной вентиляции будет достаточно, чтобы минимизировать пожаровзрывоопасность. Группа анализа опасности процесса решает, что степень тяжести "серьезная", и считает, что местная вентиляция эффективна на 90 % (10^-1). НСЗ отсутствует, степень тяжести "серьезная" и вероятность события высокая, поэтому согласно таблице F.9 подходящим считается УПБ 2.

F.12 Критерии допустимого риска

Критерии допустимого риска, использованные в данном примере, представлены в таблице F.8.

Эти критерии зависят от компании. Каждой компании при определении необходимых функций безопасности потребуется применять свои критерии риска и, если это потребуется, согласовывать их с местными органами власти.

Для простоты в данном примере допускается, что реактор постоянно находится в работе (100 % времени). В нем также не учитывается тот факт, что опасности существуют для каждого из трех реакторов.

После завершения АУЗ значения снижений правдоподобной вероятности событий для сценариев с 1 по 5 и 7 были просуммированы. Общая частота 6Е-5 удовлетворяет корпоративному критерию допустимой частоты для событий "существенной" степени тяжести, равной 10^-4, как показано в таблице F.8. Общее значение снижений частоты событий для сценариев 6 и 8 составляло 1.01Е-4, что соответствует корпоративному критерию допустимой частоты для событий "серьезной" степени тяжести, равной 10^-3.

Таблица F.8 - Классификация допустимого риска

Степень тяжести	Определение	Допустимая частота (событий/ год) (см. примечание 1)
Существенная	Один или несколько смертельных исходов или же необратимые последствия для здоровья	10-4
Серьезная	Несколько случаев необратимых телесных повреждений; 1 или 2 случая ограничения трудоспособности, или случай временной потери трудоспособности, или последствия средней тяжести для здоровья человека	10-3
Незначительная	Незначительный ущерб для здоровья или обратимые последствия для здоровья	10-2
Примечания 1 Представленные допустимые частоты предназначены для общего риска от всех опасностей. Допустимая частота для каждого сценария АУЗ устанавливается на один порядок ниже, чтобы учесть множественные опасности (т.е. каждому сценарию с "существенной" степенью тяжести назначается допустимая частота в 10-5). Этот подход допустим для данного примера, так как рабочая зона, как правило, не занята людьми, а единственным человеком, подверженным опасностям, связанным с работой, является оператор, занимающийся плановым осмотром (осмотр выполняется одним человеком). 2 Данные таблицы F.8 должны быть определены в стандарте компании. 3 Компания в данном примере является корпорацией, работающей как в Великобритании, так и в США. Для проектов, реализованных в Великобритании, применяются дополнительные критерии риска. По мнению Управления по охране труда Великобритании риск, от опасного события должен быть снижен до такой степени, до которой стоимость любых дальнейших снижений риска несоразмерна получаемой выгоде. Ссылки: Reducing Risk Protecting People, HSE, ISBN No. 07176-2151-0, опубликовано в 2001; www.hsebooks.co.uk; МЭК 61511-3.

Таблица F.9 - Пример реактора ВХМ. Уровень полноты, основанный на АУЗ (подготовлено и одобрено группой анализа опасностей технологического процесса, см. раздел F.2)

N

Негативное событие

Степень тяжести/ допустимая частота

Инициирующая причина

Частота инициации (событий в год)

Защитные слои

Дополнительное ослабление

Промежуточная частота событий (событий в год)

Число НСЗ

Требуется ли ФБ ПСБ?

Уровень полноты безопасности ФБ ПСБ

Сниженная частота события (в год)

Примечание (имя ФБ ПСБ)

Проект процесса

ОСУП

Аварийные сигналы и т.д.

1

Разрыв реактора

Существенная/10-5

Сбои управления охлаждающей Н2O

10-1

Нет

Нет

Нет

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3

10-5

S-1

2

Разрыв реактора

Существенная/10-5

Сбои привода двигателя аппарата перемешивания

10-1

Нет

Нет

Нет

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3

10-5

S-1

3

Разрыв реактора

Существенная/10-5

Потеря электропитания от основной системы на всей территории

10-1

Нет

Нет

Нет

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3

10-5

S-1

4

Разрыв реактора

Существенная/10-5

Отказ подачи питания на насос с охлаждающей водой

10-1

Нет

Нет

Нет

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3

10-5

S-1

5

Разрыв реактора

Существенная/10-5

Двойная загрузка инициатора

10-1

Нет

Нет

Нет

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3

10-5

S-2

6

Гидравлическое повреждение реактора сверхвысоким давлением

Серьезная/10-4

Переполненный реактор, отказ системы управления

10-1

Нет

Нет

Аварийные сигналы уровня жидкости (400 LSH) и датчиков массы (300 WTH), 10-1

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3 (требуется УПБ 1)

10-6 (требуется 10-4)

S-2

7

Разрыв реактора

Существенная/10-5

Сбои в управлении температурой и избыточный пар

10-1

Нет

Нет

Нет

PSVs 10-1

10-2

1 (ПКД)

Да

3 (Сброс давления) 10-3

10-5

S-1

8

Выброс ВХМ

Серьезная/10-4

Сбои предохранителя от утечки на аппарате перемешивания

10-1

Местная вентиляция предохранителя от утечки реактора, 10-1

Нет

Нет

Нет

10-2

0

Да

2 (Сброс давления) 10-2

10-4

S-3

Значения правдоподобной вероятности являются событиями в год. Остальные цифровые значения - это вероятности.

F.13 Шаг F.3. Спецификации требований к безопасности ПСБ

F.13.1 Обзор

Таблица F.10 - Жизненный цикл безопасности ПСБ. Блок 3

Обзор
Стадия или деятельность жизненного цикла системы безопасности		Цели	Раздел или подраздел требований МЭК 61511-1:2016	Входы	Выходы
МЭК 61511-1:2016, рисунок 7, блок 3	СТБ ПСБ	Установить для каждой ПСБ требования в терминах требуемых ФБ ПСБ и их значений полноты безопасности, необходимых для достижения требуемой функциональной безопасности	10	Описание распределения требований к безопасности (см. раздел 9 МЭК 61511-1:2016)	Требования к безопасности ПСБ; требования к безопасности ППО

Информация в СТБ, приведенная в данном примере, может быть оформлена в формате единого документа (см. таблицу F.10). Как альтернативный вариант могут использоваться несколько документов. Приведенные ниже требования предназначены только для данного примера.

F.13.2 Требования к входам

Информация в таблице F.11, ФБ ПСБ и связанные с ними УПБ являлись выходами шага 2 и использовались в разработке СТБ.

Таблица F.11 - Функции безопасности ПСБ и их УПБ

Идентификатор	Контролируемая переменная процесса	УПБ
S-1	Высокое давление и температура в реакторе	3
S-2	Высокое давление в реакторе	3
S-3	Высокое давление на предохранителе от утечки аппарата перемешивания	2

ОСУП выполняет функции оперативного управления для планового запуска и нормального останова. Они в данном примере не рассматриваются.

Группа анализа опасности процесса определила, что закупоривание является возможной проблемой в данном приложении. Команда проектировщиков должна учесть это замечание при проектировании ПСБ.

Никаких законодательных и нормативных требований, которые повлияли бы на проект ПСБ, не было идентифицировано.

F.13.3 Функциональные требования к безопасности

В таблице F.12 приведены безопасные состояния для каждой ФБ ПСБ и продемонстрирована функциональная связь между входами и выходами технологического процесса, включая требующуюся логику.

Таблица F.12 - Функциональная связь между вводами-выводами для ФБ ПСБ

ФБ ПСБ	УПБ	Датчик	Описание	Безопасное состояние исполнительного элемента
S-1	3	100РТ 100РТ1 100ТТ	Если давление в реакторе превышает 125 фунт/кв. дюйм или температура в реакторе превышает 200 °F	Открытый 100PV Открытый 100PV1
S-2	3	100РТ 100РТ1	Если давление в реакторе превышает 125 фунт/кв. дюйм	Открытый 100PV Открытый 100PV1
S-3	2	200РТ	Если давление в предохранителе от утечки выше чем 10 фунт/кв. дюйм	Открытый 100PV Открытый 100PV1

В таблице F.13 для рассматриваемого технологического процесса представлены входные параметры датчиков ПСБ, их точки срабатывания, нормальный диапазон рабочих режимов и ограничения на условия эксплуатации.

Таблица F.13 - Датчики ПСБ, нормальный диапазон рабочих режимов и точки срабатывания

Маркировка	Диапазон калибровки	Нормальный диапазон рабочих режимов	Аварийный сигнал, предшествующий срабатыванию		Точка срабатывания
100РТ	0-200 фунт/кв. дюйм	60-100 фунт/кв. дюйм	115 фунт/кв. дюйм	При превышении	125 фунт/кв. дюйм	При превышении
100РТ1	0-200 фунт/кв. дюйм	60-100 фунт/кв. дюйм	115 фунт/кв. дюйм	При превышении	125 фунт/кв. дюйм	При превышении
100ТТ	0-250 °F	125-175 °F	180 °F	При превышении	200 °F	При превышении
200РТ	0-50 фунт/кв. дюйм	0-20 фунт/кв. дюйм	5 фунт/кв. дюйм	При превышении	10 фунт/кв. дюйм	При превышении

Все ФБ ПСБ проектируются для операции останова по отключению питания.

Исполнительные элементы переходят в их безопасное состояние при отключении питания, как это определено в таблице F.9. Чтобы удовлетворить требованиям архитектуры и требованиям к ВОНЗ_ср, исполнительные элементы собираются по схеме голосования (1оо2).

Время реакции - одна минута или менее - считается адекватным для каждой ФБ ПСБ, если не указано другое.

Для ПСБ используются датчики и логическое решающее устройство, оцененные в соответствии с МЭК 61508. Оцененные датчики также соответствуют требованиям для предшествующего использования.

Обзор, проведенный группой анализа опасности процесса, указывает на отсутствие комбинаций безопасных состояний технологического процесса, которые в случае, если они происходят одновременно, создают отдельную опасность.

Датчики обладают стойкостью к систематическим отказам SC 2, а логическое решающее устройство - SC 3.

Датчики для S-1 собраны по схеме голосования 1оо3, а для S-2 - 1оо2, чтобы обеспечить соответствие требованиям архитектуры и требованиям ВОНЗ_ср.

ЧМИ ОСУП будет служить основным человеко-машинным интерфейсом для ПСБ. Все функции отображения аварийных сигналов будут реализованы посредством ЧМИ ОСУП; не требуется никакой аппаратно-подключенной визуальной индикации. Интерфейс разработки/обслуживания будет размещен в безопасном месте.

В случае потери связи с ЧМИ у оператора имеется кнопка останова, установленная на панели, которую он будет применять для запуска последовательности действий, что необходимо для того, чтобы перевести процесс в безопасное состояние должным образом. Кнопка останова подключена к дискретным входам логических решающих устройств ПСБ и ОСУП и приводит к добавлению тормозящего реагента посредством действия ОСУП.

Группа анализа опасности процесса ознакомилась с руководством по безопасности выбранного логического решающего устройства ПСБ и определила, что ручная активация клапанов безопасности, независимая от логического решающего устройства, не требуется. Основываясь на этом выводе и нежелательных последствиях внезапного сброса давления технологического процесса, непосредственная ручная активация не включается в СТБ. См. логическую диаграмму (рисунок F.11).

Так как это пакетный режим, то процесс будет остановлен в случае обнаружения сбоев в ПСБ. То есть процесс не будет выполняться, если ПСБ работает в режиме ограниченной функциональности.

Аварийным сигналам, предшествующим срабатыванию, на которые оператор может среагировать, чтобы предотвратить останов систем, выполняемый ПСБ, должен быть назначен наивысший приоритет.

Все установки срабатываний ПСБ будут выполняться вручную. Переключатели ручной установки будут располагаться на панели оператора в помещении для управления.

Так как это пакетный режим и применяются надежные методы разработки систем управления, то интенсивность ложных срабатываний не рассматривается.

Дублирование (функциональное дублирование прикладной логики ПСБ в ОСУП) выполняется для борьбы с систематическими сбоями ППО. Было признано, что дублирование повышает интенсивность ложных срабатываний, но для процесса в пакетном режиме в данном примере ложные срабатывания не рассматриваются.

Обнаружение сбоев внешних устройств и ЧМИ с помощью диагностики предотвратит запуск очередной партии, но если партия обрабатывается, то поступит аварийный сигнал.

При останове процесса, инициированном ПСБ, все контуры управления ОСУП будут переведены в ручной режим и выходы установлены в безопасное состояние.

Каждая схема ПСБ (например, ввода-вывода, коммуникации, диагностики) должна контролироваться, чтобы гарантировать, что перед запуском ПСБ на них подано напряжение питания.

Каждый датчик перед запуском ПСБ должен автоматически проверяться на наличие несоответствующих значений (например, ниже 4 мА).

Режимы работы включают загрузку, выполнение реакции и выгрузку. Все функции ПСБ должны функционировать в каждом из режимов.

Не должно быть никаких перехватов управления, блокировок или байпасов.

Какие-либо особые требования для сохранения работоспособности ПСБ в случае значительного происшествия отсутствуют.

F.13.3.1 Требования к полноте безопасности

УПБ, требующийся для каждой ФБ ПСБ, определен в таблице F.9.

Ниже представлены характеристики аппаратных средств, необходимые для достижения требующегося УПБ:

- логическое решающее устройство с SC 3 (т.е. устройство со значением ВОНЗ_ср между 0,001 и 0,0001), оцененное в соответствии с МЭК 61508;

- датчики и исполнительные элементы, которые должны быть выбраны в соответствии с МЭК 61508 и одобрены пользователем (см. ISATR84.00.04, часть 1);

- все исполнительные элементы должны быть обеспечены датчиками положения и должно быть проверено, обеспечивается ли соответствие положения клапана команде логической схемы.

Ниже представлены характеристики диагностики, необходимые для достижения требующегося УПБ:

- диагностика предоставляется вместе с логическим решающим устройством;

- проверка верхнего и нижнего пределов на входах всех датчиков как в ПСБ, так и в ОСУП;

- сравнение диагностики на 100РТ и 100РТ1 как в ПСБ, так и в ОСУП;

- дублирование в ОСУП.

Реактор будет выключаться дважды в год для технического обслуживания в автономном режиме и испытания блокировок безопасности. Все слои защиты, идентифицированные в процессе АУЗ, которые обеспечивают снижение риска, должны тестироваться с такой же частотой.

Примечание - Так как режим работы является пакетным, то некоторые устройства ПСБ могут испытываться более часто (например, выпускные клапаны могут испытываться перед запуском каждой партии), если требуется достичь целевого ВОНЗ_ср.

На данном этапе вычисления для верификации УПБ, описанные в F.16, указывают на отсутствие необходимости более высокой частоты проведения испытаний. Тем не менее, если опыт эксплуатации показывает, что частота отказов устройства ФБ ПСБ выше, чем предполагается в вычислениях ВОНЗ_ср, то испытания некоторых устройств могут проводиться более часто.

Все ФБ ПСБ питаются от ИБП, чтобы снизить число ложных срабатываний. Так как это пакетный режим, то нет никаких дополнительных условий для предотвращения ложных срабатываний.

Отказы по общей причине будут минимизированы посредством:

- предоставления отдельных точек для резервных датчиков давления;

- предоставления отдельных линий для резервных выпускных клапанов;

- гарантии того, что аварийные сигналы, заявленные как НСЗ в событии 6 таблицы 7, совершенно независимы от ФБ ПСБ (т.е. для функций управления, аварийных сигналов и дублирования ОСУП применяются отдельные контроллеры распределенной системы управления);

- применения надежных инженерных практик (например, заземления, защиты от перенапряжения, источников питания, разнообразия), описанных в разделах F.18 и F.19;

- учета человеческого фактора (например, в связи с конфигурированием, калибровкой и испытаниями), используя разный персонал для проверки и принятия.

F.14 Функциональное описание и концептуальное проектирование

В настоящем разделе описано как функциональные требования к безопасности и требования к полноте безопасности интегрируются для обеспечения разработки архитектур ФБ ПСБ, верификации УПБ для каждой ФБ ПСБ и разработки ППО ПСБ.

F.14.1 Описательная часть логики системы реактора рассматриваемого примера

В данной ПСБ реализуются три автоматические ФБ ПСБ S-1, S-2 и S-3 (см. таблицу F.14).

- функции S-1 и S-2 ПСБ защищают от выхода реакции из-под контроля из-за высокой температуры/давления в реакторе, так как реакция является экзотермической, а высокое давление является результатом высокой температуры;

- если давление на датчиках 100РТ или 100РТ1 превышает 125 фунт/кв. дюйм или температура на датчике 100ТТ превышает 200 °F, то функция безопасности S-1 открывает выпускные клапаны реактора.

Так как рост давления происходит невероятно быстро в случаях переполнения реактора или добавления двойной дозы инициатора, то для предотвращения подобных событий используется ФБ ПСБ S-2. Достаточно медленная реакция температурного датчика может не обнаружить это невероятно быстрое событие, поэтому температурный датчик 100ТТ не включен в вычисления ВОНЗ_ср. Если давление на датчиках 100РТ или 100РТ1 превышает 125 фунт/кв. дюйм, то откроются выпускные клапаны.

Так как в данном применении используются идентичные интеллектуальные датчики давления, то должна учитываться вероятность того, что систематическая ошибка приведет к отказу обоих датчиков одновременно. Чтобы обнаружить значения датчиков, выходящие за верхнюю или нижнюю границу диапазона, или различающиеся между собой значения, осуществляется их диагностика логическими решающими устройствами как ПСБ, так и ОСУП. Степень диагностического охвата учитывается в вычислениях ВОНЗ_ср, как это описано в F.16.

Функция S-3 ПСБ открывает выпускные клапаны 100PV и 100PV1 в случае, когда давление в предохранителе от утечки превышает 10 фунт/кв. дюйм в соответствии с измерениями 2000РТ.

Так как инициирующие причины для сценариев с 1 по 8 формируют запросы к устройствам одной ФБ ПСБ, то эти запросы должны суммироваться, чтобы определить режим работы каждой ФБ ПСБ. В данном примере их сумма равна до 0,8 запросов/год, что меньше, чем запрос в год для ФБ ПСБ. Поэтому каждая ФБ ПСБ будет работать в режиме с низкой интенсивностью запросов. Сравнение режима по запросу с режимом непрерывной работы см. в ISA TR84.00.04:2015 и А.9.2.3.

Таблица F.14 - Причинно-следственная диаграмма

Причинно-следственная диаграмма реактора (формат таблицы)
Причина		Описание	Уставка срабатывания	Последствие
Функция безопасности	Датчик/ вход			Исполнительное устройство	Действие	Комментарий
S-1	100РТ 100РТ1	Давление в реакторе ИЛИ	> 125 фунт/кв. дюйм	100PV	OPEN	Сброс давления в реакторе
	100ТТ	Температура в реакторе	> 200 °F	100PV1	OPEN	Сброс давления в реакторе
S-2	100РТ 100РТ1	Высокое давление в реакторе	> 125 фунт/кв. дюйм	100PV 100PV1	OPEN OPEN	Сброс давления в реакторе
S-3	200РТ	Давление в предохранителе от утечки реактора	> 10 фунт/кв. дюйм	100PV 100PV1	OPEN OPEN	Сброс давления в реакторе

F.15 Вычисления для верификации УПБ

Для каждой ФБ ПСБ был создан схематический чертеж (т.е. диаграмма состояний, как показано на рисунках F.4, F.6 и F.8), учитывающий приведенные выше функциональные требования и требования к полноте безопасности, чтобы:

- описать то, как были выполнены функциональные требования и требования к полноте безопасности;

- проиллюстрировать, как архитектура ФБ ПСБ соответствует требованиям УПБ;

- продемонстрировать ВОНЗ_ср для каждой подсистемы ФБ ПСБ (подсистемы датчиков, подсистемы логических решающих устройств или подсистемы исполнительных элементов);

- обеспечить основу для разработки архитектуры ПСБ;

- обеспечить основу для вычислений ВОНЗ_ср для ФБ ПСБ.

Затем эти диаграммы состояний используются в разработке дерева отказов для каждой ФБ ПСБ с помощью доступного на рынке программного обеспечения. На выходе ПО для анализа дерева сбоев дается информация о ВОНЗ_ср для ФБ ПСБ (см. рисунки F.5, F.7 и F.9). На данном этапе вычисленное значение ВОНЗ_ср сравнивается с требующимся значением ВОНЗ_ср (см. таблицу F.9, столбец 10); там, где вычисленное ВОНЗ_ср не соответствовало требованиям таблицы 7, концептуальный проект был соответствующим образом изменен.

Каждый тип устройства ФБ ПСБ приведен в таблице F.15 вместе с его параметрами безотказности. Эти параметры были получены на основе предшествующего использования данных от поставщиков и баз данных отрасли, с акцентом на эксплуатационные данные.

Среднее время работы до опасного отказа (MTTFd):

Таблица F.15 - Показатели MTTFd устройств ПСБ из F.1

Предохранительный выпускной клапан	60 лет
Датчик давления	60 лет
Датчик температуры с термопреобразователем сопротивления (RTD)	60 лет
Соленоидный клапан	35 лет
Логическое решающее устройство ПСБ	2500 лет

Общая причина

Проблемы общей причины были решены с помощью методов, описанных в F.18. Остаточные отказы по общей причине были учтены добавлением факторов к дереву отказов для каждой ФБ ПСБ. Эти факторы были основаны на опыте работы на объекте. Как для выпускных клапанов, так и для соленоидных клапанов отказы по общей причине составляют 1 % общего числа опасных необнаруженных отказов; для датчиков отказы по общей причине были предварительно оценены в 2 % от общего числа опасных необнаруженных отказов [т.е. интенсивность опасных необнаруженных отказов датчиков, связанная с отказами по общей причине, равна ; в случае выпускных клапанов из-за отказов по общей причине - ; и в случае соленоидных клапанов по причине отказов по общей причине она равна ].

Систематические сбои

Логическое решающее устройство ПСБ обладает стойкостью к систематическим отказам SC 3, которая включает отказы аппаратных средств, требования к архитектуре (отказоустойчивость) и отказы встроенного программного обеспечения. Следует отметить, что систематические отказы ППО не были учтены при оценке логического решающего устройства. Проблемы систематических отказов ППО логического решающего устройства были решены дублированием логики в ОСУП (см. диаграммы состояний на рисунках F.4, F.6 и F.8). Для снижения числа систематических отказов ППО ПСБ была использована ОСУП; однако вклад аппаратных средств ОСУП в ВОЗН_ср не был учтен при анализе дерева отказов каждой ФБ ПСБ.

Примечание - Приведенная выше методика дополняет методы, определенные в МЭК 61511-1:2016, раздел 12.

Датчики давления и температуры являются интеллектуальными устройствами, они содержат программируемые (на фиксированном языке программирования) устройства и обладают стойкостью к систематическим отказам SC 2 в соответствии с МЭК 61508. Эти датчики используются в приложениях с УПБ 3 (т.е. для реализации ФБ ПСБ S-1 и ФБ ПСБ S-2). Для учета систематических отказов для каждой ФБ ПСБ с УПБ 3 был реализован ряд методов:

- для ФБ ПСБ S-1 при выборе оборудования учитывались его рабочие характеристики в предшествующем использовании, в то время как в процессе проектирования для обеспечения уровня систематических ошибок ПО уровню, соответствующему приложению с УПБ 3, были использованы разнообразие (температура и давление) и диагностика (см. F.14.1);

- для ФБ ПСБ S-2 анализ предшествующего использования (см. примечание), анализ дерева отказов (см. рисунок F.7) и диагностика использовались для обеспечения уровня систематических ошибок ПО датчиков уровню, соответствующему приложению с УПБ 3.

Примечание - На основе данных о предшествующем использовании команда предварительно оценила, что 2 % от всех отказов датчиков по общей причине были связаны со сбоями программного обеспечения. Дерево отказов, представленное на рисунке F.7, показывает, как в вычислениях ВОНЗ_ср для ФБ ПСБ S-2 были учтены сбои программного обеспечения. Если доступных данных о предшествующем использовании было недостаточно, то альтернативным решением для пользователя будет связаться с производителем датчиков, чтобы получить гарантию того, что методы, использованные при разработке встроенного программного обеспечения, соответствовали руководящим указаниям, предоставленным в МЭК 61508 для программного обеспечения с УПБ 3.

Отказоустойчивость аппаратных средств (ОАС)

Для ФБ ПСБ S-1 и ФБ ПСБ S-2 отказоустойчивость для датчиков и клапанов была основана на требованиях МЭК 61511-1:2016, таблица 6 (УПБ 3).

Для ФБ ПСБ S-3 отказоустойчивость для датчиков и клапанов основана на требованиях МЭК 61511-1:2016, таблица 6 (УПБ 2).

Логическое решающее устройство было спроектировано и прошло оценку третьей стороной в соответствии с требованиями МЭК 61508 (включая отказоустойчивость) для приложений с УПБ 3. Поэтому требования отказоустойчивости МЭК 61511 для ФБ ПСБ S-1, S-2 и S-3 выполнены.

Рисунок F.4 - Диаграмма состояний ФБ ПСБ S-1, на которой показаны ВОНЗ_ср для каждого устройства ПСБ

На рисунке F.5 представлены вычисления для дерева отказов.

Обозначения:

E - разрешающее событие;

Q - недоступность (ВОНЗ_ср);

r - интенсивность отказов (отказы в год);

tau - интервал диагностической проверки (года).

Значение ВОНЗ_ср для ФБ ПСБ S-1 округлено до 3,6е-4 и поэтому соответствует УПБЗ.

Рисунок F.5 - Дерево отказов S-1

ФБ ПСБ S-2

Если давление в реакторе превышает 125 фунт/кв. дюйм, то необходимо открыть выпускные клапаны 100PV и 100PV1. Требующийся УПБ = 3 (что предполагает ВОНЗ_ср равную от 10^-3 до 10^-4).

Рисунок F.6 - Диаграмма состояний ФБ ПСБ S-2, на которой показаны ВОНЗ_ср для каждого устройства ПСБ

На рисунке F.7 представлены вычисления для дерева отказов.

Обозначения:

E - разрешающее событие;

Q - недоступность (ВОНЗ_ср);

r - интенсивность отказов (отказы в год);

tau - интервал диагностической проверки (года).

Значение ВОНЗ_ср для ФБ ПСБ S-2 округлено до 3,8е-4 и поэтому соответствует УПБЗ.

Рисунок F.7 - Дерево отказов ФБ ПСБ S-2

ФБ ПСБ S-3

Если давление в предохранителе от утечки аппарата перемешивания выше чем 10 фунт/кв. дюйм, то необходимо открыть 100PV и 100PV-1. Требующийся УПБ = 2 (ВОНЗ равна от 10^-2 до 10^-3).

Рисунок F.8 - Диаграмма состояний ФБ ПСБ S-3, на которой показаны ВОНЗ_ср для каждого устройства ПСБ

На рисунке F.9 представлены вычисления для дерева отказов.

Обозначения:

Е - разрешающее событие;

Q - недоступность (ВОНЗ_ср);

r - интенсивность отказов (отказы в год);

tau - интервал диагностической проверки (года).

Значение ВОНЗ_ср для ФБ ПСБ S-3 округлено до 4,3е-3 и поэтому соответствует УПБЗ.

Рисунок F.9 - Дерево отказов ФБ ПСБ S-3

F.16 Требования к прикладной программе

СТБ [в частности, описание логики (см. F.14.1], причинно-следственная диаграмма (см. таблицу F.14) и схема Т и КИП (см рисунок F.10) были использованы при разработке требований к ППО, как показано на ступенчатой диаграмме (см. рисунок F.11).

Ступенчатые диаграммы, отражающие функциональные требования для каждой ФБ ПСБ, показаны на рисунке F.11, листы 1-5. На ступенчатой диаграмме также показаны значения напряжения на линиях соединения, характеристики заземления, требования к замыкающим цепям и диагностика, предназначенная помочь проектировщику/программисту в разработке ППО.

Рисунок F.10 - Схема Т и КИП для ФБ ПСБ модуля реактора ПВХ

Рисунок F.11 - Обозначения (1 из 5)

Примечания

1 Рисунок 11 не предназначен для конструирования.

2 Будут добавлены требования руководства по безопасности.

3 Линии D14 и D15 будут продублированы для 100PV1.

Рисунок F.11 - (2 из 5)

Примечания

1 Рисунок 11 не предназначен для конструирования.

2 Будут добавлены требования руководства по безопасности.

3 Линии А5 и А6 будут продублированы для 100PV1.

------------------------------

* Аварийные сигналы в ЧМИ ПСБ могут быть низкоуровневыми.

Рисунок F.11 - (3 из 5)

Примечания

1 Рисунок 11 не предназначен для конструирования.

2 Будут добавлены требования руководства по безопасности.

Рисунок F.11 - (4 из 5)

Примечания

1 Рисунок 11 не предназначен для конструирования.

2 Будут добавлены требования руководства по безопасности.

3 Линии 17, 18, 19 и 20 будут продублированы для 100PV1.

Рисунок F.11 - (5 из 5)

F.17 Шаг F.4. Жизненный цикл ПСБ

Таблица F.16 - Жизненный цикл ПСБ. Блок 4

Стадия или деятельность жизненного цикла системы безопасности		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок 7, блок 4	Проектирование и разработка ПСБ	Спроектировать ПСБ, отвечающую требованиям к ФБ ПСБ и к полноте безопасности	11 и 12.4	Требования к безопасности ПСБ. Требования к безопасности ППО	Проект ПСБ, отвечающий требованиям к безопасности ПСБ. Планирование испытания интеграции ПСБ

В таблице F.16 предоставлены цели, входы, выходы и ссылка на связанные с ними разделы и подразделы для проектирования и разработки ПСБ.

F.18 Технология и выбор устройств

F.18.1 Общие положения

В настоящем разделе перечислены некоторые из ключевых параметров, применяемых в данном примере при выборе технологий и устройств:

a) группа анализа опасности процесса объекта одобряет все устройства, использованные в процессе эксплуатации ПСБ;

b) устройства низкой сложности, с которыми на объекте ознакомлены;

c) стойкость к систематическим отказам, подтвержденная документально оформленными источниками;

d) философия технического обслуживания и тестирования, согласующаяся со способностями/опытом персонала на объекте;

e) интерфейс оператора/технического обслуживания, основанные на существующих критериях объекта;

f) оценка стоимости и календарный план выполнения проекта с расчетом времени;

g) использование ОСУП для разнообразия ППО (дублирование);

h) все выбранные технологии прежде использовались на объекте (т.е. предшествующее использование), и обслуживающий персонал объекта обладает четким пониманием их функционирования;

i) режимы отказов и интенсивности отказов каждого компонента оборудования (включая источник данных) документально подтверждаются;

j) устойчивость к электромагнитным помехам на промышленном объекте;

k) защита от вибрации (например, вибрации, приводящей к раскреплению монтажных схем, отказы проводных соединений и устройств), предоставляемая с каждым компонентом оборудования.

F.18.2 Логическое решающее устройство

Параметры логического решающего устройства включают:

a) применение каждого перечисления из F.18.1;

b) логическое решающее устройство ПСБ оценивается в соответствии с МЭК 61508 и обладает стойкостью к систематическим отказам SC 3. Для прикладного программирования оно использует язык с ограниченной изменчивостью (т.е. линейно-лестничную логику);

c) расположение всех устройств логического решающего устройства в операторской производственного здания;

d) время безопасности процесса для всех ФБ ПСБ должно быть достаточно большим, чтобы адекватно соответствовать типичным временам реакции PLC;

е) опыт эксплуатации и обслуживания на объекте (т.е. предшествующее использование) учитывался при выборе логического решающего устройства;

f) надлежащую интеграцию с ОСУП.

F.18.3 Датчики

Были использованы датчики вместо дискретных переключателей (за исключением переключателей положений клапанов) там, где использовались бесконтактные переключатели (чтобы воспользоваться преимуществами свойств бесконтактных устройств).

Датчики были дополнены диагностикой значений, выходящих из диапазона, и неверных значений в логических решающих устройствах ПСБ и ОСУП.

Данные по интенсивности отказов датчика были основаны на стойкости к систематическим отказам, которые были предоставлены в результате выполнения оценки по МЭК 61508 или данными о соответствии МЭК 61508, и было принято решение об использовании передового опыта по их установке.

Для каждого датчика были предоставлены отдельные переходники для крепления.

Применяемые датчики являются программируемыми (интеллектуальными) устройствами, обладающими следующими особенностями:

a) диагностика, удаленный доступ к информации по калибровке и описание свойств встроенных устройств более надежно обеспечивают, что соответствующее устройство установлено и правильно работает;

b) средства защиты (например, защита от записи, пароли, ключевые слова), ограничивающие доступ к настройке калибровки, которая может привести к непредвиденным изменениям, делающим устройство неспособным выполнять его функцию безопасности;

c) надлежащее время обновления датчика (т.е. задержка по времени между изменением в процессе и выходной реакцией датчика является допустимой);

d) там, где это целесообразно, датчики дополняются дренажными системам, вентиляцией и возможностью соединения с измерительной схемой;

e) выходы датчика (4-20 мА) непосредственно соединены с ПСБ и параллельно подключены к ОСУП.

F.18.4 Исполнительные элементы

Задействованные исполнительные устройства управления являются соленоидными клапанами и аварийными выпускными клапанами. Исполнительные устройства управления выполняют останов по отключению питания и переходят в свои безопасные состояния при прекращении подачи воздуха или электропитания (т.е. аварийные выпускные клапаны не открываются).

Исполнительные устройства управления были выбраны на основании опыта предшествующего использования.

F.18.5 Соленоидные клапаны

Соленоиды определяются с учетом следующего:

a) высокотемпературные формованные катушки класса Н или F, предназначенные обеспечить более долгий срок службы в условиях непрерывной подачи питания (это типично для приложений с остановом при отключении питания);

b) высокая и низкая предельные температуры эксплуатации соленоида соответствуют или превышают условия среды, в которой он будет установлен;

c) пропускная способность выходного потока в вентиляцию через клапан, управляемый оператором, определяется так, чтобы она удовлетворяла требованиям временных спецификаций приложения (время реакции клапана меньше 10 сек является достаточным);

d) рейтинг выключения выходов логического решающего устройства достаточно низок, чтобы гарантировать то, что соленоидный клапан выпадет (будет опущен) в случае, когда выходы переходят в режим "выключено".

Среднее время до опасного отказа (MTTFd) для соленоидных клапанов было определено с помощью:

1) информации о предшествующем использовании, полученной из реального опыта эксплуатации (внутреннего и внешнего), а также из данных, предоставленных изготовителем;

2) информации о предшествующем использовании, указывающая на то, что в течение 140 лет использования в похожих приложениях случилось два опасных отказа соленоидных клапанов (клапан не позволял осуществлять выпуск/вентиляцию). Основываясь на этом, нижний доверительный предел MTTFd в 70 % (см. МЭК 61511-1:2016, примечания к пунктам 11.9.3 и 11.9.4 и TR84.00.04-1, TR84.00.09) был вычислен как 38,7 года. Для вычислений ВОНЗ было выбрано MMTFd в 35 лет.

F.18.6 Аварийные выпускные клапаны

Согласно спецификациям аварийные выпускные клапаны должны обеспечивать действие выпускных клапанов в случае утраты их работоспособности, а также когда рабочие сигналы не соответствуют требованиям функциональной безопасности. Основываясь на этом и оценивании группой анализа опасности процесса требований к любым другим действиям при отказах, было установлено, что аварийные выпускные клапаны открываются в случае:

a) потери питания;

b) потери подачи воздуха;

c) сигнала открытия, полученного соленоидным клапаном от логического решающего устройства ПСБ или логического решающего устройства ОСУП.

Кроме того, аварийные выпускные клапаны обладают следующими функциями:

1) предоставляется визуальная индикация фактического положения клапанов, включая:

- местную индикацию посредством индикатора позиции штока клапана;

- удаленную индикацию позиции клапана посредством концевых выключателей;

2) задействованы исполнительные механизмы с пружинным возвратом. Рассуждения о выборе размера этих механизмов и проектировании отказоустойчивой пружины включают в себя надлежащий анализ максимального требующегося давления отключения.

Примечание - В данном применении были задействованы запорные клапаны с протеканием под кнопкой клапана.

Контроль каждого клапана включает сравнение сигнала клапана с позицией клапана, сопровождаемого аварийным сигналом.

F.18.7 Модулирующие клапаны

Модулирующие клапаны не потребовались для ПСБ, рассмотренной в данном примере.

F.18.8 Клапаны байпаса

Анализ группы анализа опасности процесса определил, что клапаны байпаса не были необходимы, так как это пакетный режим работы, предоставляющий несколько возможностей автономного технического обслуживания. Это было согласовано с отделами эксплуатации и технического обслуживания, и они одобрили этот подход.

F.18.9 Человеко-машинные интерфейсы

F.18.9.1 Общие положения

Возможности интерфейса логического решающего устройства были спроектированы для связи с ОСУП с помощью функционально безопасного интерфейса для дублирования интерфейса оператора, аварийных сигналов, диагностики и взаимного обмена определенными значениями.

Следующие пункты были реализованы в интерфейсах ПСБ для связи с ОСУП:

- использование резервной панели ЧМИ;

- использование резервных коммуникационных каналов;

- использование сторожевого таймера внутриобъектных коммуникаций для интерфейсов, обрабатывающих критически важные данные (например, все данные, поступающие на операторскую панель ОСУП);

- кнопка останова (500РВ) была установлена на одну из панелей ЧМИ и оснащена пластиковым покрытием безопасности, чтобы избежать непреднамеренных остановов.

Факторы, которые учитываются при проектировании интерфейса оператора, включают:

- требования к управлению аварийными сигналами;

- требования к реакции оператора;

- хорошую эргономику.

Изменения ППО (включая настройки срабатывания) ПСБ могут быть внесены только через инженерные панели ПСБ и при соблюдении надлежащих мер безопасности (см. раздел F.22).

F.18.9.2 Управление аварийными сигналами

Управление аварийными сигналами гарантирует, что проблемы и опасности предоставляются оператору таким образом, чтобы он мог своевременно и легко идентифицировать и понять их, используя заданный для этих аварийных сигналов приоритет, который отражает философию управления аварийными сигналами на объекте. Реализованные функции включают:

- аварийные сигналы, связанные с уровнями защиты, для которых значение снижения риска получено в результате АУЗ, имеют наиболее высокий приоритет. Эти аварийные сигналы (300WTHA и 400LSHA) должны проверяться с такой же частотой (два раза в год), как и ПСБ;

- аварийные сигналы перед срабатыванием, инициирующие действие оператора до действия ПСБ, имеют наиболее высокий приоритет;

- используются функции интерфейса оператора ОСУП, чтобы различать аварийные сигналы разных уровней приоритетов;

- используются аварийные сигналы перед срабатыванием и при срабатывании, чтобы помочь определить требования к реакции оператора;

- аварийные сигналы диагностики ПСБ отображаются на отдельном графическом устройстве ЧМИ.

F.18.9.3 Реакция оператора

Способность оператора реагировать на аварийные сигналы, инициированные ЧМИ, требует следующего:

- использование записи последовательности событий (SOE): при нормальном сканировании ОСУП обеспечивает правильную обработку аварийных сигналов "в порядке поступления";

- использование аварийных сигналов, предшествующих срабатыванию: оператор может прибегнуть к корректирующему действию, перед тем как произойдет срабатывание (например, добавить тормозящий реагент, чтобы предотвратить выход реакции из-под контроля). В таких случаях предусматриваются аварийные сигналы, предшествующие срабатыванию. Аварийные сигналы, предшествующие срабатыванию и настройки срабатывания учитывают динамику процесса и реакцию датчиков.

F.18.9.4 Человеческие факторы

Человеческие факторы относятся к параметрам проектирования интерфейса, которые могут сказаться на способности оператора эффективно идентифицировать и отвечать на аварийные сигналы и информацию о состоянии объекта. В проекте реализовано:

- согласованное использование цветов, лампочек, типов, форм и размеров переключателей, размещение переключателей и т.д.;

- использование предохранительного колпачка на переключателе останова оператора (500РВ), чтобы понизить вероятность случайного включения;

- переключатель останова с механическим воздействием оператора (потянуть, чтобы сбросить).

F.18.10 Разделение

F.18.10.1 Общие положения

Настоящий подраздел описывает разделение, присущее проекту каждой ФБ ПСБ.

Разделение выполняется, чтобы сократить число сбоев по общей причине и облегчить работу с проблемами защиты, которые могут возникнуть из-за непредвиденных изменений. Эти типы проблем могут сделать ПСБ и ОСУП одновременно недоступными. Чтобы рассмотреть эти проблемы, реализуется подход к проектированию, согласующийся с обучением на объекте и опытом успешного использования.

F.18.10.2 Источники питания

Разделение контуров питания входов-выходов ПСБ от контуров питания, не связанных с ПСБ, должно реализовываться с помощью отдельного распределительного трансформатора для группового электрощита питания приборов ПСБ. Это обеспечивает защиту от сбоев по общей причине, связанных с проблемами заземления. Распределение источников питания ПСБ далее разделяется, чтобы обеспечить резервные источники питания [т.е. нормальный и бесперебойный источник питания (ИБП)] отдельной физической разводкой и распределительную сеть питания для входов, логических решающих устройств, источника(ов) питания входов-выходов, нагрузок на выходах и диагностики выходных схем.

Потребность в раздельных системах кабельных каналов (например, изоляционные трубы, кабельные короба, защитные кожухи и желоба для прокладки кабеля) отсутствует, так как проблемы электромагнитной совместимости (ЭМС) рассматриваются на постоянной основе при использовании хороших инженерных практик, чтобы достичь:

- максимальных уровней энергии приложения (480 V и ниже);

- спецификаций и размещения кабелей/кабельных каналов/оборудования;

- разделения проводников подачи питания и сигналов приборов (т.е. 4-20 мА) по разным кабелям;

- уникальной идентификации (т.е. цветного кодирования) оборудования ПСБ;

- охвата точек соединения терминальных устройств ПСБ;

- автоматизированного монтажа кабелей, позволяющего идентифицировать каждый проводник, кабель, систему кабельных каналов и точку соединения.

F.19 Отказы по общей причине и систематические отказы

F.19.1 Общие положения

В следующих подразделах (F.19.2-F.19.19) определено, как при проектировании учитываются отказы по общей причине и систематические отказы.

Методики проектирования, реализованные для предотвращения отказов по общей причине, включают разделение, разнообразие и экспертную оценку.

Методики, применяемые для предотвращения систематических ошибок, включают экспертную оценку, использование подходов к проектированию при наличии хорошего опыта предшествующего использования, разнообразия и диагностик сравнения.

F.19.2 Разнообразие

Разнообразие было достигнуто при помощи разного оборудования (логических решающих устройств ПСБ и ОСУП), различных проектных решений для выполнения общей функции (дублирование ППО ПСБ и ОСУП), различного встроенного ППО и разных программистов.

F.19.3 Ошибки спецификации

Ошибки спецификации [например, неверный диапазон температур окружающей среды, некорректный параметр (например, 0 °С когда предполагается 0 °F), ненадлежащее качество металла для группы контрольно-измерительных приборов] были идентифицированы и скорректированы при помощи экспертной оценки персоналом, ознакомленным с оцениваемой проблемой.

F.19.4 Ошибки проектирования аппаратных средств

Ошибки проекта аппаратных средств были рассмотрены в процессе использования оборудования ПСБ, которое соответствует критериям предшествующего использования при поддержке либо результатами выполнения оценки соответствия с МЭК 61508, либо данными о соответствии МЭК 61508, либо результатами анализа на объекте. Проектирование следует лучшим корпоративным практикам, руководству по безопасности для каждого сертифицированного устройства и руководству по применению для несертифицированного устройства, а также включенной экспертной оценке.

F.19.5 Ошибки проектирования программного обеспечения

ПЭ-оборудование было выбрано для использования, основываясь на предшествующем использовании и либо на результатах выполнения оценки соответствия с МЭК 61508, либо на данных о соответствии МЭК 61508. ППО было задействовано в ОСУП для "дублирования" ППО ПСБ, используя тем самым преимущества разнообразия встроенного программного обеспечения.

Чтобы сократить число систематических отказов, связанных со сбоями встроенного ПО, как в ПСБ, так и в ОСУП были реализованы выполнение сравнения двух датчиков давления и проверка их нижних и верхних предельных значений.

Управление систематическими ошибками ППО стало возможно при реализации нескольких перечисленных методов и мер, включая:

- язык с ограниченной изменчивостью для программирования всех прикладных программ, если недоступно программирование на языке с фиксированной изменчивостью (например, для датчиков, основанных на ПЭ, панели оператора, основанной на ПЭ);

- документально оформленную схему логики (см. рисунок F.11), которую может интерпретировать весь вовлеченный персонал, что обеспечивает не требующую объяснений, связанную с процессом документацию, включенную в документацию на ППО;

- оценки экспертов и средства моделирования, используемые для сокращения числа ошибок проектирования ППО;

- "дублирование" для непрерывного контроля рабочих параметров ППО и реализации разнообразия в программировании;

- требования производителя к руководству по безопасности.

F.19.6 Нагрузки окружающей среды, превышающие допустимые

При проектировании производственного помещения не учитывалось влияние землетрясения или падения самолетов, но оно было рассчитано выстоять при урагане пятого уровня. Рассмотренные условия окружающей среды, которым будет подвергаться ПСБ, включают:

- температуру;

- влажность;

- источники загрязнения;

- вибрацию;

- заземление;

- согласование линий питания;

- электромагнитную совместимость (ЭМС).

F.19.7 Температура

Экстремальная температура неблагоприятно влияет на устройства ПСБ, такие как логические решающие устройства, модули входов-выходов, датчики и исполнительные элементы. Проектные решения, связанные с влиянием температуры, реализованные в данном проекте, включают:

- рабочие температуры, указанные производителями;

- размещение оборудования в областях, где отклонения температуры удерживаются в рамках спецификаций производителя;

- защиту от погодных условий и контроль температуры для оборудования, установленного вне помещения;

- применение каплеотводных трубок или дренажа, или сушка воздухом системы КИП для снижения вероятности возникновения отказов, связанных с ледообразованием, должны быть реализованы надлежащим образом;

- сопроводительный обогрев там, где он требуется.

F.19.8 Влажность

Относительная влажность должна поддерживаться в соответствии с требованиями производителей (как правило, ниже 90 % для электронных систем). Чтобы снизить вредное влияние повышенной влажности (например, пар, открытый воздух), электронные блоки должны быть защищены конформным покрытием и их контакты должны быть обработаны водоотталкивающей смазкой, чтобы обеспечить газонепроницаемое соединение.

F.19.9 Источники загрязнения

Чтобы обеспечить защиту от возможного загрязнения, следует обеспечить следующее:

- надлежащую вентиляцию и защиту от пыли в ближайшем окружении;

- для оборудования, находящегося в агрессивной атмосфере, устанавливаются фильтры или применяются адсорбенты для систем HVAC (отопление, вентиляция, кондиционирование воздуха), а для всего остального оборудования реализуется продувка воздухом;

- для электронных устройств, установленный открыто на оборудовании, применяются вентилируемые шкафы и/или конформное покрытие и какой-нибудь метод защиты контактов в соединениях.

F.19.10 Вибрация

В здании присутствует некоторый уровень вибрации. Чтобы справиться с этой проблемой, все подключаемые устройства ПСБ (например, реле в системах подготовки "кубиков льда", панели входов-выходов) предоставляются вместе с жесткими блокировочными механизмами. Шкаф логического решающего устройства ПСБ использует виброизоляционные опоры, чтобы минимизировать передачу вибрации от шкафа на логическое решающее устройство.

F.19.11 Заземление

Заземление было спроектировано так, чтобы облегчить использование технологии программируемых электронных устройств посредством реализации:

- сопротивления системы заземления ниже 5 Ом;

- заземлений системы Уфера;

- электрически непрерывной стальной шины в здании;

- добавления к стальной шине в здании конической зоны молниезащиты с медными проводниками там, где они нужны.

F.19.12 Согласование линий питания

Согласование линий питания проектируется для обеспечения защиты ПСБ от сбоев в шинах питания, таких как отключение питания, грозовая помеха, падение напряжения, мгновенное падение напряжения, частичное нарушение энергоснабжения, бросок напряжения и импульсное повышение напряжения сети с большой амплитудой.

Защита от грозовой помехи обеспечивается реализацией защитных устройств, которые:

- скоординированы так, чтобы они могли противостоять способности (короткое замыкание, перегрузка) устройств быть защищенными;

- размещены для защиты каждого устройства ПСБ также, как и конической зоны молниезащиты.

Существующая система распределения питания обладает некоторым гармоническим спектром. Система распределения питания ПСБ была спроектирована для защиты от гармоник.

Защита от перегрузки и короткого замыкания в ПСБ предоставляется вместе со следующими свойствами:

- отдельные предохранители для каждой схемы входа-выхода, чтобы ограничить последствия сбоя в этой схеме;

- согласование предохранителя на ответвлении схемы с предохранителем всей схемы, чтобы минимизировать вероятность отключения большой части структуры входов-выходов из-за сбоя низкого уровня.

F.19.13 Электромагнитная совместимость

Электронные и программируемые электронные системы используют сигналы низкого уровня, цифровые схемы, микропроцессоры, чипы памяти и т.п., на которые могут оказывать влияние электрические помехи, например электромагнитные помехи (ЭМП). ЭМП, генерируемые персональными коммуникационными системами, такими как переносные радиостанции, радиоприемники базовой станции, сотовые телефоны, персональные компьютеры, беспроводные модемы и частотно-регулируемые электроприводы, были оценены во время проектирования. ПСБ было спроектирована с учетом этих проблем за счет реализации следующего:

a) электротехнических шкафов, предоставляющих защиту ПСБ от внешних (за пределами шкафа) источников шума;

b) проекта кабельного канала и прокладки кабелей, обеспечивающего защиту ПСБ от внутренних (внутри шкафа) источников шума;

c) установки шумовых фильтров, где это требовалось.

Дополнительные методы ослабления ЭМП включают:

1) металлические электротехнические шкафы;

2) металлические барьеры;

3) экранирование кабелей и проводов;

4) монтаж витой парой;

5) надлежащее заземление;

6) надлежащее размещение устройства;

7) разводку соединений как можно дальше от источника ЭМП;

8) разнесение.

В соответствии с критериями выбора оборудования ПСБ требовалось, чтобы это оборудование было способно выдержать уровни ЭМП, которые обычно существуют в промышленной среде. Это было достигнуто за счет:

- спецификации оборудования, которое было спроектировано, построено и испытано в соответствии с применяемыми стандартами (например, МЭК 61131, TUV);

- установки оборудования в соответствии с руководствами по установке производителей.

F.19.14 Источники средств обеспечения

Электричество и сжатый воздух являются ключевыми средствами, обеспечивающими ПСБ. Содержание и качество их проектирования непосредственно связано с их готовностью обслуживать ПСБ. Независимо от проекта во время анализа опасности процесса предполагалось, что часть или все эти средства обеспечения недоступны.

Электроэнергетические компании и персонал объекта (например, связанный с силовой станцией, другими рабочими процессами) послужили консультантами в определении доступности существующих источников средств обеспечения. Основываясь на сделанных выводах, были спроектированы источники средств обеспечения, обладающие свойствами, предназначенными для улучшения их доступности (готовность), включая:

- сжатый воздух:

- используется чистый, сухой качественный сжатый воздух;

- исполнительным устройствам управления была предоставлена достаточная пневматическая энергия, чтобы обеспечить адекватное время работы при управлении исполнительными устройствами;

- пневматическая энергия предоставлена с защитой от засорения, грязи, насекомых и заморозков;

- длина и диаметр каналов передачи пневматической энергии и сигналов предназначены обеспечить удовлетворительные рабочие характеристики;

- электричество:

- для логического решающего устройства ПСБ, входов, ЧМИ и диагностических выходов используется резервный источник питания;

- для нагрузок двигателя предоставлена защита от низкого напряжения с задержкой по времени (30 циклов);

- альтернативный источник питания обладает таким же качеством электроэнергии, как и основной;

- альтернативные источники питания (например, ИБП) размещены так, чтобы каждый мог технически обслуживаться, не оказывая негативного влияния на функционирование других;

- в проект ПСБ была включена система, разрешающего пуска, которая требует готовности всех электрических цепей ПСБ.

F.19.15 Датчики

Чтобы минимизировать отказы по общей причине, для каждого датчика используется отдельный переходник для крепления.

F.19.16 Коррозия или биологическое

обрастание, связанные с процессом

Рассматриваемый процесс обладает ограниченными возможностями для нарушения нормальных условий процесса, которые приводят к коррозии. Он также является процессом пакетной обработки, что облегчает реализацию требования очистить корпус реактора между циклами процесса. Никаких специальных требований к проекту реализовано не было.

F.19.17 Техническое обслуживание

Организация, занимающаяся техническим обслуживанием, участвовала в планировании, верификации и одобрении проекта. Особое внимание было уделено проекту, так как он связан с калибровкой, требованиями к обучению, применению байпасов и испытаниям.

F.19.18 Уязвимости неправильных действий

Эксплуатирующая организация участвовала в планировании, верификации и одобрении проекта. Особое внимание было уделено тому, как в результате проектирования были получены: упрощенные процедуры эксплуатации, требования к минимизации вмешательства оператора в производство, надлежащие режимы работы, обеспечивающие возможность прекращения обработки партии на ключевых интервалах, результаты тестирования ППО, гарантирующие обеспечение соответствия потребностям процесса, а также подтверждения того, что решение проблем управления аварийными сигналами/ЧМИ было удовлетворительным.

F.19.19 Архитектура ПСБ

В данном пункте рассматривается архитектура ПСБ. На рисунке F.12 предоставлена архитектура ПСБ. Цель данного пункта заключается в том, чтобы проиллюстрировать архитектуру ПСБ и ее связи с внешними устройствами (например, с ОСУП, ЧМИ, датчиками и исполнительными элементами процесса).

ОСУП взаимодействует с ПСБ через магистраль передачи данных. Тем не менее требования к защите требуют того, чтобы изменения уставок ПСБ и изменения конфигурации ПСБ могли выполняться только через предназначенный для этого инженерный пульт ПСБ. Инженерный пульт ПСБ должен непосредственно подсоединяться к ПСБ из аппаратной управления каждый раз, когда в уставки ПСБ или ее конфигурацию вносятся изменения.

F.20 Особенности проекта прикладной программы ПСБ

Документация на ППО включает комментарии, которые являются достаточно подробными, позволяющими объяснить функцию каждого символа, каждой ФБ ПСБ и связь каждого символа с ФБ ПСБ. Комментарии являются достаточно полными и полезными персоналу по проектированию и техническому обслуживанию как для понимания функций ППО, так и для ориентации в нем.

F.21 Практика электромонтажа

Правильные способы электромонтажа являются незаменимыми в обеспечении желаемого уровня готовности ПСБ. Ниже приведен список способов электромонтажа, реализованных в данной ПСБ:

- цепи не имеют общих нулевых проводников или общих обратных проводов постоянного тока, чтобы минимизировать:

- вероятность непреднамеренного разрывания цепи(ей) в случае, когда нулевой проводник или общий провод отключен или оборван;

- возможность возникновения замыканий через цепь заземлений и ошибок разводки;

- обеспечение дополнительными ответвлениями (10 % запасных, 20 % с промежутком);

- функции предохранителей входов-выходов включают:

- использование схем входа-выхода с индивидуальными предохранителями для лучшей локализации сбоев и минимизации возможных негативных последствий по общей причине;

- использование входов-выходов изолированного типа;

- использование внешних плавких предохранителей (т.е. предохранителей входов-выходов внешних для ПЛК) там, где это требуется и где можно минимизировать удаление карты;

- использование колодок с плавкими предохранителями (вместе с общей предохранительной вставкой/рубильником) в качестве средства обеспечения отключения в целях обслуживания;

- использование прозрачного стекла, устойчивого к ЭМП, чтобы позволить визуальный доступ к диагностической информации (например, к лампочкам входов-выходов);

- внутреннее (т.е. внутри шкафа с логическим решающим устройством) освещение и розетка с включением вилки с ее последующим поворотом для ПСБ, предназначенная устранить подключение в розетку приборов индуктивной связи;

- клеммы ПСБ идентифицируются, когда они расположены рядом с контактными выводами, не связанными с ПСБ;

- чтобы минимизировать магнитные помехи и помехи по общей причине там, где это было необходимо, применялся монтаж витой парой.

Примечания

1 Канал связи с ЧМИ ПСБ сопровождается коммуникационным WDT, обеспечивающим работу ЧМИ ПСБ во время рабочего цикла.

2 Дублирование прикладного ПО ПСБ.

3 Аварийные сигналы весовой камеры и уровня [300 WTA и 400 LSA (см. рисунок F.11)].

Рисунок F.12 - ПСБ для реактора ВХМ

F.22 Защита

Меры обеспечения защиты, предпринимаемые в проекте ПСБ, поддерживают полноту безопасности путем предотвращения несанкционированных и непреднамеренных модификаций любых функций ПСБ или устройств, включая логические решающие устройства, логику приложения, интерфейсы пользователя, датчики и исполнительные элементы. Для тех устройств (например, устройств интерфейса), которым сложнее управлять физическим доступом, должно быть реализовано применение административных процедур.

Были реализованы некоторые базовые методы обеспечения защиты:

- письменное разрешение с пояснением причин получения доступа;

- письменное разрешение, где идентифицированы личности, которым требуется доступ;

- определение требующегося обучения и/или уровня ознакомления с системой перед разрешением доступа;

- определение того, кто будет обладать доступом к системе, при каких обстоятельствах и для выполнения какой работы. Сюда включены процедуры, необходимые для управления байпасами при техническом обслуживании.

Свойства ПСБ, которые облегчают управление доступом. Примеры таких свойств проекта включают:

- строгую идентификацию устройств ПСБ посредством разноцветной маркировки;

- физическое распределение оборудования ПСБ и ОСУП (облегчая защиту замками связанных с ними шкафов);

- применение разнообразных технологий (что, как правило, требует и другого интерфейса для технического обслуживания).

Использование ПСБ, основанных на ПЭС, привнесло дополнительные проблемы защиты, связанные с относительной легкостью внесения изменений в логику приложения. Для этих систем были реализованы дополнительные функции, включая:

- ограничение доступа к интерфейсу разработки/обслуживания;

- утверждение административной политики/процедур, определяющих условия, при которых интерфейс технического обслуживания может быть подключен к системе во время нормального функционирования;

- использование программного обеспечения для поиска вирусов, а также надлежащих процедур обработки файлов и программ в инженерном пульте, чтобы помочь избежать искажения встроенной логики и/или логики приложений;

- использование служебного программного обеспечения ПСБ, которое отслеживает новые версии логики приложений и позволяет определять (по факту), когда было внесено изменение, кто его сделал и из чего оно состояло;

- отсутствие каких-либо внешних соединений ПСБ или ОСУП с Интернетом или телефонными линиями.

F.23 Шаг F.5. Установка, ввод в эксплуатацию и подтверждение соответствия ПСБ

Таблица F.17 - Жизненный цикл ПСБ. Блок 5

Стадия или деятельность жизненного цикла безопасности		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок F.7, блок 5	Установка, ввод в эксплуатацию и подтверждение соответствия ПСБ	Собрать и испытать ПСБ. Подтвердить соответствие во всех отношениях ПСБ требованиям безопасности в части требуемых ФБ ПСБ и требуемой полноты безопасности	12.3, 14, 15	Проект ПСБ. План испытания интеграции ПСБ. Требования к безопасности ПСБ. План для подтверждения соответствия безопасности ПСБ	Полное функционирование ПСБ в соответствии с проектом ПСБ. Результаты тестирования интеграции ПСБ. Результаты деятельности по установке, вводу в эксплуатацию и подтверждению соответствия

В таблице F.17 представлены цели, входы, выходы и ссылки на связанные с ними разделы и подразделы для установки, ввода в эксплуатацию и подтверждения соответствия ПСБ.

F.24 Установка

Установка ПСБ начинается с наличия проекта, производственного помещения, технологического оборудования, средств обеспечения (например, электричества) и приборного оборудования. Установка заканчивается переходом (т.е. передачей) ПСБ от построения до эксплуатации. Этот переход отражает принятие ПСБ отделом эксплуатации; в этот момент начинается запуск ПСБ в эксплуатацию (см. настоящий раздел).

Корпоративные функции по закупке и входному контролю были признаны адекватными для обеспечения принятия указанных устройств ПСБ в исправном состоянии в сопровождении надлежащей документации по их использованию в соответствии с МЭК 61511-1:2016 (подраздел 11.5). Временное хранение каждого устройства выполняется согласно руководству по безопасности производителя этого устройства и включает любые необходимые меры профилактического обслуживания оборудования.

Необходимо отметить, что существовала процедура обратного перехода в режим установки для реализации исправлений проблем, обнаруженных отделом эксплуатации; этот переход приводил к тому, что смежное оборудование оказывалось на разных стадиях завершения/приемки (т.е. в состоянии установки, а не в состоянии эксплуатации). Для данного проекта были использованы белая метка (для состояния эксплуатации) и зеленая метка (для состояния построения).

Каждое приборное средство было идентифицировано с помощью кодовой метки данного приборного средства. Для ПСБ были предоставлены следующие дополнительные идентификационные характеристики:

- все приборные средства ПСБ обеспечены визуальной идентификацией (т.е. покрашены красным цветом) их статуса как устройства ПСБ;

- шкаф ПСБ обеспечен биркой с наименованием, ссылающейся на шифр чертежа ПСБ;

- ЧМИ-интерфейсы ПСБ идентифицированы (с помощью идентификации на первой странице программного обеспечения) как устройства, связанные с ПСБ;

- каждое устройство ФБ ПСБ было идентифицировано с помощью маркировки: # чертежа его контура и # ФБ ПСБ.

В установку ППО не входит сборка. ППО было разработано, испытано и верифицировано во время проектирования и было введено в ПСБ во время ввода системы в эксплуатацию.

Перед передачей отделу эксплуатации были выполнены следующие действия по верификации сборки:

- "прозвон" проложенной проводки для обеспечения надлежащего заземления и схемы соединения ПСБ;

- подача питания на средства управления (тем самым обеспечивая отсутствие коротких замыканий или перегрузок), включая входы-выходы;

- прямой пуск подачей полного напряжения (например, ступенчатым напряжением, "броском") на каждый двигатель и каждый клапан для обеспечения их работы в правильном направлении;

- проверка функциональности всех средств обеспечения (например, пневматической системы);

- выполнение "сквозного контроля" для проверки того, что установка завершена, безопасна и корректна;

- предоставление полной и исполнительно-технической документации ПСБ.

Отдел эксплуатации принимает участие в вышеописанной деятельности по верификации, чтобы:

- обрести понимание границ установки и размещения устройств ПСБ;

- обрести понимание размещения средств обеспечения и критически важных для них устройств [например, защиты от отключения, перегрузки и короткого замыкания (например, предохранители, автоматические выключатели)];

- иметь возможность предоставить необходимую подробную информацию для их плана ввода в эксплуатацию (см. раздел F.25);

- отдел технического обслуживания ознакомился с установкой ПСБ, работая под руководством отдела сборки, чтобы выполнить выбранные действия по верификации ПСБ, рассмотренные в настоящем разделе (например, "прозвон" ПСБ).

Завершенная установка верифицируется и принимается инспекционной группой, составленной из персонала сборки, эксплуатации и проектирования. После этого оборудование было промаркировано, чтобы отразить, что оборудование принято отделом эксплуатации и ему принадлежит (т.е. отдел эксплуатации несет ответственность за это оборудование).

F.25 Ввод в эксплуатацию

Ввод в эксплуатацию - это действия, выполняемые в период времени, начинающийся после завершения передачи (т.е. отделом сборки отделу эксплуатации) и заканчивающийся верификацией того, что ввод в эксплуатацию ПСБ завершен и можно перейти к подтверждению соответствия (см. раздел F.27). Для данного примера ввод ПСБ в эксплуатацию начался сразу же после ввода в эксплуатацию ОСУП.

Процедура ввода в эксплуатацию ПСБ включает идентификацию, построение графика, планирование, организацию, надзор и документальное оформление отладки системы аппаратных средств ПСБ, а также откладку операционных(ой) систем(ы) (т.е. встроенного ПО).

Ввод в эксплуатацию ПСБ рассматриваемого примера также называется "отладкой", так как это понятие лучше отражает основной вид деятельности, входящей в ввод в эксплуатацию. Отладка является пошаговой процедурой, обеспечивающей, что:

- подключение всех узлов ПСБ осуществлено правильно (включая заземление);

- все средства обеспечения (например, электроэнергия, сжатый воздух) функционируют надлежащим образом;

- все устройства ПСБ (например, датчики, логические решающие устройства, исполнительные элементы, ЧМ-интерфейсы, инженерные станции, коммуникационные системы) обеспечиваются питанием и функционируют надлежащим образом;

- настройки датчиков корректны.

Устройства с фиксированным языком программирования (ФЯП) (например, интеллектуальные датчики) были проверены в течение этого периода времени. Инженерная станция логического решающего устройства ПСБ и все ее возможности были задействованы во время отладки. Отдел обслуживания объекта был ключевым участником в этой деятельности при поддержке отделов сборки и проектирования, когда это требовалась. Отдел эксплуатации одобрил ввод в эксплуатацию, посчитав его завершенным и удовлетворительным, прежде, чем был выполнен переход к подтверждению соответствия.

F.26 Документация

Вся необходимая документация должна быть доступна персоналу. В связи с этим была проведена проверка обеспечения доступности и корректности всей документации перед переходом к подтверждению соответствия.

Окончательный список принятых документов включает в себя следующее:

- документацию по анализу рисков и опасностей ["что если" (см. таблицу F.4), HAZOP (см. таблицу F.5)];

- классификацию допустимого риска (см. таблицу F.8);

- документальное оформление распределения риска по слоям защиты - определение УПБ для каждой ФБ ПСБ (АУЗ);

- процедуру испытания для каждой ФБ ПСБ (см. раздел F.27);

- спецификацию требований к безопасности, включающую:

- схемы Т и КИП;

- логические диаграммы;

- распечатку ППО;

- руководства по безопасности;

- обоснование безопасности органом оценки;

- документальное оформление метода обоснования выбора оборудования;

- инструкции по установке от производителя;

- документацию на аппаратные средства ПСБ/ППО/установку/техническое обслуживание;

- обоснование стойкости к систематическим отказам;

- вычисления верификации УПБ (т.е. ВОНЗ_ср) для ФБ ПСБ, включая диаграммы состояний.

F.27 Подтверждение соответствия

Подтверждение соответствия - это действия, выполняемые в период времени, начинающийся после завершения ввода в эксплуатацию и заканчивающийся получением заключения о том, что ПСБ соответствует функциональным требованиям, заданным в СТБ.

Подтверждение соответствия ПСБ начинается после ввода в эксплуатацию ПСБ и подтверждения соответствия ОСУП.

Процедура подтверждение соответствия ПСБ включает идентификацию, составление графика, планирование, организацию, надзор и документальное оформление определенного набора действий. Эти действия для ПСБ включают:

- обкатку системы аппаратных средств;

- обкатку операционных(ой) систем(ы) (т.е. встроенного программного обеспечения);

- обкатку ППО;

- запуск (одобрение приемочного испытания и передача на производство, т.е. отделу эксплуатации).

Подтверждение соответствия данного примера ПСБ было разделено на "обкатку" и "запуск", чтобы лучше отразить основной вид деятельности, реализованный для подтверждения соответствия.

Обкатка - это пошаговая процедура, гарантирующая корректное функционирование ПСБ с неопасными материалами в технологическом процессе (например, использование воды вместо опасной жидкости), при этом управление процессом выполняется так, как если бы он реализовывал конечный продукт. Чтобы это было возможно, ППО логического решающего устройства ПСБ было установлено (см. раздел F.23) и испытано (см. раздел F.27) тщательным образом на всех его режимах работы (например, при запуске, действии, останове). Производственный персонал являлся ключевым участником в этот период времени при поддержке персонала по обслуживанию и проектированию. При успешном завершении и одобрении обкатки отделом эксплуатации ПСБ передается на запуск.

Запуск является деятельностью, для которой требуется, чтобы отдел эксплуатации безопасным образом производил качественную продукцию при заранее одобренном цикле производства. Во время этой процедуры устройства ПСБ проверяются, чтобы обеспечить их надлежащее функционирование и способность выполнять их функцию безопасности, как установлено во время обкатки. После успешного завершения этой процедуры ее результаты были документально оформлены и отделом эксплуатации были окончательно утверждены. Подтверждение соответствия этого проекта ПСБ было завершено.

F.28 Испытание

Большая часть требующихся испытаний, обсуждаемых в настоящем разделе, была проведена во время начального подтверждения соответствия ПСБ. Процедуры испытаний, описанные ниже, также применяются для периодического тестирования и инспекции, описанной в разделе F.29, шаг 6.

Процедура испытания была составлена проектировщиком ПСБ. Эта процедура включает признание возникновения возможных происшествий, связанных с безопасностью, в результате проведения испытания ФБ ПСБ. В результате полученная процедура испытаний точно описывает, как безопасно выполнить испытания, а также количество/качество требующегося оборудования и персонала.

Испытание состояло из следующих действий:

- испытаний устройств;

- заводских испытаний и калибровки;

- моделирования;

- раздельного тестирования логики;

- автоматического тестирования;

- ручного тестирования;

- документального оформления состояния непосредственно перед началом поверки и состояния непосредственно после окончания поверки;

- подробной пошаговой процедуры.

Некоторые основные функции были протестированы не только ради настроек срабатывания и исполнительных управляющих устройств. Были проверены диагностические процедуры выявления ошибок, таких как потеря сигнала, формируют эти диагностические процедуры аварийные сигналы или переводят процесс в безопасное состояние. Была проверена логика с фиксацией состояния и его сброса в ФБ ПСБ, учитывая положение исполнительного управляющего устройства на сбросе. Положение возврата было документально оформлено и проверено.

Было испытано взаимодействие ПСБ с ОСУП. Были проверены показатели ФБ ПСБ, отправляемые в ОСУП, вместе с любыми другими действиями, выполняемыми при получении этих показателей. Дублирование логики ПСБ, выполняемое ОСУП, было испытано отдельно, чтобы подтвердить, что обе системы работают в соответствии с их проектами.

Общая процедура испытания ФБ ПСБ выглядит следующим образом:

- организация байпаса других ФБ ПСБ, которые необходимо обойти, чтобы испытать целевую ФБ ПСБ;

- моделирование нормальных условий работы:

- моделирование приборных сигналов при нормальных рабочих условиях;

- установка целевых исполнительных управляющих устройств в нормальное рабочее положение;

- установка контроллеров и других устройств в нормальный рабочий режим;

- испытание ФБ ПСБ:

- запись фактической точки срабатывания ФБ ПСБ;

- верификация аварийного сигнала тревоги ФБ ПСБ и действий исполнительных управляющих устройств;

- верификация действий ОСУП, связанных с ФБ ПСБ;

- сброс состояния ФБ ПСБ:

- верификация сохранения действий ФБ ПСБ в безопасном состоянии;

- сброс ФБ ПСБ:

- верификация сброса действий ФБ ПСБ в ее запроектированное состояние.

В процедуре примера полагается, что приборные средства прошли заводские испытания и откалиброваны. Этот пример процедуры написан скорее для одновременного тестирования всех функций ПСБ, чем для случая, в котором для каждой ФБ ПСБ имеется своя процедура. В первую очередь эта процедура проверяет основную функцию ПСБ и исполнительные управляющие устройства. Каждое действие по выполнению испытания предоставляет процедуру испытания в случае, если был заменен датчик или было внесено изменение в настройку срабатывания.

Важным ключевым фактором для успешного выполнения испытания на стадии подтверждения соответствия являлась заинтересованность персонала по эксплуатации и техническому обслуживанию в получении четкого понимания всех аспектов технологического процесса, ОСУП и ПСБ. Этот персонал включал:

- квалифицированного оператора пункта управления;

- квалифицированного электротехника и специалиста по приборам.

В таблице F.18, приведенной ниже, представлен список используемых типов приборных средств и некоторых процедур проведения испытания.

Таблица F.18 - Список используемых типов приборных средств и процедур проведения испытания

Давление:
нормальные соединения	Обеспечение соединения дренажа/вентиляции и давления испытания на выходе клапана основного блока
выносные мембраны	Изолирующие клапаны и калибровочные кольца должны предоставляться для проведения испытания при действующем процессе. В подтверждении соответствия калибровки следует учитывать подъем (уровня) по отношению к клапану(ам) и определенную плотность заполняющей жидкости для капилляра
Температура:
термопара	Проверка целостности устройства может быть выполнена только для определения работоспособности. Следует измерить значение в мВ на выходе при известной температуре и сравнить со стандартной кривой
резистивный температурный датчик (РТД)	Для проверки работоспособности устройства может быть измерено сопротивление. Верификацию сопротивления стоит проводить при известной температуре, сравнивая значения со стандартной таблицей калибровки данного устройства
системы с наполнением	Следует снять первичный датчик и поместить его в температурную ванну
биметаллический переключатель	Следует снять первичный датчик и поместить его в температурную ванну

Описанная далее процедура является примером для подтверждения соответствия функций ПСБ, включая диагностические аварийные сигналы. Этот пример не включает испытание функций ОСУП. Каждое устройство ПСБ (например, датчик, логическое решающее устройство, исполнительный элемент) тестировалось (или заменялось) по рекомендации производителя, что может быть не учтено в процедуре данного примера, но предполагается, что это было выполнено отдельно [см. ISA-TR84.00.03:2012, Mechanical Integrity of Safety Instrumented Systems (SIS)]. Примеры процедур проведения испытания можно найти в руководстве по безопасности производителя в разделе, посвященном контрольным испытаниям. Полная процедура испытания может также включать в себя испытание:

- действий ОСУП при активации функции безопасности, таких как переключение контроллеров в ручной режим;

- функций блокировки дублирования ОСУП;

- аварийных сигналов ОСУП при диагностике системы безопасности;

- аварийных сигналов ОСУП, распределенных в качестве слоев защиты в результате АУЗ.

Пример процедуры проверки блокировки реактора R1 приведен ниже.

В процедуре, приведенной ниже, цитируется NOMEX*.

------------------------------

* NOMEX является примером подходящего изделия, доступного на рынке. Эта информация предоставляется для удобства пользователей настоящего стандарта и не означает поддержку данного изделия со стороны МЭК.

Заголовок:	Реактор R1 Процедура проверки блокировки	Подготовил:		ДАТА:
		Проверил:		ДАТА:
Область:		Техническое утверждение:		ДАТА:
Критически важное обеспечение безопасности производственного процесса:	Да	Утвердил:		ДАТА:

Отчет о результатах испытания

А. Испытанные датчики/переключатели:

Тип	Ноль	Диапазон	Единица измерения	Норма	Норма, мА	Аварийный сигнал	Аварийный сигнал, мА	Срабатывание	Срабатывание, мА	Устойчивость
100РТ	0	200	PSIG	100	12	115	13.2	125	14	2 PSIG
100РТ1	0	200	PSIG	100	12	115	13.2	125	14	2 PSIG
100ТТ	0	250	Deg F	125	12	180	15,52	200	16,8	2 Deg F
200РТ	0	20	PSIG	2,5	6	5	8	10	12	1 PSIG

В. Испытанные исполнительные управляющие устройства

Тип	Положение
100PV	Открыт
100PV1	Открыт

C. Результаты испытания

Проверка первая:

	Все устройства прошли испытание.
	Для прохождения испытания потребовались корректирующие действия.
	Дата завершения проверочной процедуры: __________________.

D. Безопасность и здоровье

Защитное оборудование для персонала в соответствии с требованиями процедуры (например, защитные очки, шлем-каска, защитные ботинки).

E. Специальное защитное оборудование

Для защиты от световой вспышки требуется NOMEX.

F. Условия, предшествующие испытанию, и блокировка

Должен быть проведен сброс реактора, и реактор должен быть заблокирован при помощи процедуры "запереть, отметить и проверить" (lock, tag & try).

Системы аварийного останова должны быть неактивны. Там, где необходимо, должны быть установлены барьеры.

Информация (например, знаки, памятки, составление графиков, планирование) должна быть исчерпывающей.

G. Разрешения

Разрешение на разрыв линии для каждого измерительного преобразователя.

H. Специальное оборудование

Один генератор тока.

Одно переносной передатчик-коммутатор.

I. Габаритные чертежи

# Схемы Т и КИП:

# Схемы логики:

# Чертежи E&I:

J. Штатная численность

Квалифицированный оператор пункта управления.

Квалифицированный специалист-электрик и специалист по приборам.

Каждая процедура испытания блокировки обладает своими уникальными требованиями к обеспечению безопасности. Следующий текст следует модифицировать, чтобы он соответствовал требованиям для конкретного применения.

Калибровка и осмотр

А. Инструментальное средство, прошедшее калибровку, или калибровка, прошедшая верификацию

Инструментальные средства, прошедшие калибровку в соответствии с их процедурами обслуживания.

Тип	Описание	Срабатывание	До проверки	Инициалы	Дата
100РТ	Давление в реакторе север
100РТ1	Давление в реакторе юг
100ТТ	Температура в реакторе
200РТ	Давление в предохранителе от утечки реактора

В. Осмотренные инструментальные средства и исполнительные устройства управления

Внешние установки, осмотренные для обнаружения проблем с проводкой, трубопроводами, фильтрами, контрольно-измерительными приборами, соленоидами, изоляцией и технологическими соединениями.

Тип	Описание	До проверки	После проверки	Инициалы	Дата
100РТ	Давление в реакторе север
100РТ1	Давление в реакторе юг
100ТТ	Температура в реакторе
200РТ	Давление в предохранителе от утечки реактора
100PV	Выпускной клапан реактора север
100PV1	Выпускной клапан реактора юг

Процедура испытания блокировки

Время начала процедуры проверки: _____________ Дата: ______________

Процедура была выполнена:

Звание	Подпись	Дата
Оператор пункта управления
Технический специалист E&I
Технический специалист E&I
Менеджер группы эксплуатации

Общая структура для процедуры проверки блокировки

Технический специалист E&I:

А. Воспроизвести нормальные условия работы

	Убрать все блокировки ОСУП на 100PV и 100PV1.
	Обновить список проверки обхода для обхода #1.

Процедура проверки блокировки для РВ (кнопки) останова ПСБ реактора

Периодичность испытания:	6 мес
Цель испытаний:	Ручной останов системы безопасности реактора открывает клапаны управления давлением в реакторе 100 V и 100PV1. Также следует провести испытание диагностики исполнительных управляющих устройств

A. Снять блокировку. (Оператор пункта управления)
	Сбросить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
	Проверить, что лампочка ЕА011 не горит, сигнализируя о том, что система безопасности реактора в неактивном режиме.
B. Воспроизвести нормальные условия. (Оператор пункта управления)
	Проверить, что диагностический аварийный сигнал закрытого выпускного клапана реактора ЕА18 не горит.
	Из ОСУП закрыть выпускной клапан реактора 100PV.
	Из ОСУП закрыть выпускной клапан реактора 100PV1.
	Установить все контроллеры ОСУП в нормальное рабочее положение.
	Установить все контроллеры ОСУП в нормальный рабочий режим.
	Установить все клапаны и двигатели ОСУП в нормальный рабочий режим.
C. Провести верификацию нормальных условий на объекте. (Оператор на объекте)
	Провести верификацию на объекте закрытия выпускного клапана 100PV.
	Провести верификацию на объекте закрытия выпускного клапана 100PV1.
D. Провести испытание диагностического аварийного сигнала. (Технический специалист E&I)
	Отсоединить сигнал от переключателя закрытого положения выпускного клапана реактора 100LSC.
	Проверить, что диагностический аварийный сигнал закрытого выпускного клапана реактора ЕА18 горит.
	Подсоединить сигнал от переключателя закрытого положения выпускного клапана реактора 100LSC.
	Проверить, что диагностический аварийный сигнал закрытого выпускного клапана реактора ЕА18 не горит.
	Отсоединить сигнал от переключателя закрытого положения выпускного клапана реактора 100LSC1.
	Проверить, что диагностический аварийный сигнал закрытого выпускного клапана реактора ЕА18 горит.
	Подсоединить сигнал от переключателя закрытого положения выпускного клапана реактора 100LSC1.
	Проверить, что диагностический аварийный сигнал закрытого выпускного клапана реактора ЕА18 не горит.
E. Провести испытание блокировки. (Оператор пункта управления)
	Произвести останов системы безопасности реактора нажатием кнопки останова 500РВ.
F. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка активности системы безопасности реактора ЕА010 не горит.
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что диагностический аварийный сигнал об открытии выпускного клапана реактора ЕА17 не горит.
	Из ОСУП проверить, что выпускной клапан реактора 100PV открыт.
	Из ОСУП проверить, что выпускной клапан реактора 100PV1 открыт.
	Проверить, что все контроллеры ОСУП установлены в безопасное положение.
	Проверить, что все контроллеры ОСУП установлены в безопасный режим.
	Проверить, что все клапаны и двигатели ОСУП находятся в безопасном режиме.
G. Провести верификацию нормальных условий на объекте. (Оператор на объекте)
	Провести верификацию на объекте, что выпускной клапан реактора 100PV открыт.
	Провести верификацию на объекте, что выпускной клапан реактора 100PV1 открыт.
H. Провести испытание диагностического аварийного сигнала. (Технический специалист E&I)
	Отсоединить сигнал от переключателя открытого положения выпускного клапана реактора 100LSO.
	Проверить, что диагностический аварийный сигнал открытого выпускного клапана реактора ЕА17 горит.
	Подсоединить сигнал от переключателя закрытого положения выпускного клапана реактора 100LSO.
	Проверить, что диагностический аварийный сигнал открытого выпускного клапана реактора ЕА17 не горит.
	Отсоединить сигнал от переключателя открытого положения выпускного клапана реактора 100LSO1.
	Проверить, что диагностический аварийный сигнал открытого выпускного клапана реактора ЕА17 горит.
	Подсоединить сигнал от переключателя открытого положения выпускного клапана реактора 100LSC1.
	Проверить, что диагностический аварийный сигнал открытого выпускного клапана реактора ЕА17 не горит.
I. Сбросить блокировку. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка активности системы безопасности реактора ЕА010 горит.
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, не горит.
	Проверить, что диагностический аварийный сигнал открытого выпускного клапана реактора ЕА17 не горит.
J. Провести верификацию условий переустановки на объекте. (Оператор на объекте)
	Провести верификацию на объекте, что выпускной клапан реактора 100PV открыт.
	Провести верификацию на объекте, что выпускной клапан реактора 100PV1 открыт.
K. Провести верификацию условий переустановки. (Оператор пункта управления)
	Из ОСУП проверить, что выпускной клапан реактора !00PV открыт.
	Из ОСУП проверить, что выпускной клапан реактора !00PV1 открыт.
	Проверить, что все контроллеры ОСУП установлены в безопасное положение.
	Проверить, что все контроллеры ОСУП установлены в безопасный режим.
	Проверить, что все клапаны и двигатели ОСУП находятся в безопасном режиме.
Процедура проверки блокировки давления в реакторе, датчик 100РТ

ФБ ПСБ	S1, S2
Название события:	Превышение допустимого давления в реакторе
Классификация события:	УПБ 2
Периодичность испытания:	6 мес
Цель испытания:	Высокое давление в реакторе открывает клапаны управления давлением реактора 100PV и 100PV1

A. Провести диагностику (Технический специалист E&I)
	Подключиться к датчику давления реактора 100РТ при помощи ручного коммуникатора и провести диагностику датчика.
	Проверить, что ошибки диагностики отсутствуют.
B. Воспроизвести нормальные условия. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
C. Провести испытание блокировки. (Технический специалист E&I)
	Отсоединить датчик давления реактора 100РТ от системы безопасности.
D. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
E. Воспроизвести нормальные условия. (Технический специалист E&I)
	Подсоединить моделирующее устройство к датчику давления реактора 100РТ.
	Смоделировать давление 100 фунт/кв. дюйм (12 мА) на датчике давления реактора 100РТ.
	Обновить список проверки обхода для обхода #2.
F. Воспроизвести нормальные условия. (Оператор пункта управления)
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, не горит.
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 активности системы безопасности реактора горит.
G. Провести испытание блокировки. (Технический специалист E&I)
	Постепенно повысить уровень моделируемого сигнала на датчике давления реактора 100РТ до 125 фунт/кв. дюйм (14 мА).
	Записать настройки, при которых произошло срабатывание блокировки: _______________
H. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
I. Сбросить блокировку. (Технический специалист E&I)
	Постепенно понизить уровень моделируемого сигнала на датчике давления реактора 100РТ до 100 фунт/кв. дюйм (12 мА).
J. Провести верификацию условий переустановки. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора не горит.
K. Возвращение к текущим условиям. (Технический специалист E&I)
	Отключить моделирующее устройство от датчика давления реактора 100РТ.
	Присоединить датчик давления реактора 100PT к системе безопасности.
	Обновить список проверки обхода для обхода #2.
L. Провести верификацию текущих условий. (Оператор пункта управления)
	Провести верификацию того, что датчик давления 100РТ реактора считывает фактическое давление в реакторе.
Процедура проверки блокировки давления в реакторе, датчик 100РТ1

ПСБ	S2
Название события:	Превышение допустимого давления в реакторе
Классификация события:	УПБ 2
Периодичность испытания:	6 мес
Цель испытания:	Высокое давление в реакторе открывает клапаны управления давлением реактора 100PV и100PV1

A. Провести диагностику. (Технический специалист E&I)
	Подключиться к датчику давления реактора 100РТ1 при помощи ручного коммуникатора и провести диагностику датчика.
	Проверить, что ошибки диагностики отсутствуют.
B. Воспроизвести нормальные условия. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
C. Провести испытание блокировки. (Технический специалист E&I)
	Отсоединить датчик давления реактора 100РТ1 от системы безопасности.
D. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
E. Воспроизвести нормальные условия. (Технический специалист E&I)
	Подсоединить моделирующее устройство к датчику давления реактора 100РТ1.
	Смоделировать давление 100 фунт/кв. дюйм (12 мА) на датчике давления реактора 100РТ1.
	Обновить список проверки обхода для обхода #3.
F. Воспроизвести нормальные условия. (Оператор пункта управления)
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, не горит.
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 активности системы безопасности реактора горит.
G. Провести испытание блокировки. (Технический специалист E&I)
	Постепенно повысить уровень моделируемого сигнала на датчике давления реактора 100РТ1 до 125 фунт/кв. дюйм (14 мА).
	Записать настройки, при которых произошло срабатывание блокировки: _______________
H. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
I. Сбросить блокировку. (Технический специалист E&I)
	Постепенно понизить уровень моделируемого сигнала на датчике давления реактора 100РТ1 до 100 фунт/кв. дюйм (12 мА).
J. Провести верификацию условий переустановки. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора не горит.
K. Возвращение к текущим условиям. (Технический специалист E&I)
	Отключить моделирующее устройство от датчика давления реактора 100РТ1.
	Присоединить датчик давления реактора 100РТ1 к системе безопасности.
	Обновить список проверки обхода для обхода #3.
L. Провести верификацию текущих условий. (Оператор пункта управления)
	Провести верификацию того, что датчик давления 100РТ1 реактора считывает фактическое давление в реакторе.
Процедура проверки блокировки температуры в реакторе, датчик 100ТТ

ПСБ	S1
Название события:	Превышение допустимой температуры в реакторе
Классификация события:	УПБ 2
Периодичность испытания:	12 мес
Цель испытания:	Высокая температура в реакторе открывает клапаны управления давлением реактора 100PV и100PV1

A. Провести диагностику (Технический специалист E&I)
	Подключиться к датчику температуры реактора 100ТТ при помощи ручного коммуникатора и провести диагностику датчика.
	Проверить, что ошибки диагностики отсутствуют.
B. Воспроизвести нормальные условия. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
C. Провести испытание блокировки. (Технический специалист E&I)
	Отсоединить датчик температуры реактора 100TT от системы безопасности.
D. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
E. Воспроизвести нормальные условия. (Технический специалист E&I)
	Подсоединить моделирующее устройство к датчику температуры реактора 100ТТ.
	Смоделировать температуру 125 F (12 мА) на датчике температуры реактора 100ТТ.
	Обновить список проверки обхода для обхода #4.
F. Воспроизвести нормальные условия. (Оператор пункта управления)
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, не горит.
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 активности системы безопасности реактора горит.
G. Провести испытание блокировки. (Технический специалист E&I).
	Постепенно повысить уровень моделируемого сигнала на датчике температуры реактора 100ТТ до 200 град. F (16,8 мА).
	Записать настройки, при которых произошло срабатывание блокировки: _________________
H. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
I. Сбросить блокировку. (Технический специалист E&I)
	Постепенно понизить уровень моделируемого сигнала на датчике температуры реактора 100ТТ до 125 град F (12 мА).
J. Провести верификацию условий переустановки. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора не горит.
K. Возвращение к текущим условиям. (Технический специалист E&I)
	Отключить моделирующее устройство от датчика температуры реактора 100ТТ.
	Присоединить датчик температуры реактора 100TT к системе безопасности.
	Обновить список проверки обхода для обхода #4.
L. Провести верификацию текущих условий. (Оператор пункта управления)
	Провести верификацию того, что датчик температуры реактора 100ТТ считывает фактическую температуру в реакторе.
Процедура проверки блокировки давления в предохранителе от утечки реактора, датчик 200РТ

ПСБ	S3
Название события:	Превышение допустимого давления в предохранителе от утечки реактора
Классификация события:	УПБ 2
Периодичность испытания:	6 мес
Цель испытания:	Высокое давление в предохранителе от утечки реактора открывает клапаны управления давлением 100PV и 100PV1

A. Провести диагностику. (Технический специалист E&I)
	Подключиться к датчику давления реактора 200РТ при помощи ручного коммуникатора и провести диагностику датчика.
	Проверить, что ошибки диагностики отсутствуют.
B. Воспроизвести нормальные условия. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
C. Провести испытание блокировки. (Технический специалист E&I)
	Отсоединить датчик давления реактора 200РТ от системы безопасности.
D. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
E. Воспроизвести нормальные условия. (Технический специалист E&I)
	Подсоединить моделирующее устройство к датчику давления в предохранителе от утечки реактора 200РТ.
	Смоделировать давление 2,5 фунт/кв. дюйм (6 мА) на датчике давления в предохранителе от утечки реактора.
	Обновить список проверки обхода для обхода #5.
F. Воспроизвести нормальные условия. (Оператор пункта управления)
	Проверить, что лампочка ЕА014, сигнализирующая о диагностическом аварийном сигнале датчика системы безопасности реактора, не горит.
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 активности системы безопасности реактора горит.
G. Провести испытание блокировки. (Технический специалист E&I)
	Постепенно повысить уровень моделируемого сигнала на датчике давления в предохранителе от утечки реактора 200РТ до 10 фунт/кв. дюйм (12 мА).
	Записать настройки, при которых произошло срабатывание блокировки: ________________
H. Провести верификацию действий блокировки. (Оператор пункта управления)
	Проверить, что лампочка ЕА011, сигнализирующая о неактивном состоянии системы безопасности реактора, горит.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора горит.
	Проверить, что система безопасности реактора не будет переустановлена при нажатии кнопки сброса PB000.
I. Сбросить блокировку. (Технический специалист E&I)
	Постепенно понизить уровень моделируемого сигнала на датчике давления в предохранителе от утечки реактора 200РТ до 2,5 фунт/кв. дюйм (6 мА).
J. Провести верификацию условий переустановки. (Оператор пункта управления)
	Переустановить систему безопасности реактора нажатием кнопки сброса PB000.
	Проверить, что лампочка ЕА010 горит, сигнализируя о том, что система безопасности реактора в активном режиме.
	Проверить, что лампочка ЕА012 аварийного сигнала о срабатывании датчика системы безопасности реактора не горит.
K. Возвращение к текущим условиям. (Технический специалист E&I)
	Отключить моделирующее устройство от датчика давления в предохранителе от утечки реактора 200РТ.
	Присоединить датчик давления реактора 200РТ к системе безопасности.
	Обновить список проверки обхода для обхода #5.
L. Провести верификацию текущих условий. (Оператор пункта управления)
	Провести верификацию того, что датчик давления в предохранителе от утечки реактора 200РТ считывает фактическое давление в предохранителе от утечки реактора.
	Общие положения завершения процедуры проверки блокировки
	Технический специалист E&I:
А. Вернуть все остальные блокировки в рабочее состояние.
	Вернуть все блокировки ОСУП на 100PV и 100PV1 для применения в режиме эксплуатации.
	Обновить список проверки обхода для обхода #1.
Испытание и осмотр выполнены:

Должность	Подпись	Дата
Оператор пункта управления
Технический специалист E&I
Технический специалист E&I
Менеджер эксплуатационной группы

Время завершения процедуры проверки: __________ Дата: _____________

Осмотр и документальное оформление после испытания.

A. Провести верификацию того факта, что все изменения процедуры были проверены при участии менеджмента и одобрены.

B. Если какое-либо устройство выдало отказ, то указать корректирующее действие, которое потребовалось применить:

     ____________________________________________________________________

     ____________________________________________________________________

     ____________________________________________________________________

Поставить все требующиеся подписи на архивной копии и на копии с записями об испытании системы безопасности. В таблице F.19 показано, как может быть документально оформлен проверочный лист, посвященный использованию моделирования/байпаса в процедурах проверки блокировки.

Таблица F.19 - Контрольный лист использования байпаса/моделирования в процедурах проверки блокировки

Байпас #	Контур	Место установки	Метод	Шаг установки	Подпись	Шаг удаления	Подпись
1	DCS	DCS	Флаг	1.1		7.1
2	100РТ	Датчик	Моделирующее устройство	3.4		3.10
3	100РТ1	Датчик	Моделирующее устройство	4.4		4.10
4	100ТТ	Датчик	Моделирующее устройство	5.4		5.10
5	200РТ	Датчик	Моделирующее устройство	6.4		6.10
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

F.29 Шаг F.6. Эксплуатация и техническое обслуживание ПСБ

Таблица F.20 - Жизненный цикл ПСБ. Блок 6

Стадия или деятельность жизненного цикла ПСБ		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок F.7, блок 6	Эксплуатация и техническое обслуживание ПСБ	Обеспечить поддержание функциональной безопасности ПСБ в процессе эксплуатации и технического обслуживания	16	Требования к ПСБ. Проект ПСБ. План эксплуатации и технического обслуживания ПСБ	Результаты деятельности по эксплуатации и техническому обслуживанию ПСБ

Обучение персонала по эксплуатации, техническому обслуживанию или другого технического персонала функциям как ОСУП, так и ПСБ выполняется до ввода системы в эксплуатацию и повторяется каждый раз, когда в систему вносятся изменения.

Новые элементы, которые следует рассмотреть, при обучении вопросам эксплуатации и технического обслуживания ПСБ, включают:

- терминологию (например, ПСБ, ФБ ПСБ, ВОНЗ_ср, УПБ, слои защиты);

- анализ опасностей и рисков;

- архитектуру [например, ЧМИ (с ПСБ и ОСУП), интерфейсы ПСБ (например, связь только для чтения из ОСУП)];

- требования документации (например, частота запросов к ФБ ПСБ/ПСБ, процедуры/методы/технические приемы, контрольные проверки и осмотры, результаты испытаний, идентификаторы оборудования вплоть до уровня версий, ответственные лица/отделы/организации);

- процедуры обхода;

- периодичность испытаний для ФБ ПСБ/ПСБ;

- функциональное описание ПСБ.

Был разработан журнал срабатываний ПСБ для операторов и технического обслуживающего персонала, чтобы позволить им вести запись запросов к ПСБ и отказов ПСБ. См. таблицу F.21, приведенную ниже.

Ложные срабатывания ФБ ПСБ включаются в этот журнал, но не рассматриваются как запросы к ПСБ.

Таблица F.21 - Журнал срабатываний ПСБ

Дата	ФБ ПСБ	По запросу/ ложное	Причина срабатывания	Отчет о серьезном происшествии #	Записал
5/18/08	S-2	По запросу	Ошибка оператора - перегруженный реактор	Отчет о серьезном происшествии #18	L. Soft
8/03/08	S-3	Ложное	Отказ датчика 200РТ	Отсутствует	J. Doe
2/28/09	S-1	По запросу	Отказ контура управления охлаждающим средством	Отчет о серьезном происшествии #43	Т. Rex

Для идентификации повторяющихся проблем устройств ПСБ (обнаруживаемых во время испытаний) была установлена система отслеживания. Результаты заносятся в журнал, как это показано в таблице F.22.

Таблица F.22 - Журнал отказов устройств ПСБ

Дата	Устройство	Безопасный/ опасный отказ	Описание отказа	Записал
3/21/07	100ТТ	Безопасный	Нарушена калибровка	Т. Rex
5/18/08	100PV	Опасный	Застрял шток клапана - клапан не открывается	L. Soft
8/03/08	100PV	Опасный	Застрял шток клапана - клапан не открывается	J. Doe
2/28/09	100PV	Опасный	Застрял шток клапана - клапан не открывается	Т. Rex

Как это указано в таблице F.20, выпускной клапан 100PV часто ломался. После третьего отказа анализ причины отказов определил, что клапан был дефектным. Его заменили, и с тех пор отказы не наблюдались.

Документальное оформление текущей реализации логики управления и безопасности как в ОСУП, так и в ПСБ осуществляется постоянно. Любые изменения вносятся в документацию во время их реализации. Бумажные копии документации, полностью описывающей системы и их функции, сохраняются как справочные материалы.

Была реализована программа аудита, для которой необходимо проведение исследования документации на систему как части анализа опасностей циклического процесса. Выпущен отчет, описывающий результаты аудита, а любые рекомендации аудита помечаются для последующего выполнения (каждый квартал) до тех пор, пока все они не будут реализованы. Аудит включает:

- проверку всех изменений, выполненных со времени последней проверки, и верификацию правильного статуса документации;

- проверку всех проблем, связанных с оборудованием или логикой, связанных с ПСБ, производимую со времени последней проверки, предназначенную установить возможные проблемы, развитие которых способно ухудшить функционирование системы в будущем;

- проверку того, как эксплуатационный персонал понимает функцию и работу системы;

- проверку журнала запросов к ПСБ, чтобы подтвердить соответствие допущенной частоте запросов, полученной в результате АУЗ;

- проверку результатов испытания ФБ ПСБ, чтобы подтвердить соответствие допущенной частоте отказов устройства, используемой в вычислениях ВОНЗ_ср.

Ниже приведен список необходимой документации, которая будет включена в аудит. Эта документация будет доступна персоналу, занимающемуся эксплуатацией, и ее актуальность будут поддерживать:

- документация по анализу опасностей и рисков ["что если" (таблица I.4), HAZOP (таблица F.5)];

- применяемая классификация допустимого риска (т. е., таблица F.8);

- документальное оформление распределения риска по слоям защиты - определение УПБ для каждой ФБ ПСБ (АУЗ) (т.е. таблица F.9);

- схемы Т и КИП (т.е. рисунки F.3-F.10);

- диаграмма системы ФБ ПСБ (т.е. рисунок F.12);

- распечатка ППО (линейно-лестничные диаграммы) [т.е. рисунок F.11 (листы 1, 2, 3, 4 и 5)];

- руководства по безопасности;

- документация на аппаратные средства/ППО/установку/техническое обслуживанию (например, таблица F.20, блок 6);

- документация о стойкости к систематическим отказам;

- вычисления для верификации УПБ (т.е. ВОНЗ_ср) для каждой ФБ ПСБ, включая диаграммы состояний (т.е. рисунки F.4-F.9);

- процедуры испытаний для каждой ФБ ПСБ;

- запросы к процессу для каждой ФБ ПСБ (т.е. таблица F.21);

- данные по отказам для устройств ФБ ПСБ (т.е. таблица F.22).

Периодические испытания и осмотр ПСБ выполняются с периодичностью, установленной при вычислениях ВОНЗ_ср (т.е. каждые шесть месяцев). Слои защиты, идентифицированные в процессе АУЗ, также подвергаются испытанию каждые шесть месяцев.

Отдел эксплуатации ведет записи, в которых демонстрируется, что контрольные испытания и осмотры были выполнены в соответствии с требованиями. Эти записи должны включать в себя, как минимум:

a) описание выполненных испытаний и осмотров;

b) дату испытаний и осмотров;

c) имена людей, выполнявших испытания и осмотры;

d) серийный номер или другие уникальные идентификаторы испытываемой системы (например, номер контура, кодовую метку, номер оборудования и номер ФБ ПСБ);

e) результаты испытаний и осмотра (например, условия "до проверки" и "после проверки");

f) текущее ППО, работающее в логическом решающем устройстве ПСБ.

F.30 Шаг F.7. Модификация ПСБ

Таблица F.23 - Жизненный цикл ПСБ. Блок 7

Стадия или деятельность жизненного цикла ПСБ		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок F.2, блок 7	Модификация ПСБ	Провести изменения, улучшения и настройку ПСБ, обеспечивающие достижение и поддержание требуемого УПБ	17	Скорректированные требования к безопасности ПСБ	Результаты модификации ПСБ

В таблице F.23 представлены цели, входы, выходы и ссылки на соответствующие разделы и подразделы, связанные с модификацией ПСБ.

На объекте утвержден функциональный процесс управления изменениями, согласующийся с OSHA 29 CFR 1910.119. Любая модификация ПСБ потребует повторного входа в жизненный цикл ПСБ на соответствующем шаге.

F.31 Шаг F.8. Снятие с эксплуатации ПСБ

Снятие с эксплуатации ключевых устройств рассмотрено в таблице F.24.

Таблица F.24 - Жизненный цикл ПСБ. Блок 8

Стадия или деятельность жизненного цикла ПСБ		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок F.2, блок 8	Снятие с эксплуатации	Обеспечить правильную проверку, организацию работ и сохранность ПСБ	18	Информация о технологическом процессе и требованиях к его безопасности	ФБ ПСБ, выведенная из использования

На объекте есть опыт снятия с эксплуатации опасных процессов и понимание потребности в анализе опасностей и рисков, а также в инженерном анализе с последующим планированием снятия с эксплуатации. По завершении этих процессов перед выполнением снятия с эксплуатации необходимо получить соответствующие полномочия и составить календарный график работ.

F.32 Шаг F.9. Верификация ПСБ

Верификация (см. таблицу F.25) является деятельностью, выполняемой на протяжении всего жизненного цикла ПСБ.

Инженерный персонал, персонал по эксплуатации и персонал по техническому обслуживанию совместно управляют планированием верификации таким образом, чтобы каждая организация могла достичь своих целей.

Инженерный отдел применяет верификацию для обеспечения:

- корректности и согласованности с СТБ его проектов аппаратных средств, ППО и системы;

- вовлечения эксплуатационного отдела в выбранной деятельности по верификации (например, разработки ППО, визуализаций ЧМИ) на начальных стадиях, чтобы избежать сюрпризов во время окончательного одобрения (например, значительных доработок, задержек);

- предоставления отделу обслуживания возможности работать с ПСБ устройствами/подсистемами/системами, чтобы персонал отдела смог ознакомиться с документацией, расположением аппаратных средств, функциональностью ППО, что одновременно облегчает процесс верификации.

Эксплуатационный отдел применяет верификацию для того, чтобы:

- установить, что проект выполнен, как было запланировано, и осуществляется по графику;

- использовать ее в качестве входного материала для написания рабочих инструкций.

Отдел обслуживания применяет верификацию:

- для ознакомления своего персонала с процессом;

- идентификации областей, где требуется новое обучение/инструментальные средства;

- идентификации процедур установки, не согласующихся с нормами объекта;

- разработки процедур обслуживания.

Таблица F.25 - Жизненный цикл ПСБ. Блок 9

Стадия или деятельность жизненного цикла ПСБ		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок F.2, блок 9	Верификация ПСБ	Провести испытания и оценить результаты конкретного этапа, чтобы гарантировать их правильность и соответствие стандартам изделий, рассматриваемых на этом этапе	7, 12.5	План верификации ПСБ для каждой стадии	Результаты верификации ПСБ для каждой стадии

F.33 Шаг F.10. Управление функциональной безопасностью и ОФБ ПСБ

Таблица F.26 - Жизненный цикл ПСБ. Блок 10

Стадия или деятельность жизненного цикла ПСБ		Цель	Раздел или подраздел требований МЭК 61511-1:2016	Вход	Выход
МЭК 61511-1:2016, рисунок F.2, блок 10	Управление функциональной безопасностью и ОФБ ПСБ	Обеспечить надлежащее рассмотрение всех этапов жизненного цикла ПСБ и дать заключение о достигнутой функциональной безопасности	5	Планирование ОФБ ПСБ; требование к безопасности ПСБ	Результаты ОФБ ПСБ

F.34 Управление функциональной безопасностью

F.34.1 Общие положения

Управление функциональной безопасностью (см. таблицу F.26) в данной компании реализуется как часть программы управления безопасностью процесса (УБП). Обширные корпоративные стандарты учитывают все аспекты УБП, такие как механическая полнота, обеспечение качества и обучение. Эти стандарты требуют, что все новые проекты, реализованные на производственных объектах компании, соответствуют требованиям МЭК 61511 там, где это применимо.

F.34.2 Компетентность персонала

Требуется менеджмент для обеспечения компетентности людей, отвечающих за выполнение и проверку каждого из действий в жизненном цикле ПСБ для задач, которые были им назначены. Это было достигнуто реализацией подхода, рассмотренного в МЭК 61511-1:2016 (пункт 12.5.2). Рассматривались следующие составляющие квалификации:

- опыт и обучение;

- инженерные знания о процессе;

- инженерные знания о технологии ПСБ;

- инженерные знания о безопасности (например, корпоративные стандарты функциональной безопасности);

- навыки управления и руководства;

- понимание возможных последствий события.

Дополнительно персонал по эксплуатации и техническому обслуживанию получил знания об опасностях, связанных с технологическим процессом, и был обучен эксплуатации ОСУП и ПСБ перед их запуском.

F.35 Оценка функциональной безопасности (ОФБ)

ОФБ (также именуемая проверкой безопасности перед запуском) была выполнена перед запуском технологического процесса см. МЭК 61511-1:2016 (пункт 5.2.6.1). Общая цель ОФБ заключалась в обеспечении функционирования ПСБ в соответствии с требованиями, определенными в СТБ, чтобы ПСБ могла безопасным образом перейти из стадии установки в стадию эксплуатации.

ОФБ не начинается, пока не завершатся и не будут приняты все работы по верификации.

Текущая ОФБ будет периодически выполняться, как это описано в разделе F.29, шаг 6.