В каждой отрасли существует ряд регуляторных институтов, ответственных за создание стандартов для своей отрасли. Например, Международная Электротехническая Комиссия (далее МЭК), которая создает стандарты для различных электротехнических систем в том числе – систем, связанных с безопасностью технологических процессов.  К комплексу актуальных для нашей темы стандартов МЭК относятся:

  • ГОСТ Р МЭК 61508 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью/Часть 1-7, 2012.
  • ГОСТ Р МЭК 61511 Безопасность функциональная. Системы безопасность приборные для промышленных процессов /Часть 1-3, 2018.

Согласно ГОСТ Р МЭК 61511-1-18 время безопасности процесса (process safety time, PST) — это период времени между отказом процесса или основной системы управления процессом (потенциально способным привести к опасному событию) и опасным событием в случае, если функциональная безопасность приборных систем безопасности не выполняется).

Согласно ГОСТ Р МЭК 61508-4-2012 время безопасности процесса (process safety time): — это промежуток времени между моментом появления отказа, имеющего возможность дать начало опасному событию в управляемом оборудовании или системе управления управляемым оборудованием, и моментом времени, к которому в управляемом оборудовании должно быть завершено действие по предотвращению появления опасного события.

Насколько же эти рекомендательные документы коррелируют с обязательными правилами? Упоминание похожих терминов можно найти в приказах РТН. Например, похожий термин упомянут в п. 182, ФНИП «Правила безопасности химически опасных производственных объектов» (приказ №500). Почти дословно переписаны формулировки в п. 238, 239, ФНИП «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств» (приказ №533). Если резюмировать выдержки из этих документов, то «время срабатывания систем защиты должно быть меньше времени, необходимого для перехода параметра от предупредительного до предельно допустимого значения». Однако даже внимательное прочтение не дает формальных указаний на методику определения или (что важнее) методику подтверждения  корректности рассчитанного PST. Скорее всего именно по этой причине даже у проектировщиков крайне редко возникает реальная потребность обоснования корректности аварийных уставок. И все же, никто не поручится, что уже завтра именно вам не попадется достаточно дотошный эксперт, который запросит доказательства того, что 15 секунд для вашего реактора – это и есть корректно рассчитанное время срабатывания системы защиты.

Какому разделу доверить расчет PST в проекте?

Как и любая другая деятельность в рамках проекта, расчет PST должен как-то быть формализован и привязан к этапу выполнения работ.

ГОСТ Р МЭК 61511 предусматривает для этих целей процедуру спецификации требований безопасности (safety requirement system SRS). Аналогичные по смыслу требования изложены в п. 233 ФНИП «Общие правила взрывобезопасности для взрывопожароопасных химических, нефтехимических и нефтеперерабатывающих производств» (приказ №533). Данную спецификацию невозможно составить без предварительно проведенного анализа опасностей и работоспособности процесса (HAZOP) и распределения слоев защиты (SIL анализ). В качестве основных исходных данных для нее выступают результаты подчиненных процедур расчета отказоустойчивости контура (SIL CALC) и расчета времени безопасности процесса.Process Safety Time. Общие рекомендации к процедуре расчета

Расчет PST может быть выполнен как в составе стандартного блока процедур риск-ориентированного подхода (HAZOP/SIL/SRS), так и в виде отдельной работы, связанной с необходимостью пересмотра уставок ПАЗ, например, в случае аварии на аналогичных установках. И в том, и в другом случае минимальным требованием будет наличие опытного инженера, понимающего специфику технологического процесса в рассматриваемом аппарате/установке. Идеальным вариантом будет совещание типа «мозговой штурм» с участием команды специалистов по различным смежным областям, так или иначе влияющих на безопасность установки (автоматизация, технология, электроснабжение, связь).

Поскольку основной задачей подобной работы является не умозрительное удовлетворение научного любопытства, а возможность проверить (и доказать) корректность аварийных установок в конкретной системе ПАЗ, то следует понимать, что определение времени безопасности процесса – это лишь половина работы. Вычислив время безопасности процесса, можно построить зависимости и подобрать правильное время реакции системы ПАЗ. Это время представляет собой сумму слагаемых:

  • времени реакции необходимого датчику для определения параметра;
  • времени реакции логического решателя для обработки этого изменения значения параметра и отправки сигнала на конечный элемент системы ПАЗ;
  • времени, необходимого конечному элементу для срабатывания.

Process Safety Time. Общие рекомендации к процедуре расчета

Представленный график демонстрирует, что опасное отклонение параметра процесса начинается с момента t, однако до непосредственного наступления аварии еще есть возможность не допустить аварию. Промежуток времени между «безопасным рабочим пределом» и «безопасным расчетным пределом» является искомым временем безопасности процесса. В случае, если система ПАЗ не выполняет свою функцию, то далее параметр проходит точку расчетного предела. Тогда это отклонение считается способным привести к опасному событию.

Как следует из представленного графика, время реакции системы ПАЗ должно быть значительно меньше времени безопасности и учитывать время срабатывания и вносимые возмущения всех элементов контура защиты.

В качестве умозрительного примера цели вычисления PST, можно рассмотреть систему трубопроводов, где аварийный термостат системы ПАЗ установлен на выходном потоке. Предположим, расчетная температура разрушения выходного трубопровода составляет 600°C. Аварийная уставка термостата составляет 590°C. Время безопасности процесса в данном примере — это время, которое пройдет от достижения уставки термостата (590°C) до момента, пока температура среды не достигнет расчетной (600°C), что будет являться потенциально опасной ситуацией. В качестве защитной меры ПАЗ предположим отсечение теплогенератора, нагревающего среду в трубопроводе. Временем реакции в таком случае будем сумма: постоянной времени сенсора в термостате, времени прохождения сигнала до ПЛК, времени срабатывания программы ПЛК, времени перекрытия крана, отсекающего теплогенератор от трубопровода.

Для доказательства важности расчета времени безопасности процесса как проектной процедуры разовьем наш пример до абсурда. Предположим, что вычисленное потребное время реакции нашего термостата составляет 15 секунд. Но предположим, также, что мы об этом не знаем, так как решили оценить время безопасности «на глазок», по опыту другого проекта.  Мы тщательно озаботились проверкой документации и закупили привод крана с УПБ, равным SIL2. Но каков смысл в покупке привода крана с сертификатом высокого уровня, если – для примера — его паспортное время перестановки составляет 35 секунд?

В этом и состоит ирония неправильно рассчитанного времени безопасности процесса: присвоив всем элементам этой цепочки максимальный уровень отказоустойчивости (даже SIL3 или SIL4), мы рискуем вообще не выполнить функцию безопасности и потерять оборудование.