ПРЕДИСЛОВИЕ
1 РАЗРАБОТАН ООО «Институт ВНИИСТ»
2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом ОАО «АК «Транснефть»
от «____» ____________200___ г. № _______
3 ДАТА ВВЕДЕНИЯ с «_____» _____________ 200___ г.
4 ВВЕДЕН ВПЕРВЫЕ
5 СРОК ПЕРЕСМОТРА – не реже одного раза в пять лет
6 Оригинал документа хранится в службе нормирования и технического регулирования ОАО «АК «Транснефть».
7 Документ входит в состав информационного фонда ОАО «АК «Транснефть».
СОДЕРЖАНИЕ
1 ОБЛАСТЬ ПРИМЕНЕНИЯ.. 1
2 НОРМАТИВНЫЕ ССЫЛКИ.. 1
3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.. 1
4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.. 2
5 ОСНОВНЫЕ ПОЛОЖЕНИЯ.. 3
5.1Цели и основные аспекты выполнения ВАБ объекта МН
.. 4
5.2 Эксплуатационные состояния объекта МН
.. 4
5.3 Пределы и условия безопасной эксплуатации
. 4
6 ОПИСАНИЕ ВАЖНЫХ ДЛЯ БЕЗОПАСНОСТИ СИСТЕМ И
ОБОРУДОВАНИЯ ОБЪЕКТА МН.. 5
6.1 Перечень систем
.. 5
6.2 Описание конструкции и/или технологической схемы
.. 5
7 ОСНОВНЫЕ ТРЕБОВАНИЯ ПРИ ВЫПОЛНЕНИИ ЗАДАЧ ВАБ ОБЪЕКТА МН.. 7
7.1 Классификации
. 7
7.2 Формирование перечня исходных событий аварийных ситуаций
. 7
7.3 Принципы моделирования аварийных последовательностей
. 9
7.4 Анализ надежности систем
.. 9
7.5 Требования к анализу данных
. 10
7.6 Требования к анализу надежности персонала
. 11
7.7 Принципы разработки вероятностной модели объектов МН
.. 12
7.8 Процедуры выполнения количественных расчетов ВАБ
.. 12
7.9 Основные принципы анализа неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ
.. 13
7.10 Определение ущерба природной среде при авариях на магистральных нефтепроводах
14
7.11 Основные принципы анализа, интерпретации и представления результатов
. 14
8 РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ
ЭКСПЛУАТАЦИИ ОБЪЕКТА МН.. 15
ПРИЛОЖЕНИЕ А
(обязательное)
Системы безопасности объектного уровня. 17
ПРИЛОЖЕНИЕ Б (справочное
)
Перечень возможных исходных событий. 18
ПРИЛОЖЕНИЕ В (справочное
)
Принципы моделирования аварийных последовательностей 21
ПРИЛОЖЕНИЕ Г (справочное
)
Анализ надежности систем.. 40
ПРИЛОЖЕНИЕ Д (справочное
)
Требования к анализу данных, включая данные по вероятности возникновения ис и данные по надежности оборудования. 64
ПРИЛОЖЕНИЕ Е (справочное
)
Требования к анализу надежности персонала. 71
ПРИЛОЖЕНИЕ Ж (справочное
)
Принцип разработки вероятностной
модели безопасности объекта МН.. 84
ПРИЛОЖЕНИЕ И (
справочное
)
Процедуры выполнения количественных расчетов ВАБ.. 86
ПРИЛОЖЕНИЕ К (справочное
)
Анализ неопределенности, чувствительности
и значимости результатов количественных расчетов ВАБ.. 90
ПРИЛОЖЕНИЕ Л (справочное
)
Основные принципы анализа, интерпретации и представления данных. 95
ПРИЛОЖЕНИЕ М (обязательное
)
Состав основного отчета по ВАБ.. 99
ПРИЛОЖЕНИЕ Н (справочное
)
Пример расчета ВАБ НПС.. 105
БИБЛИОГРАФИЯ……………………………………………………………………………………..127
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1 Настоящий документ предназначен для проектных организаций, проектных и проектно-конструкторских отделов организаций и предприятий (далее – Предприятия), выполняющих работы по проектированию объектов нового строительства, реконструкции и техническому перевооружению объектов магистральных нефтепроводов (МН) с использованием вероятностных методов на основе моделирования и расчета показателей надежности и безопасности объектов.
1.2 Настоящий документ устанавливает процедуры определения числовых характеристик случайных величин, характеризующих частоту (вероятность) аварии на объектах МН для:
– выявления приемлемости риска, создаваемого объектами МН;
– проведение сравнения предлагаемых проектных решений по уровню безопасности;
– оптимизации проектных решений по критериям безопасности
2 НОРМАТИВНЫЕ ССЫЛКИ
В настоящем документе использованы ссылки на документы, приведенные в разделе «Нормативные ссылки» РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения», а также на следующий документ:
РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения»
Примечание – При использовании настоящего нормативного документа целесообразно проверить действие ссылочных нормативных документов в соответствии с действующим Перечнем законодательных актов и основных нормативно – правовых и распорядительных документов, действующих в сфере магистрального нефтепроводного транспорта. Если ссылочный документ заменен (изменен), то при пользовании настоящим нормативным документом следует руководствоваться замененным (измененным) документом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящем документе применены термины РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения», а также следующие термины с соответствующими определениями.
3.1 Байесовский подход:
подход, учитывающий информацию, полученную на предыдущих этапах исследований.
3.2 Дизъюнкция:
одна из логических операций, отражает употребление союза «или» в логических выводах.
3.3 Квантификация:
измерение качественных признаков в количественном выражении.
3.4 Конъюнкция:
одна из логических операций, отражает употребление союза «и» в логических выводах.
3.5 Минимальное аварийное сочетание:
это такое сочетание, в котором при удалении любого исходного события оставшиеся события вместе больше не являются аварийным сочетанием.
3.6 Принцип единичного отказа:
принцип, в соответствии с которым система должна выполнять заданные функции при любом требующем её работы исходном событии, в сочетании с одним независимым от этого события отказом активного элемента, или пассивного элемента, имеющего движущиеся части, или одной независимой ошибкой персонала.
3.7 Феноменология аварий:
накопление и обобщение исходной информация об авариях.
3.8 Чувствительность результата:
степень влияния расчетных параметров и основных допущений математической модели на результаты моделирования.
4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
В настоящем документе применены следующие сокращения:
АНП |
– |
анализ надежности персонала; |
АП |
– |
аварийная последовательность; |
АС |
– |
аварийная ситуация или множество аварийных ситуаций, которые могут возникнуть в процессе функционирования объектов магистрального нефтепровода; |
АСМ |
– |
автоматизированное структурно-логическое моделирование; |
ВАБ |
– |
вероятностный анализ безопасности; |
ВОП |
– |
вероятность ошибок персонала; |
ВПБ |
– |
вероятностные показатели безопасности; |
ВФ |
– |
вероятностная функция; |
ДО |
– |
деревья отказов; |
ДОП |
– |
деревья ошибок персонала; |
ДС |
– |
деревья событий; |
ДПС |
– |
диаграмма последовательности событий; |
Ду |
– |
диаметр условный; |
ИС |
– |
инициирующее (исходное) событие; |
ИСА |
– |
исходное событие аварии; |
ИЭ |
– |
инструкция по эксплуатации; |
КИП |
– |
контрольно-измерительные приборы; |
КИП и А |
– |
контрольно-измерительные приборы и автоматика; |
КПУФ |
– |
кратчайшие пути успешного функционирования; |
КС |
– |
конечное состояние; |
ЛКФ |
– |
логический критерий функционирования; |
ЛФРС |
– |
логическая функция работоспособности системы; |
МН |
– |
магистральный нефтепровод; |
МП |
– |
методические положения; |
МСО |
– |
минимальные сечения отказов; |
НС |
– |
нефтепроводная система; |
ОК |
– |
обеспечение качества; |
ОЛВМ |
– |
общий логико-вероятностный метод; |
ОМН |
– |
объект (объекты) магистрального нефтепровода; |
ООП |
– |
отказ по общей причине; |
ОПС |
– |
окружающая природная среда; |
СБ |
– |
система безопасности; |
СДС |
– |
системное дерево событий; |
СТС |
– |
сложная техническая система; |
СФЦ |
– |
схема функциональной целостности; |
ТО |
– |
техническое обслуживание; |
ФБ |
– |
функция безопасности; |
ФДС |
– |
функциональное дерево событий; |
ФПФ |
– |
формирующие поведение факторы; |
ФРС |
– |
функция работоспособности системы; |
ЧП МН |
– |
частота повреждения магистрального нефтепровода. |
5 ОСНОВНЫЕ ПОЛОЖЕНИЯ
5.1 Посредством ВАБ проводится количественная оценка числовых характеристик случайных величин, характеризующих частоту (вероятность) аварии объектов МН для всего жизненного цикла.
5.2 Правовую и методологическую базу применения ВАБ при обосновании и подтверждении безопасности эксплуатации МН составляют Федеральный закон «О техническом регулировании» [1], Федеральный закон «О промышленной безопасности опасных производственных объектов» [2], Положение о классификации чрезвычайных ситуаций природного и техногенного характера [3], а также документы [6-8], приведенные в разделе «Библиография» данного документа.
5.3 Безопасность эксплуатации МН обеспечивается реализацией Концепции вероятностного анализа безопасности ОАО «АК «Транснефть», изложенной в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.5.1.7).
5.4 Задачами настоящих методических рекомендаций являются определение и выбор моделей возникновения и развития аварий с соответствующими исходными данными, допущениями и ограничениями для осуществления количественной оценки риска аварий на объектах МН.
5.5 ВАБ проводится при разработке материалов, обосновывающих строительство (технико – экономическое обоснование – ТЭО), а также проектно–сметной документации на новое строительство, расширение, реконструкцию и техническое перевооружение объектов МН.
Отчет по ВАБ разрабатывается и включается в соответствующие виды предпроектных и проектных материалов и сводится в систематизированном виде в отдельном разделе (томе, книге).
Отчет по ВАБ должен быть подписан руководством и ответственными исполнителями организаций, разработавших отчет, и согласован руководством проектной организации.
5.1 Цели и основные аспекты выполнения ВАБ объекта МН
5.1.1 Вероятностный анализ безопасности проводят с целью обоснования, проверки достаточности, оценки эффективности и контроля за реализацией управляющих решений, направленных на совершенствование конструкции, технологии изготовления, правил эксплуатации, системы технического обслуживания и ремонта объекта и обеспечивающих предупреждение возникновения и /или ослабление тяжести возможных последствий его отказов, достижение требуемых характеристик безопасности, эффективности и надежности.
5.1.2 Основные технические принципы обеспечения безопасности объекта МН изложены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.5.1.11).
5.1.3 Принцип эшелонированной защиты должен выполняться на всех этапах деятельности, связанных с обеспечением безопасности МН. Приоритетной при этом является стратегия предотвращения неблагоприятных событий.
5.1.4 Принцип единичного отказа понимается в смысле способности каждой системы безопасности к выполнению заданных функций при любом исходном событии аварии, требующем ее работы, с учетом одного (независимого от исходного события) отказа какого-либо его элемента или ошибки персонала.
5.2 Эксплуатационные состояния объекта МН
5.2.1 Классификация режимов эксплуатации МН изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.1).
5.2.2 Классификация предельных состояний трубопроводов МН изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.4).
5.3 Пределы и условия безопасной эксплуатации
5.3.1 МН и его объекты (оборудование и сооружения) удовлетворяют требованиям безопасности, если их воздействие на персонал, население и окружающую среду при нормальной эксплуатации, нарушениях нормальной эксплуатации, включая проектные аварии, не приводит к превышению установленных показателей безопасности, а также ограничивается при запроектных авариях.
5.3.2 Требования к уровню показателей безопасности установлены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.8.4).
Показатели должны быть ниже установленных пределов на разумно достижимом низком уровне.
5.3.3 Способы обеспечения безопасности объектов изложены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п. 5.1.13).
5.3.4 Состав системы физических барьеров определен в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п. 5.1.14).
5.3.5 АСУ ТП и системами защиты должна обеспечивать:
- выявление отклонений от нормальной эксплуатации и их устранение;
- управление объектом в режимах нарушения нормальной эксплуатации;
- предотвращение перерастания исходных событий в инциденты, инцидентов в проектные аварии, а проектных аварий в запроектные за счёт применения систем безопасности;
- возвращение объекта в контролируемое состояние, при котором прекращаются выбросы, сбросы и обеспечивается удержание опасных веществ в установленных границах.
5.3.6 Условия прекращения работы объекта определены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.9.1.6).
6 ОПИСАНИЕ ВАЖНЫХ ДЛЯ БЕЗОПАСНОСТИ СИСТЕМ И ОБОРУДОВАНИЯ ОБЪЕКТА МН
6.1 Перечень систем
6.1.1 Классификация систем и элементов оборудования МН по влиянию на безопасность приведена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п. 6.5).
6.1.2 Приведенная информация по важным для безопасности системам и оборудованию объекта МН должна быть необходимой и достаточной для оценки их безопасности.
Эта информация должна включать описания их конструкций, технологических схем, анализ влияния повреждений и отказов их элементов на безопасность объекта МН с выделением таких отказов, последствия которых требуют специального анализа.
6.1.3 Перечень систем безопасности объектного уровня (согласно «Классификатору сооружений, объектов магистральных нефтепроводов» ОАО «АК «Транснефть») представлен в приложении А.
6.1.4 Каждая важная для безопасности система (оборудование), приведенная в перечне, должна быть рассмотрена для того, чтобы показать, для каких отказов необходимо дать дополнительные специальные анализы последствий.
6.1.5 Назначение системы (оборудования), описание ее функций и критерии выполнения возложенных на систему функций должны быть сформулированы.
Для основных механических, теплогидравлических, прочностных характеристик должны быть приведены предельно допустимые значения. Для показателей надежности системы при функционировании по обеспечению безопасности должны быть приведены допустимые значения.
6.2 Описание конструкции и/или технологической схемы
6.2.1 При описании конструкции и (или) технологической схемы должны быть выделены выполняющие самостоятельные функции подсистемы, оборудование, устройства и элементы (включая элементы крепления, опоры, фундаменты и т. п.).
6.2.2 Описания отдельных элементов могут быть выделены в самостоятельные подразделы с такой же структурой, как и описание системы в целом.
6.2.3 В описании должны быть приведены достаточно подробные рисунки и схемы, иллюстрирующие конструкцию системы или ее технологическую схему, а также основные технические характеристики системы и ее элементов.
6.2.4 При описании конструкции и (или) технологической схемы должны быть определены другие важные для безопасности системы и оборудование объекта МН, связанные с функционированием рассматриваемой системы.
6.2.1 Нормальное функционирование
6.2.1.1 Описание нормального функционирования важных для безопасности систем и оборудования объектов МН должно включать:
1) описание функционирования системы при нормальной эксплуатации объекта МН, включая переходные режимы при плановых пусках и остановках;
2) описания состояния системы и ее элементов и их взаимодействия между собой и с другими системами объекта МН в процессе выполнения заданных функций;
3) основные требования по безопасности, предъявляемые к важным для безопасности системам, оборудованию и сооружениям объекта МН;
4) описание функционирования системы с учетом нагрузок, связанных с отказами других важных для безопасности систем объекта МН, а также должно быть дано описание предусмотренных проектом мер для защиты системы от воздействия этих отказов.
6.2.1.2 Для каждого режима работы системы, включая отказы других систем объекта МН, должны быть даны характеристика основных ее параметров (механических, теплогидравлических, физико-химических, прочностных и т. п.), а также показатели надежности, и должно быть показано, что они не выходят за предельно допустимые значения.
6.2.2 Функционирование при отказах
6.2.2.1 Описание функционирования важных для безопасности систем и оборудования объектов МН при отказах должно включать:
1) анализ единичных отказов элементов системы, включая ошибки операторов, и оценку влияния их последствий на работоспособность системы и безопасность объекта МН;
2) описание отказов пассивных элементов (трубопроводов, резервуаров, обратных клапанов и т. п.), активных элементов (задвижек, насосов и т. п.), контрольно-измерительной аппаратуры, а также отказов связанных с ней управляющих и обеспечивающих систем (особое внимание должно быть уделено анализу отказов по общей причине, включая возможные пожары).
6.2.2.2 Для рассматриваемых отказов должна быть дана характеристика их последствий, в том числе и характеристика изменения основных параметров, влияющих на безопасность объекта МН. Необходимо показать воздействие этих отказов на работоспособность других систем объекта МН. Следует определить набор систем безопасности, необходимых для ограничения и (или) ликвидации последствий таких отказов, а также сформулировать требования к ним. Для систем безопасности должно быть проанализировано влияние отказов отдельных элементов на работоспособность системы в целом.
6.2.2.3 В результате рассмотрения должны быть выделены отказы, которые являются исходными событиями нарушений нормальной эксплуатации и проектных аварий и требуют дополнительного анализа.
Основой для такого отбора являются следующие условия:
– последствия исходного события таковы, что за предусмотренные границы выделяется нефть в количествах, которые могут превысить установленные для нормальной эксплуатации значения;
– последствия исходного события не очевидны из данных, приведенных в настоящем разделе, и требуют специального анализа для обоснования выполнения критериев безопасности и проектных пределов.
7 ОСНОВНЫЕ ТРЕБОВАНИЯ ПРИ ВЫПОЛНЕНИИ ЗАДАЧ ВАБ ОБЪЕКТА МН
7.1 Классификации
7.1.1 Классификация МН и их участков по классам безопасности изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.2).
7.1.2 Возможные виды отказов объекта и МН в целом первоначально устанавливаются на основе существующих для объекта данного вида классификаторов отказов и неисправностей и дополняются при необходимости видами отказов, специфичными для рассматриваемого объекта.
7.1.3 Классификация отказов по тяжести их последствий изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.3).
7.2 Формирование перечня исходных событий аварийных ситуаций
7.2.1 Для составления первоначального перечня ИС рекомендуется использовать:
1) анализ обобщенных перечней ИС для аналогичных ОМН;
2) инженерный анализ ОМН (в том числе необходимые расчетные обоснования и другие типы анализов);
3) анализ перечней ИС, принимавшихся для анализируемого ОМН и аналогичных ОМН при выполнении детерминистических анализов безопасности.
4) опыт эксплуатации анализируемого ОМН и ОМН с аналогичными (близкими) характеристиками (для проектируемых ОМН может использоваться опыт эксплуатации аналогичных ОМН при его наличии).
7.2.2 При выполнении анализа ИС следует рассматривать ИС, вызванные:
1) отказами систем (элементов систем), в том числе обеспечивающих, а также отказами общего вида;
2) ошибками персонала;
3) требованиями регламентов безопасной эксплуатации и инструкций по эксплуатации (например, останов нефтеперекачивающего агрегата при нарушении условий безопасной эксплуатации).
7.2.3 При выполнении анализа ИС следует выделять ИС, вызывающие:
1) зависимые повреждения или отказы систем, требуемых для предотвращения повреждения нефтепроводной системы после возникновения ИС;
2) зависимые отказы систем на нескольких объектах (при наличии связей между ними).
7.2.4 При выполнении анализа ИС не следует исключать из рассмотрения события, удовлетворяющие определению «инициирующее событие», на основании:
1) малой вероятности возникновения;
2) потенциально низкого вклада ИС в частоту повреждения магистрального нефтепровода (ЧП);
3) большого интервала времени между моментом возникновения ИС и моментом регламентного срабатывания систем защиты ОМН.
7.2.5 Допускается исключение ИС или групп ИС из дальнейшего рассмотрения, если их вклад в оценку ЧП не превышает 0.1%. Суммарный вклад исключенных из рассмотрении ИС не должен превышать 1% от суммарной ЧП.
7.2.6 При включении ИС в одну группу необходимо сформулировать критерии группировки.
События, включаемые в одну группу:
1) должны характеризоваться аналогичным протеканием аварийного процесса и одинаковыми конечными состояниями всех АП;
2) должны иметь сходные требования к работе систем и требовать одинаковых по содержанию действий персонала.
7.2.7 Критерии успеха моделируемых функций для группы ИС должны быть не менее строгими (консервативным), чем критерии успеха моделируемых функций для всех ИС, включённых в группу.
7.2.8 Анализ возможных ИС, приводящих к зависимому повреждению или отказу систем безопасности, требующихся для предотвращения повреждения ОМН после возникновения ИС, следует выполнять.
Перечень ИС следует дополнить в соответствии с результатами этого анализа и сделать соответствующие уточнения при моделировании АП.
7.2.9 Анализ полноты и непротиворечивости моделирования зависимостей, выявленных при выполнении задач «Анализ надежности систем», «Моделирование АП», «Анализа данных» и «Анализ надежности персонала», на уровне интегральной модели ВАБ (например, взаимного влияния отказов элементов систем, прямых функциональных зависимостей, зависимостей между действиями персонала и т.п.), следует выполнять.
7.2.10 Анализ зависимостей выполняется с целью обеспечения:
1) полноты учета возможных зависимостей, выявленных на этапе выполнения отдельных задач ВАБ;
2) полноты выявления и учета неявных зависимостей;
3) непротиворечивости учета зависимостей, выявленных при выполнении отдельных задач ВАБ, в других задачах и в модели ВАБ в целом.
7.2.11 Анализ неявных зависимостей следует проводить на основании опыта выполнения других ВАБ, опыта эксплуатации и работы специалистов исследуемого ОМН и других ОМН с учетом их специфики, а также опыта проектантов систем.
Целью анализа является определение неявных зависимостей и оценка применимости их к исследуемому ОМН.
7.2.12 Анализ зависимых отказов элементов систем, вызванных причинами, явно не моделируемыми в ВАБ (отказами по общей причине - ООП), такими, как общность конструкции и изготовления, монтажа, калибровки или условий обслуживания и эксплуатации и т.п., следует выполнять.
Результатом этой работы должен быть перечень групп ООП, с обоснованием принятых критериев объединения в группы.
7.2.13 Результаты анализа зависимостей, включая выявленные прямые и неявные зависимости, способ их учета в модели ВАБ, обоснование полноты и непротиворечивости учета зависимостей, следует представлять.
7.2.14 Перечень возможных исходных событий представлен в приложении Б.
7.3 Принципы моделирования аварийных последовательностей
7.3.1 Моделирование аварийных последовательностей (АП) проводится для определения путей протекания аварий, требований к срабатыванию различных систем и выполнению действий персонала (т.е. определению моделируемых функций и их критериев успеха).
По результатам моделирования АП выполняется анализ систем, анализ надежности персонала, разрабатывается интегральная вероятностная модель ОМН и определяются сценарии для проведения дополнительных детерминистических анализов аварийных процессов [5].
7.3.2 Конечные состояния АП необходимо разделять на "успешные" и "неуспешные"
7.3.3 Для ВАБ интервал времени моделирования аварийных последовательностей рекомендуется определять не менее 24 часов с момента ИС. Этот интервал должен быть расширен, если за пределами 24 часов возможно достижение «неуспешного» конечного состояния АП из-за причин, не связанных с отказами оборудования и ошибками персонала.
7.3.4 При построении моделей АП рекомендуется руководствоваться следующим:
1) моделируемые функции должны иметь причинно-следственные взаимосвязи и (по возможности) располагаться в хронологическом порядке;
2) не следует упрощать модели АП с целью сокращении их размеров, если при этом возможна потеря значимых AП.
7.3.5 Модели аварийных последовательностей должны разрабатываться для всех отобранных групп ИС.
7.3.6 При построении моделей AП следует учитывать влияние одних моделируемых событий на другие. Примерами такого влияния являются: воздействие на работоспособность оборудования систем истекающих струй,
биений трубопроводов, летящих предметов, ударных волн, вторичных пожаров, воздействий температурных деформаций в конструкционных материалах и других факторов. При этом следует учитывать зависимость режима работы систем от характера аварийного процесса, возможность работы одних систем при отказе других и т.п.
7.3.7 Логику развития АП, достижение конечных состояний AП, критерии успеха моделируемых функций АП и запасы по времени для действии персонала необходимо обосновывать детерминистическими анализами.
7.3.8 Результаты детерминистических анализов, используемых дли обоснования логики развития АП и критериев успеха моделируемых функций следует представлять в отчетной документации по ВАБ. В случае использования результатов анализов, выполненных в рамках других исследований, следует приводить полные прямые ссылки на источник информации и аргументировать применимость анализов к исследуемому ОМН.
7.3.9 Описание принципа моделирования аварийных последовательностей представлено в приложении В.
7.4 Анализ надежности систем
7.4.1 Анализ надежности систем проводится для разработки логических моделей систем (технологических, защитных, обеспечивающих и т.д.) для всех моделируемых функций, в которых задействована анализируемая система. Модели систем также используются для определения частот инициирующих событий.
Анализ надежности систем должен обеспечивать разработку логических моделей систем, учитывающих особенности всех АП и ИС.
7.4.2 События, характеризующие невыполнение моделируемой функции в анализе надежности систем, следует согласовывать с требованиями к моделируемым функциям (критериям успеха и явным зависимостям), определенным в задаче «Моделирование АП».
7.4.3 Границы анализируемых систем и уровень их детализации следует определять в зависимости от моделируемых функций.
7.4.4 Все виды отказов, которые могут повлиять на способность системы выполнять свои функции, связанные с изменением состояния (переход объекта из режима нормальной эксплуатации в аварийный режим) должны быть выявлены.
7.4.5 Границы элементов систем и виды отказов в задачах "Анализ надежности систем" и "Анализ данных" должны соответствовать друг другу.
7.4.6 Инструкции по проверкам работоспособности, техническому обслуживанию и ремонту оборудования следует проанализировать с целью выявления элементов систем, выводимых из состояния готовности к работе. Особое внимание следует уделять выявлению возможных недопустимых выводов в неработоспособное состояние нескольких каналов систем. Результаты анализа необходимо учитывать при анализе данных.
7.4.7 Ошибки персонала, связанные с вводом элементов систем в режим ожидания (работы) после проверок работоспособности, технического обслуживания или ремонта, следует проанализировать.
7.4.8 Связь между ИС и реагированием на него систем должна быть проанализирована: необходимо устанавливать зависимости критериев успеха моделируемых функций от ИС и конкретной АП, в том числе зависимости, вызванные наличием общих элементов различных систем.
7.4.9 Зависимости (взаимовлияние) между системами и (или) каналами систем необходимо выявить, а также учесть возможность возникновения отказов по общей причине.
7.4.10 При выборе ИС должен быть проведен анализ видов и последствий отказов элементов систем (все возможные отказы элементов систем, которые могут вызвать ИС.
7.4.11 В случае использования в модели систем упрощений, заменяющих несколько ИС и логические связи между ними одним событием, следует выполнять анализ, подтверждающий отсутствие потери явных и неявных зависимостей.
7.4.12 Результаты выполненных анализов надежности систем следует приводить в отчете по ВАБ.
7.4.14 Подробный метод анализа надежности систем представлен в приложении Г.
7.5 Требования к анализу данных
7.5.1 Результатом анализа данных являются количественные показатели надежности элементов и (или) систем и частот инициирующих событий, используемые при проведении количественных вероятностных расчетов надежности систем ОМН, частот АП и ЧП МН.
7.5.2 Следующие показатели надежности элементов систем следует оценивать:
– вероятность и (или) интенсивность отказа на требование;
– интенсивность отказов при работе;
– вероятность неготовности, обусловленная техническим обслуживанием или ремонтом;
– коэффициент неготовности, обусловленный проверками работоспособности;
– вероятность отказа по общей причине.
7.5.3 Критерии классификации отказов по видам (отказ на запуск, отказ при работе и т.д.) и по характеру (повреждение или отказ с точки зрения возможности поддержания работоспособности элемента системы в течение времени, необходимого для выполнения требуемой моделируемой функции) необходимо определять и обосновывать.
7.5.4 Необходимо убедиться в том, что используемая для оценки частот ИС статистическая информация о нарушениях в работе ОМН не исключает из рассмотрения нарушения в работе ОМН, вызванные ошибками персонала.
7.5.5 Для оценки показателей надежности и частот ИС следует применять статистические методы обработки данных, специфических для исследуемого ОМН, и обобщенных данных. Не рекомендуется использование только обобщенных данных при выполнении ВАБ действующих ОМН.
7.5.6 При использовании обобщенных данных следует приводить характеристику источника информации. Выбор обобщенных данных необходимо обосновывать с точки зрения их применимости для конкретного ОМН, оборудования, выбранных границ элементов систем и видов отказов, моделируемых в ВАБ. В случае использования нескольких источников обобщенных данных следует приводить и обосновывать подход, принятый для выбора информации.
7.5.7 Оценку неготовности элементов систем из-за проверок работоспособности следует выполнять для всех элементов систем, моделируемых в ВАБ, которые при проверках работоспособности находятся в состоянии, не позволяющем выполнять требуемую моделируемую функцию.
7.5.8 Частоты редких событий (разрушений трубопроводов, корпусов оборудования, емкостей, содержащих нефтепродукты и т.п.) могут определяться расчетом с применением вероятностных методов механики разрушения.
7.5.9 При разработке ВАБ для проектируемых ОМН следует обосновывать применимость обобщенных данных для аналогичных ОМН или аналогичного оборудования с учетом специфики начального периода эксплуатации нового ОМН (учет увеличения показателей отказов оборудования и ИС на начальном этапе эксплуатации).
7.5.10 Процедуры обработки исходной информации, принятые допущения анализа данных, а также полученные показатели надежности элементов систем и частоты ИС с соответствующими характеристиками неопределенности следует представлять в документации ВАБ.
7.5.11 Результаты выполненных анализов данных следует приводить в отчетной документации по ВАБ.
7.5.12 Методы анализа данных представлены в приложении Д.
7.6 Требования к анализу надежности персонала
7.6.1 Результатом анализа надежности персонала должны являться количественные оценки вероятностей ошибок персонала, используемые при проведении количественных вероятностных расчетов надежности систем ОМН, АП, частот инициирующих событий и ЧП МН.
7.6.2 При проведении ВАБ следует рассматривать следующие виды ошибочных действий персонала:
– действия, совершаемые до наступления ИС, которые могут повлиять на готовность систем ОМН к работе (доаварийные ошибки персонала);
– действия, вызывающие ИС;
– действия, предпринимаемые после наступления ИС (послеаварийные ошибки персонала).
7.6.3 При анализе доаварийных ошибок персонала следует обосновать полноту рассмотрения действий, возможных при проверках работоспособности, техническом обслуживании и ремонте, вследствие которых элементы какой-либо системы могут оказаться в состоянии неготовности на момент ИС.
7.6.4 Действия персонала, вызывающие ИС, могут не рассматриваться при выполнении задачи «Анализ надежности персонала», если показано, что они учтены при выполнении анализа частот ИС, как одна из возможных причин возникновения ИС. Используемая методология АНП должна быть указана в документации ВАБ. В случае использования оригинальных методик следует приводить их описание и обоснование использования в ВАБ.
7.6.5 При анализе ошибок персонала после ИС следует показывать полноту рассмотрения действий (включая пропуск выполнения требуемого действия), предпринимаемых после наступления ИС.
7.6.6 Выбор метода АНП должен соответствовать задаче анализа действий персонала каждой конкретной категории и обеспечивать адекватность получаемых оценок вероятностей ошибок персонала (ВОП) (при необходимости проводится их сравнение с оценками, полученными в других ВАБ аналогичных ОМН или с использованием альтернативных методов АНП).
7.6.7 Применимость используемых методов АНП в случае проведения ВАБ вновь проектируемых ОМН должна обосновываться. При оценке ВОП должна учитываться специфика эксплуатации нового ОМН на начальном этапе (начальный этап эксплуатации ОМН может характеризоваться повышенными вероятностями ошибок персонала, вызванные периодом адаптации и привыкания персонала к новому ОМН).
7.6.8 При выполнении АНП в два этапа с проведением отборочного и детального анализов следует обеспечивать консервативность оценок, получаемых на стадии отборочного анализа.
7.6.9 Неопределенность ВОП следует оценивать.
7.6.10 Анализ зависимостей между несколькими (двумя и более) действиями персонала следует выполнять. Методы исследований зависимостей и результаты анализа необходимо обосновывать.
7.6.11 В отчетной документации по ВАБ следует представлять:
– обоснование и описание методов обработки информации, используемой для АНП;
– принятые допущения и ограничения;
– обоснованные оценки ВОП и соответствующие показатели неопределенности;
– методы и результаты анализа исследования зависимостей между действиями персонала и результаты анализа зависимостей.
7.6.12 Методы анализа надежности персонала представлены в приложении Е.
7.7 Принципы разработки вероятностной модели объектов МН
7.7.1 Интегральную модель ОМН, логически связывающую модели систем, модели действий персонала и модели АП для каждой группы ИС, адекватно отражающую функционирование исследуемого ОМН, взаимодействие систем и их элементов, действия персонала и наличие зависимостей следует разработать.
7.7.2 С целью своевременного учета изменений, осуществляемых на объекте, следует предусмотреть возможность корректировки интегральной модели ОМН.
7.7.3 Принципы разработки вероятностной модели представлены в приложении Ж.
7.8 Процедуры выполнения количественных расчетов ВАБ
7.8.1 Результатом количественных расчетов ВАБ является количественный анализ модели ВАБ и получение оценки частоты неуспешных конечных состояний при возникновении внутренних инициирующих событий.
7.8.2 При выполнении количественных расчетов ВАБ должно проводиться определение минимальных сечений АП и их вероятностных характеристик на основе разработанных логических моделей ОМН, данных по надежности элементов, частот инициирующих событий и вероятностей ошибок персонала.
7.8.3 Для исключения потери зависимостей между ошибками персонала на этапе предварительного количественного анализа расчеты следует выполнять при значениях ВОП равных единице. Не следует вводить ограничения на количество элементов в минимальных сечениях. При проведении предварительных количественных анализов необходимо идентифицировать все минимальные сечения, содержащие более одной ошибки персонала. На этапе окончательного анализа для всех подобных минимальных сечений следует учитывать зависимости между действиями персонала.
7.8.4 Окончательный количественный расчет рекомендуется выполнять итеративно, изменяя (если это потребуется в связи с большими размерами модели) ограничения на вероятность минимальных сечений и количество элементов в минимальных сечениях до тех пор, пока разница в оценке ЧП МН на окончательном шаге не составит менее 0,1% от частоты, оцененной на предыдущем шаге итеративного процесса. Ограничения следует выбирать таким образом, чтобы обеспечивать получение оценок значений ЧП МН для всех групп ИС, рассматриваемых в ВАБ.
7.8.5 Все условия и данные, учтенные при выполнении количественных расчетов, следует документировать для обеспечения возможности воспроизведения полученных результатов. В документации следует представлять все количественные данные (частоты ИС, показатели надежности, ВОП, «особые события», «условные события» и т.д.), используемые в модели ВАБ при выполнении количественных расчетов, а также информацию о способах учета зависимостей между действиями персонала в модели ВАБ.
7.8.6 Описание процедуры выполнения ВАБ представлено в приложении И.
7.9 Основные принципы анализа неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ
7.9.1 Результатом анализа неопределенности должны быть оценки неопределенности частот ИС, показателей надежности элементов и систем, вероятностей ошибок персонала и оцененного значения ЧП МН.
Результатом анализа чувствительности должна быть оценка влияния принятых допущений на результаты ВАБ и оценка влияния мероприятий, рекомендованных на основании результатов ВАБ, с учетом их зависимости от принятых допущений.
Результатом анализа значимости должно быть выявление факторов, наиболее влияющих на оцененные частоты неуспешных конечных состояний. Такими факторами должны быть:
–частоты инициирующих событий;
–показатели надежности элементов и систем;
–вероятности ошибок персонала.
7.9.2 Анализ следующих типов неопределенности следует выполнять:
– параметрическая неопределенность (анализ данных и ошибок персонала);
– неопределенность, связанная с принятыми допущениями и ограничениями анализа;
–неопределенность, связанная с неполнотой знаний о развитии физических процессов и с погрешностью программных средств и моделей.
7.9.3 Анализ чувствительности следует проводить по всем идентифицированным в ВАБ факторам, которые значительно влияют или могут повлиять на результаты и выводы ВАБ.
7.9.4 При анализе чувствительности к принятым допущениям и упрощениям следует:
– рассматривать все принятые допущения и упрощения, влияющие на результаты ВАБ;
– рассматривать технические обоснования принятых допущений со ссылками на использованные анализы, мнение экспертов или нормативные документы и требования;
– оценивать влияние допущений на результаты и выводы ВАБ.
7.9.5 Оценки влияния допущений следует выполнять как индивидуально для каждого допущения, так и в совокупности для всех допущений при консервативном и оптимистичном их рассмотрении.
7.9.6 В результате анализа чувствительности следует показать степень зависимости результатов ВАБ от принятых допущений и подходов анализа.
7.9.7 Анализ значимости в отношении различных составляющих модели ВАБ (ИС, отказов систем и элементов систем, ошибок персонала и т.п.) следует выполнять.
7.9.8 Анализ значимости следует выполнять с использованием методов, основанных на оценке снижения (увеличения) ЧП при постулировании отсутствия (наличия) нежелательного состояния элементов интегральной модели ВАБ.
7.9.9 Результаты анализов неопределенности, чувствительности и значимости следует приводить в отчетной документации ВАБ.
7.9.10 Подробное описание основных принципов анализа неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ представлено в приложении К.
7.10 Определение ущерба природной среде при авариях на магистральных нефтепроводах
Оценка величины ущерба окружающей среде при разрыве нефтепровода производится согласно «Методике определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах» [4].
7.11 Основные принципы анализа, интерпретации и представления результатов
7.11.1 По результатам количественного анализа следует представлять информацию о наиболее значимых АП.
7.11.2 Полученные при анализах неопределенности и чувствительности результаты, следует описывать и интерпретировать:
– результаты анализа неопределенности с указанием основных источников неопределенности, связанных с каждой значимой АП;
– результаты анализа чувствительности к различным факторам наиболее значимых АП и оценок частот анализируемых последствий;
– оценку влияния неопределенностей на результаты ВАБ.
7.11.3 Результаты, полученные при анализе значимости, следует описывать и интерпретировать.
7.11.4 Выводы, полученные на основе анализа результатов ВАБ, следует представлять, при этом необходимо приводить:
– оценку уровня безопасности ОМН;
– перечень выявленных наиболее значимых факторов, существенно влияющих на ЧПНС, оценку влияния неопределенностей на выводы и рекомендации ВАБ;
– оценку достижения целей, поставленных в ВАБ.
7.11.5 Рекомендации по повышению уровня безопасности ОМН разрабатываются на основе полученных выводов и могут относиться как к необходимости выполнения дополнительных исследований, так и к изменениям на ОМН.
7.11.6 Подробное описание основных принципов анализа, интерпретации и представления результатов представлено в приложении Л.
7.11.7 Состав отчета по ВАБ приведен в приложении М.
7.11.8 Пример расчета ВАБ для НПС приведен в приложении Н.
8 РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ ОБЪЕКТА МН
8.1 Процесс безопасного проектирования представляет собой итеративный процесс, который повторяется до тех пор, пока не будет обеспечено соблюдение установленных критериев, в том числе параметров, определяемых с помощью ВАБ. Низкий уровень риска является нормативной целью для МН любого (наземного или морского) применения.
8.2 В случае невозможности достижения установленного уровня безопасности (при проектных параметрах эксплуатации), для достижения необходимого уровня безопасности осуществляется изменение параметров эксплуатации.
8.3. Изменение параметров эксплуатации может быть осуществлено при помощи внедрения технических решений и проведения мероприятий, направленных на повышение безопасности эксплуатации ОМН.
8.4 Технические и организационные решения, принимаемые для обеспечения безопасности МН, должны быть апробированы опытом эксплуатации и соответствовать требованиям нормативных документов на всех стадиях жизненного цикла МН [9].
Для новых технических решений, не имеющих опыта эксплуатации, расчетным или расчетно-экспериментальным путем должно быть подтверждено соответствие уровней показателей безопасности для этих решений требованиям п.п.8.4.8–8.4.10 РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» на всех стадиях жизненного цикла МН.
8.5 К новым техническим решениям относятся [10], [11]:
–
технические решения по применению труб (применение труб повышенной эксплуатационной надежности – трубы повышенного класса прочности повышенной эксплуатационной надежности);
– технические решения по проектированию трубопровода (изменение – в сторону повышения– категории трубопровода);
– технические решения
типа «труба в трубе»;
–
расстановка дополнительных задвижек;
–расстановка интеллектуальных вставок
(средства контроля деформационных напряжений в теле трубы — «интеллектуальные вставки»: участки трубы заводского изготовления с вмонтированными датчиками, фиксирующими изменения напряжений в теле трубы (от сейсмических колебаний и подвижек грунта в зонах тектонических разломов и оползневых явлений));
– в сейсмоопасных районах – расстановка сейсмостанций;
– модернизация СОУ – установка датчиков системы СОУ на каждой задвижке по данному участку трубопровода и интеграцию этой системы в общую систему автоматизации и управления трубопроводом;
–
сокращение интервала между проведением внутритрубной диагностики;
–
дополнительное обвалование резервуаров и других площадных объектов;
– автоматическая система контроля и отключения аварийных участков, наиболее опасных в сейсмическом отношении;
– ограничения радиуса упругого изгиба в районах с сейсмичностью свыше 8 баллов;
– специальные технические решения в зонах активных тектонических разломов и местах резкого изменения сейсмических свойств грунтов (рыхлые грунты при засыпке);
– усиление неподвижных опор при надземной прокладке в сейсмических районах;
–применение технологии наклонного направленного бурения и микротоннелирования на переходах через водные преграды;
– рубежи боновых заграждений для задержания разливов нефти.
8.6 После выбора и применения технических мероприятий повторно проводится процедура ВАБ.
ПРИЛОЖЕНИЕ
А
(обязательное)
СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТНОГО УРОВНЯ
Системы электрохимической защиты (ЭХЗ)
системы катодной защиты
системы протекторной защиты
системы дренажной защиты
системы ЭХЗ прочие
Система Сглаживания Волн Давления (ССВД)
ССВД прямого действия
ССВД от внешних источников питания
Системы ССВД прочие
Системы обнаружения утечек (СОУ)
системы сбора информации об утечках от ЛЧМН
системы параметрического обнаружения и определения местоположения утечек
системы сбора утечек и дренажа от насосных станций
системы сбора утечек и дренажа от технологического оборудования
системы СОУ прочие
Системы оповещения и управления эвакуацией
системы звукового оповещения
системы звукового и светового оповещения
системы речевого и светового оповещения
системы речевого и светового оповещения с разделением здания на зоны пожарного оповещения и обратной связью зон оповещения с помещением пожарного поста-диспетчерской
системы оповещения и управления эвакуацией прочие
Системы противопожарной защиты
системы обнаружения пожаров, извещения и оповещения о пожарах
системы контроля и управления пожаротушением
системы пенного пожаротушения
системы порошкового пожаротушения
системы газового пожаротушения
системы водяного пожаротушения
системы пожаротушения тонкораспыленной водой
системы противопожарной защиты прочие (стационарные системы орошения)
Системы инженерно-технических средств охраны
системы инженерных средств охраны
системы технических средств охраны
системы инженерно-технических средств охраны
Системы автоматики и телемеханики
системы автоматической защиты
Системы электроснабжения
источники бесперебойного питания (дизельгенераторы)
Система стабилизации многолетнемерзлых грунтов основания сооружений
(система «ВЕТ»- вертикальная, естественно действующая, трубчатая
ПРИЛОЖЕНИЕ
Б
(справочное)
ПЕРЕЧЕНЬ ВОЗМОЖНЫХ ИСХОДНЫХ СОБЫТИЙ
Б.1. Непосредственные причины отказов, ошибок персонала
1.1. МЕХАНИЧЕСКИЕ ПОВРЕЖДЕНИЯ
1.1.0 Прочие.
1.1.1 Коррозия, эрозия.
1.1.2. Износ, неудовлетворительная смазка.
1.1.3. Усталость
1.1.4 Дефект сварного шва
1.1.5 Внутренний дефект материала
1.1.6.Перегрузка (превышение допустимых механических напряжений).
1.1.7. Вибрация.
1.1.8. Исчерпание ресурса.
1.1.9.Блокирование, ограничение движения, заклинивание, защемление.
1.1.10.Деформация, перекос, сдвиг, ложное перемещение, разъединение, ослабление связи.
1.1.11.Ослабление крепления к фундаменту, строительным конструкциям, разрушение фундамента, строительных конструкций.
1.1.12. Внешнее механическое воздействие.
1.1.13. Загрязнение, попадание инородных предметов
1.1.14 Собственно механические повреждения (риска, царапина, задир, продир, поверхностная вмятина, риска во вмятине).
1.2. НЕИСПРАВНОСТИ В ЭЛЕКТРОУСТАНОВКАХ И ЭЛЕКТРИЧЕСКИХ СЕТЯХ
1.2.0. Прочие.
1.2.1. Повреждение от короткого замыкания, статического электричества, искрения.
1.2.2. Отклонение электрических параметров от нормативных параметров.
1.2.3. Нарушение целостности электрической цепи.
1.2.4. Нарушение изоляции.
1.2.5. Повреждение элементов электроустановок и электрических сетей.
1.3. ВОЗДЕЙСТВИЯ ХИМИЧЕСКИЕ
1.3.0. Прочие.
1.3.1. Химическое загрязнение, шлам, накипь.
1.3.2. Пожар, возгорание, взрыв из-за химического взаимодействия.
1.3.3. Неконтролируемая химическая реакция.
1.3.4.Неудовлетворительная химическая технология или не соответствующий требованиям химический контроль.
1.4. ГИДРАВЛИЧЕСКИЕ ВОЗДЕЙСТВИЯ
1.4.0. Прочие.
1.4.1. Гидравлический удар, ненормальное давление.
1.4.4. Кавитация.
1.4.5. Газовая пробка.
1.4.6. Наличие влаги в воздушной системе
1.5.НЕИСПРАВНОСТИ В КОНТРОЛЬНО-ИЗМЕРИТЕЛЬНЫХ СИСТЕМАХ
1.5.0. Прочие.
1.5.1. Ложный сигнал.
1.5.2. Колебание измеряемого параметра.
1.5.3. Смещение уставки, смещение "нуля".
1.5.4. Неправильное показание параметра.
1.5.5. Потеря сигнала, отсутствие сигнала;
1.5.6. Наводки в цепях автоматики;
1.5.7. Проявления статического электричества в цепях автоматики;
1.5.8 Нарушение целостности цепей автоматики;
1.5.9 Разрушение элементов автоматики и цепей автоматики.
1.6. ОКРУЖАЮЩИЕ УСЛОВИЯ (внутренние воздействия)
1.6.0. Прочие.
1.6.1. Температура.
1.6.2. Давление.
1.6.3. Влажность.
1.6.4. Затопление.
1.6.5. Замерзание.
1.6.6. Неравномерность осадки фундамента.
1.6.7. Задымление.
1.6.8. Наводки.
1.7. ОКРУЖАЮЩАЯ СРЕДА (внешние воздействия)
1.7.0. Прочие.
1.7.1. Повреждение от опасных факторов проявления молнии.
1.7.2. Ливень, наводнение
1.7.3. Шторм (ураган), торнадо.
1.7.4. Землетрясение.
1.7.5. Понижение температуры воздуха.
1.7.6. Повышение температуры воздуха.
1.7.7. Воздушная ударная волна.
1.7.8. Падение летательного аппарата.
1.7.9. Обледенение.
1.8. ЧЕЛОВЕЧЕСКИЙ ФАКТОР - ОШИБКИ ПЕРСОНАЛА
1.8.0. Прочие.
1.8.1. Неправильное, некачественное выполнение технологических операций (ошибки при выполнении переключений, подключений).
1.8.2. Неправильное, случайное воздействие на элементы защиты и автоматики.
1.8.3. Самовольное производство работ, переключений и т.д.
1.8.4. Несогласованные действия.
1.8.5. Установка, ввод в работу непроверенной дефектной аппаратуры, элементов (с неисправными устройствами, узлами,); установка непроектных узлов, деталей.
1.8.6. Отсутствие контроля, некачественный контроль за состоянием систем (элементов) и выполняемыми технологическими операциями.
1.8.7. Преднамеренное вмешательство в работу автоматики.
1.8.8. Работа без программы, бланка переключений, наряда-допуска, отступление от программы работ, инструкции и других документов.
1.8.9. Некачественный ремонт, нарушение технологии ремонта.
1.8.10. Некачественная сварка.
1.8.11.Некачественная сборка (ненадежная затяжка, обжатие разъемных соединений, уплотнений и др.).
1.8.12. Некачественное послеремонтное испытание, обкатка.
1.8.13. Ошибки при инспекции, техническом обслуживании, испытании или настройке.
Б.2. Коренные причины
2.1. Ошибка конструирования (включая изменения).
2.2. Ошибка проектирования (включая изменения).
2.3. Дефект изготовления.
2.4. Недостатки сооружения
2.5. Недостатки монтажа.
2.6. Недостатки наладки.
2.7. Недостатки ремонта, выполняемого сторонними (по отношению к МН) организациями.
2.8. Недостатки проектной, конструкторской и другой документации завода - изготовителя.
2.9. Недостатки управления МН и недостатки организации эксплуатации МН.
2.9.1. Недостатки эксплуатационной документации:
2.9.1.1. отсутствие документации;
2.9.1.2. неправильное или неоднозначное определение требований документации;
2.9.1.3.несвоевременное внесение изменений в документацию.
2.9.2. Непринятие необходимых мер или несвоевременное их принятие:
2.9.2.1.по обеспечению систем рабочими средами, запасными частями, узлами, агрегатами;
2.9.2.2.по изменению схемных решений систем, конструкции элементов, проектных решений и проектной документации, а также принятие мер без согласования с проектной, конструкторской организациями, изготовителем оборудования (элементов);
2.9.2.3. по устранению выявленных недостатков;
2.9.2.4.по соответствующему анализу технических решений, изменению проектных схем до выполнения работ по их реализации.
2.9.3. Недостаток процедуры допуска к работам по устранению дефектов, техобслуживанию и контроля за проведением этих работ.
2.9.4. Недостатки процедуры технического обслуживания, ремонта, выполняемых персоналом МН.
2.9.5. Проблемы связи или ошибки при передаче информации.
2.9.6. Недостатки подготовки персонала МН.
2.9.7. Недостатки в программе контроля:
2.9.7.1.за выявлением и устранением неработоспособности систем (элементов);
2.9.7.2.за выявлением и устранением недостатка процедур;
2.9.7.3.за выявлением и устранением недостатка подготовки персонала.
ПРИЛОЖЕНИЕ В
(справочное)
ПРИНЦИПЫ МОДЕЛИРОВАНИЯ АВАРИЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ
В.1 Методика анализа аварийных последовательностей
В.1.1
Цель и задачи моделирования АП
По результатам моделирования АП выполняется анализ систем, анализ надежности персонала, разрабатывается интегральная вероятностная модель блока АС и определяются сценарии для проведения дополнительных детерминистических анализов аварийных процессов.
Анализ АП выполняется после выбора и группировки ИС. Моделирование аварийных процессов в ОМН для каждой группы ИС осуществляется посредством построения графов событий - деревьев событий или СФЦ.
Графы событий разрабатываются последовательно для каждой группы ИС. Процесс их разработки включает предварительную и заключительную стадии.
На предварительной стадии графы строятся с использованием принятых допущений и предварительных критериев успеха для функций безопасности и действий персонала. Предварительные критерии и принятые допущения могут уточняться в процессе анализа, что может потребовать проведения дополнительных теплогидравлических расчетов.
На заключительной стадии графы событий корректируются согласно уточненным критериям и допущениям.
Вообще говоря, процесс анализа итерационен, и графы событий могут модифицироваться на более поздних этапах ВАБ.
При моделировании АП необходима информация, получаемая на этапе «Выбор и группировка исходных событий». Данная задача тесно связана и предоставляет исходную информацию для задач:
– моделирование систем;
– анализ надежности персонала;
– сбор и анализ данных.
В.1.2 Феноменология аварий
Понимание феноменологии аварийных процессов, характерных для рассматриваемого ОМН, является важнейшим условием моделирования АП. Накопление и обобщение исходной информация об авариях выполняется по результатам детерминистского анализа аварий, представляемого в материалах технического обоснования безопасности ОМН, а также на основе изучения опыта эксплуатации аналогов.
Феноменология аварий связана как с естественными процессами, характерными для ОМН определенного типа, так и с особенностями компоновочных, схемных и конструкторских решений ОМН.
Необходимо представление о реализации в проекте ОМН глубоко эшелонированной защиты, основанной на применении системы барьеров безопасности, реализации мер по защите и сохранению эффективности этих барьеров, а также мер по защите персонала, населения и окружающей среды.
Специфические условия аварии, когда выполнение функций безопасности может быть обеспечено разными системами, резервирующими друг друга, и когда это разнообразие (резервирование) нарушается следует определить.
Особому вниманию подлежат выявленные по результатам проведенных исследований аварий специфические ("тонкие") взаимодействия систем, приводящие к отключению (невозможности использования), снижению эффективности тех или иных средств обеспечения безопасности ОМН, сокращению резервов времени, ухудшению условий доступа персонала к оборудованию, возможности совершения ошибочных действий, усугубляющих развитие аварии, и т.п.
По результатам детерминистского анализа аварий формируется набор расчетных сценариев аварий («реперных» аварийных последовательностей).
В.1.3
Методы моделирования АП
Дерево событий (ДС) – графическая модель, описывающая логику развития различных вариантов аварийного процесса, вызываемого рассматриваемым исходным событием аварии.
Принципы разработки ДС:
– разработка ДС должна основываться на проектно-конструкторской и эксплуатационной документации, отражающей состояние ОМН в период разработки ВАБ с учетом возможных изменений, вносимых в документацию в процессе разработки ВАБ;
– разработка ДС должна основываться на результатах анализов аварийных процессов, выполненных по специальным сценариям и с применением моделей, исходных данных и расчетных программ, обеспечивающих получение реалистических (не консервативных) результатов.
Для каждого ИС должен быть определен перечень ФБ, структура, способы управления (автоматический или персоналом) системами, выполняющими каждую ФБ, и критерии их успешного функционирования.
Критерии успеха представляют собой минимальные совокупности работоспособных элементов систем и успешных действий персонала, необходимых для выполнения ФБ при возникновении рассматриваемых ИС.
Возможно моделирование с помощью аппарата схем функциональной целостности (СФЦ). При построении СФЦ используется 5 основных графических элементов:
– функциональные вершины, предназначенные для отображения на графе СФЦ простых (бинарных) случайных событий х
i
(в частности, инициирующих событий), представляющих элементы i
исследуемого ОНС в разрабатываемой структурной модели ее надежности и/или безопасности (насос, участок трубопровода, клапан, теплообменник, действия оператора и т.п.);
– фиктивные вершины, предназначенные для отображения на графе СФЦ логических условий реализации функций группами элементов и подсистем ОНС, т.о. они выполняют функции, аналогичные логическим операторам в деревьях отказов;
– конъюнктивные и дизъюнктивные ребра, предназначенные для отображения в СФЦ трех видов информации:
1) представления условия реализации yi
или не реализации выходных функций элементами системы в точке исхода из вершины х
i
;
2) направленности функционального подчинения от точки исхода из вершины х
i
в точку захода в вершину х
j
;
3) представления логического условия обеспечения реализации выходной функции yi
элемента j
системы в точке захода в вершину х
j
.
– инверсный выход ребра из вершины х
i
, предназначенный для представления условия не реализации выходной функции элементом i
в исследуемой системе.
При построении ДС и СФЦ, основанных на обратной логике, применяется практически одна и та же методология. Поэтому в дальнейшем дается описание этой методологии без подразделения на особенности построения именно ДС или СФЦ. Исключение делается только в совершенно необходимых случаях, как правило, тогда, когда это касается особенностей разработки именно ДС.
ДС (СФЦ) разрабатывается для каждого ИС (группы ИС). При этом учитываются особенности всех ИС, включенных в данную группу, и связанных с ними сценариев развития аварий. Перечень систем и действий персонала, влияющих на развитие аварии, может отличаться для разных ИС (групп ИС). В частности, для особых ИС, приводящих к зависимым отказам систем безопасности, их перечень может сократиться. При этом более детально рассматриваются возможные технические средства управления аварией.
Конечное состояние каждой АП определяется в терминах, характеризующих степень повреждения ОМН. Обычно различают два состояния: безопасное состояние и состояние с повреждением ОМН.
ДС (СФЦ) разрабатывается непосредственно или с использованием промежуточного шага – построения диаграммы последовательности событий (ДПС).
ДПС – промежуточная модель, описывающая развитие аварийных процессов на ОМН, и являющаяся более подробной, нежели ДС (СФЦ). Создание ДПС обеспечивает более надежный способ корректного моделирования работы и взаимодействия различных систем, и действий персонала.
Непосредственное построение ДС (СФЦ) основано на рассмотрении функций безопасности, выполнение которых необходимо при возникновении ИС. Функции безопасности используются для определения систем, участвующих в ликвидации аварии, и требуемых действий персонала, а также разработки критериев успеха для них.
На рисунке В.1.1 приведен общий вид ДС и показаны основные его элементы.
Рисунок В.1.1 – Общий вид дерева событий
В.1.4 Допущения и ограничения
Моделирование АП практически во всех случаях предполагает использование ряда допущений и упрощений, обусловленных сложностью и неопределенностью физических характеристик протекающих аварийных процессов, а также ограниченностью используемых методов моделирования (логического инструмента).
Предполагается, что обслуживание и функционирование оборудования характеризуется двумя состояниями (полная работоспособность/неработоспособность, полное восстановление/невосстановление). Как правило, в методологии ВАБ для элементов и систем не различаются промежуточные состояния (частичное открытие клапана) и изменение производительности (снижение расхода для насоса).
В случае зависимости функциональных событий от времени, стандартная аналитическая модель ДО не позволяет корректно рассчитывать частоты АП. Однако этого ограничения можно избежать, используя методы аналитико-статистического моделирования.
При построении ДС (СФЦ) необходимо ясно и полно описывать допущения и ограничения принятые при моделировании АП. Необходимо ясное представление о том, какие упрощения и ограничения накладываются физическими свойствами протекающих аварийных процессов, а какие являются следствием ограниченности метода ДС, как инструмента моделирования.
В.1. 5 Определение конечных состояни
й
Конечное состояние ОМН - устойчивые, управляемые состояния систем и компонентов после аварии. При построении ДС (СФЦ) каждой АП приписывается некоторое конечное состояние.
Конечное состояние АП определяется в терминах, описывающих состояние ОМН, то есть уровня его повреждения. В практике проведения ВАБ сложились следующие обозначения для конечных состояний:
CD - состояние с повреждением ОМН;
OK - безопасное состояние.
Повреждение ОМН (CD) является общим аварийным конечным состоянием, используемым в ВАБ. В зависимости от объема работ по ВАБ могут быть введены несколько возможных степеней “повреждения ОМН ”.
В.1.6 Построение дерева событий
В.1.6.1 Использование диаграммы последовательности событий
ДПС - диаграмма, описывающая развитие аварийных процессов в ОМН при возникновении ИС (группы ИС). В зависимости от различных вариантов срабатывания/отказа систем и успешных/неуспешных действий персонала, ДПС характеризует состояние ОМН с точки зрения степени повреждения ОМН. ДПС строятся и используются для более подробного, чем это возможно в ДС (СФЦ), описания расчетных сценариев развития аварии, для которых выполнен детерминистский анализ физических процессов. ДПС служат в качестве промежуточного инструмента для систематизации и наглядной обработки исходной информации по анализу аварий при моделировании АП.
В ДПС для расчетных сценариев развития аварии отражаются хронология событий, основные этапы выполнения алгоритма защитных действий систем, взаимосвязи событий (взаимодействие систем), меры управления аварией и резервы времени для действий персонала, состояния ОМН. ДПС представляются в виде схем (рисунок В.1.2) или в табличной форме.
При построении ДС (СФЦ) с использованием ДПС, для каждого ИС (группы ИС) на основе проектной и эксплуатационной документации разрабатывается ДПС, отражающая специфику развития аварии для данного ИС. ДПС описывает основные системы и действия персонала, необходимые для предотвращения аварии, и содержит причинно-следственные связи между срабатыванием/отказом систем и состоянием ОМН. Пример ДПС приведен на рисунке В.1.2.
Рисунок В.1.2 – Пример диаграммы последовательности событий
При построении ДС (СФЦ) на основе ДПС, порядок функциональных событий (отказов систем, действий персонала) и конечные состояния АП определяется согласно имеющейся ДПС. Для каждого функционального события, включенного в ДС (СФЦ), определяется и документируется критерий успеха. При рассмотрении группы ИС возможна ситуация, при которой критерий успеха для функционального события отличается для различных ИС в группе. В таком случае выбирается критерий, предъявляющий наибольшие требования к работоспособности системы. Список критериев успеха для функциональных событий документируется.
В.1.6.2 Разработка перечня функций безопасности
Функция безопасности – специфическая конкретная цель и действия, обеспечивающие ее достижение, направленные на предотвращение аварий или ограничение их последствий.
Для рассматриваемых в ВАБ ИС определяется перечень функций безопасности, выполнение которых необходимо для достижения безопасного конечного состояния. Ниже перечислены некоторые функции безопасности, присущие ОМН:
– аварийная остановка насосного агрегата (аварийная защита);
– аварийный слив нефти в резервуары;
– локализация места выхода нефти в ОПС.
В рамках ВАБ при моделировании АП, перечень функций безопасности может быть расширен за счет детализации основных функций, в зависимости от особенностей ОМН.
Действия персонала связаны с системами, выполняющими функции безопасности, и, как правило, не требуется выделять какие-либо специфические "функции персонала" (за исключением, может быть, функциональных событий, обусловленных ошибочными действиями, усугубляющими развитие аварии).
По результатам разработки перечня функций безопасности необходимо отразить взаимосвязи между функциями и системами, их выполняющими.
В.1.6.3 Разработка перечня систем безопасности и действий персонала для каждой функции безопасности
На данном этапе определяются системы и действия персонала, необходимые для надлежащего выполнения каждой функции безопасности. Для каждой функции безопасности все действия персонала и системы безопасности (поодиночке или в комбинации с другими системами), выполняющие эту функцию, должны быть определены и задокументированы. На начальной стадии эта задача может быть выполнена на основе существующих теплогидравлических расчетов и качественного технического анализа. В дальнейшем, для уменьшения консерватизма перечень «Функции – системы» может быть откорректирован, на основе дополнительного анализа. Перечень функций безопасности и необходимых систем для каждой функции безопасности документируется.
Перечень доаварийных действий (ошибок), способных блокировать работу систем или отдельных их каналов, разрабатывается в задаче моделирования систем. Доаварийные ошибочные действия персонала, инициирующие аварию, анализируются при выборе перечня исходных событий в задаче выбора и группирования ИС.
Действия (ошибки) персонала при управлении аварией в общем случае можно представить следующими категориями:
а) включение в работу (согласно инструкции) систем, для которых не предусмотрено автоматическое управление;
б) дублирование (согласно инструкции) автоматического управления системами;
в) ввод в действие технических средств управления аварией;
г) ошибочные действия, усугубляющие развитие аварии.
По характеру действий персонала следует выделить действия на пульте управления, то есть которые могут быть выполнены оператором относительно быстро, и действия по месту расположения оборудования, для выполнения которых требуется дополнительный резерв времени и привлечение персонала по месту.
Указанные выше категории действий персонала следует дополнить действиями, направленными на восстановление отказавшего оборудования (систем). В практике ВАБ интервал моделирования аварийных последовательностей (и времени функционирования систем безопасности) выбирается обычно 24 ч – и на этом интервале действия по восстановлению отказавшего оборудования, как правило, не учитываются.
Перечень действий (ошибок) персонала при управлении аварией разрабатывается поэтапно. При этом не следует заведомо стремиться к большому количеству рассматриваемых действий, так как это может неоправданно усложнить логическую модель установки.
Первоначально при моделировании АП могут быть рассмотрены лишь действия первой из указанных выше категорий "а" – применительно к наиболее значимым (наиболее эффективным) системам безопасности.
Необходимость включения в модели АП действий по дублированию автоматического управления системами (действия второй категории – "б") следует оценить с учетом предварительного анализа надежности управляющих систем и резервов времени на выполнение действий (возможны экспертные оценки "результативности" учета таких действий).
Действия по использованию технических средств управления аварией целесообразно включать в модели по результатам предварительного количественного анализа аварийных последовательностей.
Определение ошибочных действий, усугубляющих развитие аварии, представляет собой специфическую задачу при моделировании АП и требует углубленного анализа особенностей физических процессов, взаимосвязей событий, поиска мотиваций усугубляющих ошибок, сопутствующих выполнению каких-либо действий персонала, предписанных инструкциями, и, как правило, строится на основе учета реального опыта инцидентов на действующих ОМН.
В.1.6.4 Разработка перечня критериев успеха
Для каждого ИС (группы ИС) должен быть определен перечень критериев успеха для функций безопасности.
Критерий успеха для функции безопасности суть минимальные требования к работоспособности системы, необходимой для выполнения функции безопасности, или минимальный перечень систем, выполняющих данную функцию безопасности, совместно с критериями успеха для этих систем. Время реакции и требуемые действия персонала являются частью критериев успеха.
Как и в случае разработки перечня систем безопасности для функций безопасности, критерии успеха для функций безопасности формулируются на основе теплогидравлического анализа процессов рассматриваемого ОМН. Для определения критериев успеха в некоторых АП может потребоваться проведение дополнительных теплогидравлических расчетов.
Для каждого исходного события список критериев успеха документируется.
В критериях успеха исполнительных систем необходимо учесть возможные зависимые отказы отдельных каналов систем вследствие исходного события (снижение резервирования систем при "особых" исходных событиях), требования к обеспечению производительности каналов или другим характеристикам, влияющим на развитие аварии.
В.1.6.5 Построение деревьев событий
(СФЦ)
Построение ДС (СФЦ) рекомендуется проводить в два этапа – сначала строится «функциональное» ДС (СФЦ), описывающее выполнение/невыполнение набора необходимых функций безопасности, затем события «функционального» дерева детализируются до уровня отдельных систем/действий персонала.
Функциональное ДС (СФЦ) - модель последовательной реализации функций безопасности при возникновении определенного ИС (группы ИС). События в функциональном дереве определяются функциями безопасности, необходимыми для приведения ОМН в безопасное состояние. Каждая функция безопасности характеризуется набором систем, осуществляющих данную функцию. Определение необходимых функций безопасности может являться предварительным критерием группировки ИС.
В процессе разработки функционального ДС (СФЦ) целесообразно принять во внимание временные отношения между потребностью в каждой функции. Обычно функции безопасности, требуемые сначала, помещаются в дерево (СФЦ) левее. Рисунок В.1.3 содержит пример функционального ДС.
Рисунок В.1.3 – Функциональное дерево событий (пример)
Системные ДС (СФЦ) – графические диаграммы, отображающие логику различных вариантов развития аварии в зависимости от успешных/неуспешных действий систем и персонала, требуемых для предотвращения повреждения ОМН. Системные ДС (СФЦ) строятся на основе функциональных деревьев (СФЦ) с использованием перечня систем безопасности и действий персонала, разработанного ранее для каждой функции безопасности. Пример перехода от функционального дерева к системному представлен на рисунке В.1.4.
Аварийный останов |
Слив нефти в резервуары |
||||
Разрыв МН |
Система контроля и управления |
Система аварийного останова |
Система отсечения аварийного участка |
Система управления задвижками на трубопроводах приема подачи нефти из резервуаров |
№ |
|
Рисунок В.1.4 – Переход к системному дереву событий
Срабатывание/отказ системы (группы систем) представляется в системном ДС (СФЦ) в виде функционального события. Основные системы обычно располагаются в ДС (СФЦ) в хронологическом порядке. Хронологическое упорядочивание означает, что события рассматриваются в той же последовательности, в которой ожидаются в ходе развития аварии (рисунок В.1.5).
Система аварийного останова |
………. |
Система управления задвижками на трубопроводах приема подачи нефти из резервуаров |
|
Время реагирования |
Немедленно |
……….. |
После срабатывания системы аварийного останова |
Рисунок В.1.5 – Хронологическое упорядочивани
е срабатывания систем (пример)
При определении порядка функциональных событий в ДС (СФЦ) необходимо учитывать межсистемные зависимости. А именно, системы, для успешной работы которых необходимо срабатывание других систем, включаются в ДС (СФЦ) после тех систем, от которых они зависят (рисунок В.1.6).
Рисунок В.1.6 – Межсистемная зависимост
ь (пример)
Режим работы систем и оборудования также может влиять на порядок событий в дереве, см. рисунок В.1.7. В данном примере функциональное событие «Отказ системы А при работе» должно быть помещено после события «Отказ системы А при запуске».
Рисунок В.1.7. – Влияние режима работы систем и оборудования на порядок функциональных событий
(пример)
При разработке системных ДС (СФЦ) рекомендуется использовать принцип - “малые ДС - большие ДО”. При данном подходе, для каждой группы ИС системные ДС (СФЦ) включают только основные системы и действия персонала. Действия персонала, специфические для конкретной аварии (ИС) рекомендуется включать как отдельные события в ДС (СФЦ).
Набор основных систем в ДС (СФЦ) определяет объем работы в задаче анализа систем (построение ДО (СФЦ)). Обозначения (названия) функциональных событий в ДС (СФЦ) должны совпадать с обозначениями верхних событий в соответствующих ДО (СФЦ).
Возможна ситуация, когда в пределах одного ДС (СФЦ) имеются различные критерии успеха для одной и той же системы (в зависимости от АП) и, как следствие, возникает необходимость включения в ДС (СФЦ) различных функциональных событий для этой системы.
Для корректного моделирования вышеописанной ситуации возможны подходы, приведенные ниже.
Подход 1. В ДС (СФЦ) определяются различные функциональные события, соответствующие различным критериям успеха (рисунок В.1.8).
Подход 2. Если расчетный код, используемый для квантификации (вычисления количественных вероятностных показателей), позволяет присоединять к различным ветвлениям дерева, соответствующим одному функциональному событию, различные деревья отказов, то введения множественных функциональных событий для системы не требуется. В данном случае, в разных точках ветвления используются различные ДО (СФЦ), соответствующие различным критериям успеха (рисунок В.1.9).
Рисунок В.1.8 – Различные критерии успеха системы – несколько функциональных событий
Рисунок В.1.9 – Неявное моделирование различных критериев успеха системы
Ниже приведены общие этапы и правила построения ДС (СФЦ):
– построение функционального ДС (СФЦ), в котором события определяются выполнением или невыполнением функций безопасности, необходимых для приведения ОМН в безопасное состояние (функциональное ДС (СФЦ) - промежуточный этап, который может быть пропущен, особенно если набор функций мал);
– переход от функций безопасности к системам, их выполняющим – построение системного ДС (СФЦ);
– определение состава комплексов систем ДС (СФЦ) (объединение исполнительных и вспомогательных (управляющих, обеспечивающих) систем, действий персонала) и соответствующих функциональных событий для комплексов;
– действия персонала, специфичные для данной аварии (исходного события), предпочтительно включать в ДС (СФЦ) как отдельные функциональные события;
– в ряде случаев может быть целесообразным включение в перечень систем ДС (СФЦ) не только исполнительных, но и отдельных вспомогательных систем, если в такой структуре моделируемые АП будут более представительно отражать важные особенности сценариев развития аварии;
– для моделируемых функций и систем, их выполняющих, устанавливаются причинно-следственные взаимосвязи, и системы (по возможности) располагаются в ДС (СФЦ) в хронологическом порядке, то есть в той же последовательности, в которой события ожидаются в процессе развития аварии;
– хронологическое расположение систем в ДС (СФЦ) осуществляется по разработанным ДПС, при этом в случае одновременного включения в работу двух или более систем порядок расположения в ДС (СФЦ) определяется с учетом их взаимосвязей;
– при межсистемных взаимосвязях "зависимые" системы располагаются в ДС (СФЦ) после систем, оказывающих влияние на другие системы;
– при отказе систем, оказывающих влияние на другие системы, функциональные события для соответствующих "зависимых" систем не разветвляются (удаление ветвлений) –
отказ одной системы влечет за собой невозможность успешного выполнения своих функций другой системой;
– функциональные события для резервных систем не разветвляются, если успешно функциональное событие основной системы ("первого эшелона") и при этом работа резервной системы одновременно с основной не изменяет конечных состояний всех АП, связанных с работой основной системы;
– если при успешном функционировании некоторых впереди расположенных (в ДС (СФЦ)) систем для АП принимается успешное
конечное состояние, то функциональные события последующих систем в продолжение АП не разветвляются – отказ/успех последующей системы не влияет на конечное состояние, связанное с данной АП;
– если при отказе некоторой впереди расположенной (в ДС (СФЦ)) системы для АП принимается неуспешное конечное состояние, то функциональные события последующих систем в продолжение АП не разветвляются – отказ/успех последующей системы не влияет на конечное состояние, связанное с данной АП;
– если не удается однозначно определить приоритет каких-либо систем при их расположении в ДС (СФЦ), то наборы АП (и соответствующие конечные состояния) определяются перебором всех возможных комбинаций функциональных событий, связанных с такими системами.
Особенности построения ДС с взаимосвязями типа резервирование, зависимый отказ или неэффективность систем показаны на рисунке В.1.10.
Система А
|
Система Б
|
Система В
|
Система Г
|
Система Д
|
Последствия
|
|||||||||
· |
· |
· |
· Не нужна |
· Не нужна |
· Не нужна |
· OK
|
||||||||
· |
· |
· |
· |
· В резерве |
· |
· OK
|
||||||||
· |
· |
· |
· |
· |
· |
· CD
|
||||||||
· |
· |
· |
· |
· |
· |
· OK
|
||||||||
· |
· |
· |
· |
· |
· |
· CD
|
||||||||
· |
· |
· |
· |
· |
· Не эффективна |
· CD
|
||||||||
· |
· |
· |
· Зависима |
· Зависима |
· |
· OK
|
||||||||
· |
· |
· |
· |
· |
· |
· CD
|
||||||||
· |
· |
· |
· Зависима |
· Зависима |
· Не эффективна |
· CD
|
||||||||
· |
· |
· |
· |
· |
· |
· |
Рисунок В.1.10 – Характерные взаимосвязи систем в дереве событий
В.1.7 Учет зависимостей
при построении деревьев событий (СФЦ)
Важным, с точки зрения выявления межсистемных зависимостей, является анализ инцидентов, имевших место в процессе эксплуатации действующих объектов.
Анализ зависимостей проводится в процессе построения ДС (СФЦ) и определения критериев успеха систем на основе детерминистского учета существующих зависимостей между системами и элементами.
ИС влияют на набор систем, необходимых для приведения ОМН в безопасное состояние, на критерии успеха систем (ограничивают применение некоторых систем). Следствием ряда ИС являются зависимые отказы отдельных систем обеспечения безопасности, что оказывает влияние на группирование ИС.
Проявление зависимости первого типа характерно, например, для потери электроснабжения, когда требуется функционирование систем аварийного и резервного электроснабжения для ряда моделируемых систем.
Структурно-функциональная зависимость проявляется, например, в зависимости систем безопасности от системы подачи сжатого воздуха к пневмоприводам арматуры.
Требуется специальный инженерный анализ влияния отказов системы вентиляции помещений на сценарии развития аварий: по условиям работоспособности оборудования, аппаратуры систем управления, а также доступа к оборудованию по месту.
Влияние физических процессов на эффективность систем безопасности, на условия их работоспособности, на условия выполнения персоналом действий по управлению аварией (резервы времени, доступность оборудования и др.) необходимо проанализировать.
К зависимостям, которые могут быть обусловлены как физическими процессами, так и функциональными связями, относятся так называемые "тонкие" взаимодействия. "Тонкие" взаимодействия выявляются при эксплуатации действующих объектов, а также используется опыт анализа для других ОМН. Так, например, отказы (незакрытие) обратных клапанов в группе насосов при отключении одного из них приводят к снижению расхода в контуре циркуляции, так как образуется байпасная линия (такая зависимость может быть учтена в моделях соответствующих систем).
Условия развития аварии следует учитывать при анализе действий персонала по управлению аварией. Например, в аварии с пожаром на ПС, которая усугубляется отказом цепей автоматического и дистанционного управления арматурой, персонал не сможет управлять арматурой по месту.
В.1.7.1 Функциональные зависимости
На примере простого ДС (СФЦ) рассмотрим различные функциональные зависимости среди основных систем (рисунок В.1.11).
Рисунок В.1.11 – Дерево событий
(пример)
1 2 3
3
Рисунок В.1.12 – СФЦ
(пример)
На рисунке В.1.12: 1 – исходное событие; 2 – условие успешного функционирования системы А; 3 – условие успешного функционирования системы Б.
Для иллюстрации влияния функциональных зависимостей, предположим, что работа системы Б не требуется при срабатывании системы А. Это изменило бы дерево событий, как показано на рисунке В.1.13.
Рисунок В.1.13 – Влияние зависимости типа "нет необходимости"
С использованием изобразительных средств СФЦ данный рисунок примет более простой вид (рисунок В.1.14):
ИС А
Б
Рисунок В.1.14 – Влияние зависимости типа "нет необходимости" с помощью СФЦ
Другой пример функциональной зависимости, где система Б может работать только при успешной работе системы А, отражен на рисунке В.1.15
Рисунок В.1.15 – Влияние зависимости типа "событие невозможно"
С помощью СФЦ указанная зависимость будет отображаться так, как показано на рисунке В.1.16.
ИС А Б
Рисунок В.1.16 – Влияние зависимости типа "событие невозможно"
Если отказ одной системы влечет за собой невозможность успешного выполнения своих функций другой системой, то это ведет к удалению ветвлений ДС. Удаление ветвлений происходит также в случае, если отказ/успех некоторой системы не влияет на конечное состояние МН, связанное с данной АП.
По возможности, ДС (СФЦ) упрощаются структурно путем переупорядочивании функциональных событий с учетом межсистемных зависимостей.
В.1.7.2 Общие элементы оборудования
При использовании современных компьютерных кодов для ВАБ не требуется специального рассмотрения зависимостей между системами, вызванных наличием общих элементов оборудования.
Для иллюстрации случая с наличием общего оборудования, предположим, что ДО, разработанные для систем А и Б содержат одни и те же базовые события отказов оборудования, а именно отказы элементов А и F (рисунок В1.17).
Рисунок В.1.17 – Деревья отказов с общими элементами оборудования
СФЦ, аналогичные деревьям отказов, представлены на рисунке В.1.18.
А В
Д E A F
G
C F
Рисунок В.1.18 – СФЦ с общими элементами оборудования
При корректном расчете минимальных сечений для АП, ДО для систем автоматически объединяются, с учетом того, отказала или сработала система в данной АП.
Для последовательности 3 (рисунок В.1.11), например, ДО строится для верхнего события «отказ системы А, система Б работает». ДО для АП строится на основе ДО систем путем объединения их по логике «И». При этом, так как система B считается работоспособной, то ДО для нее «инвертируется», что соответствует логическому отрицанию события «отказ системы Б». ДО для последовательности 3 показано на рисунке В.1.19, а СФЦ –на рисунке В.1.20.
Рисунок В.1.19 – Дерево отказов аварийной последовательности
A B
D E A F
G
C F
Рисунок В.1.20 – СФЦ аварийной последовательности
В.2 Примеры построения ДС
Опасности в системе объекта МН могут возникать в результате различного рода дефектов и ошибок. В свою очередь ошибки и дефекты могут привести к нарушению нормального функционирования системы объекта МН с нежелательными последствиями.
Рисунок В.2.1 – Схема классификации опасностей на МН
На основе данной схемы можно идентифицировать и классифицировать любую опасность системы МН или ее объекта.
На рисунке В.2.2 представлено дерево отказов для аварии на линейной части МН.
Рисунок В.2.2 – Дерево отказов линейной части МН
ПРИЛОЖЕНИЕ Г
(справочное)
АНАЛИЗ НАДЕЖНОСТИ СИСТЕМ
Анализ надежности систем проводится для разработки логических моделей систем для всех моделируемых функций, в которых задействована анализируемая система. Модели систем также используются для определения частот инициирующих событий.
Г.1 Функциональная декомпозиция ОМН на главные и вспомогательные системы. Анализ межсистемных связей и зависимостей
Функциональная декомпозиция ОМН является первым этапом анализа надежности сложной технологической системы, на основе которого в дальнейшем выполняется построение расчетной математической модели.
Главная цель функциональной декомпозиции заключается в разработке структурной модели объекта эксплуатации, определении функциональных связей и зависимостей между системами и подсистемами.
Функциональная декомпозиция выполняется в два этапа:
1 этап – разбиение ОМН на множество систем и подсистем.
2 этап – установление связей и зависимостей между системами и подсистемами.
С точки зрения выполнения первого этапа функциональной декомпозиции, целесообразно разделить все системы ОМН на три основных класса:
1) главные технологические системы;
2) обеспечивающие (вспомогательные) системы;
3)системы безопасности.
Главные технологические системы – системы, отказы элементов в которых непосредственно приводят к отказу главной целевой функции ОМН. Как правило, главные технологические системы в пределах ОМН являются независимыми т.е. работа одних систем не зависит от работы других систем.
Обеспечивающие системы – системы, отказы элементов в которых приводят к зависимым отказам элементов главных технологических систем.
Системы безопасности – системы, отказы элементов которых приводят к невозможности локализации и ликвидации аварийных ситуаций на ОМН. При нормальных условиях эксплуатации отказы элементов систем безопасности не оказывают влияния на работоспособность главных технологических систем.
При выполнении второго этапа функциональной декомпозиции определяются связи между системами, которые отображаются в виде графа функционального подчинения либо в виде матрицы связей. Рассмотрим матричную форму представления связей систем.
Матрица связей систем строится следующим образом:
Формируется таблица, в первом столбце которой указываются главные технологические системы.
В первой строке данной таблицы приводится перечень обеспечивающих систем.
Если работоспособность главной технологической системы зависит от функционирования обеспечивающей системы на пересечении соответствующей строки и столбца ставится «1».
Г.2 Требования к структуре и объему исходных данных для
анализа надежности систем
Исходные данные, необходимые для анализа надежности систем подразделяются на две части:
1) проектные и эксплуатационные данные по системам;
2) данные по показателям надежности элементов систем.
Источниками исходных данных являются материалы проекта, эксплуатационная документация, пусконаладочная документация и документация об испытаниях, опыте эксплуатации. Кроме собственно анализа систем, исходные данные используются для верификации и проверки правильности результатов анализа. Все исходные данные, в том числе и недокументированные, должны иметь ссылку на источник информации.
Список специальной документации, используемой при анализе систем и сборе данных, приведен в таблице Г.1.
Таблица Г.1 – Источники информации для ВАБ ОМН
Источник информации |
Данные |
Техническое описание системы (проектная документация) |
Детальные описания назначения, структуры и принципа действия системы, анализ критериев успеха |
Технологические схемы (включая трубопроводы и КИПиА) |
Технологическая взаимосвязь элементов системы в процессе функционирования |
Электрические схемы |
Структура электроснабжения элементов систем |
Чертежи оборудования |
Показывают местоположения элементов конструкции для определения возможности восстановления элементов системы после отказа |
Инструкции по управлению системой при возникновении аварийных ситуаций |
Аварийные сценарии и действия персонала |
Инструкции по эксплуатации, техническому обслуживанию и ремонту |
Правила эксплуатации, действия персонала, периодичность ТОР, периодичность тестирования и опробования, виды отказов и порядок их устранения |
Эксплуатационные журналы |
Данные неготовности из-за технического обслуживания, среднее время восстановления, данные по наработке до отказа. |
Технологический регламент эксплуатации |
Эксплуатационные состояния системы, допустимое время простоя вследствие отказа, эксплуатационные режимы, порядок принятия решений по управлению процессом технической эксплуатации системы |
Структурная схема АСУ ТП |
Управляющие сигналы, уставки и алгоритмы управления системой |
Кроме технической документации, для сбора исходных данных используется осмотр оборудования по месту. Осмотр по месту преследует следующие основные цели:
– проверку данных, содержащихся в технической документации;
– определение возможности появления отказов по общей причине;
– определение дополнительных факторов, влияющих на надежность персонала при выполнении действий по месту расположения оборудования;
– проверку возможности выполнения тех или иных операций во время аварии.
Г.2.1 Проектные и эксплуатационные данные, необходимые для моделирования систем
Г.2.1.1 Название системы и обозначение
Приводится принятое в эксплуатационной документации название системы и ее обозначение в соответствии с проектом.
Г.2.1.2 Функции системы и критерии успеха
Указываются функции системы, которые выполняются при нормальной эксплуатации, при возникновении отклонений от процесса нормальной эксплуатации и при возникновении аварийных ситуаций.
Для каждой функции системы указываются критерии успеха.
Критерий успеха для системы выражается в виде производительности системы или набора элементов (каналов или других частей системы), работа которых требуется, чтобы обеспечить эту производительность.
Г.2.1.3 Описание системы и технологическая схема
Описывается конфигурация системы и ее работа при нормальной эксплуатации, отклонении от процесса нормальной эксплуатации и аварии. Указывается число каналов, петель и т.д. и их состав (количество и типы основного оборудования); направление потока (источник среды и куда она подается).
Г.2.1.4 Основные элементы системы
Представляются следующие данные об основных элементах системы:
– тип (заводская марка) элемента;
– основные технические характеристики элемента (в соответствии с тех. паспортом, техническим описанием и т.д.);
– размещение элементов, включая номера и повысотные отметки помещений;
– потребности элемента в энергоснабжении, охлаждении, кондиционировании воздуха и вентиляции, смазке от внешних систем, в работе других вспомогательных систем. При этом должны быть указаны секции (сборки, шкафы), от которых элемент получает электропитание и наименование или обозначение других источников энергии (например, систем сжатого воздуха);
– предельные значения параметров, от которых зависит эксплуатация элемента.
В перечень основных элементов должны быть включены:
а) в гидравлических и пневматических системах:
1) все элементы, имеющие движущиеся части (насосы; компрессоры; арматура, в том числе обратные клапаны);
2) баки и ресиверы;
3) трубопроводы, по которым среда подается к потребителю; а также байпасные и вспомогательные трубопроводы с Ду не менее 1/3 от Ду основного трубопровода;
б) в электрических системах:
1) генераторы, дизельгенераторы;
2) инверторы, выпрямители;
3) секции и сборки, к которым подключены рассматриваемые в анализе потребители;
4) трансформаторы;
5) выключатели и разъединители
6) средства ЭХЗ;
7) электродвигатели;
8) воздушные линии электропередач;
9) подземные кабельные линии;
10) разрядники.
Г.2.1.5 Контроль и управление системой
Представляется информация о контроле параметров системы, которая включает измеряемые параметры, КИП с указанием позиции датчика и вторичного прибора, их типа и расположения.
Отдельно указываются защиты и блокировки системы. Для них описываются алгоритмы срабатывания и уставки, элементы системы, на которые они воздействуют. Кроме того, указываются КИП, участвующие в формировании сигналов защит и блокировок.
Г.2.1.6 Опробования и техническое обслуживание системы
Подготавливаются данные о периодичности и объеме опробований. При этом указываются программы и инструкции, в соответствии с которыми эти опробования проводятся. Если вместе с опробованиями проводятся техническое обслуживание систем или их элементов, это также необходимо отметить. Необходимо иметь данные по технологическим операциям ТО и длительности их выполнения.
Г.2.1.7 Взаимосвязь с другими системами
Подготавливается информация о связях анализируемой системы с другими системами, которые нужны для обеспечения ее работоспособности или сами зависят от нее. Должны быть описаны следующие связи:
– связи по энергоснабжению – указываются требования по энергоснабжению как исполнительных механизмов (например, электродвигателя насоса, пневмопривода арматуры и т.д.), так и управляющих устройств, по потребляемой энергии элементы могут быть электрические и пневматические;
– связи по вентиляции – указываются требования к вентиляции помещений, в которых размещено оборудование системы, а также системы вентиляции, которые для этого задействованы;
– связи с системами управления – указываются системы контроля и управления и/или управляющие системы, в которых формируются управляющие сигналы для оборудования рассматриваемой системы (включая сигналы на запуск, останов оборудования, запреты на включение/отключение, изменение положения арматуры и т.д.);
– компоненты, являющиеся общими для нескольких систем;
–прочие связи – могут существовать другие зависимости между системами (например, технологические связи по перекачиваемой среде, по подаче смазки и т.д.). При необходимости их тоже нужно описать.
Г.2.1.8 Действия персонала
Должна быть представлена информация о действиях персонала, ошибках, совершение которых могут привести к невыполнению системой своих функций (отказу системы), к ним относятся:
– действия персонала, которые требуются для пуска/останова системы или элемента;
– действия персонала, которые должны дублировать работу автоматики;
–действия по приведению системы в работоспособное состояние после опробования или технического обслуживания;
– действия по настройке оборудования системы.
Г.2.1.9
Перечень документации
Должны быть указаны документы, которые содержат технические описание системы, регламентируют порядок ее эксплуатации и технического обслуживания. В перечень должны войти проектные материалы, инструкции по эксплуатации, технические описания, технологические схемы, перечни защит и блокировок, разделы технологического регламента и т.д.
Г.2.2 Данные по показателям надежности оборудования, необходимые для анализа систем
Показатели надежности элементов ОМН могут быть получены либо путем накопления и статистической обработки данных по отказам в ходе эксплуатации системы, либо из различных баз данных, в которых собрана и обработана информация по надежности аналогичного оборудования.
Статистический анализ эксплуатационных данных является наиболее предпочтительным способом получения информации по показателям надежности оборудования. Однако накопление необходимой статистики, как правило, происходит уже тогда, когда необходимость в ней пропадает и система выводится из эксплуатации.
Чаще всего используют комбинированный способ, при котором первоначально показатели надежности оборудования принимают на основании какой-либо подходящей базы данных, а затем, по мере накопления собственной статистики отказов, данные по надежности постепенно уточняются на основе применения байесовского подхода.
Наиболее представительными базами данных по показателям надежности тепломеханического и электротехнического оборудования являются базы данных, полученные в атомной отрасли для проведения вероятностного анализа безопасности АЭС. Существуют Европейская, Американская и Российская базы данных, на основе которых можно найти аналоги оборудования, использующегося в моделируемых ОМН и соответствующие им показатели надежности.
Показатели надежности элементов систем, полученные из базы данных по надежности оборудования Российских АЭС нового поколения, представлены в таблице Г.2.
Таблица Г.2 – Информация по надежности оборудования, необходимая для выполнения анализа надежности
Оборудование (внутреуровневый код по [12]) |
Виды отказов |
Интенсивность отказов, λ (1 / час) |
Коэффициент неготовности, Кнг
|
Средняя наработка до отказ, Т(час) |
Фактор ошибки |
Среднее время восстановления после отказа, Тв
|
Электромеханическое оборудование |
||||||
Кран шаровой с электроприводом и контролем протечек (6-03009) |
Отказ на открытие |
1,78Е-06 |
1,95 |
12 |
||
Отказ на закрытие |
9,69Е-07 |
1,93 |
12 |
|||
Самопроизвольное закрытие (открытие) |
2,27Е-06 |
10 |
4 |
продолжение таблицы Г.2
Кран шаровой (6-03008) |
Отказ на открытие |
1,63Е-06 |
2,77 |
12 |
|||||
Отказ на закрытие |
6,02Е-04 |
4,71 |
12 |
||||||
Самопроизвольное закрытие (открытие) |
2,27Е-06 |
10 |
4 |
||||||
Обратный клапан (6-03006) |
Отказ на открытие |
1,23Е-07 |
12 |
12 |
|||||
Отказ на закрытие |
1,92Е-07 |
12 |
12 |
||||||
Компрессоры (6-17006) |
Отказ при запуске |
2,00Е-06 |
10 |
24 |
|||||
Отказ при работе |
2,00Е-04 |
10 |
24 |
||||||
Насосы (6-01000) |
Отказ при запуске |
1,83Е-05 |
1,39 |
36 |
|||||
Отказ при работе |
2,02Е-05 |
1,53 |
36 |
||||||
Гидроаккумуляторы (6-03026) |
Течь |
7,72Е-08 |
10 |
48 |
|||||
Фильтр (6-03024, 6-05011) |
Засорение |
3,00Е-05 |
10 |
36 |
|||||
Клапаны запорные (6-03023) |
Не открытие |
2,76Е-07 |
5,83 |
24 |
|||||
Не закрытие после открытия |
1,19Е-03 |
4,71 |
|||||||
Электротехническое оборудование |
|||||||||
Агрегаты гарантированного питания (6-04027) |
Отказ при пуске |
9,85Е-06 |
1,81 |
48 |
|||||
Отказ при работе |
1,19Е-03 |
3,3 |
48 |
||||||
Выключатель (6-06003) |
Отказ на изменение положения |
1,80Е-03 |
10 |
12 |
|||||
Аппараты распределения электрической энергии (6-04021) |
Короткое замыкание |
9,88Е-07 |
3,73 |
12 |
окончание таблицы Г.2
Аккумулятор и аккумуляторная батарея (6-04033) |
Потеря функции |
4,17Е-07 |
3,47 |
24 |
Преобразователь (6-04034) |
Потеря функции |
7,25Е-06 |
1,4 |
12 |
Измерительный трансформатор (6-04016) |
Потеря функции |
7,15Е-08 |
12 |
24 |
Кабели электрические свыше 1000 В (6-04005), до 1000 В (6-04006) |
Короткое замыкание |
3,61Е-08 |
10 |
12 |
Коэффициент готовности:
, (Г.1)
где Т– средняя наработка на отказ,
Тв
– среднее время восстановления
Коэффициент неготовности Кнг
:
(Г.2)
Базы данных по показателям надежности оборудования, используемого на АЭС, могут быть использованы при оценке показателей надежности аналогичного оборудования МН.
Г.3 Моделирование систем
Г.3.1 Определение границ систем и элементов
Для определения границы системы необходимо:
1) учесть при анализе все элементы, важные с точки зрения возможного отказа системы;
2) не допустить многократного учета одних и тех же элементов в составе разных систем.
При определении границ системы используются следующие основные условия:
– если две системы выполняют одну функцию, то они рассматриваются по отдельности, и границы между ними должны быть четко установлены;
– если критерий успеха сформулирован для канала системы, то для канала системы должны быть определены границы;
– если вспомогательная система связана только с одной основной системой, то ее отказ моделируется совместно с отказом основной системы, и она включается в состав основной системы;
– если вспомогательная система связана с несколькими системами, непосредственно участвующими в ликвидации аварии, то для нее строится своя модель;
– если элемент входит в состав нескольких систем, то он включается в модели всех этих систем. В данном случае границы систем пересекаются. При этом во все деревья отказов всех систем этот элемент должен входить под одним и тем же именем.
Для гидравлических и пневматических систем границы по перекачиваемой среде проходят:
– на напорных трубопроводах - в месте врезки напорного трубопровода данной системы в трубопровод или сосуд другой системы (той, в которую подается среда);
– на трубопроводах подачи среды из вспомогательных систем - в месте врезки во всасывающий трубопровод данной системы напорных трубопроводов вспомогательной системы.
При определении границы между электрической системой и конечным потребителем следует руководствоваться следующими условиями:
– если конечный потребитель имеет свой индивидуальный выключатель - граница проходит в точке присоединения токопровода к выключателю, причем выключатель не входит в состав электрической системы, а входит в состав той же системы , что и элемент-потребитель;
– если через один выключатель получают питание несколько конечных потребителей (например, несколько приборов), то граница проходит в точке присоединения токопровода к выключателю. При этом выключатель не входит в состав электрической системы и входит в состав всех систем, к которым принадлежат потребители, присоединенные к электрической секции через этот выключатель Границы систем-потребителей в этом случае пересекаются;
– если линия присоединения конечного потребителя к электрической секции содержит индивидуальное преобразующее устройство (трансформатор, выпрямитель и т.п.), это преобразующее устройство включается в состав той же системы, что и конечный потребитель.
При определении границ между электрическими системами следует руководствоваться следующими условиями:
– если одна электрическая система является потребителем для другой электрической системы, то граница между ними проходит в месте присоединения токопровода от питающей системы к выключателю системы-потребителя. При этом выключатель входит в состав системы-потребителя;
– в состав электрической системы не включаются ее источники напряжения (генераторы, внешние источники, другие системы). Исключение составляют аккумуляторные батареи - они включаются в состав электрической системы, для которой являются источником напряжения;
– если питание одной электрической системы осуществляется от другой электрической системы одновременно через несколько токопроводов по схеме резервирования, то граница проходит в точках присоединения токопроводов от питающей системы к выключателям. При этом выключатели входят в состав электрической системы-потребителя.
Определение границ систем контроля и управления подчиняется следующим условиям:
– если цепи защит и блокировок (включая КИП) воздействуют только на данную технологическую систему и не воздействуют на другие системы, то они могут быть включены в состав данной технологической системы;
– если цепи защит и блокировок воздействуют на несколько технологических систем, то они рассматриваются в виде отдельной системы и моделируются отдельным ДО (СФЦ);
– система контроля и управления начинается с датчиков КИП и заканчивается на контактах выходного реле, которое управляет приводом выключателя элемента.
Границы элементов систем:
– дизель-генератор включает в себя дизель, генератор, системы топлива, масла, пускового воздуха, возбуждения, собственных нужд, контроля и управления;
– насос с электроприводом включает в себя механическую часть, электродвигатель, муфту или редуктор, маслосистему, систему охлаждения, схему питания электродвигателя, выключатель, схему контроля и управления;
–арматура с электроприводом включает в себя механическую часть, электродвигатель, муфту или редуктор, схему питания электродвигателя, выключатель, систему контроля и управления;
– арматура с пневмоприводом включает механическую часть, пневмопривод, пневмораспределитель, систему контроля и управления;
– вентилятор включает механическую часть, муфту, электродвигатель, схему питания электродвигателя, систему контроля и управления;
– импульсно-предохранительный клапан включает главный клапан, импульсный клапан, импульсные линии, системы электропитания, управления и контроля;
– сосуд, резервуар - границами оборудования являются патрубки;
– выключатель включает в себя исполнительную часть, привод, схему питания привода, передаточный механизм, изоляцию, дугогасительную камеру, цепи управления выключателя;
–остальное электротехническое оборудование и КИП и А - границами оборудования являются входные и выходные контакты.
Г.3.2 Определение перечня элементов, рассматриваемых при анализе системы
Степень детализации, до которой разрабатываются модели отказов, определяется требованиями анализа системы и наличием данных. Главным критерием отбора элементов системы для анализа является опыт эксплуатации, который позволяет оценить степень влияния на надежную работу системы того или иного элемента.
При решении вопроса о включении того или иного элемента в ДО (СФЦ) необходимо руководствоваться следующими правилами:
Отказы пассивных компонентов обычно имеют существенно меньшую вероятность, чем отказы активных, и поэтому обычно не включаются в ДО (СФЦ). Однако, для некоторых из них необходимость включения в ДО (СФЦ) должна быть рассмотрена. К ним относятся:
– единичные отказы пассивных элементов, которые приводят к отказу системы или канала в целом (например, отказы трубопроводов, обратных клапанов, баков);
– отказы входящих в систему теплообменников.
При моделировании цепей управления отказ измерительного канала (в который входят датчик, преобразователь, вторичный прибор и т.д.) рассматривается как одно событие.
Отказы реле, задействованных в логических цепях управления, также должны быть учтены при моделировании.
В гидравлических и пневматических системах исключаются из рассмотрения элементы, которые расположены на вспомогательных линиях, если Ду этих линий не превышает 1/3 от Ду основной линии. Этот критерий базируется на предположении, что отклонение расхода на величину менее 1/10 не оказывает влияния на способность системы выполнять требуемую функцию (1/10 расхода эквивалентна 1/3 диаметра).
Элементы, расположенные на линиях рециркуляции гидравлических и пневматических систем, не должны исключаться из рассмотрения, если они используются для управления работой системы при нормальной эксплуатации.
Не включаются в анализ устройства, применяемые только для настройки и опробования систем.
Элементы систем вентиляции и кондиционирования воздуха включаются в рассмотрение по тем же правилам, что и элементы гидравлических и пневматических систем и только в том случае, если их отказы оказывают непосредственное влияние на оборудование главных и вспомогательных систем.
В системах электроснабжения включаются в анализ те шины питания и секции, от которых запитаны элементы рассматриваемых технологических систем, систем контроля и управления и обеспечивающих систем. Должны быть рассмотрены все коммутационные устройства, преобразовательные устройства, источники напряжения (включая источники внешнего электроснабжения), связанные с этими шинами и секциями.
Г.3.3 Качественный анализ надежности систем
Перед построением ДО (СФЦ) системы выполняется качественный анализ надежности системы, основной целью которого является определение причин и последствий отказов элементов системы.
При выполнении качественного анализа надежности, каждый элемент системы из перечня элементов, выбранных для анализа, изучается на предмет определения следующих характеристик:
– место элемента в системе (как правило указывается линия или функциональная группа оборудования, к которой принадлежит данный элемент);
– тип и технологический индекс элемента (в соответствии с технологической схемой);
– состояние элемента при функционировании ОМН в основном эксплуатационном режиме;
– виды отказов элемента;
– последствия отказов элемента (с точки зрения функционирования ОМН);
– связи элемента с обеспечивающими системами;
– периодичность проверки работоспособности элемента.
Обычно результаты качественного анализа надежности системы представляются в табличной форме.
Г.3.4 Построение дерева отказов или схемы функциональной целостности системы
Г.3.4.1 Общие положения
Разработка ДО (СФЦ) систем начинается после того, как:
– собраны исходные данные о системе в объеме требований настоящей Методики;
–выполнен качественный анализ надежности системы.
Г.3.4.2 Построение дерева отказов
Под ДО понимается древовидная графическая структура (модель), которая начинается верхним событием, развиваясь вниз по всем возможным причинам.
Основные структурные элементы ДО представлены в таблице Г.3.
Таблица Г.3 – Основные структурные элементы ДО
Структурные элементы дерева отказов. |
Определение |
Верхнее событие |
Нежелательное событие или состояние, для логического анализа которого ДО сформировано. |
Основное событие |
Событие «корневой причины» в ДО, для которого никакая дальнейшая разработка логики дерева не делается. Для каждого основного события задается модель готовности
|
Логический элемент |
Логические отношения между событиями в ДО моделируются булевыми логическими операторами, называемыми логическими элементами
|
Внешние условия |
Внешние условия – специальный тип основных событий, которые могут иметь только два «значения»: логическая ИСТИНА или ЛОЖЬ. Иногда для обозначения внешних условий используется термин «постулированное событие». |
Параметр |
Числовые значения, используемые в моделях готовности. |
Трансфер |
Ссылка в ДО на другие ДО (как правило, ДО обеспечивающих систем). |
На рисунке Г.1 представлено ДО, в котором:
1 – верхнее событие ДО;
2 – логический элемент K/N ( к отказавших элементов из n элементов );
3 – основное событие;
4 – основное событие;
5 – логический элемент “ И “;
6 – основное событие;
7 – внешнее условие (логический ключ, который при значении “1” подключает ветвь ДО с логическим элементом 5, а при значении “0” отключает данную ветвь);
8 – трансфер (ссылка на другое ДО).
Рисунок Г.1 – Основные структурные элементы дерева отказов
Каждый элемент ДО характеризуется следующими параметрами:
– текстовое описание;
– уникальное имя (идентификатор);
– указатель на тип элемента ДО (логический оператор, разрабатываемое событие, базисное событие, постулированное событие).
Все элементы ДО должны иметь уникальные имена, построенные по определенным правилам, единым для всей модели.
Разработка ДО начинается с определения верхнего события дерева. После определения верхнего события построение ДО происходит на основе последовательного анализа того, какие события могут быть причиной отказа каждого из элементов - уровень за уровнем, до самого нижнего. На самом нижнем уровне в ДО должны быть только базисные события и/или ссылки на другие ДО.
Г.3.4.2.1 Верхнее событие
Верхнее событие соответствует событию отказа системы в целом. Оно определяется на основе критерия успеха системы путем конвертирования критерия успеха в критерий отказа. Для обеспечивающей системы верхнее событие определяется из условий работоспособности обеспечиваемой системы.
Г.3.4.2.2 Логические операторы
Логические операторы служат для описания логического взаимодействия событий в дереве отказов. Чаще всего используется семь логических операторов, см. таблицу Г.4.
Таблица Г.4 – Основные логические операторы
Тип логического оператора. |
Логический оператор принимает значение «ИСТИНА», если |
ИЛИ |
По крайней мере, одно исходное событие ИСТИНА. |
И |
Все исходные события ИСТИНА. |
K-из-N (K/N) |
По крайней мере, K из N исходных событий ИСТИНА. |
НИ (ИЛИ-НЕ) |
Ни одно из исходных событий ИСТИНА (все исходные события ЛОЖЬ) |
И-НЕ |
Не все исходные события ИСТИНА (По крайней мере одно исходное событие ЛОЖЬ) |
Неэквивалентность (исключающее ИЛИ) |
Точно одно исходное событие - ИСТИНА |
Обозначения указанных логических операторов в ДО представлены на рисунке Г.2.
а) Логический оператор “ИЛИ” б) Логический оператор “И”
в) Логический оператор “ИЛИ-НЕ” г) Логический оператор “И-НЕ”
д) Логический оператор “Исключающее ИЛИ” е) Логический оператор “К из N»
Рисунок Г.2 – Обозначение логических операторов в деревьях отказов
Г.3.4.2.3 Трансферы
Трансферами называют ДО, которые входят в структуры других ДО. Трансферы используются в следующих случаях:
– если одним из событий в ДО основной системы является отказ обеспечивающей системы;
– для исключения многократного дублирования частей дерева, описывающих одинаковую логику взаимодействия одних и тех же базисных и постулированных событий;
– для моделирования отказов подсистем.
Г.3.4.2.4 Основные события (базисные события)
Основные события - события самого низкого уровня, которые входят в ДО. Они не имеют логической зависимости от других событий.
Существуют следующие типы основных событий:
– отказы элементов;
– неготовность из-за технического обслуживания или опробования;
– ошибки персонала;
– постулированные события;
– скрытые отказы;
– отказы систем, если они смоделированы как отдельные события.
Отказ элемента.
Отказ элемента характеризуется его неспособностью выполнять заданные функции. Различают два основных типа отказов элементов:
Отказ на требование, когда элемент не в состоянии включиться (пример, насос не запустился), или изменить свое состояние (пример, электроприводная арматура не открылась). Для одного и того же элемента может существовать несколько видов отказов на требование, например, отказ на открытие, отказ на закрытие, отказ на включение, отказ на отключение и т.д. При этом вероятность разных отказов на требование для одного и того же элемента может быть разной.
Отказ при работе происходит, когда элемент не в состоянии продолжать работу в течение необходимого времени, хотя перед этим он нормально работал или нормально включился.
Для моделирования отказа элемента при работе в течение разных промежутков времени (например, в течение часа и в течение пяти часов) должны использоваться различные (с несовпадающими идентификаторами) базисные события.
Также отдельными событиями должны моделироваться отказы элемента на каждое однотипное требование (например, на требование включиться), если для выполнения критерия успеха системы требуется отклик элемента на несколько таких требований.
Неготовность из-за технического обслуживания или опробования
.
Периодические опробования и технические обслуживания могут выводить элемент или канал системы из состояния готовности. Существует три основных причины неготовности:
а) проверка защит и блокировок, во время которой становится невозможно сформировать управляющий сигнал;
б) опробование функционирования насосов и арматуры, при которой они переводятся с автоматического на дистанционное управление;
в) техническое обслуживание, при котором элемент или канал системы неработоспособны.
Учитываются следующие виды неготовности из-за опробований и технического обслуживания:
г) неготовность из-за плановых опробований и технического обслуживания;
д) неготовность из-за неплановых опробований и технического обслуживания. Неплановые технические обслуживания проводятся при отказах оборудования. Неплановые опробования - после неплановых технических обслуживаний.
При включении событий неготовности из-за опробований и технических обслуживаний в дерево отказов следует придерживаться следующих правил:
е) если это возможно, то надо описывать при помощи одиночного базисного события сразу и неготовность из-за технического обслуживания и неготовность из-за опробования как сумму этих двух величин;
ж) неготовность из-за всех видов ремонта желательно учитывать одновременно как сумму неготовностей от всех видов ремонта;
и) желательно учитывать неготовность на уровне канала системы;
к) если допускается одновременный вывод для технического обслуживания или для опробования двух взаиморезервирующих каналов системы, то вывод каждого из каналов учитывается в виде отдельного события;
л) если при появлении требования система автоматически переходит из режима “опробование” в режим “работа”, то опробование не вносит вклада в неготовность системы.
Ошибки персонала.
При анализе системы должны быть также рассмотрены возможные последствия ошибок персонала. В ДО должны быть включены события, соответствующие ошибкам персонала, оказывающим влияние на готовность СТС. Каждый элемент должен быть проанализирован с точки зрения действий персонала, которые могут вывести его из строя.
Ошибки персонала, включаемые в ДО, могут быть двух видов:
1) ошибки, допущенные до начала функционирования системы (ошибки при приведении оборудования в исходное состояние после технического обслуживания или опробования, ошибки при техническом обслуживании и настройке оборудования, и т.д.);
2) ошибки, допущенные при реагировании на нештатную ситуацию (ошибки при приведении в действие системы и при управлении системой, если она не управляется автоматически).
Возможные последствия человеческих ошибок, допущенных до начала функционирования системы, оцениваются на основе анализа процедур ремонта и опробования. Человеческие ошибки, допущенные при реагировании на нештатную ситуацию, анализируются в контексте каждой подобной ситуации.
При включении в ДО ошибок персонала следует придерживаться следующих основных правил:
– подлежат рассмотрению только те действия персонала, которые предусмотрены эксплуатационной документацией;
– возможности персонала по восстановлению отказавшего элемента не включаются в ДО. Они рассматриваются в рамках анализа возможности восстановления;
– ошибки, допущенные до начала функционирования системы, должны включаться в ДО на уровне канала или системы в целом как базисные события. Эти события будут подробно оценены с использованием отборочных величин;
– ошибки, допущенные при реагировании на нештатную ситуацию, должны быть включены в ДО на функциональном уровне, а не на уровне элементов (например, в виде события “персонал не запустил систему”). Они подробно рассматриваются в рамках анализа нештатных ситуаций.
Постулированные события (внешние условия).
Постулированные события используются в ДО, чтобы указать, для каких условий они разработаны, а также для изменения логики ДО;
Вероятность постулированного события может быть равна либо 1 (событие происходит, условие выполняется), либо 0 (событие не происходит, условие не выполняется).
Г.3.4.2.5 Размыкание замкнутых логических связей
При построении ДО должны быть разомкнуты замкнутые логические зависимости. Замкнутые логические связи (логические петли) часто возникают благодаря временным взаимосвязям между основными и вспомогательными системами. Типичным примером логической петли служит связь между дизель-генератором и системой технической воды, которая служит для его охлаждения. Логическая петля заключается в том, что дизель-генератор обеспечивает электропитание насосов технической воды, которые, в свою очередь, обеспечивают охлаждение дизель-генератора. В действительности, охлаждение технической водой дизель-генератора не требуется в момент его запуска, когда насосы технической воды лишены электроснабжения. Однако потребность в технической воде возникает при дальнейшей работе дизель-генератора.
Простейший способ размыкания подобных логических петель заключается в моделировании обеспечивающей системы не в виде трансфера, а в виде базисного события. Все базисные события, которые моделируют отказы систем, должны быть тщательно документированы, и в случае изменения моделей соответствующих систем должны вносится изменения в параметры данных событий.
Г.3.4.2.6 Вероятностные модели основных (базисных) событий дерева отказов
Для проведения расчета вероятностных показателей системы по ДО необходимо связать с каждым основным событием дерева определенную вероятностную модель. Например:
– модель назначенной вероятности;
– вероятностная модель восстанавливаемого элемента;
–вероятностная модель периодически проверяемого восстанавливаемого элемента;
– вероятностная модель элемента с заданной длительностью работы.
Модель назначенной вероятности.
Самый простой вид модели, при использовании которой для основного события ДО задается значение вероятности отказа.
Вероятностная модель восстанавливаемого элемента
Данный вид модели используется для моделирования отказов элементов, которые непрерывно функционируют в процессе нормальной эксплуатации системы. После отказа элемента немедленно начинается процесс его восстановления, после чего элемент опять начинает функционировать по прямому назначению. Если наработка до отказа элемента распределена по экспоненциальному закону, то коэффициент неготовности будет определяться по выражению:
, (Г.3)
где q – начальная неготовность элемента (необязательный параметр);
λ – интенсивность отказов элемента (обязательный параметр);
μ – интенсивность восстановления μ = 1/ТВ
, ТВ
- среднее время восстановления (обязательный параметр);
t – время.
Второе слагаемое в формуле (Г.3) это так называемая «традиционная» модель, используемая в большинстве программ анализа ДО и во многих других типах исследований надежности. Типичное поведение функции (Г.3) состоит в том, что коэффициент неготовности приравнивается нулю и затем быстро увеличивается до асимптотически установившегося значения.
Первое слагаемое в выражении (Г.3) необязательно, и в большинстве случаев не используется. Если необязательный параметр q не определен (или установлен = 0), первый член исчезает. Однако, если q > 0, то поведение первого члена состоит в том, что коэффициент неготовности приравнивается q и затем уменьшается асимптотически до 0 в соответствии с интенсивностью восстановления μ. Это может быть использовано в моделях для компонентов, которые имеют начальную вероятность отказа (q) во время t = 0, а затем постоянную интенсивность отказов λ.
Стационарный коэффициент неготовности элемента для данной модели определяется как
(Г.4)
Вероятностная модель периодически проверяемого восстанавливаемого элемента.
Данный вид модели используется для моделирования отказов элементов, которые находятся в резерве (в режиме ожидания). С некоторой периодичностью производятся проверки работоспособности элементов. В случае обнаружения отказов или неисправностей элементов начинается процесс восстановления работоспособности. В случае не обнаружения неисправности элемент опять приводится в состояние ожидания. Если наработка до отказа элемента распределена по экспоненциальному закону, и длительность процесса восстановления незначительна, то коэффициент неготовности будет определяться как:
(Г.5)
где: λ – интенсивность отказов элемента (обязательный параметр);
t – время;
TI
– интервал между проверками работоспособности (обязательный параметр).
Средняя неготовность Qmean
может быть получена путем интегрирования неготовности Q (t) по полному циклу испытаний:
(Г.6)
Вероятностная модель элемента с заданной длительностью работы
.
Данный вид модели используется для моделирования отказов элементов, которые, как правило, начинают функционировать по аварийным сигналам управления и длительность работы которых невелика. Как правило, данные элементы не подлежат восстановлению, т.к. длительность их восстановления существенно превосходит длительность интервала необходимого функционирования. В том случае, когда наработка элемента до отказа распределена по экспоненциальному закону, неготовность данного элемента будет определяться как:
, (Г.7)
где TM
– требуемая длительность функционирования элемента.
Г.3.4.3 Построение схемы функциональной целостности
Как следует из вышеизложенного, СФЦ представляет собой особый вид графов, ближайшим аналогом которых являются графы связности.
На рисунке Г.3а представлена СФЦ, аналогичная ДО, изображенному на рисунке Г.1, т.е. построенная на основе обратной логики, а на рисунке Г.3б – СФЦ, построенная на основе прямой логики (при ориентации на успешную работу системы).
Рисунок Г.3а – СФЦ, построенная с помощью обратной логики
Рисунок Г.3б – СФЦ, построенная с помощью прямой логики
Как видно из этих рисунков, обе СФЦ очень похожи. Различие состоит в том, что в первой СФЦ каждой функциональной вершине соответствует элементарное событие отказа, а во второй СФЦ – элементарное событие безотказной работы, а также то, что дизъюнктивные ребра заменены на конъюнктивные.
Каждому элементарному события в СФЦ сопоставляется текстовое описание, идентификатор (номер элемента) и вероятностные характеристики собственной надежности.
При построении СФЦ с ориентацией на обратную логику порядок действий аналогичен порядку построения ДО. При использовании прямой логики разработка СФЦ начинается с определения критерия (условия) успешного выполнения функции всей системы. На графе это событие может быть отражено как с помощью функциональной, так и с помощью фиктивной вершины. Дальнейшее построение СФЦ производится на основе анализа всех условий, которые необходимы для успешного выполнения функций каждым элементом системы. Разработка СФЦ продолжается до тех пор, пока все головные вершины не будут представлены функциональными или эквивалентированными событиями.
Г.3.4.3.1 Критерий (условие) успешного выполнения функции системы
Данный критерий отображает случайное событие, состоящее в выполнении своего назначения системой в заданных условиях эксплуатации. В отличии от ДО, здесь не требуется конвертирования критерия успеха в критерий отказа. Для обеспечивающей системы критерий успеха определяется из условий работоспособности обеспечиваемой системы.
Г.3.4.3.2 Логические операторы
В СФЦ отсутствуют специальные обозначения для логических операторов. Описание логического взаимодействия событий в СФЦ производится путем комбинации функциональных и фиктивных вершин, конъюнктивных и дизъюнктивных ребер. Примеры отображения логики взаимодействия элементов системы представлены в таблице Г.5.
Таблица Г.5 – Средства отображения логики взаимодействия элементов системы
Изображение |
Логическое условие |
|
Для осуществления события 1, достаточно осуществления любого из событий 2 или 3. Т.о. данная комбинация аналогична логическому оператору ИЛИ |
|
Для осуществления события 1, необходимо обязательное осуществление каждого из событий 2 и 3. Т.о. данная комбинация аналогична логическому оператору И |
|
Для осуществления события 1, необходимо осуществление любого из событий 2 или 3 и обязательное осуществление события 4. Т.о. данная комбинация является своего рода комбинацией логических операторов ИЛИ и И |
окончание таблицы Г.5
|
Для осуществления события 1, достаточно осуществления любого из событий 2 или 3. Однако событие для осуществления события 3 необходимо обязательное осуществление события 2. С помощью данной комбинации отражаются логические операторы И и ИЛИ, а также логическое условие инверсии (отрицания) |
Г.3.4.3.3 Элементарные (базисные) события
Элементарные события – события самого низкого уровня иерархии (дробления системы на отдельные составляющие), которые входят в СФЦ. Они не имеют логической зависимости от других событий.
Поскольку СФЦ позволяет использовать и прямую и обратную логику, то функциональным вершинам СФЦ могут сопоставляться следующие случайные события:
– безотказной работы (отказа) элементов (единиц оборудования) системы;
– готовности (неготовности) из-за технического обслуживания или опробования;
– безошибочных действий (ошибок) персонала;
– безотказной работы (отказа) систем, если они смоделированы как отдельные события.
Трактовка этих событий, естественно, аналогична их трактовкам, употребляемым при построении ДО (см. п. Г4.4.2.4), поскольку определяется физико-техническими характеристиками систем и оборудования, а не особенностями используемых графов и логико-вероятностных моделей.
Г.3.4.3.4 Размыкание замкнутых логических связей
Размыкание замкнутых логических связей (циклов) в СФЦ осуществляется по тем же правилам, что и при построении ДО.
Г.3.4.3.5 Способы расчета вероятностных характеристик элементов систем
Способы расчета вероятностных характеристик элементов систем зависят от версии программного комплекса. Большинство ПК ограничено в выборе законов распределения вероятности безотказной работы элементов. Обычно выбирается (точнее, жестко задается) экспоненциальный закон надежности оборудования. В этом случае вероятностные характеристики элементов рассчитываются следующим образом:
(Г.8)
где - номер элемента,
-
средняя наработка элемента до отказа,
- заданная наработка.
Помимо экспоненциального можно использовать также нормальный закон, логарифмически-нормальный закон, закон Вейбулла-Гнеденко, закон Рэлея, гамма- распределение и бета-распределение.
При использовании специальных методов расчета, описанных ниже, системы МН характеризуются такими особенностями как:
– сложность режимов использования;
– разнотипность элементов;
– использование сложных стратегий периодического контроля и ремонта.
Предполагается, что системы магистрального нефтепровода могут находиться в одном из двух режимов использования - в режиме ожидания или в режиме выполнения функции. Первый режим, как правило, более длителен, оборудование бездействует, физические причины отказов достаточно специфичны - не связаны, например, с механическим износом, интенсивности отказов, сравнительно невелики. Во время ожидания все или часть элементов могут проверяться путем приведения в действие и восстанавливаться. На втором режиме действуют все физические причины отказов, их интенсивности, как правило, более высоки. Контролю подлежат прямо или косвенно - все элементы, восстанавливаться же может, обычно, меньшая, чем на первом режиме, часть элементов.
Контроль состояния элементов осуществляется путем приведения в действие, поканально, через строго определенные промежутки времени. Каналы СБ проверяются поочередно, со сдвигом времени между очередными проверками. Начало первой проверки m-го канала определяется по выражению:
, (Г.9)
где m - номер канала;
M - количество каналов.
В зависимости от режима контроля и восстановления отказы оборудования делятся на:
– скрытые, возникающие у элементов, неконтролируемых в режиме ожидания -
n;
– скрытые, возникающие у элементов, периодически контролируемых в режиме ожидания, обнаруживаемые во время контроля, устраняемые и не устраняемые при работе объекта МН - p1
и p2
соответственно;
– явные, возникающие у элементов, непрерывно контролируемых в режиме ожидания, оперативно выявляемые, устраняемые и не устраняемые при работе объекта МН - k1
и k2
соответственно;
– явные, возникающие при работе элементов по прямому назначению, устраняемые и не устраняемые - r1
и r2
соответственно.
Надежность элементов с данными типами отказов может быть оценена с помощью вероятностных показателей, приведенных в таблице Г.6.
Таблица Г.6 Показатели надежности оборудования с различными типами отказов
№№ п/п |
Тип отказа |
Интенсивность отказов, l; 1/час |
Постоянная составляющая вероятности отказа на требование, Рпо |
Среднее время восстановления, Тв, час |
1 |
n |
ln
|
hn
|
- |
2 |
p1
|
lp1
|
hp1
|
tвр1
|
3 |
р2
|
lp2
|
hp2
|
- |
4 |
k1
|
lk1
|
hk1
|
tв
|
5 |
k2
|
lk2
|
hk2
|
|
6 |
r1
|
lr1
|
- |
tв
|
7 |
r2
|
lr2
|
- |
Учет всех приведенных выше особенностей СБ возможен при реализации модульного принципа моделирования. В данном случае это означает, что для каждого типа элементов разрабатывается своя модель с последующим согласованием частных моделей и модели всей системы. Данный подход позволяет обеспечить сравнительную простоту отдельных модулей, снизить количество допущений, повысить точность и сократить время моделирования.
Моделирование надежности системы при этом производится традиционным ОЛВМ, а моделирование надежности элементов - с помощью относительно простых аналитических зависимостей, позволяющих рассчитывать вероятности нахождения элементов в работоспособном состоянии на каждом из участков. Эти зависимости, в предположении, что законы распределения времени безотказной работы и времени восстановления – экспоненциальные приведены ниже.
1. Неконтролируемые и невосстанавливаемые элементы: вероятность работоспособного состояния элемента типа n может быть рассчитана по выражению:
, (Г.10)
где Т- продолжительность работы объекта МН;
Рпо
- вероятность отсутствия «пускового» отказа.
2. Периодически контролируемые восстанавливаемые элементы.
При анализе особенностей использования элементов данного типа в режиме ожидания можно выделить три характерных участка (см. рисунок Г.4):
– участок ожидания очередной проверки;
– участок контроля;
– участок восстановления.
Продолжительность участков контроля и восстановления как правило нормирована.
Продолжительность участков ожидания первой проверки, как следует из (Г.4.3.1), различна для разных каналов. Длительность участка ожидания вывода объекта МН из эксплуатации после последней проверки (окончания Dtв)
также различна и может быть определена как:
, (Г.11)
где Т - продолжительность непрерывной работы системы на мощности;
n(m)
- число проверок m-го канала, которое равняется целой части результата
(Г.12)
Продолжительность участка ожидания промежуточной проверки одинакова для всех каналов и определяется как:
(Г.13)
Таким образом, вероятность работоспособного состояния элемента типа р1
на участке ожидания первого контроля рассчитывается как:
(Г.14)
На участке контроля элементы типа р1
могут приводиться в состояния:
– позволяющие использовать их по прямому назначению;
– не позволяющие использовать их по прямому назначению.
За время проверки элемент может отказать в состоянии, не позволяющем использовать его по прямому назначению вследствие следующих причин:
– из-за ошибочных действий персонала: вероятность этого события равна , а вероятность отсутствия ошибки, ;
– вследствие отказа в период проверки из-за «естественных» причин: вероятность отказа при этом рассчитывается по выражению:
(Г.15)
вероятность безотказной работы определяется, соответственно, по выражению:
(Г.16)
Таким образом, вероятность работоспособного состояния элемента типа р1
на участке контроля рассчитывается как:
(Г.17)
С учетом возможности отказа на этапе ожидания первой проверки вероятность работоспособного состояния элемента типа р1
к концу контроля рассчитывается как:
(Г.18)
Рисунок Г.4. – Характер изменения параметров надежности периодически контролируемого восстанавливаемого элемента
За участком проверки начинается участок восстановления отказавших элементов. На протяжении этого участка элемент может все-таки оказаться в состоянии отказа вследствие следующих причин:
– не обнаружения скрытого отказа во время проверки из-за ошибочных действий персонала: вероятность этого события равна , а противоположного – ;
– отказа элемента уже после окончания проверки: вероятность этого события равна , а противоположного - ;
– не восстановления в заданный срок элемента, отказ которого был обнаружен во время проверки: вероятность этого события равна , а противоположного – , где Тв
- среднее время восстановления элемента;
– повторного отказа элемента, отказ которого был обнаружен и устранен за время
g < tд
: вероятность этого события равна , а противоположного - .
Для упрощения расчетов здесь принята гипотеза о консервативности закона восстановления, т.е. предполагается, что на всем протяжении Тв
восстановления не происходит, а по окончании этого времени элемент скачком переходит в работоспособное состояние.
Таким образом, вероятность работоспособного состояния элемента типа р1
на участке восстановления, с учетом предыстории, рассчитывается как:
(Г.19)
По окончании участка восстановления каналы переходят в режим ожидания очередной проверки. Вероятность работоспособного состояния элемента на этом участке можно определить по выражению:
(Г.20)
Далее цикл повторяется. Поскольку нами принята гипотеза об экспоненциальности законов распределения, то расчетные формулы не меняются.
Исключение составляет лишь заключительный этап ожидания. Вероятность нахождения элемента в работоспособном состоянии на последнем этапе определяется по формуле:
(Г.21)
Если элемент типа р1
во время проверки приводится в состояние, не позволяющее использовать его по прямому назначению, то на всем протяжении участка контроля элемент считается “неработоспособным” - Рк
=0, Qк
=1. Остальные расчетные формулы используются без изменения, причем формулы (Г.17), (Г.18) используются только для расчета вероятности нахождения элемента в работоспособном состоянии на участке восстановления.
3. Периодически контролируемые невосстанавливаемые элементы р2
.
Этот случай является частным случаем рассмотренного выше. Расчетные выражения, в основном те же, за исключением того, что вместо формулы (Г.19) используется более простое выражение:
(Г.22)
4. Непрерывно контролируемые восстанавливаемые элементы k1
.
Расчетное выражение для определения вероятности работоспособного состояния элементов данного типа имеет вид:
(Г.23)
5. Непрерывно контролируемые не восстанавливаемые элементы k2
.
Расчетное выражение для определения вероятности работоспособного состояния элементов данного типа имеет вид:
(Г.24)
6. Находящиеся в работе, восстанавливаемые элементы r1
.
Вероятность работоспособного состояния элементов данного типа можно рассчитывать по формуле:
(Г.25)
7. Находящиеся в работе, не восстанавливаемые элементы r2
.
Вероятность работоспособного состояния элементов данного типа рассчитывается по формуле:
(Г.26)
Итоговым показателем надежности элемента является средняя на интервале [0, Т] вероятность работоспособного состояния элемента, вычисляемая путем расчета точечных значений вероятностей (с заданным шагом), их суммирования и последующего деления на продолжительность интервала.
Полученные средние подставляются в вероятностную функцию и используются для определения, как системной вероятностной характеристики, так и показателей относительной важности элементов.
Описанные выше приемы позволяют учесть только часть особенностей СБ. Другая часть учитывается при разработке графической модели.
Этим способом учитывается, например, физическая сущность отказов. Для пояснения этого момента рассмотрим элемент системы - быстрозапорную электроприводную задвижку. Ее отказ может классифицироваться по четырем критериям - ложное самопроизвольное открытие в режиме ожидания, не открытие при поступлении требования на срабатывание, ложное самопроизвольное закрытие в момент работы системы по назначению, не закрытие при выдаче сигнала на закрытие. К каждому из этих отказов ведут различные причины, они характеризуются различными интенсивностями отказов и восстановлений, ведут к различным последствиям в процессе нормальной работы и в процессе аварии.
Как показывает опыт выполнения ВАБ, адекватное отражение указанных факторов в модели возможно лишь при представлении одного физического элемента несколькими функциональными вершинами СФЦ и группированием этих вершин в соответствии с критерием отказа канала в целом. При этом, в общем случае, вероятность отсутствия каждого вида отказа рассчитывается по своей формуле вида Г.10 - Г.26.
Еще одной особенностью моделирования и расчета надежности систем со сложным режимом использования является необходимость согласования моделей “ожидания” и моделей “работы” одного и того же элемента. Наиболее простым способом реализации данного требования является соединение вершины “ожидание” с вершиной “работа” дизъюнктивным ребром функционального подчинения. При выполнении данного этапа моделирования исследователь должен четко представлять, какое событие режима ожидания должно обязательно предшествовать событию режима работы.
ПРИЛОЖЕНИЕ Д
(справочное)
ТРЕБОВАНИЯ К АНАЛИЗУ ДАННЫХ, ВКЛЮЧАЯ ДАННЫЕ ПО ВЕРОЯТНОСТИ ВОЗНИКНОВЕНИЯ ИС И ДАННЫЕ ПО НАДЕЖНОСТИ ОБОРУДОВАНИЯ
Анализ данных проводится для определения частот инициирующих событий и оценки показателей надежности элементов на основе статистических методов с использованием данных по отказам элементов и нарушениям в работе ОМН, полученным из опыта эксплуатации исследуемого ОМН, а также обобщённых данных.
Границы элементов систем и виды отказов, определенные в задаче «Анализ надежности систем», следует взаимно согласовывать и уточнять при необходимости, с целью обеспечения их соответствия данным, полученным из доступных источников информации, для оценки показателей надежности.
Вероятность отказов элементов систем по общей причине следует оценивать с использованием общепринятых подходов и данных (например, модель «альфа-фактора», модель «множественных греческих букв» и т.п.)[1]
. Применение оригинальных подходов следует обосновывать.
Д.1 Частоты исходных событий
ИС объединяют в группы таким образом, чтобы все события в одной группе требовали одинаковых критериев успеха систем, а также одинаковых специальных условий (требований к персоналу, к автоматической работе систем ОМН, к работоспособности оборудования и т.д.). Далее данная группа при проведении ВАБ рассматривается, как одно ИС и может быть смоделирована одной моделью (одним ДС). Некоторые ИС, включенные в одну группу, вызывают аналогичную реакцию систем ОМН, но имеют различные критерии отказа систем. Для таких групп ИС принимаются наиболее консервативные критерии успеха систем.
Д.1.1 Классификация ИС по частоте
ИС в первую очередь характеризуются частотой их появления. Можно выделить следующие категории ИС, принципиально отличающиеся по частоте появления:
– ИС, возникавшие при эксплуатации рассматриваемого ОМН;
– ИС, возникавшие при эксплуатации ОМН, аналогичных рассматриваемому;
– ИС, не возникавшие при эксплуатации аналогичных ОМН, но имевшие место на ОМН другого типа;
– ИС, никогда не возникавшие при эксплуатации ОМН.
Для различных категорий исходных событий методы определения частот исходных событий различны.
Для определения частот ИС используются различные подходы:
– опыт эксплуатации ОМН, имеющих аналогичный проект. Оценки частот выполняются или путем прямой обработки эксплуатационных данных, или путем применения байесовской процедуры;
– экспертные оценки редких событий;
–результаты применения вероятностно-прочностных методов для оценки вероятностей разрушения сосудов и трубопроводов, основанных на исследовании структуры материала, числа и длины сварных швов, контроля качества, динамических нагрузок и т.п;
– анализы деревьев отказов для специальных редких событий, в частности, ИС, вызванных отказом по общей причине;
– специальное исследование характеристик ОМН и района расположения ОМН для оценки, например, частоты обесточивания. При этом оценивается влияние погодных условий и внешних воздействий на распределительные устройства и линии электропередач.
Д.1.2 Методика расчета частоты
ИС
Универсальным методом получения статистических оценок параметров с учетом специфической и априорной информации является метод Байеса, представляющий процедуру уточнения априорных плотностей распределения искомых параметров – в данном случае частот ИС на основании результатов, полученных при обработке специфических данных.
В соответствии с этим подходом различают априорное f0
(n) и апостериорное f1
(n/r) распределения случайного параметра n
. Последнее является условным и зависит от числа r
зарегистрированных событий. Плотность распределения f1
(n/r) выражается через f0
(n) и функцию правдоподобия L = P{r/n} при помощи формулы Байеса:
(Д.1)
Конкретная реализация байесовской процедуры уточнения оценок, применяемая в данной работе, имеет следующие особенности:
1) Предполагается, что периоды времени между наступлением одинаковых ИС распределены экспоненциально, при этом частота ИС представляет собой соответствующий параметр экспоненциального закона. В рассматриваемой задаче при этом функция правдоподобия имеет вид:
(Д.2)
Минимальная достаточная статистика для рассматриваемой схемы r
- наблюдаемое число событий должно относиться непосредственно к референтному ОМН.
2) Формирование априорной плотности распределения для оценки частот ИС производится двумя различными способами в зависимости от степени представительности информации, содержащейся в дополнительных источниках данных. Для определения степени представительности данных используется правило «трех отказов», смысл которого поясняется ниже.
3) При общем количестве событий r
в дополнительных источниках данных менее трех, установить степень однородности данных, полученных с различных ОМН, как правило, невозможно, поэтому априорное распределение для данного случая конструируется из семейства гамма-распределений по формуле:
, (Д.3)
где r
представляет собой суммарное количество событий по трем ОМН, являющимся дополнительными источниками информации.
Полученную формулу можно интерпретировать как результат применения байесовской процедуры уточнения оценок к неинформативному несобственному распределению f(n) = n - 0,5 в предположении, что данные дополнительно привлекаемых источников являются однородными.
4) При общем количестве событий r в дополнительных источниках данных, равным трем или более, априорная информация является достаточно представительной для установления степени однородности данных. Не учет неоднородности может привести к искажению точечных оценок параметра и существенному занижению его характеристики неопределенности. Поэтому в этом случае для получения параметра априорного распределения частот ИС примен
5) В логнормальной модели представления результатов обработки данных, традиционно используемой в ВАБ, математическое ожидание апостериорной плотности распределения принимается таким же, как и для гамма-распределения. Значение фактора ошибки для логнормальной модели представления данных может быть определено по формуле:
, (Д.4)
где значение 95 процентной верхней границы искомого параметра определяется по формуле:
, (Д.5)
где Z0.95
представляет собой 95 процентный квантиль стандартного нормального распределения.
Д.2 Сбор и обработка данных по надежности оборудования
ОМН
Рассматриваются следующие показатели надежности:
– интенсивность отказов в режиме ожидания;
– интенсивность отказов при работе;
– вероятность отказов при перезапуске оборудования;
– интенсивность ложных срабатываний;
– интенсивность отказов на требование.
Д.2.1
Оборудование
Оборудование обычно группируют по категориям, например:
– нефтеперекачивающие агрегаты;
– насосы водяные;
– насосы масляные;
–арматура запорная, регулирующая и предохранительная;
– оборудование систем надежного электроснабжения, включая дизель-генераторы, трансформаторы, инверторы, выпрямители, выключатели, распределительные устройства и щиты постоянного тока.
В соответствии с режимом эксплуатации различаются три типа компонент - находящиеся в режиме ожидания, непрерывно работающие и периодически переходящие из одного режима работы в другой.
Д.2.2 Тип отказа
Рассматриваются следующие типы отказов для различных видов оборудования:
Насосы и дизель-генераторы:
– S - отказ на включение или недостижение рабочих параметров при включении (старт-отказ). Предполагается, что все скрытые отказы элементов выявляются в течение получаса после их пуска. Поэтому аварийная остановка дизель-генератора (насоса) в течение 30 минут после старта классифицируется как отказ в режиме ожидания;
– R - отказ при работе на рабочих параметрах.
Арматура:
– отказ на открытие и отказ на закрытие, которые в ряде случаев описываются отказом типа “несрабатывание”;
– ложное срабатывание;
– отказ на повторное закрытие (отказ на закрытие после открытия).
Оборудование системы надежного электроснабжения (за исключением ДГ):
– потеря функции.
Д.2.3 Время восстановления
Время восстановления определяется, как продолжительность восстановления работоспособного состояния объекта (ГОСТ 27.002). Наряду с собственно ремонтом, учитывается время, затрачиваемое на выполнение всех административно-технических процедур, сопутствующих этому ремонту.
Д.2.4 Статистическая популяция
Компоненты, неразличимые с точки зрения расчетного алгоритма обработки информации, по надежности и исходным параметрам ВАБ, образуют статистическую популяцию или просто популяцию. Понятие популяция определяет совокупность компонент, относящихся к одной технологической системе и имеющих одинаковые:
– конструктивные характеристики;
– условия эксплуатации;
– регламентные эксплуатационные режимы компонента для всех состояний ОМН;
– параметры технического обслуживания и регламентных проверок для всех состояний ОМН.
Понятие популяции играет ключевую роль при обработке статистической информации по надежности и исходным параметрам ВАБ.
В общем случае популяция компонент определяется конкретным состоянием ОМН или, точнее говоря, режимом работы компонента при данном состоянии ОМН. В связи с этим, определяется количество компонент в популяции для каждого конкретного состояния ОМН.
Д.2.5 Состояние компонента при эксплуатационном событии
В соответствии с расчетным алгоритмом выделяются следующие состояния компонент:
– непрерывная работа;
– режим дежурства;
– проведение S-проверки;
– проведение A-проверки;
– проведение технического обслуживания;
– выполнение корректирующих мероприятий (ремонт)
Д.2.6 Интенсивность отказов
Интенсивность отказов рассчитывается, как отношение числа отказов, выявленных при том или ином состоянии компонента, к суммарному времени нахождения популяции в этом состоянии.
При расчетах интенсивностей отказов учитываются только отказы с безусловной потерей работоспособности, идентифицируемые на основе экспертной инженерной оценки.
При отсутствии реальных отказов интенсивность отказов определяется по нулю событий для 50% верхней доверительной границы.
Д.2.7 Вероятность отказов
Вероятность отказов рассчитывается, как отношение числа отказов, выявленных при том или ином состоянии компонента, к суммарному числу требований для всей популяции в этом состоянии.
При расчетах вероятностей отказов учитываются только отказы с безусловной потерей работоспособности, идентифицируемые на основе экспертной инженерной оценки.
Д.2.8 Неготовность из-за ремонта и технического обслуживания
Неготовность из-за ремонта и технического обслуживания в значительной степени определяется условиями, специфическими для каждого ОМН. В частности, время, затрачиваемое на выполнение всех административно-технических процедур, сопутствующих ремонту, не определяется собственно надежностью оборудования, а целиком зависит от организации ремонта и технического обслуживания на ОМН.
Д.3 Сбор и обработка данных по отказам по общей причине
Для количественного моделирования аварийных последовательностей необходимо иметь данные по параметрам моделей отказов по общей причине. Цель работ по анализу данных по параметрам моделей отказов по общей причине заключается в обеспечении количественной информации, необходимой для оценки частоты повреждения ОМН.
Анализ отказов по общей причине проводится параллельно с выполнением других этапов ВАБ. Целью этого этапа ВАБ является выявление всех потенциальных источников зависимых отказов в системах ОМН для последующего их учета при разработке вероятностных моделей, а также анализа степени защищенности проекта от зависимых отказов и, при необходимости, разработка предложений по улучшению проекта.
Под отказом по общей причине подразумевают множественные отказы оборудования, которые вызваны трудно выявляемой при моделировании корневой причиной (root cause), проявляющейся при наличии механизма связи (coupling mechanism) отказавших компонентов, и не моделируются явно на деревьях событий или деревьях отказов при проведении вероятностного анализа безопасности ОМН, т.е. это так называемые «остаточные» зависимости. Среди корневых причин обычно рассматривают повторяющиеся ошибки при проектировании, изготовлении, монтаже, испытаниях и техническом обслуживании оборудования или неблагоприятные воздействия окружающей среды, в первую очередь, в доаварийный период эксплуатации ОМН. Механизм связи характеризуется идентичностью конструкции или размещения оборудования или идентичностью эксплуатационных процедур для различных единиц оборудования.
Д.3.1 Выбор групп элементов, подверженных отказам по общей причине
Моделирование отказов по общей причине включает определение вероятностей (интенсивностей) возникновения отказов по общей причине.
Как правило, формируются три класса групп элементов, подверженных отказам по общей причине Признаками принадлежности групп элементов к тому или иному классу являются:
– 1 класс - общность конструкции;
– 2 класс - общность условий окружающей среды;
– 3 класс - одинаковые процедуры технического обслуживания и/или проверок.
Как показывает опыт эксплуатации, отказам по общей причине в наибольшей степени подвержены идентичные по конструкции активные элементы (насосы, дизель-генераторы, клапаны с электроприводом и пневмоприводом, вентиляторы и, возможно, обратные клапаны), для которых и проводится моделирование отказов по общей причине.
Д.3.2 Выбор модели отказов по общей причине
Количественная оценка интенсивностей (вероятностей) отказов по общей причине может проводиться с помощью моделей базового параметра, биноминальной, греческих букв, a- и b-факторов. Выбор модели определяется наличием исходных данных по параметрам моделей и возможностями расчетных кодов. При прочих равных условиях считается, что использование модели a-фактора предпочтительнее, так как она обеспечивает наименьшую неопределенность оценок.
Д.4 Неготовность оборудования, обусловленная тестированием и техническим обслуживанием оборудования
При моделировании отказов систем, предполагается, что некоторые элементы могут находиться в состоянии неготовности, обусловленном проведением внепланового технического обслуживания. Под внеплановым техническим обслуживанием понимается комплекс работ, направленных на поддержание работоспособности отдельных элементов технических систем, после выявления дефектов в процессе их тестирования или контроля работоспособности в процессе работы по прямому назначению.
Неготовность элементов из-за внепланового технического обслуживания оценивается по формуле:
, (Д.6)
где: Fто – частота внепланового технического обслуживания;
Тто – среднее время простоя из-за проведения технического обслуживания.
В моделях отказов систем неготовность, обусловленная плановым техническим обслуживанием, не учитывается т.к. при работе ОМН в режиме нормальной эксплуатации плановых ремонтов и технического обслуживания оборудования не предусматривается.
Помимо неготовности, обусловленной внеплановым техническим обслуживанием, учитывается неготовность из-за тестирования (регламентных проверок) элементов систем при работе ОМН в режиме нормальной эксплуатации. Проведение тестирования элементов приводит их в состояние временной неготовности только в том случае, если перед тестированием производится изменение положения арматуры системы, блокируется прохождение сигналов автоматического управления или производится отключение электропитания от работающих элементов. Если вышеуказанных изменений состояния элементов системы не производится, то влияние процессов тестирования на неготовность системы можно не учитывать.
Помимо временной неготовности проведение тестирования порождает ряд новых зависимостей, связанных с изменением состояния элементов систем, которые отражаются в моделях ВАБ в виде дополнительных событий дерева отказов.
ПРИЛОЖЕНИЕ Е
(справочное)
ТРЕБОВАНИЯ К АНАЛИЗУ НАДЕЖНОСТИ ПЕРСОНАЛА
Е.1 Анализ надежности персонала
АНП включает формирование перечня действий персонала, которые могут оказать влияние на состояние ОМН, отборочный анализ и детальный анализ вероятностных характеристик наиболее значимых действий персонала, оценку неопределенности действий персонала, анализ зависимостей между действиями персонала. Процедура АНП выполняется после построения моделей систем, когда окончательно определяется перечень и существо действий, выполняемых персоналом в ходе управления ОМН, как в нормальной, так и в аварийной обстановке. Результаты АНП используются при вычислении количественных показателей надежности систем ОМН и вероятностных показателей безопасности ОМН в целом.
Отборочный анализ действий персонала проводится по упрощенной схеме с использованием консервативных оценок показателей надежности персонала. При детальном анализе строится структурно-логическая модель выполнения персоналом рассматриваемой задачи на основе деления сложных действий на элементарные. При этом модель может быть построена в виде схемы функциональной целостности или дерева событий, связанных с действиями персонала.
АНП при ВАБ ОМН проводится для определения перечня действий персонала, их моделирования и оценки вероятностей безошибочных действий (ошибок персонала) для последующего их использования при разработке и количественном анализе вероятностной модели ОМН.
В ходе АНП рассматриваются доаварийные действия персонала и действия персонала при управлении аварией. Действия персонала, инициирующие аварийную ситуацию, учитываются при выборе ИС аварии, подлежащих анализу, и оценке частоты их возникновения. Различают отборочный (предварительный) анализ действий персонала и детальный анализ, проводимый применительно к действиям, ошибки при выполнении которых вносят наиболее значимый вклад в вероятностные показатели безопасности.
Для формирования перечня действий персонала необходимы результаты решения следующих задач:
– выбор и группировка ИС (используется перечень ошибочных действий, вызывающих ИС аварии);
– анализ аварийных последовательностей (используется перечень действий персонала при управлении аварией и оценки резервов времени для выполнения действий персонала в различных аварийных ситуациях (сценариях развития аварии), учитываемых в моделях АНП);
– моделирование систем (используется перечень действий персонала, влияющих на готовность систем выполнить функции безопасности).
Результатом АНП является информация, необходимая для количественного анализа надежности систем ОМН и расчета вероятности реализации АП, а именно - значения вероятностей безошибочных и своевременных действий персонала или ошибок персонала.
Е.2 Методика АНП
Е.2.1 Категории действий персонала, подлежащие анализу
Действия персонала, которые оказывают влияние на развитие аварии, могут иметь место, как до аварии, так и в процессе аварии и могут либо смягчать, либо усугублять аварию. В соответствии с этим признаком используется следующая классификация действий персонала по отношению к исходным событиям (ИС):
– действия до ИС (доаварийные действия);
– действия, вызывающие (инициирующие) ИС;
– действия после ИС (действия при управлении аварией).
В связи с этим рассматриваются следующие типы ошибок (безошибочных действий) персонала:
– ошибки выполнения (безошибочное выполнение необходимого действия);
– ошибки несвоевременного выполнения (своевременное выполнение необходимого действия);
– ошибочное невыполнение необходимого действия (выполнение необходимого действия).
Действия персонала до ИС – это действия, связанные с техническим обслуживанием, проверками технического состояния, ремонтом, подготовкой к работе оборудования или систем, которые могут привести к их неготовности. Примером ошибок персонала, связанных с этой категорией действий, является ошибка, приводящая к неправильному положению арматуры в ходе проворачивания вручную.
Действия персонала, вызывающие (инициирующие) ИС – это действия персонала, выполнение (невыполнение) которых приводит к ИС (инициирует ИС). Ошибки персонала, вызывающие исходное событие, включаются в перечень ИС, рассматриваемых в ВАБ.
Действия после ИС – это действия персонала, выполняемые в соответствии с инструкциями и руководствами по управлению аварией при реагировании на ИС. Примером ошибок персонала, связанных с этой категорией действий, является не выполнение оператором действий по дистанционному закрытию задвижек при отказе автоматики.
Е.2.2 Основные факторы, определяющие надежность персонала
В процессе анализа необходимо учитывать следующие факторы, влияющие на надежность персонала:
– временной фактор (длительность периода времени, которым располагает персонал для выполнения тех или иных действий);
– характер действий (простое (элементарное) действие, комплекс сложных операций);
– факторы, формирующие поведение персонала (уровень стресса, параметры внешней среды и т.д.);
– факторы контроля и восстановления (наличие возможности проверить правильность поданной команды (выполненного действия), возможности повторить действие, выполнить операцию другим способом и т.д.);
– зависимости в действиях персонала (выполнение неправильного действия вследствие неправильного считывания информации КИП и т.д.).
Временной фактор характеризуется резервами времени, которыми персонал располагает для принятия решения о выполнении действий, а также временем, необходимым для выполнения требуемых действий.
По характеру поведения (характеру действий) действия персонала делятся на следующие типы:
– действия, основанные на навыке - хорошо (до автоматизма) отработанные действия по сценариям, изложенным в инструкциях;
– действия, основанные на правилах - действия в знакомых ситуациях, отработанные ранее, которые подробно изложены в процедурах и/или получены из опыта, или при обучении. Действия по правилам менее отработаны, чем действия, основанные на навыке, поскольку они выполняются реже и являются, как правило, более сложными, а также зачастую требуют повышенного осознанного контроля;
– действия, основанные на знаниях - действия в незнакомых ситуациях, предпринимаемые в процессе осознания ситуации с использованием накопленных ранее знаний и опыта.
К факторам, формирующим поведение персонала, относятся:
1) характер и качество инструкций (простота/сложность предписываемых процедур, событийное описание или симптомно–ориентированные указания по их выполнению, степень детализации и т.д.);
2) подготовка (опыт) персонала к действиям в аналогичных ситуациях;
3) качество интерфейса "человек-машина" (удобство считывания информации с показывающих приборов, работы с органами управления и др.);
4) отработанность взаимодействия и качество связи между различными категориями персонала;
5) нагрузка (дискретные (поэтапные) операции, не требующие оперативного вмешательства в ход процесса, или динамичные операции, требующие высокой концентрации внимания);
6) стресс.
Факторами, влияющими на возможность контроля и исправления ошибок, являются:
– резерв времени;
– количество операторов, участвующих в выполнении задачи;
– присутствие контролирующего должностного лица.
Зависимости в действиях персонала, влияющие на вероятностные характеристики надежности персонала, могут проявиться в следующем виде:
– зависимости между действиями, выполняемыми одним и тем же оператором в рамках одной задачи;
– зависимости между операторами, участвующими в решении одной задачи, включая контроль ее выполнения;
– зависимости между разными задачами, решаемыми персоналом в одной и той же аварии.
Е.2.3 Этапы анализа надежности персонала
Анализ надежности персонала включает отборочный анализ и детальный анализ.
Для отборочного анализа используются скрининговые оценки действий персонала. Под скрининговыми оценками подразумеваются упрощенные (консервативные) оценки надежности действий персонала, выводимые с помощью упрощенных моделей. Рекомендации по выполнению отборочного анализа приведены в руководстве по анализу надежности персонала SHARP (Systematic Human Actions Reliability Procedure).
Скрининговые оценки используются в ходе выполнения предварительного количественного анализа надежности систем и вероятности реализации АП. В ходе и по результатам этого анализа определяется перечень наиболее значимых действий персонала, для которых проводится детальный анализ.
Для детального анализа используются логико-вероятностные модели, предусматривающие построение формализованной (графической) модели действий оператора в каждой аварийной ситуации. При этом в качестве аппарата структурного анализа совокупности действий используются схемы функциональной целостности (СФЦ) или дерево событий, связанное с действиями персонала.
При детальном моделировании действий персонала из последовательности действий, необходимых в рассматриваемой ситуации, выделяют отдельные элементарные действия (операции). Для каждой из них определяются (назначаются) количественные характеристики надежности.
Вычисление показателей надежности персонала производится по построенной логико-вероятностной модели с использованием количественных характеристик надежности для элементарных операций. При этом результирующая вероятность выполнения (невыполнения) всей (сложной) задачи оператором и будет количественно характеризовать его надежность.
Е.2.4 Общая схема выполнения АНП
Анализ надежности персонала выполняется по следующей схеме:
а) анализ исходной информации:
–определение перечня действий персонала;
–анализ инструкций и руководств по управлению авариями;
–анализ условий работы персонала при авариях;
–разработка листов для опроса персонала, применительно к выбранным действиям, и анализ ответов по этим листам;
б) отборочный анализ:
–оценка показателей надежности действий персонала до ИС;
–оценка показателей надежности действий после ИС;
–выбор наиболее важных действий (задач) для детального анализа (по результатам предварительного количественного анализа надежности систем или АП);
в) детальный анализ надежности персонала:
–определение последовательности действий при выполнении каждой задачи, выявление критичных шагов;
–анализ функций персонала на каждом шаге;
–построение логико-вероятностных моделей для операций, выполняемых персоналом;
–определение номинальных значений вероятностных характеристик надежности персонала;
–оценка относительного влияния формирующих поведение факторов;
–оценка влияния фактора восстановления и уровней зависимости; определение показателей надежности персонала;
г) оценка неопределенности действий персонала
Е.3 Анализ исходной информации
Е.3.1 Определение перечня действий персонала
Первичными источниками информации для составления перечня действий (возможных ошибок персонала) являются результаты разработки моделей надежности систем и АП.
Перечень действий персонала может быть откорректирован и дополнен по результатам анализа проектной документации, эксплуатационных инструкций, руководств по управлению авариями, а также с учетом ответов по опросным листам персонала.
Перечень действий персонала должен корректироваться в соответствии с результатами, получаемыми в процессе выполнения АНП.
Е.3.2 Анализ инструкций и руководств по управлению авариями
Анализ эксплуатационных инструкций направлен на получение исходной информации для рассмотрения действий персонала до ИС. К этой информации относится:
–объем, содержание и последовательность процедур проверок, технического обслуживания и ремонта оборудования и систем, рассматриваемых в ВАБ;
–периодичность проверок;
–перечень оборудования, на готовность которого оказывают влияние проводимые работы;
–объем, содержание и последовательность процедур подготовки систем ОМН к вводу в действие;
–непосредственные исполнители работ (квалификация (должности) персонала), контролирующие должностные лица.
Анализ инструкций и руководств по управлению авариями направлен на получение исходной информации для рассмотрения действий персонала после ИС:
–определение задач персонала при аварийном выводе ОМН из действия;
–выявление конкретных действий, необходимых для выполнения персоналом каждой отдельной задачи, и сопутствующих действий, связанных с другими задачами;
–выяснение последовательности действий персонала в соответствии с инструкциями;
–определение непосредственных исполнителей рассматриваемых задач (квалификация (должности) персонала), контролирующие должностные лица;
–место выполнения действий.
По каждой из рассматриваемых инструкций необходимо сделать заключение о ее характере и качестве (простота/сложность предписываемых процедур, событийное описание или симптомно–ориентированные указания по их выполнению, степень детализации и т.д.), как фактора, влияющего на поведение персонала.
Е.3.3 Анализ условий выполнения действий персонала при авариях
На основе информации, получаемой из результатов детерминистского анализа аварий, а также рекомендаций, изложенных в инструкциях и руководствах по управлению авариями, следует оценить условия выполнения действия персонала при авариях:
–аварийные сигналы, по которым персонал может идентифицировать аварийную ситуацию;
–резервы времени, которыми располагает персонал для выполнения задачи, время, требуемое для выполнения действий;
–возможность контроля над действиями персонала (корректировки этих действий);
–действия персонала, которые необходимо исполнять практически одновременно в условиях рассматриваемого сценария аварии.
Е.3.4 Опросные листы персонала
Опросные листы составляются для эксплуатационного персонала разработчиками ВАБ с целью выяснения особенностей действий персонала и оценки вклада ВПФ в успешность (неуспешность) рассматриваемых действий.
Возможное содержание опросного листа:
1. Признаки, по которым персонал идентифицирует аварию (условия каждой из аварий, в которой ожидается выполнение рассматриваемой задачи - прилагаются к опросному листу);
2. Описание условий для распознавания ситуации по доступной для оператора информации, в том числе, наличие приборов (мнемосхемы, системы сигнализации, индивидуальные приборы, выводящие параметры по запросу оператора), расположение необходимых приборов относительно рабочего места оператора (оперативная панель, неоперативная панель, прибор на местном посту);
3. Основания для принятия персоналом решения о выполнении анализируемого действия (требования эксплуатационной инструкции, руководства по управлению авариями, распоряжение руководства, опыт и т.д.);
4. Исполнители и контролирующие должностные лица: диагностирующие ситуацию, принимающие решение, непосредственно выполняющие действия, с указанием выполняемых ими задач и действий, возможности взаимного контроля и исправления ошибок;
5. Описание последовательности выполнения основных шагов (элементарных действий, например, таких, как включение насоса, закрытие задвижки и т.д.) в ходе рассматриваемой аварии;
6. Место выполнения промежуточных действий каждым исполнителем (с пульта управления ОМН, на местном посту и т.д.), с указанием – применительно к месту расположения органов управления - наличия рядом аналогичных органов управления (с оценкой возможности совершения ошибки выбора);
7. Описание обратной связи (по каким параметрам, соответствующим им приборам или другим признакам оператор убеждается в успешности или неуспешности выполнения действия);
8. Оценка времени, необходимого для выполнения каждого промежуточного действия каждым исполнителем, и общего времени, если действия выполняются параллельно (последовательно);
9. Оценка уровня стресса (высокий, средний, низкий) для каждого исполнителя в каждой из аварий, для которой анализируются рассматриваемые действия;
10. Оценка критичности каждого элементарного действия (последствия ошибки) для выполнения задачи в целом (приводит невыполнение элементарного действия к невыполнению задачи в целом или нет);
11. Характер подготовки исполнителей к выполнению описываемых действий (хорошо ли знаком персонал с рассматриваемыми действиями и условиями, условия, в которых требуется их выполнять, выполнялись ли когда-либо эти действия этим персоналом, проводился ли анализ этих действий на занятиях в центре подготовки, были ли тренировки на тренажере, противоаварийные тренировки на ОМН и как часто);
12. Краткое описание сопутствующих действий, которые приходится выполнять исполнителю в ходе решения рассматриваемой задачи, и их цель;
13. Экспертный анализ перечня ВПФ для каждого из рассматриваемых действий (рекомендации по учету факторов, влияющих на надежность персонала для каждого рассматриваемого действия);
14. Данные по опрашиваемому персоналу.
Е.4 Отборочный анализ
Е.4.1 Оценка надежности персонала до ИС
В качестве действий до ИС (доаварийных действий), которые необходимо учитывать при анализе надежности персонала, следует рассмотреть следующие действия с оборудованием и системами:
–калибровка приборов;
–проверки работоспособности оборудования и систем;
–техническое обслуживание и ремонт;
–подготовка оборудования и систем к вводу в действие по прямому назначению;
–обслуживание (переключения и т.п.) в процессе работы объекта МН.
Ошибки персонала при выполнении указанных действий могут привести, например, к неправильному выставлению уставок срабатывания, неправильному положению арматуры, сохранению блокировки на прохождение аварийного сигнала, вводимой при некоторых состояниях ОМН, и др.
При определении вероятностных характеристик надежности персонала учитывается характер действий (тип поведения) персонала:
–действия, основанные на навыках;
–действия, основанные на правилах;
–действия, основанные на знаниях.
Е.4.2 Оценка надежности действий персонала при управлении авариями
Для оценки действий персонала при управлении авариями по упрощенной схеме анализируемые действия разбиваются, как правило, на два типа действий:
– когнитивные действия (идентификация аварии, принятие решения о выполнении действий, контроль над выполнением действий);
– исполнительные действия (непосредственное выполнение действий).
При определении вероятностных характеристик надежности персонала, как для когнитивных, так и для исполнительных действий, учитывается характер действий (тип поведения) персонала.
Вероятность успешного (неуспешного) "выполнения" когнитивных действий оценивается с учетом времени, располагаемого для анализа состояния установки и принятия решения. Время, отводимое на диагностирование ситуации, определяется вычитанием времени, необходимого для непосредственного выполнения действий, из общего резерва времени в рассматриваемых аварийных условиях.
Е.4.3 Количественная оценка надежности выполнения задачи
В простейших случаях для оценки вероятности невыполнения определенной задачи, включающей набор действий персонала, используются следующие соотношения.
Если невыполнение любого из набора действий, связанных с рассматриваемой задачей, приводит к ее невыполнению (неправильному выполнению), то результирующая вероятность характеристики надежности персонала (для задачи в целом) определяется по выражению:
, (Е.1)
где Q – результирующая вероятностная характеристика надежности персонала (вероятность невыполнения операции);
qi
– вероятность ошибки при выполнении i-го действия.
Если ошибка персонала является следствием одновременного невыполнения каждого из набора действий, то вероятность ошибки персонала определяется как
(Е.2)
Е.5 Детальный анализ надежности персонала
Е.5.1 Структурный анализ надежности персонала с использованием СФЦ
Е.5.1.1 Определение последовательности действий и критичных шагов.
На основе отборочного анализа и результатов предварительного количественного анализа АП определяется набор действий (задач), которые оказывают значительное влияние на безопасность. Составляется алгоритм деятельности оператора по управлению конкретной аварией. Алгоритм обычно вначале записывается в словесной форме. Для составления алгоритма необходимо произвести дробление сложных операций.
Дробление деятельности производится "сверху-вниз", т.е. с выделения программных единиц, затем программные единицы декомпозируются на функциональные единицы и т.д. Для облегчения перехода от словесного описания деятельности оператора к формализованной структуре вводится уровень технологических единиц.
Для сложных программ деятельности до уровня функциональных единиц доводятся только отдельные технологические единицы. Для простых программ вся программа в целом представляется в виде совокупности функциональных единиц. Для определения показателей надежности функциональных единиц каждая из них представляется в виде совокупности операционных единиц. В большинстве случаев представлять всю программу или алгоритм деятельности на уровне операционных единиц нецелесообразно (так как структура деятельности теряет свою наглядность) и достаточно ограничиться уровнем функциональных единиц.
Для каждого из элементарных действий определяются последствия их невыполнения (неправильного выполнения) с точки зрения влияния на выполнение задачи в целом.
В зависимости от перечня моделируемых действий персонала, отдельные шаги могут повторяться в разных рассматриваемых задачах (для одних задач они могут быть наиболее значимыми, для других – сопутствующими). В таких случаях целесообразно выделить их в отдельную типовую задачу с проведением анализа зависимостей в действиях персонала.
От словесного описания программы или алгоритма деятельности человека-оператора осуществляется переход к формализованной записи – СФЦ.
Е.5.1.2 Построение СФЦ для АНП
СФЦ для анализа надежности действий персонала строится применительно к каждой рассматриваемой задаче на основании результатов анализа последствий каждого из элементарных действий.
Пример такой СФЦ приведен на рисунок Е.1.
При построении СФЦ, изображенной на рисунке Е.1, учтены следующие события:
1 – событие принятия решения на действие.
12 – событие успешного выполнения сложного действия.
2, 3, 6, 5, 7, 13, 16, 15 – события (элементарные действия), обеспечивающие успешное выполнение программы (успешное выполнение сложного действия).
8, 10, 14 – события (элементарные действия), отражающие условия выполнения событий 1, 12, 15, 16.
14, 9 – события, состоящие в неуспешном выполнении действий 2 и 3.
Логическая модель успешного выполнения сложного действия (операции), отображенной на рисунке Е.1, представленная в минимальной ДНФ, выглядит следующим образом:
Yc=x1*x2*-x3*x4*x5*x6*x7*x8*x11*x12*x13*V*x1*x2*x3*x4*x8*x12*V*x1*-x2*x4*x5*x7*x8*x10*x12*x13*x15*x16
Рисунок Е.1 – СФЦ для анализа надежности действий персонала
Е.5.1.3 Назначение номинальных значений вероятностных характеристик надежности персонала.
Для каждого из определенных выше элементарных действий персонала оцениваются "номинальные" значения вероятности безошибочного выполнения действий (ошибок), которые не учитывают факторов, формирующих поведение персонала, факторов контроля и восстановления (исправления) ошибок.
После назначения номинальных значений вероятностей ошибок персонала с помощью ПЭВМ рассчитываются вероятность успешного (неуспешного) выполнения программы действий и значимости включенных в СФЦ событий. Расчет значимости позволяет определить наиболее важные действия персонала с точки зрения реализации заданного критерия и произвести в последующем оценку неопределенности показателей надежности.
Для СФЦ, представленной на рисунке Е.1, вероятностная модель успешного выполнения комплекса действий (в ортогональной ДНФ) выглядит следующим образом:
P12
=p1*p2*p3*p4*p8*p12 + p1*p2*q3*p4*p5*p6*p7*p8*p11*p12*p13 +
p1*q2*p4*p5*p7*p8*p10*p12*p13*p15*p16
Пример расчета характеристик относительной важности событий, включенных в СФЦ, изображенную на рисунке Е.1, представлен в таблице Е.1.
Таблица Е.1 – Характеристики относительной важности событий
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
Вклад р → 1 |
1 |
0.995000 |
9.649773e-01 |
-9.601525e-01 |
4.824887e-03 |
2 |
0.999000 |
2.545459e-02 |
-2.542913e-02 |
2.545459e-05 |
3 |
0.999600 |
2.506550e-02 |
-2.505547e-02 |
1.002620e-05 |
4 |
0.995000 |
9.649773e-01 |
-9.601525e-01 |
4.824887e-03 |
5 |
0.985060 |
1.328232e-03 |
-1.308388e-03 |
1.984379e-05 |
6 |
0.995000 |
3.755426e-04 |
-3.736649e-04 |
1.877713e-06 |
7 |
0.999000 |
1.309698e-03 |
-1.308388e-03 |
1.309698e-06 |
8 |
0.974736 |
9.850385e-01 |
-9.601525e-01 |
2.488601e-02 |
10 |
0.995000 |
9.394204e-04 |
-9.347233e-04 |
4.697102e-06 |
11 |
0.995000 |
3.755426e-04 |
-3.736649e-04 |
1.877713e-06 |
12 |
0.995000 |
9.649773e-01 |
-9.601525e-01 |
4.824887e-03 |
13 |
0.999600 |
1.308912e-03 |
-1.308388e-03 |
5.235647e-07 |
15 |
0.999600 |
9.350974e-04 |
-9.347233e-04 |
3.740389e-07 |
16 |
0.995000 |
9.394204e-04 |
-9.347233e-04 |
4.697102e-06 |
Е.5.2 Структурный анализ надежности персонала с использованием дерева событий
Е.5.2.1 Определение последовательности действий и критичных шагов
На основе отборочного анализа и результатов предварительного количественного анализа аварийных последовательностей определяется набор действий (задач), которые оказывают значительное влияние на безопасность. Затем для каждой задачи определяются основные шаги и последовательность их выполнения. Набор шагов анализируется с точки зрения их влияния на выполнение рассматриваемой задачи и по результатам анализа определяются критичные шаги, невыполнение которых может привести к невыполнению задачи в целом.
В зависимости от перечня моделируемых действий персонала, отдельные шаги могут повторяться в разных рассматриваемых задачах (для одних задач они могут быть наиболее значимыми, для других – сопутствующими). В таких случаях целесообразно выделить эти шаги как отдельную задачу с проведением анализа зависимостей в действиях персонала.
Е.5.2.2 Анализ функций персонала
На этом этапе каждый критичный шаг персонала разбивается на элементарные (промежуточные) действия и анализируются возможные ошибки при выполнении этих действий, например:
– неправильное диагностирование ситуации;
–невыполнение инструкции для определенного действия;
–ошибочное считывание показаний приборов;
– ошибочный выбор органов управления оборудованием.
Для каждого из элементарных действий определяются последствия их невыполнения (неправильного выполнения) с точки зрения влияния на выполнение задачи в целом.
Е.5.2.3 Построение дерева событий для АНП
Дерево событий для анализа надежности действий персонала строится применительно к каждой рассматриваемой задаче на основании результатов анализа последствий каждого из элементарных действий.
Пример дерева событий приведен на рисунке Е.2.
H |
А |
B |
C |
D |
Состояние |
задача выполнена |
|||||
задача не выполнена |
|||||
задача не выполнена |
|||||
задача не выполнена |
|||||
задача не выполнена |
|||||
Рисунок Е.2 – Дерево событий для анализа надежности действий персонала
При построении дерева событий использованы следующие обозначения:
Н – идентификатор задачи;
А, B, C, D – отдельные элементарные действия персонала при выполнении данной задачи.
Верхнее ветвление в дереве событий соответствует успешному выполнению элементарного действия, нижнее ветвление – его неуспешному выполнению. Отсутствие ветвления в дереве событий показывает, что либо персонал успешно выполнил одно или несколько предыдущих действий и данное элементарное действие уже не критично в данной последовательности шагов, либо в результате неуспешного выполнения одного или нескольких предыдущих элементарных действий задача не может быть выполнена – независимо от успешного или неуспешного выполнения данного элементарного действия.
Е.5.2.4 Назначение номинальных значений вероятностей ошибок персонала
Для каждого из определенных выше элементарных действий персонала оцениваются "номинальные" значения вероятности ошибки, которые не учитывают факторов, формирующих поведение персонала, факторов контроля и восстановления (исправления) ошибок.
Е.5.3 Оценка влияния на надежность персонала формирующих поведение факторов.
К ФПФ относятся уровень подготовки (квалификация) персонала, уровень нагрузки (дискретность выполняемых операций, динамичность задачи), условия взаимодействия персонала, уровень стресса и т.д.
Квалификация персонала определяется опытом работы, уровнем подготовки применительно к выполняемым действиям. Уровень нагрузки определяется условиями протекания аварии, сложностью выполняемых действий. Условия взаимодействия персонала определяются отработанностью совместных действий и качеством связи между персоналом, выполняющим действия с пульта управления и по месту при выполнении требуемых задач. Уровень стресса зависит от потенциальной опасности (для персонала и ОМН) возникшей аварийной ситуации, располагаемого резерва времени, наличия на пульте управления дополнительного персонала и др.
Каждому из рассматриваемых действий персонала сопоставляется сочетание тех или иных ФПФ. При проведении опроса персонала ему предлагается проанализировать список ФПФ применительно к каждому из рассматриваемых действий и ограничить его наиболее важными факторами.
Исходя из сочетания указанных факторов, оценивается коэффициент формирующих поведение факторов, как "коэффициент запаса" – сомножитель – к номинальным оценкам вероятностей ошибок персонала.
Е.5.4 Оценка факторов восстановления
Наличие на пульте управления двух человек является восстанавливающим фактором, так как второй оператор (или контролирующее должностное лицо) может заметить и исправить ошибку, сделанную первым оператором – непосредственным исполнителем. Однако, поскольку существует некоторый уровень зависимости между операторами, возможна ситуация, когда совершенная первым оператором ошибка с некоторой вероятностью окажется незамеченной вторым оператором.
Условная вероятность того, что ошибка персонала не будет проконтролирована и восстановлена (исправлена) оценивается с учетом таких факторов, как условия контроля (присутствие второго оператора, контролирующего должностного лица), располагаемый резерв времени, квалификация персонала, уровень стресса.
Е.5.5 Определение показателей надежности
На начальном этапе детального анализа расчет номинальных значений действий персонала производится в соответствии с п.п. Е.5.1 или Е.5.2.
Далее номинальные значения (например, вероятности ошибки qном
) должны быть откорректированы с учетом формирующих поведение факторов (коэффициент Кфпф
) и факторов контроля и восстановления – исправления ошибок (Fк/в
).
qi
= qi
ном
×Кфп
×Fк/в
(Е.3)
После этого полученные значения вероятности невыполнения (выполнения) типовых операций вводятся в вероятностную модель, разработанную для сложной операции, и в результате повторного расчета получается уточненное значение вероятности (ошибочного) безошибочного выполнения моделируемого действия (вероятности ошибки) персонала.
Е.6 Анализ зависимостей между действиями персонала
Зависимости между действиями персонала могут быть обусловлены следующими факторами:
–совместное выполнение диагностики состояния ОМП;
–общие временные ограничения для выполнения задачи (задач);
–общая очередность задач (необходимость практически одновременного выполнения задач одними и теми же исполнителями);
–общие процедурные шаги при выполнении задач.
С позиций анализа действий персонала (моделирования и количественных оценок вероятностей ошибок (безошибочных действий)) следует выделить следующие типы зависимостей между действиями:
а) зависимости между задачами, решаемыми персоналом и рассматриваемыми в одной и той же АП (модели системы);
б) зависимости между операторами, участвующими в решении одной задачи, включая контроль ее выполнения;
в) зависимости между действиями, выполняемыми одним и тем же оператором в рамках одной задачи.
Для учета зависимостей между задачами, решаемыми персоналом и рассматриваемыми в одной и той же аварийной последовательности как взаимно резервируемые действия, могут быть применены следующие подходы:
–
при первом подходе моделируется общее для двух (или более) задач действие – процесс совместной диагностики состояния установки с принятием решения о необходимости управлении аварией, то есть моделируется дополнительное действие ("третья задача"), невыполнение которого приводит к невыполнению всех задач, связанных с определенной АП, (аналогично могут быть выделены в "самостоятельную задачу" общие процедурные шаги при выполнении задач);
–
при втором подходе общий резерв времени, которым располагает личный состав в условиях определенной АП, разбивается на два (или более) интервала, на каждом из которых моделируется выполнение соответствующей задачи, связанной с данной АП. При этом задачи считаются "независимыми" (включая диагностирование ситуации в рамках каждой задачи) в условиях их последовательного выполнения. Но ограниченность интервала времени на выполнение задач определяет их взаимную зависимость.
В зависимостях между операторами, участвующими в решении одной задачи, определяющим фактором является контроль и восстановление (исправление) вторым оператором (или контролирующим (дублирующим) должностным лицом) ошибок, совершенных первым оператором (непосредственным исполнителем задачи). Рекомендации по анализу уровней зависимостей между операторами изложены при рассмотрении в данной методике факторов контроля и восстановления.
В отношении зависимостей между действиями, выполняемыми одним и тем же оператором в рамках одной задачи, необходимо отметить, что при моделировании, как правило, невыполнение любого из промежуточных ("элементарных") действий соответствует невыполнению задачи в целом, и, следовательно, такие действия могут оцениваться как независимые. При более сложной модели действий (с логикой "резервирования" действий) зависимости могут быть более детально учтены с использованием приведенных выше рекомендаций.
Е.7 Оценка неопределенности показателей надежности
персонала
Неопределенность исходных данных по вероятностям ошибок персонала учитывается наряду с неопределенностью показателей надежности оборудования.
Исследование неопределенностей может проводиться методом Монте-Карло. В общем случае этот метод заключается в генерировании случайных значений входных данных модели и в определении результирующих величин по сгенерированному набору данных. Этот процесс многократно повторяется для получения случайного набора результатов. Затем по этому случайному распределению оцениваются численные характеристики неопределенности выходных величин.
ПРИЛОЖЕНИЕ Ж
(справочное)
ПРИНЦИП РАЗРАБОТКИ ВЕРОЯТНОСТНОЙ МОДЕЛИ БЕЗОПАСНОСТИ ОБЪЕКТА МН
Вероятностная модель безопасности ОМН отображает процессы функционирования и логику взаимодействия систем и элементов магистрального нефтепровода при различного вида авариях. Она включает в свой состав множество деревьев событий, связанных с деревьями отказов или СФЦ систем управления, систем локализации, систем энергообеспечения и т.д., с моделями действий персонала. Модель безопасности разрабатывается исходя из условия, что конечной целью работы данной организационно-технической системы является минимизация выхода нефти в окружающую среду при авариях на МН.
Общий вид вероятностной модели безопасности ОМН можно представить с помощью рисунка Ж.1:
Рисунок Ж.1 – Общий вид логико-вероятностной модели безопасности ОМН
Деревья событий должны разрабатываться для всех групп ИС (причин аварий):
–стихийные явления (оползни, землетрясения, паводки и др.);
–дефекты соединений и узлов, разрывы прокладок запорной арматуры, нарушения герметичности трубопроводов;
–механические повреждения трубопроводов при производстве работ в охранной зоне ОМН;
–нарушения сплошности металла труб, сварных соединений, вызванные электрохимической, почвенной или внутренней коррозией;
–разрывы или трещины сварных соединений трубопроводов, дефекты металла;
–несанкционированные врезки;
–ошибки эксплуатационного персонала;
–аварии основного и вспомогательного оборудования сооружений ГПС, ПС, НП.
С помощью деревьев отказов или СФЦ моделируют:
–работу локализующей арматуры;
–действия персонала;
–реакцию АСУ ТП на сигналы о разгерметизации участка трубопровода;
–работу насосов, электродвигателей и их вспомогательных систем;
–функционирование резервуаров;
–работу электрических распределительных устройств, трансформаторов;
–функционирование других элементов, влияющих на процесс.
Деревья событий и деревья отказов или СФЦ должны строиться с учетом зависимостей между ИС и функционированием систем и элементов ОМН, отказов по общей причине и т.п.
Для каждой ветви дерева событий (аварийной последовательности) назначается признак успешности или неуспешности данного конечного состояния ОМН. В простейшем случае данный признак должен соответствовать одному из двух случаев:
–авария локализована - ОК
–авария не локализована – CD.
При более глубоком анализе для каждого конечного состояния с повреждением ОМН должен задаваться свой признак, характеризующий степень тяжести аварии и величины ущерба.
Код (ПК) для ВАБ и построенная с его помощью вероятностная модель должны позволять рассчитывать вероятность реализации как каждого КС, каждой АП, так и вероятность реализации КС с одинаковой степенью ущерба, определять вклады и значимости отдельных ИС, АП, систем и элементов МН.
ПРИЛОЖЕНИЕ И
(справочное)
ПРОЦЕДУРЫ ВЫПОЛНЕНИЯ КОЛИЧЕСТВЕННЫХ РАСЧЕТОВ ВАБ
После построения ДС, ДО или СФЦ для количественной оценки вероятностных показателей ОМН производятся расчеты и анализ полученных результатов. При этом выделяют три основных этапа:
1) генерация и анализ минимальных сечений отказов системы;
2) анализ неопределенности полученных результатов количественной оценки вероятностных показателей системы;
3) анализ значимости и чувствительности.
Целью первого этапа является количественный анализ модели ВАБ и получение оценки частоты неуспешных конечных состояний при возникновении инициирующих событий.
Для исключения потери зависимостей между ошибками персонала на этапе предварительного количественного анализа расчеты следует выполнять при значениях ВОП равных единице. Не следует вводить ограничения на количество элементов в минимальных сечениях[2]
. При проведении предварительных количественных анализов необходимо идентифицировать все минимальные сечения, содержащие более одной ошибки персонала. На этапе окончательного анализа для всех подобных минимальных сечений следует учитывать зависимости между действиями персонала.
И.1 Вычисляемые показатели безопасности ОМН
В ходе вычислений рассчитывается вероятность повреждения ОМН заданной степени тяжести. Данный показатель оценивается на основе расчета вероятности реализации всего множества минимальных сечений, входящих в совокупность АП с повреждением ОМН.
Кроме того, в ходе количественного анализа рассчитываются:
–
вероятности реализации вершинных событий деревьев отказов (отказы систем) – рассчитываются на основе минимальных сечений деревьев отказов;
–
частоты реализаций аварийных последовательностей - рассчитываются на основе минимальных соответствующих аварийных последовательностей;
–
частоты реализации конечных состояний с заданной степенью ущерба рассчитываются на основе минимальных соответствующих конечных состояний.
Для расчета перечисленных выше показателей требуются следующие исходные данные:
–частоты ИС;
–интенсивности отказов или вероятности отказа на требование элементов ОМН, находящихся в режиме ожидания;
–интенсивности отказов элементов в режиме работы;
–параметры моделей отказов по общей причине;
–параметры, характеризующие неопределенность данных по надежности оборудования, вероятностям ошибок персонала и частотам ИС;
–длительность периода времени между проверками работоспособности элементов;
–средняя длительность проверок и/или ремонтов элементов;
–допустимое время восстановления элементов.
И.2 Генерация и анализ минимальных сечений отказов
Генерация наборов минимальных сечений (МС) выполняется по нисходящему алгоритму, начиная с созданием сечения, состоящего из вершинного события дерева, как единственного элемента МС. На втором шаге верхний логический элемент заменяется его входами. Если верхний логический элемент является оператором «И», все его входы добавляются к набору сечений. Если логический элемент является оператором «ИЛИ», то для каждого его входа создаются новые наборы сечений. Процесс выполняется до тех пор, пока все элементы набора сечений не станут состоять только из основных (базисных) событий. Наборы сечений, сгенерированные в соответствии с данным алгоритмом, не являются конечными, т.к. они не минимальны.
Для минимизации сечений используются базовые соотношения алгебры логики, а также предусматривается процедура проверки, при которой из каждого полученного минимального сечения последовательно удаляются повторяющиеся элементы и осуществляется проверка появления верхнего события дерева отказов. Если верхнее событие реализуется, то сечение не является минимальным и удаляется из набора сечений, в противном случае остается.
Для всех минимальных МСО оценивается вероятность их реализации по формуле:
, (И. 1)
где: Qi
– вероятность i-ого базового события (отказа элемента ОМН),
k – количество базовых событий в МСО.
После оценки вероятности всех МСО производится оценка вероятности для верхнего события путем суммирования вероятностей реализации всех МСО дерева отказов.
, (И. 2)
где n – общее число МСО.
Важным элементом процесса генерации минимальных сечений является процедура отсечения, которая предназначена для разумной минимизации вероятностной функции, по которой будет производиться расчет вероятностных показателей системы. В программных комплексах логико-вероятностного моделирования существует два способа задания величины отсечения - вероятностное отсечение и отсечение по превышению количества основных событий в сечении.
При использовании вероятностного отсечения задают либо абсолютное значение порога отсечения ACUTM, либо относительное значение RCUTM. Оба эти значения могут принимать значения в диапазоне от 0,00 до 0,99.
При использовании абсолютного значения порога отсечения все наборы сечений, имеющие вероятность ниже, чем значение порога отбрасываются в процессе квантификации.
При использовании относительного значения порога отсечения сначала определяется сумма вероятностей всех сечений набора - QSUM, а затем оценивается абсолютное значение порога отсечения по формуле ACUTM=RCUTM * QSUM.
Использование процедуры отсечения приводит, в свою очередь, к появлению ошибки отсечения, которая должна быть определена в процессе квантификации. При квантификации пороги отсечения должны задаваться таким образом, чтобы ошибка отсечения составляла лишь небольшую долю от вероятности верхнего события дерева отказов.
Во многих руководствах по вероятностному моделированию рекомендуется принимать следующие значения для порога отсечения:
а) абсолютное значение порога отсечения (ACUTM) – 1,00Е-12 – 1,00Е-15;
б) относительное значение порога отсечения (RCUTM) – 1,00E-03 – 1,00E-05
Данные параметры обеспечивают хорошее равновесие между точностью результатов и временем вычисления.
Результаты генерации набора минимальных сечений документируются и представляются в табличной форме. В таблице МСО в первом столбце указывается порядковый номер МСО, во втором столбце величина вероятности данного МСО, в третьем столбце указывается вклад данного МСО в вероятностный показатель всей системы, во всех остальных столбцах приводятся обозначения основных событий дерева отказов, которые входят в данное МСО.
После получения набора минимальных сечений рекомендуется несколько верхних сечений (как правило, 20-30) проверить на физическую адекватность, т.е. реальную осуществимость в рамках исследуемой системы. Это необходимо для подтверждения корректности моделирования.
И.3
Расчёт вероятности отказа системы
Вероятность отказа системы рассчитывается на основе набора минимальных сечений соответствующего дерева отказов. Под вероятностью отказа системы имеют ввиду, как правило, вероятность несрабатывания на требование (вероятность отказа на включение системы в работу) или вероятность оперативного несрабатывания на требование (отказ на включение или отказ при последующей работе). Если известен набор минимальных сечений дерева отказов, то вероятность реализации вершинного события (отказа системы) рассчитывается как:
, |
(И.3) |
где - вероятность реализации -го базового события в -ом минимальном сечении;
- общее число минимальных сечений.
В том случае, если значения вероятностей реализации базовых событий (отказов оборудования) оказываются существенно меньшими 1, выражение (И.3) может быть записано в виде:
|
(И.4) |
В методологии ВАБ приближенное выражение для расчёта вероятности отказа (И.4) получило название приближение редких событий (rare events approximation).
При расчётах рекомендуется использовать выражение (И.3), дающее менее консервативную оценку.
И.4
Расчёт частоты (вероятности реализации) аварийной последовательности
Вполне аналогично вершинному событию дерева отказов, частота реализации аварийной последовательности (частота аварийной последовательности) рассчитывается на основе набора минимальных сечений. Небольшим отличием от вышерассмотренного случая является то, что набор минимальных сечений аварийной последовательности содержит события различных «типов», а именно, для базовых и исходных событий задаются различные вероятностные характеристики (вероятность и частота соответственно). При этом структура логико-вероятностной модели объекта обладает следующим свойством: набор минимальных сечений аварийной последовательности содержит одно исходное событие, которое входит в каждое минимальное сечение. Таким образом, частота аварийной последовательности рассчитывается по формуле:
, |
(И.5) |
где - частота исходного события (1/год);
- вероятность реализации -го базового события в -ом минимальном сечении;
- общее число минимальных сечений.
В приближении редких событий выражение (И.5) может быть записано в виде:
|
(И.6) |
При расчётах рекомендуется использовать выражение (И.5), дающее менее консервативную оценку.
И.5 Расчёт частоты (вероятности реализации)
конечного состояния
Также как и для аварийной последовательности, набор минимальных сечений для конечного состояния содержит события различных «типов» - базовые
и исходные
события. В отличие от аварийной последовательности, набор минимальных сечений может содержать различные исходные события, но при этом в каждое минимальное сечение входит ровно одно исходное событие. Таким образом, частота конечного состояния рассчитывается по формуле:
, |
(И.7) |
где - частота -го исходного события (1/год);
- вероятность реализации -го базового события в -ом минимальном сечении, содержащем -е исходное событие;
- общее число минимальных сечений, содержащих -е исходное событие;
- число различных исходных событий в наборе минимальных сечений.
В приближении редких событий выражение (И.7) может быть записано в виде:
. |
(И.8) |
При расчётах рекомендуется использовать выражение (И.7), дающее менее консервативную оценку.
ПРИЛОЖЕНИЕ К
(справочное)
АНАЛИЗ НЕОПРЕДЕЛЕННОСТИ, ЧУВСТВИТЕЛЬНОСТИ И ЗНАЧИМОСТИ РЕЗУЛЬТАТОВ КОЛИЧЕСТВЕННЫХ РАСЧЕТОВ ВАБ
К.1 Анализ неопределенности полученных результатов количественной оценки вероятностных показателей
ОМН
Полученные в результате количественного анализа ВАБ оценки вероятностных показателей системы не являются абсолютно точными, а содержат в себе ту или иную долю неопределенности. Неопределенность полученных оценок определяется:
1) неполнотой или неадекватностью структурно-логических моделей систем (тип 1);
2) погрешностью процесса квантификации показателей готовности (тип 2);
3) неопределенностью исходных данных по надежности элементов (тип 3).
Уровень неопределенности первого типа зависит от объема и глубины выполнения качественного анализа надежности систем и, в первую очередь, от квалификации специалиста, проводящего данный анализ. В количественном отношении данный вид неопределенности в анализе не учитывается.
Уровень неопределенности второго типа зависит, в первую очередь, от программных средств, используемых для квантификации вероятностных показателей, и задаваемых параметров квантификации. Рекомендации по снижению данного типа неопределенности изложены выше при обсуждении проблемы выбора порога отсечения.
Уровень неопределенности третьего типа зависит от имеемой в распоряжении исследователя базы данных по показателям надежности. Все, используемые в расчетах показатели надежности элементов систем ОМН, оцениваются на основе статистических данных и, следовательно, точность их определения всецело зависит от объема имеемой статистики. При определении показателей надежности на основе имеемой статистики определяется и фактор ошибки, представляющий отношение медианного значения оцениваемого параметра к значению 95-й процентили. При известных значениях фактора ошибки для показателей надежности элементов системы можно произвести интегральную и дифференциальную оценку неопределенности вероятностных показателей для системы в целом. Данная оценка может производиться методом статистических испытаний на основе заданного значения размера статистической выборки. В результате получают оценки для распределения неопределенности, например, такие как в таблице К. 1.
Таблица К. 1 – Результаты анализа неопределенности для
вероятностного показателя системы
Размер выборки |
16000 |
Задаточное число генератора случайных чисел |
12345 |
Точечная оценка |
2,64×10-6
|
5-процентиль |
4,17×10-7
|
95-процентиль |
8,47×10-6
|
Медиана |
1,52×10-6
|
На рисунках К.1 и К.2 представлен общий вид интегральной функции распределения и плотности распределения для вероятностного показателя системы.
Анализ положения точечной оценки для вероятностного показателя и границ распределения (пяти- и девяностопятипроцентные процентили) позволяют сделать заключение об имеемой в оценках неопределенности. Чем уже интервал между границами распределения, тем с большим доверием мы можем относиться к полученным вероятностным оценкам. Если интервал достаточно широк, то полученные оценки имеют большую долю неопределенности и к ним следует относиться осторожно.
К.2 Анализ значимости
Анализ значимости выполняется для определения систем и элементов, которые оказывают наибольшее влияние на вероятностные показатели системы в целом. При этом на основе полученных минимальных сечений отказов определяются специальные показатели такие как:
– значимость по Фасселу-Весселу;
– вклад;
– фактор уменьшения риска;
– фактор увеличения риска.
Значимость по Фасселу-Весселу оценивается следующим образом:
, (К.1)
где QBC
(MCS including i) – суммарная вероятность всех минимальных сечений отказов, которые включают базовое событие «i»;
QBC
– вероятность верхнего события дерева отказов.
Таким образом, значимость по Весселу-Фасселу оценивает степень влияния каждого основного события дерева отказов на вероятностный показатель системы в целом.
Фактор уменьшения риска оценивается следующим образом:
, (К.2)
где QBC
– вероятность верхнего события дерева отказов;
QBC
(Qi
=0) – вероятность верхнего события дерева отказов при условии вероятности i-ого основного события, равной нулю.
Таким образом, фактор уменьшения риска оценивает относительную величину прироста вероятностного показателя системы при условии абсолютной надежности i-ого функционального элемента.
Показатель вклада оценивается следующим образом:
, (К.3)
где IR
i
- фактор уменьшения риска для i-ого основного события.
Рис. К.1 – Общий вид интегральной функции распределения для вероятностного показателя системы
Рис. К.2 – Дифференциальная функция (плотность) распределения для вероятностного показателя системы
Показатель вклада оценивает относительную величину вероятности i-ого основного события в общем значении вероятностного показателя системы.
Фактор увеличения риска оценивается следующим образом:
, (К.4)
где QBC
(Qi
=1) - вероятность верхнего события дерева отказов при условии вероятности i-ого основного события равной единице.
Показатели значимости для систем рассчитываются аналогично тому, как описано для отдельных основных событий, разница заключается лишь в том, что при расчете фактора снижения и фактора увеличения риска вероятности всех основных событий, входящие в дерево отказов системы принимают значение “0” или “1”. При расчете показателя значимости по Весселу-Фасселу все МСО отдельной системы включаются в расчет. Показатели значимости элементов систем формируют распределение значимости по элементам систем. Показатели значимости отдельных систем формируют системное распределение значимости. Распределение значимости по элементам систем и по системам в целом может быть представлено в табличной форме, либо в виде диаграммы.
Значимость элемента (по Рябинину-Парфенову):
, (К.5)
где - значение вероятностной характеристики надежности или безопасности НС при абсолютной надежности элемента,
- значение той же характеристики ОМН при достоверном отказе элемента на рассматриваемом интервале времени функционирования.
Положительный вклад элемента (по Рябинину-Парфенову):
(К.6)
Отрицательный вклад элемента (по Рябинину-Парфенову):
(К.7)
Согласно формулы (К.5) величина значимости равна абсолютному изменению значения системной характеристики , которое произойдет, если значение собственного параметра надежности элемента изменить от 0 до 1 включительно (при фиксированных значениях заданных параметров всех других элементов системы). Диапазон значений значимости в общем случае составляет [-1, 0, + 1]. При этом означает, что увеличение надежности элемента уменьшает надежность всей системы (вредный, опасный элемент). Отрицательные значимости элементов характерны для немонотонных логико-вероятностных моделей ОМН. Нулевые значимости имеют элементы, которые не участвуют в реализации функции F или аварийной ситуации (несущественные элементы). Положительные значимости определяют то максимально возможное увеличение характеристики ОМН, которое она может получить, если изменить надежность только одного элемента от нуля до единицы включительно. Все элементы монотонных систем могут иметь только положительные или нулевые значения характеристик их значимости. Величина положительного вклада формулы (К.6) равна абсолютному изменению надежности ОМН, которое произойдет, если собственную характеристику надежности одного элемента i
увеличить от ее текущего значения до единицы. Величина отрицательного вклада формулы (К.7) равна абсолютному изменению надежности ОМН, которое произойдет, если собственную характеристику надежности одного элемента i
уменьшить от ее текущего значения до нуля. Показатели роли элементов позволяют выработать и обосновать проектные решения по обеспечению надежности и безопасности проектируемых ОМН.
К.3 Анализ чувствительности
Анализ чувствительности выполняется для определения степени влияния расчетных параметров и основных допущений математической модели на результаты моделирования. При выполнении анализа чувствительности оценивают чувствительность к данным и чувствительность к модели.
При оценке чувствительности к данным, каждый из параметров моделирования (интенсивность отказов, длительность восстановления, интервал проверки и т.д.) увеличивается на порядок и производится расчет конечных показателей, а затем уменьшается на порядок с последующим расчетом конечных показателей. Относительное изменение конечных показателей моделирования является мерой чувствительности к данным. Показатели чувствительности документируются в табличной форме и анализируются с целью выявления ряда параметров модели, которые оказывают самое сильное влияние на конечные результаты. Значения данных параметров требуют наиболее глубокого обоснования.
При оценке чувствительности к расчетной модели производится систематизация всех допущений, которые принимались при ее создании. Для некоторых наиболее важных допущений выполняется расчетная проверка чувствительности. В модель вносятся изменения, соответствующие принятым допущениям, и оцениваются конечные показатели, которые сравниваются с ранее полученными. Если результаты моделирования отличаются незначительно, то допущения считаются обоснованными, в противном случае модель необходимо откорректировать.
Иногда в контексте анализа чувствительности выполняются расчетные исследования, позволяющие определить главные направления модернизации объекта, с целью повышения показателей надежности и безопасности и с оценкой конечной эффективности их внедрения. При этом для наиболее значимых элементов технологической схемы разрабатываются предложения по увеличению их надежности. Затем производится изменение расчетного ДО системы с учетом предложенных усовершенствований технологической схемы. Выполняются расчеты вероятностных показателей надежности и безопасности и определяется эффективность предложенных изменений технологической схемы по приращению данных показателей.
Данные исследования предполагают совместное использование процедур оценки значимости и чувствительности для рационального поиска «слабых» мест в структуре системы, разработки предложений по совершенствованию системы и оценку их эффективности. При наличии регламентированных показателей надежности системы данный процесс будет продолжаться до тех, пор, пока требуемые значения показателей не будут достигнуты.
ПРИЛОЖЕНИЕ Л
(справочное)
ОСНОВНЫЕ ПРИНЦИПЫ АНАЛИЗА, ИНТЕРПРЕТАЦИИ И ПРЕДСТАВЛЕНИЯ ДАННЫХ
Л.1 Качественная оценка безопасности на основе результатов ВАБ
Основные задачи качественного анализа и обоснования безопасности состоят в установлении степени соответствия проектных решений принятой концепции безопасности и основным инженерным принципам современной концепции глубокоэшелонированной защиты, включая следующие принципы:
1. Создание ряда последовательных физических барьеров на пути выхода в окружающую среду.
2. Обеспечение высокого уровня надежности физических барьеров за счет реализации специальных требований к обеспечению качества и контролю качества при их конструировании, изготовлении и монтаже. Поддержание достигнутого уровня надежности при эксплуатации за счет проведения контроля и диагностики (непрерывных или периодических) их состояния и устранения обнаруженных дефектов и повреждений.
3. Создание защитных и локализующих систем, предназначенных для предотвращения повреждений физических барьеров, ограничение или снижение размеров последствий при возникновении нарушений пределов и условий нормальной эксплуатации и аварийных ситуаций.
4. Обеспечение необходимого уровня надежности систем безопасности за счет реализации их проектирования следующих инженерных принципов:
–принцип единичного отказа, в соответствии с которым система должна выполнять заданные функции при любом, требующем ее работы ИС и при наличии независимого от ИС отказе одного любого из активных элементов, или имеющих механически движущиеся части пассивных элементов.
В соответствии с этим принципом требуется, чтобы СБ состояли из нескольких взаиморезервирующих независимых каналов, каждый из которых был способен выполнить в определенном объеме функцию систем в целом. В общем случае СБ представляют собой мажоритарные системы со структурой «m из n», где n – число каналов в системе, m – число каналов, необходимое для выполнения функции системы в целом;
– принцип разнообразия, в соответствии с которым во взаиморезервирующих каналах систем, выполняющих отдельные функции безопасности, требуется применять элементы различные по принципу действия или по конструкции;
– принцип физического разделения, в соответствии с которым оборудование и элементы отдельных каналов СБ должны размещаться в отдельных помещениях, разделенных между собой расстоянием и/или физическими барьерами;
– обеспечение защиты от внутренних воздействий (пожаров, затоплений, пароводяных струй, летящих предметов, биений трубопроводов, изменения условий окружающей среды в помещениях ОМН);
– обеспечение защиты от характерных для ОМН внешних воздействий природного (землетрясений, смерчей, ураганов, высоких и низких уровней воды, высоких и низких температур и т.п.) и техногенного (аварии на воздушном, водном и наземном транспорте, аварии на соседних магистральных трубопроводах, внешние пожары, прорывы плотин и т.п.) характера;
– обеспечение защиты от ошибочных действий персонала ОМН;
– обеспечение защиты от зависимых отказов, включая отказы по общей причине;
– расширенное применение для выполнения функций безопасности систем пассивного принципа действия;
– обеспечение более высокого уровня надежности функций безопасности с большой частотой требований на их выполнение;
– снижение насколько это возможно значений частот или вероятностей отказов оборудования и элементов, приводящих к возникновению исходных событий аварий;
– управление запроектными авариями (ЗПА), включая аварии с тяжелыми повреждениями магистральных трубопроводов, путем разработки технических мер по снижению их последствий.
Несомненным достоинством приведенных выше инженерных или детерминистических принципов является простота их понимания и подкрепление практикой использования в различных областях техники. Практически все эти принципы имеют безусловную направленность на снижение риска от использования ОМН за счет снижения размеров последствий при запроектных авариях и/или за счет снижения вероятностей или частот реализации таких аварий. Следует также отметить, что сами по себе детерминистические принципы имеют вероятностную природу, поскольку все они связаны со случайными событиями (отказами, авариями, размером аварийных последствий). В обосновании эффективности их применения лежит представление о возможности достижения высоких уровней надежности соответствующих систем, сооружений, оборудования и элементов ОМН, необходимых для достижения приемлемо низкого уровня риска при использовании ОМН.
Оценка соответствия проекта этим принципам с применением результатов ВАБ производится на функционально-системном и элементном уровне.
На функционально-системном уровне проводится анализ состава представленных на деревьях событий АП, включая определение набора функций и СБ, совместное невыполнение или совместные отказы которых приводят к реализации каждой АП с последствиями, превышающими установленные в проекте значения для аварийных условий. На основе анализа АП определяется детализированный перечень функций безопасности и критерии успеха для выполнения каждой ФБ, производится анализ зависимостей между отдельными ФБ и СБ, определяется участие оперативного персонала в управлении СБ и производится предварительная оценка соответствия проекта таким принципам, как принципы разнообразия, обеспечения защиты от зависимых отказов, обеспечения защиты от внутренних и внешних воздействий, расширенное применение систем пассивного принципа действия, обеспечения защиты от отказов по общей причине и отказов общего вида и от ошибочных действий персонала.
Качественная оценка безопасности на элементном уровне выполняется на основе анализа состава минимальных сечений отказа (МСО), представляющих собой комбинации минимального числа базовых (первичных) событий функционально-системных деревьев отказов, реализация которых приводит к последствиям, размеры которых превышают установленные в проекте пределы. В состав МСО могут входить, совместно с ИС, независимые отказы и отказы по общей причине элементов важных для безопасности систем, ошибочные действия персонала и события, связанные с осуществлением мер по управлению ЗПА (например, использование временного резервирования для восстановления критических ФБ).
До проведения качественной оценки безопасности на элементном уровне необходимо убедиться в том, что состав МСО соответствует критериям успеха, принятым при разработке ФДС, что указывает на правильность и адекватность вероятностной модели.
Качественную оценку безопасности на элементном уровне следует проводить с использованием следующих правил:
1) Если в составе МСО, определенных для полного перечня ИС (по всему проекту в целом), отсутствуют МСО, содержащие дополнительно к ИС только один независимый отказ одного любого элемента СБ или только одно ошибочное действие персонала, то может быть сделан вывод о том, что проект СБ соответствует принципу единичного отказа.
Наличие таких МСО указывает на проектные ошибки и на необходимость определения причин реализации таких МСО и разработки предложений по их устранению.
2) Если в составе МСО отсутствуют МСО, содержащие дополнительно к ИС ООП одной группы однотипных элементов, то может быть сделан вывод о том, что в проекте предусмотрена достаточная защита от зависимых отказов, отказов по общей причине.
Если в состав МСО входят такие МСО, то оценка достаточности предусмотренных в проекте мер защиты от таких событий должна быть сделана на основе анализа количественных результатов ВАБ.
3) При проведении качественных оценок особое внимание следует уделять МСО, содержащим отказы элементов, которые могут быть общими для нескольких взаиморезервирующих систем, выполняющих одну или несколько функций безопасности. Такими элементами могут быть, например, элементы управляющих и обесточивающих систем, а также изолирующие устройства.
Л.2 Количественная оценка безопасности на основе результатов ВАБ.
Для проведения количественной оценки безопасности используются полученные при выполнении ВАБ значения общих ВПБ, т.е. суммарных по всем ИС вероятностей или частот повреждения ОМН, значения вероятностей или частот превышения установленных пределов других показателей безопасности, вклады в значение ВПБ от отдельных ИС, отдельных АП, отдельных функций безопасности и важных для безопасности систем, оборудования и элементов, вклады в значение ВПБ от отказов по общей причине и ошибочных действий персонала, а также результаты анализов неопределенностей, значимости и чувствительности.
Общая количественная оценка достигнутого при проектировании и эксплуатации уровня безопасности производится на основе сравнения полученных значений общих ВПБ с целевыми значениями, приведенными в действующих НТД или в технических заданиях на разработку проектов.
По результатам анализа вкладов в ВПБ от отдельных ИС производится оценка степени сбалансированности проектных решений. Проект считается достаточно хорошо сбалансированным, если вклады от отдельных ИС распределяются примерно равномерно.
По результатам анализов вкладов от отказов по общей причине и ошибочных действий персонала производится оценка эффективности предусмотренных в проекте мер по защите от влияния таких событий и оценка эффективности использованных в проекте инженерных принципов безопасности.
Оценка новых проектных решений по повышению безопасности может проводиться также на основе результатов анализов чувствительности или на основе сравнения полученных результатов с результатами ВАБ для аналогичных ОМН, на которых не реализованы соответствующие проектные решения. В последнем случае для сравнения следует использовать ВПБ в виде вероятностей возникновения аварийных последствий на одно ИС. Использование таких ВПБ позволяет исключить влияние значений частот ИС и возможность неправильных выводов, которые могут быть сделаны при использовании ВПБ в виде значений вероятностей или частот для рассматриваемых ИС. Например, в ряде ВАБ значения отдельных частот различаются больше чем в 10 раз. При использовании для сравнения проектных решений ВПБ в виде значения частоты повреждения ОМН будут сделаны неправильные выводы о преимуществе проектных решений по системам безопасности для проектов с меньшими частотами ИС.
ПРИЛОЖЕНИЕ М
(обязательное)
СОСТАВ ОСНОВНОГО ОТЧЕТА ПО ВАБ
М.1 Цели и объем ВАБ
В этой главе приводится информация о рассматриваемых эксплуатационных состояниях, поставленных целях, объеме исследований и задачах, выполняемых в рамках ВАБ, излагаются основные предположения и ограничения принятые в анализе.
М.2 Краткое описание МН
В этой главе приводится краткая информация об особенностях трассы рассматриваемого участка МН (для площадных объектов МН – информация площадке размещения), системах основного и аварийного электроснабжения, о системах, участвующих в выполнении функций безопасности. Приводятся ссылки на соответствующие источники, содержащие более детальную информацию.
М.3 Описание методик, руководств и компьютерных программ
В этой главе приводятся краткие характеристики методик, руководств и компьютерных программ, используемых для:
– анализа, отбора и группирования ИС;
– моделирования АП;
– анализа надежности систем, включая моделирование межсистемных и внутрисистемных зависимостей и отказов общего вида;
– оценки показателей надежности элементов систем и характеристик неготовности оборудования из-за испытаний, технического обслуживания и ремонта;
– моделирования действий персонала;
– анализа зависимостей на уровне функций безопасности;
– выполнения количественных оценок частоты отказов;
– анализов неопределенности, чувствительности и значимости.
В кратких характеристиках методик, руководств и компьютерных программ, используемых для выполнения каждой из вышеперечисленных задач, должны быть приведены ссылки на соответствующие источники, содержащие более детальную информацию.
М.4 Анализ, отбор и группирование ИС
В этой главе приводится информация о методах, исходных данных и результатах выполнения задачи «Анализ, отбор и группировка ИС».
М.4.1 В этом разделе приводится следующая информация:
– определение ИС;
– описание процесса и результатов анализа, отбора и группирования ИС, включая специальное расчетное обоснование (или ссылку на него) и результаты детерминистических анализов проекта объекта МН;
– описание анализа обобщенных перечней ИС и нарушений в работе анализируемого объекта МН или аналогичных объектов МН (при проведении ВАБ вновь проектируемого объекта МН);
– всех идентифицированных потенциальных ИС;
– ИС, выбранных для проведения ВАБ;
– ИС, исключенных из дальнейшего рассмотрения с обоснованием причин их исключения;
– принципы группирования ИС.
– групп ИС, выбранных для проведения ВАБ, с результатами оценки их частот;
– ИС, включенных в каждую группу.
М.4.2 Рекомендуется также представлять перечень возможных нефункциональных зависимостей, связанных с ИС (динамические и термические воздействия на оборудование, и т.п.), идентифицированных разработчиками ВАБ.
М.5 Моделирование АП
В этой главе приводится информация о методах и результатах выполнения задачи «Моделирование АП».
М.5.1 В этом разделе приводятся описания:
– моделирования аварийных последовательностей (включая характеристику ИС, описание проектного протекания аварии и описание расчетного обоснования или ссылку на него);
–принятых при моделировании АП основных предположений и ограничений;
– выбора рассматриваемых конечных состояний АП;
– физических интерпретаций моделируемых АП и причины достижения конкретных конечных состояний АП;
– моделируемые функций, включая описание необходимых для выполнения каждой функции набора систем и их конфигураций;
– способов управления оборудованием (автоматически или персоналом);
– управляющих сигналов;
– действий персонала по управлению оборудованием и системами после возникновения ИС;
– критериев успеха моделируемых функций АП, включая прямые ссылки на детерминистические обоснования этих критериев;
– обзоры и результаты обработки использованных детерминистических анализов с точки зрения их применения в ВАБ;
– в случае проведения дополнительных детерминистических исследований в рамках ВАБ – результаты этих исследований и их интерпретации применительно к ВАБ.
М.5.2 В этом разделе рекомендуется приводить графическое изображение моделей АП, описание отдельных АП и описание АП, для которых требуется разработка дополнительных моделей.
М.6 Анализ надежности систем
В этой главе приводится информация о методах и результатах выполнения задачи «Анализ надежности систем».
М.6.1 В этом разделе приводятся описания отдельных систем (технологических и систем безопасности), включая:
– описание назначения систем;
– описание функций и конфигураций систем для выполнения различных функций;
– описание режимов работы систем при нормальной эксплуатации и возникновении ИС;
– состав систем и ее связи с другими системами;
– описание действий персонала по управлению и обслуживанию систем;
– технологические или структурные схемы систем.
М.6.2 Раздел ВАБ по анализу систем должен также включать описание логической модели для каждой системы, включая:
– описание методологии анализа систем, используемой при выполнении ВАБ (или ссылку на методологию);
– упрощенные схемы анализируемой системы;
– основные и специфические допущения, принятые при моделировании системы;
– перечень деревьев отказов для рассматриваемой системы;
– описание конфигурации системы, принятой при моделировании;
– перечень элементов, рассматриваемых в деревьях отказов, с описанием последствий всех видов отказов этих элементов;
– описание основных элементов модели для каждого дерева отказов (логических операторов включения (исключения) частей дерева отказов в различные АП, базисных событий, относящихся к действиям оператора, базисных событий, относящихся к отказам общего вида и т.д.);
– описание моделирования зависимых отказов и отказов общего вида;
– описание способов моделирования проверок работоспособности, технического обслуживания и ремонта элементов системы.
М.7 Анализ надежности персонала
В этой главе приводится информация о методах и результатах выполнения задачи «Анализ надежности персонала», включая:
– обоснование и описание методов обработки информации, используемой для АНП;
– принятые допущения и ограничения анализа и допущения и ограничения для каждого элемента анализа надежности персонала;
– обоснованные оценки ВОП и соответствующие показатели неопределенности;
– методы и результаты анализа исследования зависимостей между действиями персонала и результаты анализа зависимостей;
– перечень отобранных в результате отборочного анализа действий персонала;
– перечни действий персонала с ссылками на инструкции (при их наличии) в соответствии с характером аварийного процесса, при котором рассматриваемые ошибки могут произойти;
– интервалы времени необходимые для выполнения действий персонала, предельные сроки выполнения и ссылки на детерминистические анализы этих действий;
– описание моделей надежности персонала и результаты применения этих моделей для каждого действия персонала, включенного в упомянутые выше перечни (включая анализы их применимости, результаты тестов, интервью и их обработок, диаграммы, таблицы и т.п.);
– результаты анализа зависимостей между несколькими (двумя и более) действиями персонала, входящими в отдельные АП, или минимальные сечения;
– значения вероятностей ошибочных действий персонала, включенных в упомянутые выше перечни, в том числе значения вероятностей зависимых ошибочных действий.
М.8 Анализ данных
В этой главе приводится описание базы данных по частотам ИС, показателям надежности оборудования, характеристикам неготовности оборудования из-за испытаний, технического обслуживания и ремонта, и параметрам моделей отказов общего вида, использованной при разработке модели ВАБ, включая:
– специфические данные и их источники;
– подходы, использованные для классификации событий для элементов и результаты этой классификации;
– характеристики исходного статистического материала (число событий, полная наработка, наработка на отказ и т. д.);
– обобщенные данные и их источники;
– методы и компьютерные программы, использованные для статистической обработки информации;
– результаты оценок показателей надежности и частот групп ИС, включая их характеристики неопределенности.
М.9 Разработка вероятностной модели объекта МН
В этой главе приводится информация о методах использованных при разработке вероятностной модели объекта МН, основных составляющих вероятностной модели ВАБ и результатах выполнения задачи.
М.9.1 В этом разделе приводится описание методологии построения вероятностной модели объекта МН, которая представляет собой интегральную логическую модель, включающую взаимосвязанные между собой модели АП, модели надежности систем, значения вероятностей ошибочных действий персонала, значения частот ИС, показатели надежности элементов и значения параметров моделей отказов общего вида.
М.9.2 В этом разделе приводятся описания:
– моделируемых функций, использованных для взаимосвязи моделей АП и моделей систем;
– значений логических операторов включения (исключения) различных частей моделей надежности систем в моделируемые функции для АП;
– подхода, использованного для исключения логических петель и взаимоисключающих событий;
– способа учета в модели зависимостей между действиями персонала.
– способов учета в модели разного рода зависимостей, выявленных при выполнении задач ВАБ.
М.10 Количественные расчеты ВАБ
В этой главе приводится информация о методах выполнения количественных расчетов ВАБ и результатах выполнения расчетов.
М.10.1 В этом разделе приводится описание процесса расчета ЧП, включая:
– общие допущения, используемые в процессе количественных расчетов аварийных последовательностей;
– параметры ограничения процесса количественных расчетов (отсечение по вероятности и отсечения незначимых минимальных сечений);
– описание наборов логических операторов включения (исключения) при проведении расчетов каждого дерева событий и АП;
– описание каждой стадии расчета.
М.10.2 В этом разделе приводится описание процедуры анализа неопределенности, чувствительности и значимости, включая:
– общие допущения анализа неопределенности, чувствительности и значимости;
– описание типов неопределенности, для которых проводится анализ;
– описание объема исследований для анализа чувствительности;
– описание составляющих модели по которым проводится анализ значимости;
– расчетные параметры, использованные для анализов неопределенности, чувствительности и значимости.
М.10.3 В этом разделе приводятся результаты выполнения количественных расчетов[3]
:
– результаты количественных оценок значений частот реализации АП значимых для ЧП как для оценки уровня безопасности объекта МН, так и для отдельных ИС;
–анализ доминантных АП, вносящих наибольшие вклады в значение суммарной по всем АП ЧП, включая анализ причин их реализации (значения частот ИС, показатели надежности систем, влияние отказов общего вида, наличие общих частей для нескольких систем, влияние ошибочных действий персонала);
–результаты анализов неопределенности, чувствительности и значимости.
М.10.4 В этом разделе приводятся результаты оценки ущерба окружающей среде.
М.10.5 На основе полученных результатов количественных анализов приводится оценка уровня безопасности объекта МН.
М.11 Анализ, интерпретация и представление результатов ВАБ
М.11.1 В данном разделе представляется информация о наиболее значимых АП по результатам количественного анализа:
а) перечень наиболее значимых АП в порядке убывания величины их вклада в частоту неуспешного конечного состояния;
б) описание каждой из наиболее значимых АП, включая информацию:
1)об ИС;
2)об отказах систем, присутствующих в наиболее значимых АП;
3)об отказах элементов систем, вносящих основной вклад в отказ каждой системы;
4)о суммарной оцененной ЧП и относительном вкладе в ЧП каждой значимой АП;
5) о значимых минимальных сечениях[4]
каждой значимой АП и их вероятностях.
М.11.2 В данном разделе представляется описание и интерпретация результатов, полученных при анализах неопределенности и чувствительности:
– результаты анализа неопределенности с указанием основных источников неопределенности, связанных с каждой значимой АП;
– результаты анализа чувствительности к различным факторам наиболее значимых АП и оценок частот анализируемых последствий;
– оценку влияния неопределенностей на результаты ВАБ.
М.11.3 В данном разделе представляется информация, полученная при анализе значимости:
а) индивидуальная значимость отдельных событий;
б) совокупная значимость определенных классов (видов) событий, например:
1)ИС,
2)ошибок персонала,
3)неготовности вследствие проверок работоспособности, технического обслуживания и ремонта,
4)определенных видов отказов элементов систем и т.п.;
5) значимость систем.
М.11.4 В данном разделе представляются выводы, полученные на основе анализа результатов ВАБ:
– оценка уровня безопасности объекта МН;
– перечень выявленных наиболее значимых факторов, существенно влияющих на ЧП, оценку влияния неопределенностей на выводы и рекомендации ВАБ;
– оценка достижения целей, поставленных в ВАБ.
М.11.5 В данном разделе приводятся рекомендации по повышению уровня безопасности объекта МН, разработанные на основе полученных выводов.
ПРИЛОЖЕНИЕ Н
(справочное)
ПРИМЕР РАСЧЕТА ВАБ НПС
Н.1 Объем вероятностного анализа безопасности НПС
Выполнены расчеты надежности систем НПС, произведены анализ надежности персонала, оценка величины ущерба при выбранных инициирующих событиях, разработаны предварительная (укрупненная) и окончательная (детальная) вероятностные модели безопасности НПС, рассчитаны показатели безопасности.
Исходные данные:
– принципиальные схемы систем НПС;
– технические описания и инструкции по эксплуатации всех систем и НПС в целом;
– подробное описание возможных режимов работы НПС и каждой системы;
– описание особенностей эксплуатации НПС и ее систем в нормальной и, особенно, аварийной обстановке;
– описание факторов опасности, имеющих место быть при работе НПС;
– возможные исходные (инициирующие) события аварии;
– данные по частотам ИС и надежности оборудования НПС.
Н.2 Краткое описание НПС
В состав НПС входят следующие технологические системы:
магистральная насосная с магистральными насосными агрегатами НМ 7000-210 (4 шт);
фильтры – грязеуловители ФГУ 1000 – 3 шт.;
регуляторы давления;
блок сглаживания волн давления;
резервуары – сборники сброса от ССВД емкостью 100 м3
– 4 шт.;
площадка с вертикальными насосными агрегатами типа НОУ 50-350 У;
узлы технологических задвижек.
Технологическая схема НПС представлена на рисунке Н.1, схема автоматизации системы защиты НПС – на рисунке Н. 2.
Рисунок Н.1 – Технологическая схема
НПС
Рисунок Н.2 – Схема автоматизации системы защиты НПС
Технологическая схема промежуточной НПС позволяет выполнять следующие основные операции:
– перекачку нефти по схеме «из насоса в насос»;
– переход на перекачку нефти по магистральному нефтепроводу мимо станции в случае ее остановки;
– сброс нефти от системы сглаживания волн давления (ССВД) в резервуары-сборники нефти, емкостью 100 м3
каждый (4 х 100 м3
);
– опорожнение самотеком трубопровода диаметром 1020 мм на выходе из ССВД в сборники нефти сброса от ССВД и дренажа;
– сбор утечек от насосов, опорожнение самотеком фильтров - грязеуловителей (ФГУ), а также надземных трубопроводов площадки регуляторов давления в резервуары – сборники нефти от ССВД;
– откачку нефти из резервуаров – сборников нефти от ССВД тремя вертикальными насосными агрегатами НОУ 50-350У в приемный трубопровод магистральной насосной при давлении в нем 25 кгс/см2
и ниже;
– очистку перекачиваемой нефти от механических примесей, парафино – смолистых отложений и посторонних предметов с помощью ФГУ;
– сброс нефти через предохранительные клапаны СППК 4Р-50-40 (Рн = 30 кгс/см2
) при отключенных ФГУ, в случае повышения давления в них и их надземных трубопроводах при температурном расширении заполняющей их нефтью в резервуары – сборники нефти от ССВД и дренажа;
– возможность отключения одного из резервуаров с- сборников нефти сброса от ССВД и дренажа при помощи фланца – заглушки;
– возможность заполнения магистрального насоса нефтью с помощью перемычки между основным коллектором и дренажным трубопроводом магистральной насосной с обеспечением малой подачи нефти регулированием шаровым клапаном, установленным на указанной перемычке.
НПС включена в систему АСУ ТП.
Система АСУ ТП обеспечивает взаимодействие со смежными системами ЕАСУ АК «Транснефть» (АСКИД и СКУТОР) по протоколам и интерфейсам, разрешенным к применению в ЕАСУ. Для работы в ЕАСУ используются существующие средства передачи информации с расширением состава передаваемой информации в связи с развитием НПС и линейной части МН.
Н.3 Описание методик, руководств и компьютерных программ
Вероятностный анализ безопасности НПС выполнен в соответствии с положениями и рекомендациями настоящего документа.
Н.4 Анализ, отбор и группирование ИС
В данном исследовании в качестве инициирующего события аварии принят разрыв напорного трубопровода НПС за задвижкой (узлом технологических задвижек) ESV008.
Проанализированы два варианта:
– разрыв напорного трубопровода полным сечением;
– разрыв напорного трубопровода с Ду течи, равным 0.03 м.
Принято, что негативное воздействие на окружающую среду обусловлено только факторами загрязнения почвы вышедшими нефтепродуктами. Возможность возникновения пожара в данном примере не рассматривалась.
Н.5 Моделирование АП
При моделировании аварийных последовательностей предполагается, что ущерб окружающей среде наносится при разгерметизации нефтепровода и выходе нефти в окружающую среду. Действия персонала направлены на прекращение утечки нефти.
Моделирование сценария аварийной ситуации выполнено двумя способами:
– с помощью схемы функциональной целостности;
– с помощью дерева событий.
Графические модели полностью аналогичны (в смысле отображения логики развития аварийной ситуации).
Н.5.1 Описание СФЦ
Моделирование сценария аварийной ситуации с помощью схемы функциональной целостности показано на рисунке Н.3.
Рисунок Н.3 – СФЦ НПС, построенная по условию обеспечения безопасности
Вершина 1 соответствует сложному случайному событию, когда опасность отсутствует (нефтепровод герметичен) или опасность (ущерб) минимизирована за счет закрытия задвижки ESV008 или за счет остановки магистральных насосов.
Вершина 2 соответствует событию герметичности (отсутствия течи) нефтепровода на выходе из НПС.
Вершина 3 соответствует событию прекращения течи за счет закрытия задвижки ESV008 или за счет остановки магистральных насосов.
Вершина 4 соответствует событию локализации течи за счет закрытия задвижки ESV008.
Вершина 5 соответствует событию прекращения течи за счет остановки магистральных насосов.
Вершина 6 соответствует событию локализации течи автоматикой (имеется в виду успешное закрытие задвижки ESV008 при поступлении соответствующего сигнала от автоматики).
Вершина 7 соответствует событию локализации течи персоналом (имеется в виду успешное закрытие задвижки ESV008 при подаче соответствующего сигнала оператором НПС с БРУ).
Вершина 8 соответствует событию идентификации течи автоматикой (имеется в виду успешное прохождение соответствующего сигнала от датчиков, срабатывание звуковой и световой сигнализации, подача команды на формирование сигналов на закрытие задвижки и остановку насосов).
Вершина 9 соответствует событию идентификации течи персоналом (имеется в виду реакция оператора НПС на БРУ на сигналы автоматики или устный доклад от «обходчиков»).
Вершина 10 соответствует событию остановки магистральных насосов автоматикой при получении соответствующего автоматического сигнала.
Вершина 11 соответствует событию остановки магистральных насосов персоналом при реакции на сигналы автоматики или устный доклад «обходчиков». При этом возможна остановка насосов дистанционно с АРМ оператора НПС или остановка (обесточение) насосов по месту персоналом вахты при получении соответствующей команды от оператора НПС.
Н.5.2 Описание возможных логических критериев функционирования ЛКФ НПС
1. y’2 y6 – событие (вероятность) обнаружения и отсечения течи автоматикой.
2. y’2 y10 - событие (вероятность) обнаружения течи и остановки насосов автоматикой.
3. y’2 y7 y8 - событие (вероятность) обнаружения течи автоматикой, а отсечения – персоналом.
4. y’2 y11 y8 - событие (вероятность) обнаружения течи автоматикой, а остановки насосов персоналом.
5. y’2 y’3 y8 – событие (вероятность) того, что течь не удалось прекратить, хотя она и была обнаружена автоматикой.
6. y’2 y7 y9 - событие (вероятность) обнаружения и отсечения течи персоналом.
7. y’2 y9 y11 - событие (вероятность) обнаружения течи и остановки насосов персоналом. 8. y’2 y’3 y9 – событие (вероятность) того, что течь не удалось прекратить, хотя она и была обнаружена персоналом.
9. y’2 y’3 y’8 y’9 - событие (вероятность) того, что течь не была обнаружена ни автоматикой, ни персоналом, поэтому никаких мер принято не было, и течь продолжается.
Н.5.3 Описание аварийных последовательностей
Моделирование сценария аварийной с помощью дерева событий показано на рисунке Н.4 (Цифры над строкой заголовков ДС соответствуют номерам вершин в СФЦ).
2 8 9 6 10 7 11
Рисунок Н.4 – Дерево событий при течи нефтепровода на выходе из НПС
Аварийная последовательность 1
АП 1 реализуется при успешной автоматической идентификации течи и успешном автоматическом отсечении течи
Аварийная последовательность 2
АП 2 реализуется при успешной автоматической идентификации течи и успешной автоматической остановке магистральных насосов.
Аварийная последовательность 3
АП 3 реализуется при успешной автоматической идентификации течи и успешном отсечении течи персоналом Аварийная последовательность 4
АП 4 реализуется при успешной автоматической идентификации течи и успешной остановке магистральных насосов персоналом
Аварийная последовательность 5
АП 5 реализуется при успешной автоматической идентификации течи, но невыполнении функций отсечения течи и остановки насосов ни автоматикой, ни персоналом.
Аварийная последовательность 6
АП 6 реализуется при отказе автоматической идентификации течи, но установлении факта течи и успешном отсечении ее персоналом
Аварийная последовательность 7
АП 7 реализуется при отказе автоматической идентификации течи, но установлении факта течи и успешной остановке магистральных насосов персоналом
Аварийная последовательность 8
АП 8 реализуется при отказе автоматической идентификации течи, но установлении факта течи и успешной остановке магистральных насосов персоналом
Аварийная последовательность 9
АП 9 реализуется при отказе автоматической идентификации течи, одновременном не установлении факта течи персоналом и не принятии мер по борьбе с аварией вплоть до момента обнаружения факта течи при очередном обходе территории НПС.
Н.6 Анализ надежности систем
Н.6.1 Анализ надежности НПС в целом
При моделировании и расчете надежности НПС исследованы следующие режимы ее работы:
1. Работа НПС обеспечивает перекачку нефти по схеме «из насоса в насос». При этом условие выполнения функции НПС по назначению (перекачка нефти) обеспечивается работой любых трех из четырех магистральных насосных агрегатов НМ 7000-210 («схема три из четырех»). Кроме того, необходимо соблюдение условия подключения любых трех из четырех резервуаров – сборников сброса от ССВД.
2. Режим перекачки нефти по магистральному нефтепроводу мимо магистральных насосных агрегатов НМ 7000-210 через четыре невозвратных клапана, в случае остановки станции. Как и на предыдущем режиме, необходимо соблюдение условия подключения любых трех из четырех резервуаров – сборников сброса от ССВД.
3. Работа НПС обеспечивает перекачку нефти по схеме «из насоса в насос», а в случае остановки станции перекачка осуществляется по магистральному нефтепроводу мимо магистральных насосных агрегатов НМ 7000-210 через четыре невозвратных клапана.
На каждом из режимов в качестве условий реализации функции (поступления нефти) принято осуществление двух событий:
обеспечение подачи нефти на участке между магистральной насосной и регулятором давления (выходной критерий у28);
обеспечение подачи нефти на выходе из НПС (выходной критерий у36).
Перечень элементарных событий для моделей расчета приведен в таблице Н.1.
Таблица Н.1 – Перечень элементарных событий, включенных в расчетные модели
№ вершин СФЦ |
Характер события |
Вероятностная характеристика |
1 |
Приемный трубопровод герметичен, обеспечивает подачу нефти |
0.999 |
2 |
Приемная задвижка ESV007 открыта |
0.999 |
3 |
Коллектор перед ФГУ герметичен |
0.999 |
4, 5, 6 |
Задвижки XV001, XV003, XV005 перед ФГУ открыты |
0.999 |
7 |
Предохранительный клапан исправен |
0.999 |
8, 9, 10 |
ФГУ 1, 2, 3 проходимы, очищают |
0.999 |
11, 12, 13 |
Задвижки XV002, XV004, XV006 после ФГУ открыты |
0.999 |
14 |
Коллектор после ФГУ герметичен |
0.999 |
15, 16, 17, 18 |
Задвижки на всасе магистральных насосных агрегатов открыты |
0.999 |
19, 20, 21, 22 |
Магистральные насосные агрегаты исправны |
0.999 |
продолжение таблицы Н.1
23, 24, 25, 26 |
Задвижки на напоре магистральных насосных агрегатов открыты |
0.999 |
27 |
Магистральный невозвратный клапан открыт |
0.999 |
28 |
Трубопровод перед РД герметичен |
0.999 |
29, 30 |
Задвижки перед РД открыты |
0.999 |
31, 32 |
РД исправны |
0.999 |
33, 34 |
Задвижки после РД открыты |
0.999 |
35 |
Трубопровод между РД и задвижкой ESV008 герметичен |
0.999 |
36 |
Задвижка ESV008 открыта |
0.999 |
37 |
Задвижка ESV010 открыта |
0.999 |
38 |
ССВД исправна |
0.999 |
39 |
Задвижка ESV009 открыта |
0.999 |
40, 41, 42, 43 |
Сборники нефти герметичны |
0.999 |
44, 45, 46, 47 |
Магистральные невозвратные клапана помимо насосных агрегатов открыты |
0.999 |
Н.6.1.1 Оценка надежности НПС на режиме №1
1. Логический критерий Yc = x28
Вероятность реализации критерия: 9.9097678231e-01
Вероятность не реализации критерия: 9.0232176864e-03
Таблица Н.2 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
Вклад р → 1 |
1, 2, 3 |
0.999000 |
9.919688e-01 |
-9.909768e-01 |
9.919688e-04 |
4, 5, 6 |
0.999000 |
8.883175e-09 |
-8.874292e-09 |
8.883175e-12 |
7 |
0.999000 |
2.667621e-08 |
-2.664953e-08 |
2.667621e-11 |
8, 9, 10, 11, 12, 13 |
0.999000 |
8.883175e-09 |
-8.874292e-09 |
8.883175e-12 |
14 |
0.999000 |
9.919688e-01 |
-9.909768e-01 |
9.919688e-04 |
15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26 |
0.999000 |
8.839320e-03 |
-8.830480e-03 |
8.839320e-06 |
27, 28, 37, 38, 39 |
0.999000 |
9.919688e-01 |
-9.909768e-01 |
9.919688e-04 |
40,41,42,43 |
0.999000 |
2.967005e-03 |
-2.964038e-03 |
2.967005e-06 |
Собственная надежность элементов 1, 2, 3, 14, 27, 28, 37, 38 и 39 целиком определяет надежность всей НПС.
2. Логический критерий Yc = x36
Вероятность реализации критерия: 9.8898693655e-01
Вероятность не реализации критерия: 1.1013063450e-02
Таблица Н.3 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
Вклад р → 1 |
1, 2, 3 |
0.999000 |
9.899769e-01 |
-9.889869e-01 |
9.899769e-04 |
4, 5, 6 |
0.999000 |
8.865338e-09 |
-8.856473e-09 |
8.865338e-12 |
7 |
0.999000 |
2.662265e-08 |
-2.659602e-08 |
2.662265e-11 |
продолжение таблицы Н.3
8, 9, 10, 11, 12, 13 |
0.999000 |
8.865338e-09 |
-8.856473e-09 |
8.865338e-12 |
14 |
0.999000 |
9.899769e-01 |
-9.889869e-01 |
9.899769e-04 |
15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26 |
0.999000 |
8.821571e-03 |
-8.812749e-03 |
8.821571e-06 |
27, 28 |
0.999000 |
9.899769e-01 |
-9.889869e-01 |
9.899769e-04 |
29, 30, 31, 32, 33, 34 |
0.999000 |
2.958096e-03 |
-2.955138e-03 |
2.958096e-06 |
35, 36, 37, 38, 39 |
0.999000 |
9.899769e-01 |
-9.889869e-01 |
9.899769e-04 |
40,41,42,43 |
0.999000 |
2.961048e-03 |
-2.958087e-03 |
2.961048e-06 |
Наиболее значимые элементы 1, 2, 3, 14, 27, 28, 35, 36, 37, 38 и 39, целиком определяют надежность всей НПС. При отказе (выходе из строя) любого из этих элементов – откажет и НПС.
Н.6.1.2 Оценка надежности НПС на режиме №2
1. Логический критерий Yc = x28
Вероятность реализации критерия: 9.8707180011e-01
Вероятность не реализации критерия: 1.2928199885e-02
Таблица Н.4 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
вклад р → 1 |
1, 2, 3 |
0.999000 |
9.880599e-01 |
-9.870718e-01 |
9.880599e-04 |
4, 5, 6 |
0.999000 |
8.848171e-09 |
-8.839323e-09 |
8.848171e-12 |
7 |
0.999000 |
2.657109e-08 |
-2.654452e-08 |
2.657109e-11 |
8, 9, 10, 11, 12, 13 |
0.999000 |
8.848171e-09 |
-8.839323e-09 |
8.848171e-12 |
14, 27, 28, 37, 38, 39 |
0.999000 |
9.880599e-01 |
-9.870718e-01 |
9.880599e-04 |
40,41,42,43 |
0.999000 |
2.955314e-03 |
-2.952358e-03 |
2.955314e-06 |
44,45,46,47 |
0.999000 |
9.880599e-01 |
-9.870718e-01 |
9.880599e-04 |
2. Логический критерий Yc = x36
Вероятность реализации критерия: 9.8508979542e-01
Вероятность не реализации критерия: 1.4910204585e-02
Таблица Н.5 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
вклад р → 1 |
1, 2, 3 |
0.999000 |
9.860759e-01 |
-9.850898e-01 |
9.860759e-04 |
4, 5, 6 |
0.999000 |
8.830404e-09 |
-8.821574e-09 |
8.830404e-12 |
7 |
0.999000 |
2.651774e-08 |
-2.649122e-08 |
2.651774e-11 |
8, 9, 10, 11, 12, 13 |
0.999000 |
8.830404e-09 |
-8.821574e-09 |
8.830404e-12 |
14, 27, 28 |
0.999000 |
9.860759e-01 |
-9.850898e-01 |
9.860759e-04 |
29, 30, 31, 32, 33, 34 |
0.999000 |
2.946440e-03 |
-2.943493e-03 |
2.946440e-06 |
35, 36, 37, 38, 39 |
0.999000 |
9.860759e-01 |
-9.850898e-01 |
9.860759e-04 |
40,41,42,43 |
0.999000 |
2.949379e-03 |
-2.946430e-03 |
2.949379e-06 |
44,45,46,47 |
0.999000 |
9.860759e-01 |
-9.850898e-01 |
9.860759e-04 |
Н.6.1.3 Оценка надежности НПС на режиме №3
РЕЗУЛЬТАТЫ РАСЧЕТА
1. Логический критерий Yc = x28
Вероятность реализации критерия: 9.9102976535e-01
Вероятность не реализации критерия: 8.9702346530e-03
Таблица Н.6 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
вклад р → 1 |
1, 2, 3 |
0.999000 |
9.920218e-01 |
-9.910298e-01 |
9.920218e-04 |
4, 5, 6 |
0.999000 |
8.883650e-09 |
-8.874767e-09 |
8.883650e-12 |
7 |
0.999000 |
2.667764e-08 |
-2.665096e-08 |
2.667764e-11 |
8, 9, 10, 11, 12, 13 |
0.999000 |
8.883650e-09 |
-8.874767e-09 |
8.883650e-12 |
14 |
0.999000 |
9.920218e-01 |
-9.910298e-01 |
9.920218e-04 |
15,16,17,18, 19, 20, 21, 22, 23, 24, 25,26 |
0.999000 |
3.530428e-05 |
-3.526897e-05 |
3.530428e-08 |
27, 28, 37, 38, 39 |
0.999000 |
9.920218e-01 |
-9.910298e-01 |
9.920218e-04 |
40,41,42,43 |
0.999000 |
2.967146e-03 |
-2.964179e-03 |
2.967146e-06 |
44,45,46,47 |
0.999000 |
5.303607e-05 |
-5.298303e-05 |
5.303607e-08 |
2. Логический критерий Yc = x36
Вероятность реализации критерия: 9.8903981320e-01
Вероятность не реализации критерия: 1.0960186804e-02
Таблица Н.7 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
вклад р → 1 |
1, 2, 3 |
0.999000 |
9.900298e-01 |
-9.890398e-01 |
9.900298e-04 |
4, 5, 6 |
0.999000 |
8.865812e-09 |
-8.856946e-09 |
8.865812e-12 |
7 |
0.999000 |
2.662407e-08 |
-2.659745e-08 |
2.662407e-11 |
8, 9, 10, 11, 12, 13 |
0.999000 |
8.865812e-09 |
-8.856946e-09 |
8.865812e-12 |
14 |
0.999000 |
9.900298e-01 |
-9.890398e-01 |
9.900298e-04 |
15,16,17,18, 19, 20, 21, 22, 23,24, 25,26 |
0.999000 |
3.523339e-05 |
-3.519815e-05 |
3.523339e-08 |
27, 28 |
0.999000 |
9.900298e-01 |
-9.890398e-01 |
9.900298e-04 |
29, 30, 31, 32, 33, 34 |
0.999000 |
2.958255e-03 |
-2.955296e-03 |
2.958255e-06 |
35, 36, 37, 38, 39 |
0.999000 |
9.900298e-01 |
-9.890398e-01 |
9.900298e-04 |
40,41,42,43 |
0.999000 |
2.961188e-03 |
-2.958227e-03 |
2.961188e-06 |
44,45,46,47 |
0.999000 |
5.292957e-05 |
-5.287664e-05 |
5.292957e-08 |
Н.6.2 Анализ надежности систем НПС
При анализе надежности отдельных систем НПС были рассчитаны показатели надежности системы управления задвижками с электроприводом (Р=0.988993), системы внешнего электропитания (Р=0.999), схемы формирования сигнала на аварийное отключение НПС (Р=0.999), схемы формирования предупредительных аварийных сигналов (Р=0.9989), схемы локализации течи (Р=0.995), схемы автоматической остановки магистральных насосов при течи напорного трубопровода (Р=0.995), схемы локализации аварии персоналом (Р=0.991), схемы остановки магистральных насосов персоналом (Р=0.992).
В качестве примера приведены результаты надежности схемы локализации аварии персоналом.
СФЦ схемы локализации аварии персоналом представлена на рисунке Н.5.
Рисунок Н.5 – СФЦ схемы локализации аварии персоналом
Перечень исходных событий СФЦ:
1 – формирование предупредительного и/или аварийного сигнала при повышении давления перед РД до 6.8 МПа;
2 – снижение расхода нефти через выходную задвижку до аварийной уставки;
3 – формирование сигнала от ультразвукового счетчика (крупная утечка нефти);
4 – событие прохождения световой сигнализации при повышении давления перед РД до 6.8 МПа;
5 – событие прохождения звуковой сигнализации по сигналу повышения давления перед РД до 6.8 МПа;
6 – событие прохождения световой сигнализации по сигналу снижение расхода нефти через выходную задвижку;
7 – событие прохождения звуковой сигнализации по сигналу снижение расхода нефти через выходную задвижку;
8 – событие прохождения световой сигнализации по сигналу от ультразвукового счетчика;
9 – событие прохождения звуковой сигнализации по сигналу от ультразвукового счетчика;
10 – событие восприятия информации оператором по прохождению световой и звуковой сигнализации и неисправности автоматики на закрытие отсечных задвижек.
12 – наличие питания на приводе приемной задвижки;
13 - наличие питания на приводе выходной задвижки;
14 – исправность привода приемной задвижки;
15 – исправность привода выходной задвижки.
16 – исправность дистанционного управления приводом приемной задвижки;
17 – исправность дистанционного управления приводом выходной задвижки;
18 – действия оператора по переводу ключа управления приводом приемной задвижки на закрытие;
19 – действия оператора по переводу ключа управления приводом выходной задвижки на закрытие.
Вероятность перечисленных выше исходных событий принята равной 0.999.
ЛОГИЧЕСКАЯ МОДЕЛЬ СИСТЕМЫ
Логический критерий Yc = x20
Yc= x1 x4 x10 x12 x13 x14 x15 x16 x17 x18 x19 V x3 x9 x10 x12 x13 x14 x15 x16 x17 x18 x19 V x3 x8 x10 x12 x13 x14 x15 x16 x17 x18 x19 V x2 x7 x10 x12 x13 x14 x15 x16 x17 x18 x19 V x2 x6 x10 x12 x13 x14 x15 x16 x17 x18 x19 V x1 x5 x10 x12 x13 x14 x15 x16 x17 x18 x19
ВЕРОЯТНОСТНАЯ МОДЕЛЬ СИСТЕМЫ
Pc = p1*p4*p10*p12*p13*p14*p15*p16*p17*p18*p19 + p1*q4*p5*p10* p12*p13*p14*p15*p16*p17*p18*p19 + q1*p2*p6*p10*p12*p13*p14* p15*p16*p17*p18*p19 + p1*p2*q4*q5*p6*p10*p12*p13*p14*p15* p16*p17*p18*p19 + q1*p2*q6*p7*p10*p12*p13*p14*p15*p16*p17* p18*p19 + q1*q2*p3*p8*p10*p12*p13*p14*p15*p16*p17*p18*p19 + p1*p2*q4*q5*q6*p7*p10*p12*p13*p14*p15*p16*p17*p18*p19 + q1*p2*p3*q6*q7*p8*p10*p12*p13*p14*p15*p16*p17*p18*p19 + p1*q2*p3*q4*q5*p8*p10*p12*p13*p14*p15*p16*p17*p18*p19 + q1*q2*p3*q8*p9*p10*p12*p13*p14*p15*p16*p17*p18*p19 + p1*p2*p3*q4*q5*q6*q7*p8*p10*p12*p13*p14*p15*p16*p17*p18*p19 + q1*p2*p3*q6*q7*q8*p9*p10*p12*p13*p14*p15*p16*p17*p18*p19 + p1*q2*p3*q4*q5*q8*p9*p10*p12*p13*p14*p15*p16*p17*p18*p19 + p1*p2*p3*q4*q5*q6*q7*q8*p9*p10*p12*p13*p14*p15*p16*p17* p18*p19
РЕЗУЛЬТАТЫ РАСЧЕТА
Число конъюнкций ЛФ= 6 Число одночленов ВФ= 14
Вероятность реализации критерия: 9.9103591513e-01
Таблица Н.8 – Характеристики относительной важности элементов системы
Номер элемента |
Параметр элемента |
Значимость элемента |
Вклад 0 ← р |
Вклад р → 1 |
1 |
0.999000 |
9.930160e-07 |
-9.920230e-07 |
9.930160e-10 |
2 |
0.999000 |
9.930160e-07 |
-9.920230e-07 |
9.930160e-10 |
3 |
0.999000 |
9.930160e-07 |
-9.920230e-07 |
9.930160e-10 |
4 |
0.999000 |
9.920239e-10 |
-9.910319e-10 |
9.920239e-13 |
5 |
0.999000 |
9.920239e-10 |
-9.910319e-10 |
9.920239e-13 |
6 |
0.999000 |
9.920239e-10 |
-9.910319e-10 |
9.920239e-13 |
7 |
0.999000 |
9.920239e-10 |
-9.910319e-10 |
9.920239e-13 |
8 |
0.999000 |
9.920239e-10 |
-9.910319e-10 |
9.920239e-13 |
9 |
0.999000 |
9.920239e-10 |
-9.910319e-10 |
9.920239e-13 |
10 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
12 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
13 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
14 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
15 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
16 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
17 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
окончание таблицы Н.8
18 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
19 |
0.999000 |
9.920279e-01 |
-9.910359e-01 |
9.920279e-04 |
Н.7 Разработка вероятностной модели безопасности НПС
Вероятностная модель безопасности НПС, разработанная на основе схем функциональной целостности НПС, систем НПС, схем развития аварийной ситуации, представленных в предыдущих разделах, представлена на рисунке Н.6.
Рисунок Н.6 – Вероятностная модель безопасности НП
Описание элементарных случайных событий, включенных в модели безопасности для обеих видов течи, приведено в таблицах Н.9 и Н.10.
Таблица Н.9 – Перечень элементарных событий, включенных в вероятностную модель безопасности для большой течи
№ вершин СФЦ |
Характер события |
Вероятностная характеристика, Кг
|
2 |
Событие отсутствия течи |
0.99940018 |
12 |
Формирование сигнала по повышению давления перед регулятором давления до 6.8 МПа |
0.99999 |
13 |
Формирование сигнала по снижению расхода нефти через выходную задвижку до аварийной уставки |
0.99999 |
14 |
Формирование сигнала от ультразвукового счетчика |
0.99999 |
продолжение таблицы Н.9
15 |
Событие прохождения световой сигнализации по повышению давления перед регулятором давления до 6.8 МПа |
0.99999 |
16 |
Событие прохождения звуковой сигнализации по повышению давления перед регулятором давления до 6.8 МПа |
0.99999 |
17 |
Событие прохождения световой сигнализации по снижению расхода нефти через выходную задвижку до аварийной уставки |
0.99999 |
18 |
Событие прохождения звуковой сигнализации по снижению расхода нефти через выходную задвижку до аварийной уставки |
0.99999 |
19 |
Событие прохождения световой сигнализации от ультразвукового счетчика |
0.99999 |
20 |
Событие прохождения звуковой сигнализации от ультразвукового счетчика |
0.99999 |
21 |
Событие восприятия световой и/или звуковой сигнализации оператором |
0.99515 |
22, 23, 24, 26 |
События исправности дистанционного управления насосными агрегатами с ПУ |
0.99999 |
25 |
Событие перевода оператором с ПУ ключей дистанционного управления 3-х насосных агрегатов в положение «Остановка» (с предварительным выводом из автоматического режима резервного насоса) |
0.9854 |
27, 28, 34, 36 |
События срабатывания автоматических выключателей насосных агрегатов на разрыв цепи при поступлении сигнала с ПУ или от АСУ |
0.99999 |
30, 31 |
Исправность дистанционного управления приводом приемной (выходной) задвижки |
0.99999 |
32, 37 |
Действия оператора с ПУ по переводу ключа дистанционного управления привода приемной (выходной) задвижки на закрытие |
0.9854 |
33, 35 |
Событие закрытия приемной (выходной) задвижки по сигналу с ПУ или от АСУ |
0.9999884 |
38 |
Событие выработки и подачи сигнала АСУ на исполнительные механизмы |
0.99999 |
45 |
Событие наличия резерва по питанию (резервная дизельная электрическая станция) |
0.9967 |
46, 47 |
Событие функционирования первой (второй) линии подачи питания к ЗРУ 10 кВ |
0.9999736 |
48, 49 |
Событие включенного состояния автоматического выключателя на входе в трансформатор первой (второй) линии |
0.99999815 |
50, 51 |
Событие функционирования трансформатора первой (второй) линии 110/10 кВ |
0.99999743 |
окончание таблицы Н.9
52, 53 |
Событие включенного состояния автоматического выключателя на выходе из трансформатора первой (второй) линии |
0.99999815 |
54, 55 |
Событие функционирования секции ЗРУ 10 кВ, получающей питание от первой (второй) линии электроснабжения |
0.9999932 |
Таблица Н.10 – Перечень элементарных событий, включенных в вероятностную модель безопасности для малой течи
№ вершин СФЦ |
Характер события |
Вероятностная характеристика, Кг
|
2 |
Событие отсутствия течи |
0.9940018 |
12 |
Формирование сигнала по повышению давления перед регулятором давления до 6.8 МПа |
0.99999 |
13 |
Формирование сигнала по снижению расхода нефти через выходную задвижку до аварийной уставки |
0.99999 |
14 |
Формирование сигнала от ультразвукового счетчика |
0.99999 |
15 |
Событие прохождения световой сигнализации по повышению давления перед регулятором давления до 6.8 МПа |
0.99999 |
16 |
Событие прохождения звуковой сигнализации по повышению давления перед регулятором давления до 6.8 МПа |
0.99999 |
17 |
Событие прохождения световой сигнализации по снижению расхода нефти через выходную задвижку до аварийной уставки |
0.99999 |
18 |
Событие прохождения звуковой сигнализации по снижению расхода нефти через выходную задвижку до аварийной уставки |
0.99999 |
19 |
Событие прохождения световой сигнализации от ультразвукового счетчика |
0.99999 |
20 |
Событие прохождения звуковой сигнализации от ультразвукового счетчика |
0.99999 |
21 |
Событие восприятия световой и/или звуковой сигнализации оператором |
0.9515 |
22, 23, 24, 26 |
События исправности дистанционного управления насосными агрегатами с ПУ |
0.99999 |
25 |
Событие перевода оператором с ПУ ключей дистанционного управления 3-х насосных агрегатов в положение «Остановка» (с предварительным выводом из автоматического режима резервного насоса) |
0.999515 |
27, 28, 34, 36 |
События срабатывания автоматических выключателей насосных агрегатов на разрыв цепи при поступлении сигнала с ПУ или от АСУ |
0.99999 |
продолжение таблицы Н.10
30, 31 |
Исправность дистанционного управления приводом приемной (выходной) задвижки |
0.99999 |
32, 37 |
Действия оператора с ПУ по переводу ключа дистанционного управления привода приемной (выходной) задвижки на закрытие |
0.999515 |
33, 35 |
Событие закрытия приемной (выходной) задвижки по сигналу с ПУ или от АСУ |
0.9999884 |
38 |
Событие выработки и подачи сигнала АСУ на исполнительные механизмы |
0.99999 |
45 |
Событие наличия резерва по питанию (резервная дизельная электрическая станция) |
0.9967 |
46, 47 |
Событие функционирования первой (второй) линии подачи питания к ЗРУ 10 кВ |
0.9999736 |
48, 49 |
Событие включенного состояния автоматического выключателя на входе в трансформатор первой (второй) линии |
0.99999815 |
50, 51 |
Событие функционирования трансформатора первой (второй) линии 110/10 кВ |
0.99999743 |
52, 53 |
Событие включенного состояния автоматического выключателя на выходе из трансформатора первой (второй) линии |
0.99999815 |
54, 55 |
Событие функционирования секции ЗРУ 10 кВ, получающей питание от первой (второй) линии электроснабжения |
0.9999932 |
Н.8 Оценка величины ущерба для окружающей среды при разрыве нефтепровода
Оценка ущерба окружающей среде при разрыве нефтепровода производилась по Методике определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах, утвержденной Минтопэнерго РФ 01.11.95г. (далее Методика).
Исходные данные для расчета представлены в таблице Н.11.
Таблица Н.11 – Исходные данные для расчета
Наименование |
Параметр |
Источник данных |
Допустимое рабочее давление за регуляторами давления |
4,72 МПа |
|
Внутренний диаметр |
1 м |
|
Площадь отверстия повреждения |
0,00072 м2
|
Методика определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах |
Эквивалентный диаметр |
0,03 м |
|
Кинематическая вязкость нефти |
0,076Е-4 м2
|
|
Число Рейнольдса |
400000 |
окончание таблицы Н.11
Коэффициент расхода |
0,595 |
Таблица 2.1 Методики определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах |
Максимальная площадь отверстия повреждения |
0,785 м2
|
Принято |
Расход номинальный |
1,94 м3
|
|
Плотность нефти |
0,86т/м3
|
Методика определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах |
Время закрытия арматуры узла технологических задвижек №4 |
150 с |
Время закрытия арматуры с приводом N=4,25кВт – 120 с Арматуры с приводом N=7,4 кВт – 84 с |
В качестве примера были выбраны два типа течей:
– «малая течь» с эквивалентным диаметром 0,03 м, которая использована в расчете ущерба при аварии на магистральном трубопроводе (Приложение 1 Методики);
– разрыв магистрального трубопровода полным сечением с односторонним истечением.
Разрыв определен на участке между узлом технологических задвижек №4 и узлом пропуска СОД.
Характеристики запорной арматуры (время закрытия) узла №4 приняты на основе данных для оборудования из таблицы Н.11.
Влияние течи на изменения расхода нефти, вызванные изменением рабочей точки насосной группы, не учитываются.
Работа группы регуляторов давления не учитывается при определении объема вытекшей нефти.
Результаты оценки интенсивности течи и времени выполнения технологических операций представлены в таблице Н.12, а результаты оценки объемов вылившейся нефти в таблице Н.13.
Таблица Н.12 – Результаты оценки интенсивности течи и времени выполнения технологических операций
Параметр |
Малая течь |
Максимальная течь |
Объемный расход в течь |
0,044 м3
|
1,94 м3
|
Размер утечки % |
2,3 |
100 |
Время автоматической идентификации течи |
600 с |
10 с |
Время идентификации течи оператором |
900 с |
60 с |
Время отключения насосов персоналом по месту |
20 минут |
20 минут |
Время идентификации течи обходчиком |
4 часа |
Таблица Н.13 – Результаты оценки объемов вылившейся нефти
Описание события |
Объем вытекшей нефти м3
|
Объем вытекшей нефти м3
|
1 Течь обнаружена автоматикой и локализована (750/160) |
33 |
310 |
окончание таблицы Н.13
2 Течь обнаружена автоматикой, насосы остановлены, но локализации нет |
~ 40 |
~ 350 |
3 Течь обнаружена автоматикой, однако, течь локализована и насосы остановлены персоналом (1050/210) |
46 |
407 |
4 Течь обнаружена автоматикой, однако, насосы остановлены персоналом и течь не локализована |
~ 55 |
~ 450 |
5 Течь обнаружена автоматикой, однако, насосы остановлены по месту персоналом и течь не локализована |
110 |
2800 |
6 Течь обнаружена персоналом и локализована с пульта управления |
60 |
530 |
7 Течь обнаружена персоналом, насосы остановлены, но локализации нет |
~ 70 |
~570 |
8 Течь обнаружена персоналом, однако, насосы остановлены по месту персоналом и течь не локализована |
130 |
3000 |
9 Течь не обнаружена автоматикой и персоналом пульта управления. Обнаружение течи обходчиком |
~700 |
30000 |
По результатам расчетов количества вытекшей нефти и ущерба от загрязнения земли (Приложение 1 Методики) можно сделать консервативную оценку величины удельного ущерба на 1 м3
нефти, вытекшей из нефтепровода на окружающую территорию, которая составляет 45000 руб./м3
.
Н.9 Количественные расчеты ВАБ
Сводные данные по результатам моделирования и расчета показателей безопасности НПС, полученные при анализе предварительной модели представлены в таблице Н.14.
Сводные данные по результатам моделирования и расчета показателей безопасности НПС, полученные при анализе детальных моделей представлены в таблице Н.15 (большая течь) и таблице Н.16 (малая течь).
Таблица Н.14 – Сводные данные по оценке показателей безопасности НПС (предварительная модель)
№№ конечного состояния |
Вероятность реализации |
Ущерб при малой течи (м3
|
Ущерб при большой течи (м3
|
Риск при малой течи (м3
|
Риск при большой течи (м3
|
Наиболее значимые элементы по надежности |
Наиболее значимые элементы по риску |
По всем |
5.881E-02 |
8 - 7, 11 - 9 |
11-9-8-7 |
||||
7 |
9.801E-03 |
70 |
570 |
6.861E-01 |
5.587E+00 |
9, 11 |
9, 11 |
6 |
9.801E-03 |
60 |
530 |
5.881E-01 |
5.195E+00 |
7, 9 |
7, 9 |
4 |
9.801E-03 |
55 |
450 |
5.391E-01 |
4.410E+00 |
8, 11 |
8, 11 |
3 |
9.801E-03 |
46 |
407 |
4.508E-01 |
3.989E+00 |
7, 8 |
7, 8 |
2 |
9.801E-03 |
40 |
350 |
3.920E-01 |
3.430E+00 |
8, 10 |
8, 10 |
1 |
9.801E-03 |
33 |
310 |
3.234E-01 |
3.038E+00 |
6, 8 |
6, 8 |
9 |
1.000E-06 |
700 |
30 000 |
7.000E-04 |
3.000E-02 |
6, 7, 10, 11 |
6, 7, 10, 11 |
8 |
9.998E-09 |
130 |
3 000 |
1.300E-06 |
2.999E-05 |
9 |
9 |
5 |
9.900E-11 |
110 |
2 800 |
1.089E-08 |
2.772E-07 |
8, 9 |
8, 9 |
Состояния отранжированы по величине риска
Таблица Н.15 – Сводные данные по оценке показателей безопасности НПС (большая течь)
№№ коечного состояния |
Вероятность реализации |
Ущерб (м3
|
Риск (м3
|
Наиболее значимые элементы по надежности |
Наиболее значимые элементы по риску |
По всем |
3.5769E-03 |
1.5584E+00 |
38, 33, 35, 27, 28, 34, 36 |
38, 27, 28, 34, 36, 35, 33 |
|
7 |
5.8815E-04 |
570 |
3.3524E-01 |
21-28, 34, 36 |
21-28, 34, 36 |
6 |
5.7958E-04 |
530 |
3.0718E-01 |
21, 30-33, 35, 37 |
21, 30-33, 35, 37 |
4 |
5.9101E-04 |
450 |
2.6595E-01 |
22-28, 34, 36, 38 |
22-28, 34, 36, 38 |
3 |
5.8240E-04 |
407 |
2.3704E-01 |
30, 31, 32, 33, 35, 37, 38 |
30, 31, 32, 33, 35, 37, 38 |
2 |
5.9979E-04 |
350 |
2.0993E-01 |
27, 28, 34, 36, 38 |
27, 28, 34, 36, 38 |
1 |
5.9980E-04 |
310 |
1.8594E-01 |
33, 35, 38 |
33, 35, 38 |
9 |
2.9000E-11 |
30 000 |
8.7274E-07 |
21, 38 |
21, 38 |
8 |
3.0000E-12 |
3 000 |
9.3010E-09 |
33, 38, 35 |
27, 28, 33-36, 38 |
5 |
1.0000E-12 |
2 800 |
1.5670E-09 |
33, 35 |
27, 28, 33-36 |
Таблица Н.16 – Сводные данные по оценке показателей безопасности НПС (малая течь)
№№ критерия |
Вероятность реализации |
Ущерб (м3
|
Риск (м3
|
Наиболее значимые элементы по надежности |
Наиболее значимые элементы по риску |
По всем |
3.5966E-03 |
1.8222E-01 |
38, 33, 35, 27, 28, 34, 36 |
38, 27, 28, 34, 36, 35, 33 |
|
7 |
5.7041E-03 |
70 |
3.9928E-01 |
21-28, 34, 36 |
21-28, 34, 36 |
6 |
5.7015E-03 |
60 |
3.4209E-01 |
21, 30-33, 35, 37 |
21, 30-33, 35, 37 |
4 |
5.9948E-03 |
55 |
3.2971E-01 |
22-28, 34, 36, 38 |
22-28, 34, 36, 38 |
3 |
5.9921E-03 |
46 |
2.7563E-01 |
30, 31, 32, 33, 35, 37, 38 |
30, 31, 32, 33, 35, 37, 38 |
2 |
5.9979E-03 |
40 |
2.3992E-01 |
27, 28, 34, 36, 38 |
27, 28, 34, 36, 38 |
1 |
5.9980E-03 |
33 |
1.9793E-01 |
33, 35, 38 |
33, 35, 38 |
9 |
2.9090E-09 |
700 |
2.0364E-06 |
21, 38 |
21, 38 |
8 |
5.0000E-12 |
130 |
6.9700E-10 |
27, 28, 33-36 |
27, 28, 33-36, 38 |
5 |
6.0000E-12 |
110 |
6.1600E-10 |
27, 28, 33-36 |
27, 28, 33-36 |
Н.10 Анализ, интерпретация и представление результатов ВАБ
Детальная модель безопасности НПС позволят получить более точные и реалистические выводы. Вероятность реализации каждого конечного состояния здесь зависит от множества параметров – надежности оборудования, вероятности ошибок персонала, организационных отношений между элементами модели, особенностей развития аварийных ситуаций и т.д. Соответственно, величина риска определяется как вероятностью реализации конечного состояния, так и величиной ущерба, каковая имеет место быть в этом состоянии.
Из таблицы Н.15 видно, что наибольшую вероятность реализации имеют состояния №1 и №2.
Сравнение данных таблиц Н.15 и Н.16 показывает, что, в связи со значительно более высокой вероятностью реализации, конечные состояния для малой течи представляют большую опасность, не смотря на то, что ущерб в этих состояниях относительно невелик.
Таким образом, в проекте НПС. особое место должно быть уделено мерам противодействия малым течам. Это может быть выражено, например, в установке более чувствительных систем обнаружения течи, введении специального раздела в инструкции по эксплуатации и т.п.
Анализ относительной важности элементов модели, как с позиций надежности, так и с позиций безопасности, показывает очень высокую роль системы автоматического управления. Элементы, моделирующие функционирование средств автоматической идентификации течи, средств автоматической локализации и средств, осуществляющих автоматическую остановку магистральных насосов в случае аварии, доминируют во всех вариантах развития аварийной ситуации, поскольку в детальной модели безопасности использованы реальные оценки вероятностей успешных действий персонала в случае аварии.
Рисунок Н.7 – Соотношение конечных состояний НПС по вероятности реализации
Рисунок Н.8 – Соотношение конечных состояний НПС по величине риска
Для ряда вариантов развития аварии роль персонала достаточно велика. Более того, расчеты показывают, что повышение надежности действий персонала дает максимально возможное повышение, как уровня надежности, так и уровня безопасности НПС. Максимальная величина положительного вклада имеет место для действий персонала (элементы 25, 21, 32, 37).
БИБЛИОГРАФИЯ
[1] Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ
[2]Федеральный закон «О промышленной безопасности опасных производственных объектов» от 21.07.97 №116-ФЗ
[3]Положение о классификации чрезвычайных ситуаций природного и техногенного характера (утв. постановлением Правительства РФ от 13.09.96 №1094).
[4] Методика определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах. М. ТрансПресс, 1996–68 с.
[5] ГОСТ 27.310-95 Надежность в технике. Анализ видов, последствий и критичности отказов. Основные положения
[6] СП 11-101-95 «Порядок разработки, согласования, утверждения и состав обоснований инвестиций в строительство предприятий, зданий и сооружений»
[7] СП 11-113-2002 «Порядок учета инженерно–технических мероприятий гражданской обороны и мероприятий по предупреждению чрезвычайных ситуаций при составлении ходатайства о намерениях инвестирования в строительство и обоснований инвестиций в строительство предприятий, зданий и сооружений»
[8] РД 03-315-99 «Положение о порядке оформления декларации промышленной безопасности и перечне сведений, содержащихся в ней»
[9] РД 153-39.4-056-00 «Правила технической эксплуатации магистральных нефтепроводов»
[10] СТТ–08.00-60.30.00-КТН-013-1-05 Магистральный нефтепровод. Трубы высокопрочные для трубопроводов с давлением до 14 МПа. Специальные технические требования
[11] СТТ-08.00-60.30.00-КТН-035-1-05. Специальные технические требования на трубы для нефтепровода ВСТО
[12] РД «Отраслевой классификатор сооружений, объектов магистрального трубопроводного транспорта нефти»
[1]
Рекомендуется использовать методические подходы, приведенные в «Procedures for Conducting Common Cause Failure Analysis in Probabilistic Safety Assessment», IAEA–TECDOC–648, Vienna, 1993.
[2]
Допускается использовать отборочные (консервативные) оценки ВОП, не равные единице, с обоснованием учета зависимостей между действиями персонала в АП и минимальных сечениях.
[3]
Приводятся перечни доминантных минимальных сечений, событий с наибольшими факторами чувствительности и наиболее значимых событий.
[4]
Значимыми минимальными сечениями для АП являются сечения, суммарный вклад которых в общую оценку ЧП составляет не менее 99%.