2020-01-15
111
В.1.6.1 Использование диаграммы последовательности событий
ДПС - диаграмма, описывающая развитие аварийных процессов в ОМН при возникновении ИС (группы ИС). В зависимости от различных вариантов срабатывания/отказа систем и успешных/неуспешных действий персонала, ДПС характеризует состояние ОМН с точки зрения степени повреждения ОМН. ДПС строятся и используются для более подробного, чем это возможно в ДС (СФЦ), описания расчетных сценариев развития аварии, для которых выполнен детерминистский анализ физических процессов. ДПС служат в качестве промежуточного инструмента для систематизации и наглядной обработки исходной информации по анализу аварий при моделировании АП.
В ДПС для расчетных сценариев развития аварии отражаются хронология событий, основные этапы выполнения алгоритма защитных действий систем, взаимосвязи событий (взаимодействие систем), меры управления аварией и резервы времени для действий персонала, состояния ОМН. ДПС представляются в виде схем (рисунок В.1.2) или в табличной форме.
|
|
|
При построении ДС (СФЦ) с использованием ДПС, для каждого ИС (группы ИС) на основе проектной и эксплуатационной документации разрабатывается ДПС, отражающая специфику развития аварии для данного ИС. ДПС описывает основные системы и действия персонала, необходимые для предотвращения аварии, и содержит причинно-следственные связи между срабатыванием/отказом систем и состоянием ОМН. Пример ДПС приведен на рисунке В.1.2.
Рисунок В.1.2 – Пример диаграммы последовательности событий
При построении ДС (СФЦ) на основе ДПС, порядок функциональных событий (отказов систем, действий персонала) и конечные состояния АП определяется согласно имеющейся ДПС. Для каждого функционального события, включенного в ДС (СФЦ), определяется и документируется критерий успеха. При рассмотрении группы ИС возможна ситуация, при которой критерий успеха для функционального события отличается для различных ИС в группе. В таком случае выбирается критерий, предъявляющий наибольшие требования к работоспособности системы. Список критериев успеха для функциональных событий документируется.
В.1.6.2 Разработка перечня функций безопасности
Функция безопасности – специфическая конкретная цель и действия, обеспечивающие ее достижение, направленные на предотвращение аварий или ограничение их последствий.
Для рассматриваемых в ВАБ ИС определяется перечень функций безопасности, выполнение которых необходимо для достижения безопасного конечного состояния. Ниже перечислены некоторые функции безопасности, присущие ОМН:
– аварийная остановка насосного агрегата (аварийная защита);
|
|
|
– аварийный слив нефти в резервуары;
– локализация места выхода нефти в ОПС.
В рамках ВАБ при моделировании АП, перечень функций безопасности может быть расширен за счет детализации основных функций, в зависимости от особенностей ОМН.
Действия персонала связаны с системами, выполняющими функции безопасности, и, как правило, не требуется выделять какие-либо специфические "функции персонала" (за исключением, может быть, функциональных событий, обусловленных ошибочными действиями, усугубляющими развитие аварии).
По результатам разработки перечня функций безопасности необходимо отразить взаимосвязи между функциями и системами, их выполняющими.
В.1.6.3 Разработка перечня систем безопасности и действий персонала для каждой функции безопасности
На данном этапе определяются системы и действия персонала, необходимые для надлежащего выполнения каждой функции безопасности. Для каждой функции безопасности все действия персонала и системы безопасности (поодиночке или в комбинации с другими системами), выполняющие эту функцию, должны быть определены и задокументированы. На начальной стадии эта задача может быть выполнена на основе существующих теплогидравлических расчетов и качественного технического анализа. В дальнейшем, для уменьшения консерватизма перечень «Функции – системы» может быть откорректирован, на основе дополнительного анализа. Перечень функций безопасности и необходимых систем для каждой функции безопасности документируется.
Перечень доаварийных действий (ошибок), способных блокировать работу систем или отдельных их каналов, разрабатывается в задаче моделирования систем. Доаварийные ошибочные действия персонала, инициирующие аварию, анализируются при выборе перечня исходных событий в задаче выбора и группирования ИС.
Действия (ошибки) персонала при управлении аварией в общем случае можно представить следующими категориями:
а) включение в работу (согласно инструкции) систем, для которых не предусмотрено автоматическое управление;
б) дублирование (согласно инструкции) автоматического управления системами;
в) ввод в действие технических средств управления аварией;
г) ошибочные действия, усугубляющие развитие аварии.
По характеру действий персонала следует выделить действия на пульте управления, то есть которые могут быть выполнены оператором относительно быстро, и действия по месту расположения оборудования, для выполнения которых требуется дополнительный резерв времени и привлечение персонала по месту.
Указанные выше категории действий персонала следует дополнить действиями, направленными на восстановление отказавшего оборудования (систем). В практике ВАБ интервал моделирования аварийных последовательностей (и времени функционирования систем безопасности) выбирается обычно 24 ч – и на этом интервале действия по восстановлению отказавшего оборудования, как правило, не учитываются.
Перечень действий (ошибок) персонала при управлении аварией разрабатывается поэтапно. При этом не следует заведомо стремиться к большому количеству рассматриваемых действий, так как это может неоправданно усложнить логическую модель установки.
Первоначально при моделировании АП могут быть рассмотрены лишь действия первой из указанных выше категорий "а" – применительно к наиболее значимым (наиболее эффективным) системам безопасности.
Необходимость включения в модели АП действий по дублированию автоматического управления системами (действия второй категории – "б") следует оценить с учетом предварительного анализа надежности управляющих систем и резервов времени на выполнение действий (возможны экспертные оценки "результативности" учета таких действий).
|
|
|
Действия по использованию технических средств управления аварией целесообразно включать в модели по результатам предварительного количественного анализа аварийных последовательностей.
Определение ошибочных действий, усугубляющих развитие аварии, представляет собой специфическую задачу при моделировании АП и требует углубленного анализа особенностей физических процессов, взаимосвязей событий, поиска мотиваций усугубляющих ошибок, сопутствующих выполнению каких-либо действий персонала, предписанных инструкциями, и, как правило, строится на основе учета реального опыта инцидентов на действующих ОМН.
В.1.6.4 Разработка перечня критериев успеха
Для каждого ИС (группы ИС) должен быть определен перечень критериев успеха для функций безопасности.
Критерий успеха для функции безопасности суть минимальные требования к работоспособности системы, необходимой для выполнения функции безопасности, или минимальный перечень систем, выполняющих данную функцию безопасности, совместно с критериями успеха для этих систем. Время реакции и требуемые действия персонала являются частью критериев успеха.
Как и в случае разработки перечня систем безопасности для функций безопасности, критерии успеха для функций безопасности формулируются на основе теплогидравлического анализа процессов рассматриваемого ОМН. Для определения критериев успеха в некоторых АП может потребоваться проведение дополнительных теплогидравлических расчетов.
Для каждого исходного события список критериев успеха документируется.
В критериях успеха исполнительных систем необходимо учесть возможные зависимые отказы отдельных каналов систем вследствие исходного события (снижение резервирования систем при "особых" исходных событиях), требования к обеспечению производительности каналов или другим характеристикам, влияющим на развитие аварии.
В.1.6.5 Построение деревьев событий (СФЦ)
Построение ДС (СФЦ) рекомендуется проводить в два этапа – сначала строится «функциональное» ДС (СФЦ), описывающее выполнение/невыполнение набора необходимых функций безопасности, затем события «функционального» дерева детализируются до уровня отдельных систем/действий персонала.
|
|
|
Функциональное ДС (СФЦ) - модель последовательной реализации функций безопасности при возникновении определенного ИС (группы ИС). События в функциональном дереве определяются функциями безопасности, необходимыми для приведения ОМН в безопасное состояние. Каждая функция безопасности характеризуется набором систем, осуществляющих данную функцию. Определение необходимых функций безопасности может являться предварительным критерием группировки ИС.
В процессе разработки функционального ДС (СФЦ) целесообразно принять во внимание временные отношения между потребностью в каждой функции. Обычно функции безопасности, требуемые сначала, помещаются в дерево (СФЦ) левее. Рисунок В.1.3 содержит пример функционального ДС.
Рисунок В.1.3 – Функциональное дерево событий (пример)
Системные ДС (СФЦ) – графические диаграммы, отображающие логику различных вариантов развития аварии в зависимости от успешных/неуспешных действий систем и персонала, требуемых для предотвращения повреждения ОМН. Системные ДС (СФЦ) строятся на основе функциональных деревьев (СФЦ) с использованием перечня систем безопасности и действий персонала, разработанного ранее для каждой функции безопасности. Пример перехода от функционального дерева к системному представлен на рисунке В.1.4.
| Аварийный останов | Слив нефти в резервуары | ||||
| Разрыв МН | Система контроля и управления | Система аварийного останова | Система отсечения аварийного участка | Система управления задвижками на трубопроводах приема подачи нефти из резервуаров | № |
|
| |||||
Рисунок В.1.4 – Переход к системному дереву событий
Срабатывание/отказ системы (группы систем) представляется в системном ДС (СФЦ) в виде функционального события. Основные системы обычно располагаются в ДС (СФЦ) в хронологическом порядке. Хронологическое упорядочивание означает, что события рассматриваются в той же последовательности, в которой ожидаются в ходе развития аварии (рисунок В.1.5).
| Система аварийного останова | ………. | Система управления задвижками на трубопроводах приема подачи нефти из резервуаров | |
| Время реагирования | Немедленно | ……….. | После срабатывания системы аварийного останова |
Рисунок В.1.5 – Хронологическое упорядочивание срабатывания систем (пример)
При определении порядка функциональных событий в ДС (СФЦ) необходимо учитывать межсистемные зависимости. А именно, системы, для успешной работы которых необходимо срабатывание других систем, включаются в ДС (СФЦ) после тех систем, от которых они зависят (рисунок В.1.6).
Рисунок В.1.6 – Межсистемная зависимость (пример)
Режим работы систем и оборудования также может влиять на порядок событий в дереве, см. рисунок В.1.7. В данном примере функциональное событие «Отказ системы А при работе»должно быть помещено после события «Отказ системы А при запуске».
Рисунок В.1.7. – Влияние режима работы систем и оборудования на порядок функциональных событий (пример)
При разработке системных ДС (СФЦ) рекомендуется использовать принцип - “малые ДС - большие ДО”. При данном подходе, для каждой группы ИС системные ДС (СФЦ) включают только основные системы и действия персонала. Действия персонала, специфические для конкретной аварии (ИС) рекомендуется включать как отдельные события в ДС (СФЦ).
Набор основных систем в ДС (СФЦ) определяет объем работы в задаче анализа систем (построение ДО (СФЦ)). Обозначения (названия) функциональных событий в ДС (СФЦ) должны совпадать с обозначениями верхних событий в соответствующих ДО (СФЦ).
Возможна ситуация, когда в пределах одного ДС (СФЦ) имеются различные критерии успеха для одной и той же системы (в зависимости от АП) и, как следствие, возникает необходимость включения в ДС (СФЦ) различных функциональных событий для этой системы.
Для корректного моделирования вышеописанной ситуации возможны подходы, приведенные ниже.
Подход 1. В ДС (СФЦ) определяются различные функциональные события, соответствующие различным критериям успеха (рисунок В.1.8).
Подход 2. Если расчетный код, используемый для квантификации (вычисления количественных вероятностных показателей), позволяет присоединять к различным ветвлениям дерева, соответствующим одному функциональному событию, различные деревья отказов, то введения множественных функциональных событий для системы не требуется. В данном случае, в разных точках ветвления используются различные ДО (СФЦ), соответствующие различным критериям успеха (рисунок В.1.9).
Рисунок В.1.8 – Различные критерии успеха системы – несколько функциональных событий
Рисунок В.1.9 – Неявное моделирование различных критериев успеха системы
Ниже приведены общие этапы и правила построения ДС (СФЦ):
– построение функционального ДС (СФЦ), в котором события определяются выполнением или невыполнением функций безопасности, необходимых для приведения ОМН в безопасное состояние (функциональное ДС (СФЦ) - промежуточный этап, который может быть пропущен, особенно если набор функций мал);
– переход от функций безопасности к системам, их выполняющим – построениесистемного ДС (СФЦ);
– определение состава комплексов систем ДС (СФЦ) (объединение исполнительных и вспомогательных (управляющих, обеспечивающих) систем, действий персонала) и соответствующих функциональных событий для комплексов;
– действия персонала, специфичные для данной аварии (исходного события), предпочтительно включать в ДС (СФЦ) как отдельные функциональные события;
– в ряде случаев может быть целесообразным включение в перечень систем ДС (СФЦ) не только исполнительных, но и отдельных вспомогательных систем, если в такой структуре моделируемые АП будут более представительно отражать важные особенности сценариев развития аварии;
– для моделируемых функций и систем, их выполняющих, устанавливаются причинно-следственные взаимосвязи, и системы (по возможности) располагаются в ДС (СФЦ) в хронологическом порядке, то есть в той же последовательности, в которой события ожидаются в процессе развития аварии;
– хронологическое расположение систем в ДС (СФЦ) осуществляется по разработанным ДПС, при этом в случае одновременного включения в работу двух или более систем порядок расположения в ДС (СФЦ) определяется с учетом их взаимосвязей;
– при межсистемных взаимосвязях "зависимые" системы располагаются в ДС (СФЦ) после систем, оказывающих влияние на другие системы;
– при отказе систем, оказывающих влияние на другие системы, функциональные события для соответствующих "зависимых" систем не разветвляются (удаление ветвлений ) – отказ одной системы влечет за собой невозможность успешного выполнения своих функций другой системой;
– функциональные события для резервных систем не разветвляются, если успешно функциональное событие основной системы ("первого эшелона") и при этом работа резервной системы одновременно с основной не изменяет конечных состояний всех АП, связанных с работой основной системы;
– если при успешном функционировании некоторых впереди расположенных (в ДС (СФЦ)) систем для АП принимается успешное конечное состояние, то функциональные события последующих систем в продолжение АП не разветвляются – отказ/успех последующей системы не влияет на конечное состояние, связанное с данной АП;
– если при отказе некоторой впереди расположенной (в ДС (СФЦ)) системы для АП принимается неуспешное конечное состояние, то функциональные события последующих систем в продолжение АП не разветвляются – отказ/успех последующей системы не влияет на конечное состояние, связанное с данной АП;
– если не удается однозначно определить приоритет каких-либо систем при их расположении в ДС (СФЦ), то наборы АП (и соответствующие конечные состояния) определяются перебором всех возможных комбинаций функциональных событий, связанных с такими системами.
Особенности построения ДС с взаимосвязями типа резервирование, зависимый отказ или неэффективность систем показаны на рисунке В.1.10.
|
| Система А | Система Б | Система В | Система Г | Система Д | Последствия | ||||||||
| · | · | · | · Не нужна | · Не нужна | · Не нужна | · OK | ||||||||
| · | · | · | · | · В резерве | · | · OK | ||||||||
| · | · | · | · | · | · | · CD | ||||||||
| · | · | · | · | · | · | · OK | ||||||||
| · | · | · | · | · | · | · CD | ||||||||
| · | · | · | · | · | · Не эффективна | · CD | ||||||||
| · | · | · | · Зависима | · Зависима | · | · OK | ||||||||
| · | · | · | · | · | · | · CD | ||||||||
| · | · | · | · Зависима | · Зависима | · Не эффективна | · CD | ||||||||
| · | · | · | · | · | · | · | ||||||||
Рисунок В.1.10 – Характерные взаимосвязи систем в дереве событий
