Рекомендации методические по выполнению вероятностного анализа безопасности (ваб) объекта мн предисловие ПРЕДИСЛОВИЕ 1 РАЗРАБОТАН ООО «Институт ВНИИСТ» 2 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом ОАО «АК «Транснефть» от «____» ____________200___ г. № _______ 3 ДАТА ВВЕДЕНИЯ с «_____» _____________ 200___ г. 4 ВВЕДЕН ВПЕРВЫЕ 5 СРОК ПЕРЕСМОТРА – не реже одного раза в пять лет 6 Оригинал документа хранится в службе нормирования и технического регулирования ОАО «АК «Транснефть». 7 Документ входит в состав информационного фонда ОАО «АК «Транснефть». СОДЕРЖАНИЕ 1 ОБЛАСТЬ ПРИМЕНЕНИЯ.. 1 2 НОРМАТИВНЫЕ ССЫЛКИ.. 1 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.. 1 4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ.. 2 5 ОСНОВНЫЕ ПОЛОЖЕНИЯ.. 3 5.1Цели и основные аспекты выполнения ВАБ объекта МН .. 4 5.2 Эксплуатационные состояния объекта МН .. 4 5.3 Пределы и условия безопасной эксплуатации . 4 6 ОПИСАНИЕ ВАЖНЫХ ДЛЯ БЕЗОПАСНОСТИ СИСТЕМ И ОБОРУДОВАНИЯ ОБЪЕКТА МН.. 5 6.1 Перечень систем .. 5 6.2 Описание конструкции и/или технологической схемы .. 5 7 ОСНОВНЫЕ ТРЕБОВАНИЯ ПРИ ВЫПОЛНЕНИИ ЗАДАЧ ВАБ ОБЪЕКТА МН.. 7 7.1 Классификации . 7 7.2 Формирование перечня исходных событий аварийных ситуаций . 7 7.3 Принципы моделирования аварийных последовательностей . 9 7.4 Анализ надежности систем .. 9 7.5 Требования к анализу данных . 10 7.6 Требования к анализу надежности персонала . 11 7.7 Принципы разработки вероятностной модели объектов МН .. 12 7.8 Процедуры выполнения количественных расчетов ВАБ .. 12 7.9 Основные принципы анализа неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ .. 13 7.10 Определение ущерба природной среде при авариях на магистральных нефтепроводах 14 7.11 Основные принципы анализа, интерпретации и представления результатов . 14 8 РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ ОБЪЕКТА МН.. 15 ПРИЛОЖЕНИЕ А (обязательное) Системы безопасности объектного уровня. 17 ПРИЛОЖЕНИЕ Б (справочное ) Перечень возможных исходных событий. 18 ПРИЛОЖЕНИЕ В (справочное ) Принципы моделирования аварийных последовательностей 21 ПРИЛОЖЕНИЕ Г (справочное ) Анализ надежности систем.. 40 ПРИЛОЖЕНИЕ Д (справочное ) Требования к анализу данных, включая данные по вероятности возникновения ис и данные по надежности оборудования. 64 ПРИЛОЖЕНИЕ Е (справочное ) Требования к анализу надежности персонала. 71 ПРИЛОЖЕНИЕ Ж (справочное ) Принцип разработки вероятностной модели безопасности объекта МН.. 84 ПРИЛОЖЕНИЕ И ( справочное ) Процедуры выполнения количественных расчетов ВАБ.. 86 ПРИЛОЖЕНИЕ К (справочное ) Анализ неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ.. 90 ПРИЛОЖЕНИЕ Л (справочное ) Основные принципы анализа, интерпретации и представления данных. 95 ПРИЛОЖЕНИЕ М (обязательное ) Состав основного отчета по ВАБ.. 99 ПРИЛОЖЕНИЕ Н (справочное ) Пример расчета ВАБ НПС.. 105 БИБЛИОГРАФИЯ……………………………………………………………………………………..127 1 ОБЛАСТЬ ПРИМЕНЕНИЯ 1.1 Настоящий документ предназначен для проектных организаций, проектных и проектно-конструкторских отделов организаций и предприятий (далее – Предприятия), выполняющих работы по проектированию объектов нового строительства, реконструкции и техническому перевооружению объектов магистральных нефтепроводов (МН) с использованием вероятностных методов на основе моделирования и расчета показателей надежности и безопасности объектов. 1.2 Настоящий документ устанавливает процедуры определения числовых характеристик случайных величин, характеризующих частоту (вероятность) аварии на объектах МН для: – выявления приемлемости риска, создаваемого объектами МН; – проведение сравнения предлагаемых проектных решений по уровню безопасности; – оптимизации проектных решений по критериям безопасности 2 НОРМАТИВНЫЕ ССЫЛКИ В настоящем документе использованы ссылки на документы, приведенные в разделе «Нормативные ссылки» РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения», а также на следующий документ: РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» Примечание – При использовании настоящего нормативного документа целесообразно проверить действие ссылочных нормативных документов в соответствии с действующим Перечнем законодательных актов и основных нормативно – правовых и распорядительных документов, действующих в сфере магистрального нефтепроводного транспорта. Если ссылочный документ заменен (изменен), то при пользовании настоящим нормативным документом следует руководствоваться замененным (измененным) документом. Если ссылочный документ отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку. 3 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ В настоящем документе применены термины РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения», а также следующие термины с соответствующими определениями. 3.1 Байесовский подход: подход, учитывающий информацию, полученную на предыдущих этапах исследований. 3.2 Дизъюнкция: одна из логических операций, отражает употребление союза «или» в логических выводах. 3.3 Квантификация: измерение качественных признаков в количественном выражении. 3.4 Конъюнкция: одна из логических операций, отражает употребление союза «и» в логических выводах. 3.5 Минимальное аварийное сочетание: это такое сочетание, в котором при удалении любого исходного события оставшиеся события вместе больше не являются аварийным сочетанием. 3.6 Принцип единичного отказа: принцип, в соответствии с которым система должна выполнять заданные функции при любом требующем её работы исходном событии, в сочетании с одним независимым от этого события отказом активного элемента, или пассивного элемента, имеющего движущиеся части, или одной независимой ошибкой персонала. 3.7 Феноменология аварий: накопление и обобщение исходной информация об авариях. 3.8 Чувствительность результата: степень влияния расчетных параметров и основных допущений математической модели на результаты моделирования. 4 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ В настоящем документе применены следующие сокращения: АНП – анализ надежности персонала; АП – аварийная последовательность; АС – аварийная ситуация или множество аварийных ситуаций, которые могут возникнуть в процессе функционирования объектов магистрального нефтепровода; АСМ – автоматизированное структурно-логическое моделирование; ВАБ – вероятностный анализ безопасности; ВОП – вероятность ошибок персонала; ВПБ – вероятностные показатели безопасности; ВФ – вероятностная функция; ДО – деревья отказов; ДОП – деревья ошибок персонала; ДС – деревья событий; ДПС – диаграмма последовательности событий; Ду – диаметр условный; ИС – инициирующее (исходное) событие; ИСА – исходное событие аварии; ИЭ – инструкция по эксплуатации; КИП – контрольно-измерительные приборы; КИП и А – контрольно-измерительные приборы и автоматика; КПУФ – кратчайшие пути успешного функционирования; КС – конечное состояние; ЛКФ – логический критерий функционирования; ЛФРС – логическая функция работоспособности системы; МН – магистральный нефтепровод; МП – методические положения; МСО – минимальные сечения отказов; НС – нефтепроводная система; ОК – обеспечение качества; ОЛВМ – общий логико-вероятностный метод; ОМН – объект (объекты) магистрального нефтепровода; ООП – отказ по общей причине; ОПС – окружающая природная среда; СБ – система безопасности; СДС – системное дерево событий; СТС – сложная техническая система; СФЦ – схема функциональной целостности; ТО – техническое обслуживание; ФБ – функция безопасности; ФДС – функциональное дерево событий; ФПФ – формирующие поведение факторы; ФРС – функция работоспособности системы; ЧП МН – частота повреждения магистрального нефтепровода. 5 ОСНОВНЫЕ ПОЛОЖЕНИЯ 5.1 Посредством ВАБ проводится количественная оценка числовых характеристик случайных величин, характеризующих частоту (вероятность) аварии объектов МН для всего жизненного цикла. 5.2 Правовую и методологическую базу применения ВАБ при обосновании и подтверждении безопасности эксплуатации МН составляют Федеральный закон «О техническом регулировании» [1], Федеральный закон «О промышленной безопасности опасных производственных объектов» [2], Положение о классификации чрезвычайных ситуаций природного и техногенного характера [3], а также документы [6-8], приведенные в разделе «Библиография» данного документа. 5.3 Безопасность эксплуатации МН обеспечивается реализацией Концепции вероятностного анализа безопасности ОАО «АК «Транснефть», изложенной в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.5.1.7). 5.4 Задачами настоящих методических рекомендаций являются определение и выбор моделей возникновения и развития аварий с соответствующими исходными данными, допущениями и ограничениями для осуществления количественной оценки риска аварий на объектах МН. 5.5 ВАБ проводится при разработке материалов, обосновывающих строительство (технико – экономическое обоснование – ТЭО), а также проектно–сметной документации на новое строительство, расширение, реконструкцию и техническое перевооружение объектов МН. Отчет по ВАБ разрабатывается и включается в соответствующие виды предпроектных и проектных материалов и сводится в систематизированном виде в отдельном разделе (томе, книге). Отчет по ВАБ должен быть подписан руководством и ответственными исполнителями организаций, разработавших отчет, и согласован руководством проектной организации. 5.1 Цели и основные аспекты выполнения ВАБ объекта МН 5.1.1 Вероятностный анализ безопасности проводят с целью обоснования, проверки достаточности, оценки эффективности и контроля за реализацией управляющих решений, направленных на совершенствование конструкции, технологии изготовления, правил эксплуатации, системы технического обслуживания и ремонта объекта и обеспечивающих предупреждение возникновения и /или ослабление тяжести возможных последствий его отказов, достижение требуемых характеристик безопасности, эффективности и надежности. 5.1.2 Основные технические принципы обеспечения безопасности объекта МН изложены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.5.1.11). 5.1.3 Принцип эшелонированной защиты должен выполняться на всех этапах деятельности, связанных с обеспечением безопасности МН. Приоритетной при этом является стратегия предотвращения неблагоприятных событий. 5.1.4 Принцип единичного отказа понимается в смысле способности каждой системы безопасности к выполнению заданных функций при любом исходном событии аварии, требующем ее работы, с учетом одного (независимого от исходного события) отказа какого-либо его элемента или ошибки персонала. 5.2 Эксплуатационные состояния объекта МН 5.2.1 Классификация режимов эксплуатации МН изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.1). 5.2.2 Классификация предельных состояний трубопроводов МН изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.4). 5.3 Пределы и условия безопасной эксплуатации 5.3.1 МН и его объекты (оборудование и сооружения) удовлетворяют требованиям безопасности, если их воздействие на персонал, население и окружающую среду при нормальной эксплуатации, нарушениях нормальной эксплуатации, включая проектные аварии, не приводит к превышению установленных показателей безопасности, а также ограничивается при запроектных авариях. 5.3.2 Требования к уровню показателей безопасности установлены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.8.4). Показатели должны быть ниже установленных пределов на разумно достижимом низком уровне. 5.3.3 Способы обеспечения безопасности объектов изложены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п. 5.1.13). 5.3.4 Состав системы физических барьеров определен в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п. 5.1.14). 5.3.5 АСУ ТП и системами защиты должна обеспечивать: - выявление отклонений от нормальной эксплуатации и их устранение; - управление объектом в режимах нарушения нормальной эксплуатации; - предотвращение перерастания исходных событий в инциденты, инцидентов в проектные аварии, а проектных аварий в запроектные за счёт применения систем безопасности; - возвращение объекта в контролируемое состояние, при котором прекращаются выбросы, сбросы и обеспечивается удержание опасных веществ в установленных границах. 5.3.6 Условия прекращения работы объекта определены в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.9.1.6). 6 ОПИСАНИЕ ВАЖНЫХ ДЛЯ БЕЗОПАСНОСТИ СИСТЕМ И ОБОРУДОВАНИЯ ОБЪЕКТА МН 6.1 Перечень систем 6.1.1 Классификация систем и элементов оборудования МН по влиянию на безопасность приведена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п. 6.5). 6.1.2 Приведенная информация по важным для безопасности системам и оборудованию объекта МН должна быть необходимой и достаточной для оценки их безопасности. Эта информация должна включать описания их конструкций, технологических схем, анализ влияния повреждений и отказов их элементов на безопасность объекта МН с выделением таких отказов, последствия которых требуют специального анализа. 6.1.3 Перечень систем безопасности объектного уровня (согласно «Классификатору сооружений, объектов магистральных нефтепроводов» ОАО «АК «Транснефть») представлен в приложении А. 6.1.4 Каждая важная для безопасности система (оборудование), приведенная в перечне, должна быть рассмотрена для того, чтобы показать, для каких отказов необходимо дать дополнительные специальные анализы последствий. 6.1.5 Назначение системы (оборудования), описание ее функций и критерии выполнения возложенных на систему функций должны быть сформулированы. Для основных механических, теплогидравлических, прочностных характеристик должны быть приведены предельно допустимые значения. Для показателей надежности системы при функционировании по обеспечению безопасности должны быть приведены допустимые значения. 6.2 Описание конструкции и/или технологической схемы 6.2.1 При описании конструкции и (или) технологической схемы должны быть выделены выполняющие самостоятельные функции подсистемы, оборудование, устройства и элементы (включая элементы крепления, опоры, фундаменты и т. п.). 6.2.2 Описания отдельных элементов могут быть выделены в самостоятельные подразделы с такой же структурой, как и описание системы в целом. 6.2.3 В описании должны быть приведены достаточно подробные рисунки и схемы, иллюстрирующие конструкцию системы или ее технологическую схему, а также основные технические характеристики системы и ее элементов. 6.2.4 При описании конструкции и (или) технологической схемы должны быть определены другие важные для безопасности системы и оборудование объекта МН, связанные с функционированием рассматриваемой системы. 6.2.1 Нормальное функционирование 6.2.1.1 Описание нормального функционирования важных для безопасности систем и оборудования объектов МН должно включать: 1) описание функционирования системы при нормальной эксплуатации объекта МН, включая переходные режимы при плановых пусках и остановках; 2) описания состояния системы и ее элементов и их взаимодействия между собой и с другими системами объекта МН в процессе выполнения заданных функций; 3) основные требования по безопасности, предъявляемые к важным для безопасности системам, оборудованию и сооружениям объекта МН; 4) описание функционирования системы с учетом нагрузок, связанных с отказами других важных для безопасности систем объекта МН, а также должно быть дано описание предусмотренных проектом мер для защиты системы от воздействия этих отказов. 6.2.1.2 Для каждого режима работы системы, включая отказы других систем объекта МН, должны быть даны характеристика основных ее параметров (механических, теплогидравлических, физико-химических, прочностных и т. п.), а также показатели надежности, и должно быть показано, что они не выходят за предельно допустимые значения. 6.2.2 Функционирование при отказах 6.2.2.1 Описание функционирования важных для безопасности систем и оборудования объектов МН при отказах должно включать: 1) анализ единичных отказов элементов системы, включая ошибки операторов, и оценку влияния их последствий на работоспособность системы и безопасность объекта МН; 2) описание отказов пассивных элементов (трубопроводов, резервуаров, обратных клапанов и т. п.), активных элементов (задвижек, насосов и т. п.), контрольно-измерительной аппаратуры, а также отказов связанных с ней управляющих и обеспечивающих систем (особое внимание должно быть уделено анализу отказов по общей причине, включая возможные пожары). 6.2.2.2 Для рассматриваемых отказов должна быть дана характеристика их последствий, в том числе и характеристика изменения основных параметров, влияющих на безопасность объекта МН. Необходимо показать воздействие этих отказов на работоспособность других систем объекта МН. Следует определить набор систем безопасности, необходимых для ограничения и (или) ликвидации последствий таких отказов, а также сформулировать требования к ним. Для систем безопасности должно быть проанализировано влияние отказов отдельных элементов на работоспособность системы в целом. 6.2.2.3 В результате рассмотрения должны быть выделены отказы, которые являются исходными событиями нарушений нормальной эксплуатации и проектных аварий и требуют дополнительного анализа. Основой для такого отбора являются следующие условия: – последствия исходного события таковы, что за предусмотренные границы выделяется нефть в количествах, которые могут превысить установленные для нормальной эксплуатации значения; – последствия исходного события не очевидны из данных, приведенных в настоящем разделе, и требуют специального анализа для обоснования выполнения критериев безопасности и проектных пределов. 7 ОСНОВНЫЕ ТРЕБОВАНИЯ ПРИ ВЫПОЛНЕНИИ ЗАДАЧ ВАБ ОБЪЕКТА МН 7.1 Классификации 7.1.1 Классификация МН и их участков по классам безопасности изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.2). 7.1.2 Возможные виды отказов объекта и МН в целом первоначально устанавливаются на основе существующих для объекта данного вида классификаторов отказов и неисправностей и дополняются при необходимости видами отказов, специфичными для рассматриваемого объекта. 7.1.3 Классификация отказов по тяжести их последствий изложена в РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» (п.6.3). 7.2 Формирование перечня исходных событий аварийных ситуаций 7.2.1 Для составления первоначального перечня ИС рекомендуется использовать: 1) анализ обобщенных перечней ИС для аналогичных ОМН; 2) инженерный анализ ОМН (в том числе необходимые расчетные обоснования и другие типы анализов); 3) анализ перечней ИС, принимавшихся для анализируемого ОМН и аналогичных ОМН при выполнении детерминистических анализов безопасности. 4) опыт эксплуатации анализируемого ОМН и ОМН с аналогичными (близкими) характеристиками (для проектируемых ОМН может использоваться опыт эксплуатации аналогичных ОМН при его наличии). 7.2.2 При выполнении анализа ИС следует рассматривать ИС, вызванные: 1) отказами систем (элементов систем), в том числе обеспечивающих, а также отказами общего вида; 2) ошибками персонала; 3) требованиями регламентов безопасной эксплуатации и инструкций по эксплуатации (например, останов нефтеперекачивающего агрегата при нарушении условий безопасной эксплуатации). 7.2.3 При выполнении анализа ИС следует выделять ИС, вызывающие: 1) зависимые повреждения или отказы систем, требуемых для предотвращения повреждения нефтепроводной системы после возникновения ИС; 2) зависимые отказы систем на нескольких объектах (при наличии связей между ними). 7.2.4 При выполнении анализа ИС не следует исключать из рассмотрения события, удовлетворяющие определению «инициирующее событие», на основании: 1) малой вероятности возникновения; 2) потенциально низкого вклада ИС в частоту повреждения магистрального нефтепровода (ЧП); 3) большого интервала времени между моментом возникновения ИС и моментом регламентного срабатывания систем защиты ОМН. 7.2.5 Допускается исключение ИС или групп ИС из дальнейшего рассмотрения, если их вклад в оценку ЧП не превышает 0.1%. Суммарный вклад исключенных из рассмотрении ИС не должен превышать 1% от суммарной ЧП. 7.2.6 При включении ИС в одну группу необходимо сформулировать критерии группировки. События, включаемые в одну группу: 1) должны характеризоваться аналогичным протеканием аварийного процесса и одинаковыми конечными состояниями всех АП; 2) должны иметь сходные требования к работе систем и требовать одинаковых по содержанию действий персонала. 7.2.7 Критерии успеха моделируемых функций для группы ИС должны быть не менее строгими (консервативным), чем критерии успеха моделируемых функций для всех ИС, включённых в группу. 7.2.8 Анализ возможных ИС, приводящих к зависимому повреждению или отказу систем безопасности, требующихся для предотвращения повреждения ОМН после возникновения ИС, следует выполнять. Перечень ИС следует дополнить в соответствии с результатами этого анализа и сделать соответствующие уточнения при моделировании АП. 7.2.9 Анализ полноты и непротиворечивости моделирования зависимостей, выявленных при выполнении задач «Анализ надежности систем», «Моделирование АП», «Анализа данных» и «Анализ надежности персонала», на уровне интегральной модели ВАБ (например, взаимного влияния отказов элементов систем, прямых функциональных зависимостей, зависимостей между действиями персонала и т.п.), следует выполнять. 7.2.10 Анализ зависимостей выполняется с целью обеспечения: 1) полноты учета возможных зависимостей, выявленных на этапе выполнения отдельных задач ВАБ; 2) полноты выявления и учета неявных зависимостей; 3) непротиворечивости учета зависимостей, выявленных при выполнении отдельных задач ВАБ, в других задачах и в модели ВАБ в целом. 7.2.11 Анализ неявных зависимостей следует проводить на основании опыта выполнения других ВАБ, опыта эксплуатации и работы специалистов исследуемого ОМН и других ОМН с учетом их специфики, а также опыта проектантов систем. Целью анализа является определение неявных зависимостей и оценка применимости их к исследуемому ОМН. 7.2.12 Анализ зависимых отказов элементов систем, вызванных причинами, явно не моделируемыми в ВАБ (отказами по общей причине - ООП), такими, как общность конструкции и изготовления, монтажа, калибровки или условий обслуживания и эксплуатации и т.п., следует выполнять. Результатом этой работы должен быть перечень групп ООП, с обоснованием принятых критериев объединения в группы. 7.2.13 Результаты анализа зависимостей, включая выявленные прямые и неявные зависимости, способ их учета в модели ВАБ, обоснование полноты и непротиворечивости учета зависимостей, следует представлять. 7.2.14 Перечень возможных исходных событий представлен в приложении Б. 7.3 Принципы моделирования аварийных последовательностей 7.3.1 Моделирование аварийных последовательностей (АП) проводится для определения путей протекания аварий, требований к срабатыванию различных систем и выполнению действий персонала (т.е. определению моделируемых функций и их критериев успеха). По результатам моделирования АП выполняется анализ систем, анализ надежности персонала, разрабатывается интегральная вероятностная модель ОМН и определяются сценарии для проведения дополнительных детерминистических анализов аварийных процессов [5]. 7.3.2 Конечные состояния АП необходимо разделять на "успешные" и "неуспешные" 7.3.3 Для ВАБ интервал времени моделирования аварийных последовательностей рекомендуется определять не менее 24 часов с момента ИС. Этот интервал должен быть расширен, если за пределами 24 часов возможно достижение «неуспешного» конечного состояния АП из-за причин, не связанных с отказами оборудования и ошибками персонала. 7.3.4 При построении моделей АП рекомендуется руководствоваться следующим: 1) моделируемые функции должны иметь причинно-следственные взаимосвязи и (по возможности) располагаться в хронологическом порядке; 2) не следует упрощать модели АП с целью сокращении их размеров, если при этом возможна потеря значимых AП. 7.3.5 Модели аварийных последовательностей должны разрабатываться для всех отобранных групп ИС. 7.3.6 При построении моделей AП следует учитывать влияние одних моделируемых событий на другие. Примерами такого влияния являются: воздействие на работоспособность оборудования систем истекающих струй, биений трубопроводов, летящих предметов, ударных волн, вторичных пожаров, воздействий температурных деформаций в конструкционных материалах и других факторов. При этом следует учитывать зависимость режима работы систем от характера аварийного процесса, возможность работы одних систем при отказе других и т.п. 7.3.7 Логику развития АП, достижение конечных состояний AП, критерии успеха моделируемых функций АП и запасы по времени для действии персонала необходимо обосновывать детерминистическими анализами. 7.3.8 Результаты детерминистических анализов, используемых дли обоснования логики развития АП и критериев успеха моделируемых функций следует представлять в отчетной документации по ВАБ. В случае использования результатов анализов, выполненных в рамках других исследований, следует приводить полные прямые ссылки на источник информации и аргументировать применимость анализов к исследуемому ОМН. 7.3.9 Описание принципа моделирования аварийных последовательностей представлено в приложении В. 7.4 Анализ надежности систем 7.4.1 Анализ надежности систем проводится для разработки логических моделей систем (технологических, защитных, обеспечивающих и т.д.) для всех моделируемых функций, в которых задействована анализируемая система. Модели систем также используются для определения частот инициирующих событий. Анализ надежности систем должен обеспечивать разработку логических моделей систем, учитывающих особенности всех АП и ИС. 7.4.2 События, характеризующие невыполнение моделируемой функции в анализе надежности систем, следует согласовывать с требованиями к моделируемым функциям (критериям успеха и явным зависимостям), определенным в задаче «Моделирование АП». 7.4.3 Границы анализируемых систем и уровень их детализации следует определять в зависимости от моделируемых функций. 7.4.4 Все виды отказов, которые могут повлиять на способность системы выполнять свои функции, связанные с изменением состояния (переход объекта из режима нормальной эксплуатации в аварийный режим) должны быть выявлены. 7.4.5 Границы элементов систем и виды отказов в задачах "Анализ надежности систем" и "Анализ данных" должны соответствовать друг другу. 7.4.6 Инструкции по проверкам работоспособности, техническому обслуживанию и ремонту оборудования следует проанализировать с целью выявления элементов систем, выводимых из состояния готовности к работе. Особое внимание следует уделять выявлению возможных недопустимых выводов в неработоспособное состояние нескольких каналов систем. Результаты анализа необходимо учитывать при анализе данных. 7.4.7 Ошибки персонала, связанные с вводом элементов систем в режим ожидания (работы) после проверок работоспособности, технического обслуживания или ремонта, следует проанализировать. 7.4.8 Связь между ИС и реагированием на него систем должна быть проанализирована: необходимо устанавливать зависимости критериев успеха моделируемых функций от ИС и конкретной АП, в том числе зависимости, вызванные наличием общих элементов различных систем. 7.4.9 Зависимости (взаимовлияние) между системами и (или) каналами систем необходимо выявить, а также учесть возможность возникновения отказов по общей причине. 7.4.10 При выборе ИС должен быть проведен анализ видов и последствий отказов элементов систем (все возможные отказы элементов систем, которые могут вызвать ИС. 7.4.11 В случае использования в модели систем упрощений, заменяющих несколько ИС и логические связи между ними одним событием, следует выполнять анализ, подтверждающий отсутствие потери явных и неявных зависимостей. 7.4.12 Результаты выполненных анализов надежности систем следует приводить в отчете по ВАБ. 7.4.14 Подробный метод анализа надежности систем представлен в приложении Г. 7.5 Требования к анализу данных 7.5.1 Результатом анализа данных являются количественные показатели надежности элементов и (или) систем и частот инициирующих событий, используемые при проведении количественных вероятностных расчетов надежности систем ОМН, частот АП и ЧП МН. 7.5.2 Следующие показатели надежности элементов систем следует оценивать: – вероятность и (или) интенсивность отказа на требование; – интенсивность отказов при работе; – вероятность неготовности, обусловленная техническим обслуживанием или ремонтом; – коэффициент неготовности, обусловленный проверками работоспособности; – вероятность отказа по общей причине. 7.5.3 Критерии классификации отказов по видам (отказ на запуск, отказ при работе и т.д.) и по характеру (повреждение или отказ с точки зрения возможности поддержания работоспособности элемента системы в течение времени, необходимого для выполнения требуемой моделируемой функции) необходимо определять и обосновывать. 7.5.4 Необходимо убедиться в том, что используемая для оценки частот ИС статистическая информация о нарушениях в работе ОМН не исключает из рассмотрения нарушения в работе ОМН, вызванные ошибками персонала. 7.5.5 Для оценки показателей надежности и частот ИС следует применять статистические методы обработки данных, специфических для исследуемого ОМН, и обобщенных данных. Не рекомендуется использование только обобщенных данных при выполнении ВАБ действующих ОМН. 7.5.6 При использовании обобщенных данных следует приводить характеристику источника информации. Выбор обобщенных данных необходимо обосновывать с точки зрения их применимости для конкретного ОМН, оборудования, выбранных границ элементов систем и видов отказов, моделируемых в ВАБ. В случае использования нескольких источников обобщенных данных следует приводить и обосновывать подход, принятый для выбора информации. 7.5.7 Оценку неготовности элементов систем из-за проверок работоспособности следует выполнять для всех элементов систем, моделируемых в ВАБ, которые при проверках работоспособности находятся в состоянии, не позволяющем выполнять требуемую моделируемую функцию. 7.5.8 Частоты редких событий (разрушений трубопроводов, корпусов оборудования, емкостей, содержащих нефтепродукты и т.п.) могут определяться расчетом с применением вероятностных методов механики разрушения. 7.5.9 При разработке ВАБ для проектируемых ОМН следует обосновывать применимость обобщенных данных для аналогичных ОМН или аналогичного оборудования с учетом специфики начального периода эксплуатации нового ОМН (учет увеличения показателей отказов оборудования и ИС на начальном этапе эксплуатации). 7.5.10 Процедуры обработки исходной информации, принятые допущения анализа данных, а также полученные показатели надежности элементов систем и частоты ИС с соответствующими характеристиками неопределенности следует представлять в документации ВАБ. 7.5.11 Результаты выполненных анализов данных следует приводить в отчетной документации по ВАБ. 7.5.12 Методы анализа данных представлены в приложении Д. 7.6 Требования к анализу надежности персонала 7.6.1 Результатом анализа надежности персонала должны являться количественные оценки вероятностей ошибок персонала, используемые при проведении количественных вероятностных расчетов надежности систем ОМН, АП, частот инициирующих событий и ЧП МН. 7.6.2 При проведении ВАБ следует рассматривать следующие виды ошибочных действий персонала: – действия, совершаемые до наступления ИС, которые могут повлиять на готовность систем ОМН к работе (доаварийные ошибки персонала); – действия, вызывающие ИС; – действия, предпринимаемые после наступления ИС (послеаварийные ошибки персонала). 7.6.3 При анализе доаварийных ошибок персонала следует обосновать полноту рассмотрения действий, возможных при проверках работоспособности, техническом обслуживании и ремонте, вследствие которых элементы какой-либо системы могут оказаться в состоянии неготовности на момент ИС. 7.6.4 Действия персонала, вызывающие ИС, могут не рассматриваться при выполнении задачи «Анализ надежности персонала», если показано, что они учтены при выполнении анализа частот ИС, как одна из возможных причин возникновения ИС. Используемая методология АНП должна быть указана в документации ВАБ. В случае использования оригинальных методик следует приводить их описание и обоснование использования в ВАБ. 7.6.5 При анализе ошибок персонала после ИС следует показывать полноту рассмотрения действий (включая пропуск выполнения требуемого действия), предпринимаемых после наступления ИС. 7.6.6 Выбор метода АНП должен соответствовать задаче анализа действий персонала каждой конкретной категории и обеспечивать адекватность получаемых оценок вероятностей ошибок персонала (ВОП) (при необходимости проводится их сравнение с оценками, полученными в других ВАБ аналогичных ОМН или с использованием альтернативных методов АНП). 7.6.7 Применимость используемых методов АНП в случае проведения ВАБ вновь проектируемых ОМН должна обосновываться. При оценке ВОП должна учитываться специфика эксплуатации нового ОМН на начальном этапе (начальный этап эксплуатации ОМН может характеризоваться повышенными вероятностями ошибок персонала, вызванные периодом адаптации и привыкания персонала к новому ОМН). 7.6.8 При выполнении АНП в два этапа с проведением отборочного и детального анализов следует обеспечивать консервативность оценок, получаемых на стадии отборочного анализа. 7.6.9 Неопределенность ВОП следует оценивать. 7.6.10 Анализ зависимостей между несколькими (двумя и более) действиями персонала следует выполнять. Методы исследований зависимостей и результаты анализа необходимо обосновывать. 7.6.11 В отчетной документации по ВАБ следует представлять: – обоснование и описание методов обработки информации, используемой для АНП; – принятые допущения и ограничения; – обоснованные оценки ВОП и соответствующие показатели неопределенности; – методы и результаты анализа исследования зависимостей между действиями персонала и результаты анализа зависимостей. 7.6.12 Методы анализа надежности персонала представлены в приложении Е. 7.7 Принципы разработки вероятностной модели объектов МН 7.7.1 Интегральную модель ОМН, логически связывающую модели систем, модели действий персонала и модели АП для каждой группы ИС, адекватно отражающую функционирование исследуемого ОМН, взаимодействие систем и их элементов, действия персонала и наличие зависимостей следует разработать. 7.7.2 С целью своевременного учета изменений, осуществляемых на объекте, следует предусмотреть возможность корректировки интегральной модели ОМН. 7.7.3 Принципы разработки вероятностной модели представлены в приложении Ж. 7.8 Процедуры выполнения количественных расчетов ВАБ 7.8.1 Результатом количественных расчетов ВАБ является количественный анализ модели ВАБ и получение оценки частоты неуспешных конечных состояний при возникновении внутренних инициирующих событий. 7.8.2 При выполнении количественных расчетов ВАБ должно проводиться определение минимальных сечений АП и их вероятностных характеристик на основе разработанных логических моделей ОМН, данных по надежности элементов, частот инициирующих событий и вероятностей ошибок персонала. 7.8.3 Для исключения потери зависимостей между ошибками персонала на этапе предварительного количественного анализа расчеты следует выполнять при значениях ВОП равных единице. Не следует вводить ограничения на количество элементов в минимальных сечениях. При проведении предварительных количественных анализов необходимо идентифицировать все минимальные сечения, содержащие более одной ошибки персонала. На этапе окончательного анализа для всех подобных минимальных сечений следует учитывать зависимости между действиями персонала. 7.8.4 Окончательный количественный расчет рекомендуется выполнять итеративно, изменяя (если это потребуется в связи с большими размерами модели) ограничения на вероятность минимальных сечений и количество элементов в минимальных сечениях до тех пор, пока разница в оценке ЧП МН на окончательном шаге не составит менее 0,1% от частоты, оцененной на предыдущем шаге итеративного процесса. Ограничения следует выбирать таким образом, чтобы обеспечивать получение оценок значений ЧП МН для всех групп ИС, рассматриваемых в ВАБ. 7.8.5 Все условия и данные, учтенные при выполнении количественных расчетов, следует документировать для обеспечения возможности воспроизведения полученных результатов. В документации следует представлять все количественные данные (частоты ИС, показатели надежности, ВОП, «особые события», «условные события» и т.д.), используемые в модели ВАБ при выполнении количественных расчетов, а также информацию о способах учета зависимостей между действиями персонала в модели ВАБ. 7.8.6 Описание процедуры выполнения ВАБ представлено в приложении И. 7.9 Основные принципы анализа неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ 7.9.1 Результатом анализа неопределенности должны быть оценки неопределенности частот ИС, показателей надежности элементов и систем, вероятностей ошибок персонала и оцененного значения ЧП МН. Результатом анализа чувствительности должна быть оценка влияния принятых допущений на результаты ВАБ и оценка влияния мероприятий, рекомендованных на основании результатов ВАБ, с учетом их зависимости от принятых допущений. Результатом анализа значимости должно быть выявление факторов, наиболее влияющих на оцененные частоты неуспешных конечных состояний. Такими факторами должны быть: –частоты инициирующих событий; –показатели надежности элементов и систем; –вероятности ошибок персонала. 7.9.2 Анализ следующих типов неопределенности следует выполнять: – параметрическая неопределенность (анализ данных и ошибок персонала); – неопределенность, связанная с принятыми допущениями и ограничениями анализа; –неопределенность, связанная с неполнотой знаний о развитии физических процессов и с погрешностью программных средств и моделей. 7.9.3 Анализ чувствительности следует проводить по всем идентифицированным в ВАБ факторам, которые значительно влияют или могут повлиять на результаты и выводы ВАБ. 7.9.4 При анализе чувствительности к принятым допущениям и упрощениям следует: – рассматривать все принятые допущения и упрощения, влияющие на результаты ВАБ; – рассматривать технические обоснования принятых допущений со ссылками на использованные анализы, мнение экспертов или нормативные документы и требования; – оценивать влияние допущений на результаты и выводы ВАБ. 7.9.5 Оценки влияния допущений следует выполнять как индивидуально для каждого допущения, так и в совокупности для всех допущений при консервативном и оптимистичном их рассмотрении. 7.9.6 В результате анализа чувствительности следует показать степень зависимости результатов ВАБ от принятых допущений и подходов анализа. 7.9.7 Анализ значимости в отношении различных составляющих модели ВАБ (ИС, отказов систем и элементов систем, ошибок персонала и т.п.) следует выполнять. 7.9.8 Анализ значимости следует выполнять с использованием методов, основанных на оценке снижения (увеличения) ЧП при постулировании отсутствия (наличия) нежелательного состояния элементов интегральной модели ВАБ. 7.9.9 Результаты анализов неопределенности, чувствительности и значимости следует приводить в отчетной документации ВАБ. 7.9.10 Подробное описание основных принципов анализа неопределенности, чувствительности и значимости результатов количественных расчетов ВАБ представлено в приложении К. 7.10 Определение ущерба природной среде при авариях на магистральных нефтепроводах Оценка величины ущерба окружающей среде при разрыве нефтепровода производится согласно «Методике определения ущерба окружающей природной среде при авариях на магистральных нефтепроводах» [4]. 7.11 Основные принципы анализа, интерпретации и представления результатов 7.11.1 По результатам количественного анализа следует представлять информацию о наиболее значимых АП. 7.11.2 Полученные при анализах неопределенности и чувствительности результаты, следует описывать и интерпретировать: – результаты анализа неопределенности с указанием основных источников неопределенности, связанных с каждой значимой АП; – результаты анализа чувствительности к различным факторам наиболее значимых АП и оценок частот анализируемых последствий; – оценку влияния неопределенностей на результаты ВАБ. 7.11.3 Результаты, полученные при анализе значимости, следует описывать и интерпретировать. 7.11.4 Выводы, полученные на основе анализа результатов ВАБ, следует представлять, при этом необходимо приводить: – оценку уровня безопасности ОМН; – перечень выявленных наиболее значимых факторов, существенно влияющих на ЧПНС, оценку влияния неопределенностей на выводы и рекомендации ВАБ; – оценку достижения целей, поставленных в ВАБ. 7.11.5 Рекомендации по повышению уровня безопасности ОМН разрабатываются на основе полученных выводов и могут относиться как к необходимости выполнения дополнительных исследований, так и к изменениям на ОМН. 7.11.6 Подробное описание основных принципов анализа, интерпретации и представления результатов представлено в приложении Л. 7.11.7 Состав отчета по ВАБ приведен в приложении М. 7.11.8 Пример расчета ВАБ для НПС приведен в приложении Н. 8 РЕКОМЕНДАЦИИ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ ЭКСПЛУАТАЦИИ ОБЪЕКТА МН 8.1 Процесс безопасного проектирования представляет собой итеративный процесс, который повторяется до тех пор, пока не будет обеспечено соблюдение установленных критериев, в том числе параметров, определяемых с помощью ВАБ. Низкий уровень риска является нормативной целью для МН любого (наземного или морского) применения. 8.2 В случае невозможности достижения установленного уровня безопасности (при проектных параметрах эксплуатации), для достижения необходимого уровня безопасности осуществляется изменение параметров эксплуатации. 8.3. Изменение параметров эксплуатации может быть осуществлено при помощи внедрения технических решений и проведения мероприятий, направленных на повышение безопасности эксплуатации ОМН. 8.4 Технические и организационные решения, принимаемые для обеспечения безопасности МН, должны быть апробированы опытом эксплуатации и соответствовать требованиям нормативных документов на всех стадиях жизненного цикла МН [9]. Для новых технических решений, не имеющих опыта эксплуатации, расчетным или расчетно-экспериментальным путем должно быть подтверждено соответствие уровней показателей безопасности для этих решений требованиям п.п.8.4.8–8.4.10 РД «Вероятностный анализ безопасности магистральных нефтепроводов. Общие положения» на всех стадиях жизненного цикла МН. 8.5 К новым техническим решениям относятся [10], [11]: – технические решения по применению труб (применение труб повышенной эксплуатационной надежности – трубы повышенного класса прочности повышенной эксплуатационной надежности); – технические решения по проектированию трубопровода (изменение – в сторону повышения– категории трубопровода); – технические решения типа «труба в трубе»; – расстановка дополнительных задвижек; –расстановка интеллектуальных вставок (средства контроля деформационных напряжений в теле трубы — «интеллектуальные вставки»: участки трубы заводского изготовления с вмонтированными датчиками, фиксирующими изменения напряжений в теле трубы (от сейсмических колебаний и подвижек грунта в зонах тектонических разломов и оползневых явлений)); – в сейсмоопасных районах – расстановка сейсмостанций; – модернизация СОУ – установка датчиков системы СОУ на каждой задвижке по данному участку трубопровода и интеграцию этой системы в общую систему автоматизации и управления трубопроводом; – сокращение интервала между проведением внутритрубной диагностики; – дополнительное обвалование резервуаров и других площадных объектов; – автоматическая система контроля и отключения аварийных участков, наиболее опасных в сейсмическом отношении; – ограничения радиуса упругого изгиба в районах с сейсмичностью свыше 8 баллов; – специальные технические решения в зонах активных тектонических разломов и местах резкого изменения сейсмических свойств грунтов (рыхлые грунты при засыпке); – усиление неподвижных опор при надземной прокладке в сейсмических районах; –применение технологии наклонного направленного бурения и микротоннелирования на переходах через водные преграды; – рубежи боновых заграждений для задержания разливов нефти. 8.6 После выбора и применения технических мероприятий повторно проводится процедура ВАБ. ПРИЛОЖЕНИЕ А (обязательное) СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТНОГО УРОВНЯ Системы электрохимической защиты (ЭХЗ) системы катодной защиты системы протекторной защиты системы дренажной защиты системы ЭХЗ прочие Система Сглаживания Волн Давления (ССВД) ССВД прямого действия ССВД от внешних источников питания Системы ССВД прочие Системы обнаружения утечек (СОУ) системы сбора информации об утечках от ЛЧМН системы параметрического обнаружения и определения местоположения утечек системы сбора утечек и дренажа от насосных станций системы сбора утечек и дренажа от технологического оборудования системы СОУ прочие Системы оповещения и управления эвакуацией системы звукового оповещения системы звукового и светового оповещения системы речевого и светового оповещения системы речевого и светового оповещения с разделением здания на зоны пожарного оповещения и обратной связью зон оповещения с помещением пожарного поста-диспетчерской системы оповещения и управления эвакуацией прочие Системы противопожарной защиты системы обнаружения пожаров, извещения и оповещения о пожарах системы контроля и управления пожаротушением системы пенного пожаротушения системы порошкового пожаротушения системы газового пожаротушения системы водяного пожаротушения системы пожаротушения тонкораспыленной водой системы противопожарной защиты прочие (стационарные системы орошения) Системы инженерно-технических средств охраны системы инженерных средств охраны системы технических средств охраны системы инженерно-технических средств охраны Системы автоматики и телемеханики системы автоматической защиты Системы электроснабжения источники бесперебойного питания (дизельгенераторы) Система стабилизации многолетнемерзлых грунтов основания сооружений (система «ВЕТ»- вертикальная, естественно действующая, трубчатая ПРИЛОЖЕНИЕ Б (справочное) ПЕРЕЧЕНЬ ВОЗМОЖНЫХ ИСХОДНЫХ СОБЫТИЙ Б.1. Непосредственные причины отказов, ошибок персонала 1.1. МЕХАНИЧЕСКИЕ ПОВРЕЖДЕНИЯ 1.1.0 Прочие. 1.1.1 Коррозия, эрозия. 1.1.2. Износ, неудовлетворительная смазка. 1.1.3. Усталость 1.1.4 Дефект сварного шва 1.1.5 Внутренний дефект материала 1.1.6.Перегрузка (превышение допустимых механических напряжений). 1.1.7. Вибрация. 1.1.8. Исчерпание ресурса. 1.1.9.Блокирование, ограничение движения, заклинивание, защемление. 1.1.10.Деформация, перекос, сдвиг, ложное перемещение, разъединение, ослабление связи. 1.1.11.Ослабление крепления к фундаменту, строительным конструкциям, разрушение фундамента, строительных конструкций. 1.1.12. Внешнее механическое воздействие. 1.1.13. Загрязнение, попадание инородных предметов 1.1.14 Собственно механические повреждения (риска, царапина, задир, продир, поверхностная вмятина, риска во вмятине). 1.2. НЕИСПРАВНОСТИ В ЭЛЕКТРОУСТАНОВКАХ И ЭЛЕКТРИЧЕСКИХ СЕТЯХ 1.2.0. Прочие. 1.2.1. Повреждение от короткого замыкания, статического электричества, искрения. 1.2.2. Отклонение электрических параметров от нормативных параметров. 1.2.3. Нарушение целостности электрической цепи. 1.2.4. Нарушение изоляции. 1.2.5. Повреждение элементов электроустановок и электрических сетей. 1.3. ВОЗДЕЙСТВИЯ ХИМИЧЕСКИЕ 1.3.0. Прочие. 1.3.1. Химическое загрязнение, шлам, накипь. 1.3.2. Пожар, возгорание, взрыв из-за химического взаимодействия. 1.3.3. Неконтролируемая химическая реакция. 1.3.4.Неудовлетворительная химическая технология или не соответствующий требованиям химический контроль. 1.4. ГИДРАВЛИЧЕСКИЕ ВОЗДЕЙСТВИЯ 1.4.0. Прочие. 1.4.1. Гидравлический удар, ненормальное давление. 1.4.4. Кавитация. 1.4.5. Газовая пробка. 1.4.6. Наличие влаги в воздушной системе 1.5.НЕИСПРАВНОСТИ В КОНТРОЛЬНО-ИЗМЕРИТЕЛЬНЫХ СИСТЕМАХ 1.5.0. Прочие. 1.5.1. Ложный сигнал. 1.5.2. Колебание измеряемого параметра. 1.5.3. Смещение уставки, смещение "нуля". 1.5.4. Неправильное показание параметра. 1.5.5. Потеря сигнала, отсутствие сигнала; 1.5.6. Наводки в цепях автоматики; 1.5.7. Проявления статического электричества в цепях автоматики; 1.5.8 Нарушение целостности цепей автоматики; 1.5.9 Разрушение элементов автоматики и цепей автоматики. 1.6. ОКРУЖАЮЩИЕ УСЛОВИЯ (внутренние воздействия) 1.6.0. Прочие. 1.6.1. Температура. 1.6.2. Давление. 1.6.3. Влажность. 1.6.4. Затопление. 1.6.5. Замерзание. 1.6.6. Неравномерность осадки фундамента. 1.6.7. Задымление. 1.6.8. Наводки. 1.7. ОКРУЖАЮЩАЯ СРЕДА (внешние воздействия) 1.7.0. Прочие. 1.7.1. Повреждение от опасных факторов проявления молнии. 1.7.2. Ливень, наводнение 1.7.3. Шторм (ураган), торнадо. 1.7.4. Землетрясение. 1.7.5. Понижение температуры воздуха. 1.7.6. Повышение температуры воздуха. 1.7.7. Воздушная ударная волна. 1.7.8. Падение летательного аппарата. 1.7.9. Обледенение. 1.8. ЧЕЛОВЕЧЕСКИЙ ФАКТОР - ОШИБКИ ПЕРСОНАЛА 1.8.0. Прочие. 1.8.1. Неправильное, некачественное выполнение технологических операций (ошибки при выполнении переключений, подключений). 1.8.2. Неправильное, случайное воздействие на элементы защиты и автоматики. 1.8.3. Самовольное производство работ, переключений и т.д. 1.8.4. Несогласованные действия. 1.8.5. Установка, ввод в работу непроверенной дефектной аппаратуры, элементов (с неисправными устройствами, узлами,); установка непроектных узлов, деталей. 1.8.6. Отсутствие контроля, некачественный контроль за состоянием систем (элементов) и выполняемыми технологическими операциями. 1.8.7. Преднамеренное вмешательство в работу автоматики. 1.8.8. Работа без программы, бланка переключений, наряда-допуска, отступление от программы работ, инструкции и других документов. 1.8.9. Некачественный ремонт, нарушение технологии ремонта. 1.8.10. Некачественная сварка. 1.8.11.Некачественная сборка (ненадежная затяжка, обжатие разъемных соединений, уплотнений и др.). 1.8.12. Некачественное послеремонтное испытание, обкатка. 1.8.13. Ошибки при инспекции, техническом обслуживании, испытании или настройке. Б.2. Коренные причины 2.1. Ошибка конструирования (включая изменения). 2.2. Ошибка проектирования (включая изменения). 2.3. Дефект изготовления. 2.4. Недостатки сооружения 2.5. Недостатки монтажа. 2.6. Недостатки наладки. 2.7. Недостатки ремонта, выполняемого сторонними (по отношению к МН) организациями. 2.8. Недостатки проектной, конструкторской и другой документации завода - изготовителя. 2.9. Недостатки управления МН и недостатки организации эксплуатации МН. 2.9.1. Недостатки эксплуатационной документации: 2.9.1.1. отсутствие документации; 2.9.1.2. неправильное или неоднозначное определение требований документации; 2.9.1.3.несвоевременное внесение изменений в документацию. 2.9.2. Непринятие необходимых мер или несвоевременное их принятие: 2.9.2.1.по обеспечению систем рабочими средами, запасными частями, узлами, агрегатами; 2.9.2.2.по изменению схемных решений систем, конструкции элементов, проектных решений и проектной документации, а также принятие мер без согласования с проектной, конструкторской организациями, изготовителем оборудования (элементов); 2.9.2.3. по устранению выявленных недостатков; 2.9.2.4.по соответствующему анализу технических решений, изменению проектных схем до выполнения работ по их реализации. 2.9.3. Недостаток процедуры допуска к работам по устранению дефектов, техобслуживанию и контроля за проведением этих работ. 2.9.4. Недостатки процедуры технического обслуживания, ремонта, выполняемых персоналом МН. 2.9.5. Проблемы связи или ошибки при передаче информации. 2.9.6. Недостатки подготовки персонала МН. 2.9.7. Недостатки в программе контроля: 2.9.7.1.за выявлением и устранением неработоспособности систем (элементов); 2.9.7.2.за выявлением и устранением недостатка процедур; 2.9.7.3.за выявлением и устранением недостатка подготовки персонала. ПРИЛОЖЕНИЕ В (справочное) ПРИНЦИПЫ МОДЕЛИРОВАНИЯ АВАРИЙНЫХ ПОСЛЕДОВАТЕЛЬНОСТЕЙ В.1 Методика анализа аварийных последовательностей В.1.1 Цель и задачи моделирования АП По результатам моделирования АП выполняется анализ систем, анализ надежности персонала, разрабатывается интегральная вероятностная модель блока АС и определяются сценарии для проведения дополнительных детерминистических анализов аварийных процессов. Анализ АП выполняется после выбора и группировки ИС. Моделирование аварийных процессов в ОМН для каждой группы ИС осуществляется посредством построения графов событий - деревьев событий или СФЦ. Графы событий разрабатываются последовательно для каждой группы ИС. Процесс их разработки включает предварительную и заключительную стадии. На предварительной стадии графы строятся с использованием принятых допущений и предварительных критериев успеха для функций безопасности и действий персонала. Предварительные критерии и принятые допущения могут уточняться в процессе анализа, что может потребовать проведения дополнительных теплогидравлических расчетов. На заключительной стадии графы событий корректируются согласно уточненным критериям и допущениям. Вообще говоря, процесс анализа итерационен, и графы событий могут модифицироваться на более поздних этапах ВАБ. При моделировании АП необходима информация, получаемая на этапе «Выбор и группировка исходных событий». Данная задача тесно связана и предоставляет исходную информацию для задач: – моделирование систем; – анализ надежности персонала; – сбор и анализ данных. В.1.2 Феноменология аварий Понимание феноменологии аварийных процессов, характерных для рассматриваемого ОМН, является важнейшим условием моделирования АП. Накопление и обобщение исходной информация об авариях выполняется по результатам детерминистского анализа аварий, представляемого в материалах технического обоснования безопасности ОМН, а также на основе изучения опыта эксплуатации аналогов. Феноменология аварий связана как с естественными процессами, характерными для ОМН определенного типа, так и с особенностями компоновочных, схемных и конструкторских решений ОМН. Необходимо представление о реализации в проекте ОМН глубоко эшелонированной защиты, основанной на применении системы барьеров безопасности, реализации мер по защите и сохранению эффективности этих барьеров, а также мер по защите персонала, населения и окружающей среды. Специфические условия аварии, когда выполнение функций безопасности может быть обеспечено разными системами, резервирующими друг друга, и когда это разнообразие (резервирование) нарушается следует определить. Особому вниманию подлежат выявленные по результатам проведенных исследований аварий специфические ("тонкие") взаимодействия систем, приводящие к отключению (невозможности использования), снижению эффективности тех или иных средств обеспечения безопасности ОМН, сокращению резервов времени, ухудшению условий доступа персонала к оборудованию, возможности совершения ошибочных действий, усугубляющих развитие аварии, и т.п. По результатам детерминистского анализа аварий формируется набор расчетных сценариев аварий («реперных» аварийных последовательностей). В.1.3 Методы моделирования АП Дерево событий (ДС) – графическая модель, описывающая логику развития различных вариантов аварийного процесса, вызываемого рассматриваемым исходным событием аварии. Принципы разработки ДС: – разработка ДС должна основываться на проектно-конструкторской и эксплуатационной документации, отражающей состояние ОМН в период разработки ВАБ с учетом возможных изменений, вносимых в документацию в процессе разработки ВАБ; – разработка ДС должна основываться на результатах анализов аварийных процессов, выполненных по специальным сценариям и с применением моделей, исходных данных и расчетных программ, обеспечивающих получение реалистических (не консервативных) результатов. Для каждого ИС должен быть определен перечень ФБ, структура, способы управления (автоматический или персоналом) системами, выполняющими каждую ФБ, и критерии их успешного функционирования. Критерии успеха представляют собой минимальные совокупности работоспособных элементов систем и успешных действий персонала, необходимых для выполнения ФБ при возникновении рассматриваемых ИС. Возможно моделирование с помощью аппарата схем функциональной целостности (СФЦ). При построении СФЦ используется 5 основных графических элементов: – функциональные вершины, предназначенные для отображения на графе СФЦ простых (бинарных) случайных событий х i (в частности, инициирующих событий), представляющих элементы i исследуемого ОНС в разрабатываемой структурной модели ее надежности и/или безопасности (насос, участок трубопровода, клапан, теплообменник, действия оператора и т.п.); – фиктивные вершины, предназначенные для отображения на графе СФЦ логических условий реализации функций группами элементов и подсистем ОНС, т.о. они выполняют функции, аналогичные логическим операторам в деревьях отказов; – конъюнктивные и дизъюнктивные ребра, предназначенные для отображения в СФЦ трех видов информации: 1) представления условия реализации yi или не реализации выходных функций элементами системы в точке исхода из вершины х i ; 2) направленности функционального подчинения от точки исхода из вершины х i в точку захода в вершину х j ; 3) представления логического условия обеспечения реализации выходной функции yi элемента j системы в точке захода в вершину х j . – инверсный выход ребра из вершины х i , предназначенный для представления условия не реализации выходной функции элементом i в исследуемой системе. При построении ДС и СФЦ, основанных на обратной логике, применяется практически одна и та же методология. Поэтому в дальнейшем дается описание этой методологии без подразделения на особенности построения именно ДС или СФЦ. Исключение делается только в совершенно необходимых случаях, как правило, тогда, когда это касается особенностей разработки именно ДС. ДС (СФЦ) разрабатывается для каждого ИС (группы ИС). При этом учитываются особенности всех ИС, включенных в данную группу, и связанных с ними сценариев развития аварий. Перечень систем и действий персонала, влияющих на развитие аварии, может отличаться для разных ИС (групп ИС). В частности, для особых ИС, приводящих к зависимым отказам систем безопасности, их перечень может сократиться. При этом более детально рассматриваются возможные технические средства управления аварией. Конечное состояние каждой АП определяется в терминах, характеризующих степень повреждения ОМН. Обычно различают два состояния: безопасное состояние и состояние с повреждением ОМН. ДС (СФЦ) разрабатывается непосредственно или с использованием промежуточного шага – построения диаграммы последовательности событий (ДПС). ДПС – промежуточная модель, описывающая развитие аварийных процессов на ОМН, и являющаяся более подробной, нежели ДС (СФЦ). Создание ДПС обеспечивает более надежный способ корректного моделирования работы и взаимодействия различных систем, и действий персонала. Непосредственное построение ДС (СФЦ) основано на рассмотрении функций безопасности, выполнение которых необходимо при возникновении ИС. Функции безопасности используются для определения систем, участвующих в ликвидации аварии, и требуемых действий персонала, а также разработки критериев успеха для них. На рисунке В.1.1 приведен общий вид ДС и показаны основные его элементы. Рисунок В.1.1 – Общий вид дерева событий В.1.4 Допущения и ограничения Моделирование АП практически во всех случаях предполагает использование ряда допущений и упрощений, обусловленных сложностью и неопределенностью физических характеристик протекающих аварийных процессов, а также ограниченностью используемых методов моделирования (логического инструмента). Предполагается, что обслуживание и функционирование оборудования характеризуется двумя состояниями (полная работоспособность/неработоспособность, полное восстановление/невосстановление). Как правило, в методологии ВАБ для элементов и систем не различаются промежуточные состояния (частичное открытие клапана) и изменение производительности (снижение расхода для насоса). В случае зависимости функциональных событий от времени, стандартная аналитическая модель ДО не позволяет корректно рассчитывать частоты АП. Однако этого ограничения можно избежать, используя методы аналитико-статистического моделирования. При построении ДС (СФЦ) необходимо ясно и полно описывать допущения и ограничения принятые при моделировании АП. Необходимо ясное представление о том, какие упрощения и ограничения накладываются физическими свойствами протекающих аварийных процессов, а какие являются следствием ограниченности метода ДС, как инструмента моделирования. В.1. 5 Определение конечных состояни й Конечное состояние ОМН - устойчивые, управляемые состояния систем и компонентов после аварии. При построении ДС (СФЦ) каждой АП приписывается некоторое конечное состояние. Конечное состояние АП определяется в терминах, описывающих состояние ОМН, то есть уровня его повреждения. В практике проведения ВАБ сложились следующие обозначения для конечных состояний: CD - состояние с повреждением ОМН; OK - безопасное состояние. Повреждение ОМН (CD) является общим аварийным конечным состоянием, используемым в ВАБ. В зависимости от объема работ по ВАБ могут быть введены несколько возможных степеней “повреждения ОМН ”. В.1.6 Построение дерева событий В.1.6.1 Использование диаграммы последовательности событий ДПС - диаграмма, описывающая развитие аварийных процессов в ОМН при возникновении ИС (группы ИС). В зависимости от различных вариантов срабатывания/отказа систем и успешных/неуспешных действий персонала, ДПС характеризует состояние ОМН с точки зрения степени повреждения ОМН. ДПС строятся и используются для более подробного, чем это возможно в ДС (СФЦ), описания расчетных сценариев развития аварии, для которых выполнен детерминистский анализ физических процессов. ДПС служат в качестве промежуточного инструмента для систематизации и наглядной обработки исходной информации по анализу аварий при моделировании АП. В ДПС для расчетных сценариев развития аварии отражаются хронология событий, основные этапы выполнения алгоритма защитных действий систем, взаимосвязи событий (взаимодействие систем), меры управления аварией и резервы времени для действий персонала, состояния ОМН. ДПС представляются в виде схем (рисунок В.1.2) или в табличной форме. При построении ДС (СФЦ) с использованием ДПС, для каждого ИС (группы ИС) на основе проектной и эксплуатационной документации разрабатывается ДПС, отражающая специфику развития аварии для данного ИС. ДПС описывает основные системы и действия персонала, необходимые для предотвращения аварии, и содержит причинно-следственные связи между срабатыванием/отказом систем и состоянием ОМН. Пример ДПС приведен на рисунке В.1.2. Рисунок В.1.2 – Пример диаграммы последовательности событий При построении ДС (СФЦ) на основе ДПС, порядок функциональных событий (отказов систем, действий персонала) и конечные состояния АП определяется согласно имеющейся ДПС. Для каждого функционального события, включенного в ДС (СФЦ), определяется и документируется критерий успеха. При рассмотрении группы ИС возможна ситуация, при которой критерий успеха для функционального события отличается для различных ИС в группе. В таком случае выбирается критерий, предъявляющий наибольшие требования к работоспособности системы. Список критериев успеха для функциональных событий документируется. В.1.6.2 Разработка перечня функций безопасности Функция безопасности – специфическая конкретная цель и действия, обеспечивающие ее достижение, направленные на предотвращение аварий или ограничение их последствий. Для рассматриваемых в ВАБ ИС определяется перечень функций безопасности, выполнение которых необходимо для достижения безопасного конечного состояния. Ниже перечислены некоторые функции безопасности, присущие ОМН: – аварийная остановка насосного агрегата (аварийная защита); – аварийный слив нефти в резервуары; – локализация места выхода нефти в ОПС. В рамках ВАБ при моделировании АП, перечень функций безопасности может быть расширен за счет детализации основных функций, в зависимости от особенностей ОМН. Действия персонала связаны с системами, выполняющими функции безопасности, и, как правило, не требуется выделять какие-либо специфические "функции персонала" (за исключением, может быть, функциональных событий, обусловленных ошибочными действиями, усугубляющими развитие аварии). По результатам разработки перечня функций безопасности необходимо отразить взаимосвязи между функциями и системами, их выполняющими. В.1.6.3 Разработка перечня систем безопасности и действий персонала для каждой функции безопасности На данном этапе определяются системы и действия персонала, необходимые для надлежащего выполнения каждой функции безопасности. Для каждой функции безопасности все действия персонала и системы безопасности (поодиночке или в комбинации с другими системами), выполняющие эту функцию, должны быть определены и задокументированы. На начальной стадии эта задача может быть выполнена на основе существующих теплогидравлических расчетов и качественного технического анализа. В дальнейшем, для уменьшения консерватизма перечень «Функции – системы» может быть откорректирован, на основе дополнительного анализа. Перечень функций безопасности и необходимых систем для каждой функции безопасности документируется. Перечень доаварийных действий (ошибок), способных блокировать работу систем или отдельных их каналов, разрабатывается в задаче моделирования систем. Доаварийные ошибочные действия персонала, инициирующие аварию, анализируются при выборе перечня исходных событий в задаче выбора и группирования ИС. Действия (ошибки) персонала при управлении аварией в общем случае можно представить следующими категориями: а) включение в работу (согласно инструкции) систем, для которых не предусмотрено автоматическое управление; б) дублирование (согласно инструкции) автоматического управления системами; в) ввод в действие технических средств управления аварией; г) ошибочные действия, усугубляющие развитие аварии. По характеру действий персонала следует выделить действия на пульте управления, то есть которые могут быть выполнены оператором относительно быстро, и действия по месту расположения оборудования, для выполнения которых требуется дополнительный резерв времени и привлечение персонала по месту. Указанные выше категории действий персонала следует дополнить действиями, направленными на восстановление отказавшего оборудования (систем). В практике ВАБ интервал моделирования аварийных последовательностей (и времени функционирования систем безопасности) выбирается обычно 24 ч – и на этом интервале действия по восстановлению отказавшего оборудования, как правило, не учитываются. Перечень действий (ошибок) персонала при управлении аварией разрабатывается поэтапно. При этом не следует заведомо стремиться к большому количеству рассматриваемых действий, так как это может неоправданно усложнить логическую модель установки. Первоначально при моделировании АП могут быть рассмотрены лишь действия первой из указанных выше категорий "а" – применительно к наиболее значимым (наиболее эффективным) системам безопасности. Необходимость включения в модели АП действий по дублированию автоматического управления системами (действия второй категории – "б") следует оценить с учетом предварительного анализа надежности управляющих систем и резервов времени на выполнение действий (возможны экспертные оценки "результативности" учета таких действий). Действия по использованию технических средств управления аварией целесообразно включать в модели по результатам предварительного количественного анализа аварийных последовательностей. Определение ошибочных действий, усугубляющих развитие аварии, представляет собой специфическую задачу при моделировании АП и требует углубленного анализа особенностей физических процессов, взаимосвязей событий, поиска мотиваций усугубляющих ошибок, сопутствующих выполнению каких-либо действий персонала, предписанных инструкциями, и, как правило, строится на основе учета реального опыта инцидентов на действующих ОМН. В.1.6.4 Разработка перечня критериев успеха Для каждого ИС (группы ИС) должен быть определен перечень критериев успеха для функций безопасности. Критерий успеха для функции безопасности суть минимальные требования к работоспособности системы, необходимой для выполнения функции безопасности, или минимальный перечень систем, выполняющих данную функцию безопасности, совместно с критериями успеха для этих систем. Время реакции и требуемые действия персонала являются частью критериев успеха. Как и в случае разработки перечня систем безопасности для функций безопасности, критерии успеха для функций безопасности формулируются на основе теплогидравлического анализа процессов рассматриваемого ОМН. Для определения критериев успеха в некоторых АП может потребоваться проведение дополнительных теплогидравлических расчетов. Для каждого исходного события список критериев успеха документируется. В критериях успеха исполнительных систем необходимо учесть возможные зависимые отказы отдельных каналов систем вследствие исходного события (снижение резервирования систем при "особых" исходных событиях), требования к обеспечению производительности каналов или другим характеристикам, влияющим на развитие аварии. В.1.6.5 Построение деревьев событий (СФЦ) Построение ДС (СФЦ) рекомендуется проводить в два этапа – сначала строится «функциональное» ДС (СФЦ), описывающее выполнение/невыполнение набора необходимых функций безопасности, затем события «функционального» дерева детализируются до уровня отдельных систем/действий персонала. Функциональное ДС (СФЦ) - модель последовательной реализации функций безопасности при возникновении определенного ИС (группы ИС). События в функциональном дереве определяются функциями безопасности, необходимыми для приведения ОМН в безопасное состояние. Каждая функция безопасности характеризуется набором систем, осуществляющих данную функцию. Определение необходимых функций безопасности может являться предварительным критерием группировки ИС. В процессе разработки функционального ДС (СФЦ) целесообразно принять во внимание временные отношения между потребностью в каждой функции. Обычно функции безопасности, требуемые сначала, помещаются в дерево (СФЦ) левее. Рисунок В.1.3 содержит пример функционального ДС. Рисунок В.1.3 – Функциональное дерево событий (пример) Системные ДС (СФЦ) – графические диаграммы, отображающие логику различных вариантов развития аварии в зависимости от успешных/неуспешных действий систем и персонала, требуемых для предотвращения повреждения ОМН. Системные ДС (СФЦ) строятся на основе функциональных деревьев (СФЦ) с использованием перечня систем безопасности и действий персонала, разработанного ранее для каждой функции безопасности. Пример перехода от функционального дерева к системному представлен на рисунке В.1.4. Аварийный останов Слив нефти в резервуары Разрыв МН Система контроля и управления Система аварийного останова Система отсечения аварийного участка Система управления задвижками на трубопроводах приема подачи нефти из резервуаров № Рисунок В.1.4 – Переход к системному дереву событий Срабатывание/отказ системы (группы систем) представляется в системном ДС (СФЦ) в виде функционального события. Основные системы обычно располагаются в ДС (СФЦ) в хронологическом порядке. Хронологическое упорядочивание означает, что события рассматриваются в той же последовательности, в которой ожидаются в ходе развития аварии (рисунок В.1.5). Система аварийного останова ………. Система управления задвижками на трубопроводах приема подачи нефти из резервуаров Время реагирования Немедленно ……….. После срабатывания системы аварийного останова Рисунок В.1.5 – Хронологическое упорядочивани е срабатывания систем (пример) При определении порядка функциональных событий в ДС (СФЦ) необходимо учитывать межсистемные зависимости. А именно, системы, для успешной работы которых необходимо срабатывание других систем, включаются в ДС (СФЦ) после тех систем, от которых они зависят (рисунок В.1.6). Рисунок В.1.6 – Межсистемная зависимост ь (пример) Режим работы систем и оборудования также может влиять на порядок событий в дереве, см. рисунок В.1.7. В данном примере функциональное событие «Отказ системы А при работе» должно быть помещено после события «Отказ системы А при запуске». Рисунок В.1.7. – Влияние режима работы систем и оборудования на порядок функциональных событий (пример) При разработке системных ДС (СФЦ) рекомендуется использовать принцип - “малые ДС - большие ДО”. При данном подходе, для каждой группы ИС системные ДС (СФЦ) включают только основные системы и действия персонала. Действия персонала, специфические для конкретной аварии (ИС) рекомендуется включать как отдельные события в ДС (СФЦ). Набор основных систем в ДС (СФЦ) определяет объем работы в задаче анализа систем (построение ДО (СФЦ)). Обозначения (названия) функциональных событий в ДС (СФЦ) должны совпадать с обозначениями верхних событий в соответствующих ДО (СФЦ). Возможна ситуация, когда в пределах одного ДС (СФЦ) имеются различные критерии успеха для одной и той же системы (в зависимости от АП) и, как следствие, возникает необходимость включения в ДС (СФЦ) различных функциональных событий для этой системы. Для корректного моделирования вышеописанной ситуации возможны подходы, приведенные ниже. Подход 1. В ДС (СФЦ) определяются различные функциональные события, соответствующие различным критериям успеха (рисунок В.1.8). Подход 2. Если расчетный код, используемый для квантификации (вычисления количественных вероятностных показателей), позволяет присоединять к различным ветвлениям дерева, соответствующим одному функциональному событию, различные деревья отказов, то введения множественных функциональных событий для системы не требуется. В данном случае, в разных точках ветвления используются различные ДО (СФЦ), соответствующие различным критериям успеха (рисунок В.1.9). Рисунок В.1.8 – Различные критерии успеха системы – несколько функциональных событий Рисунок В.1.9 – Неявное моделирование различных критериев успеха системы Ниже приведены общие этапы и правила построения ДС (СФЦ): – построение функционального ДС (СФЦ), в котором события определяются выполнением или невыполнением функций безопасности, необходимых для приведения ОМН в безопасное состояние (функциональное ДС (СФЦ) - промежуточный этап, который может быть пропущен, особенно если набор функций мал); – переход от функций безопасности к системам, их выполняющим – построение системного ДС (СФЦ); – определение состава комплексов систем ДС (СФЦ) (объединение исполнительных и вспомогательных (управляющих, обеспечивающих) систем, действий персонала) и соответствующих функциональных событий для комплексов; – действия персонала, специфичные для данной аварии (исходного события), предпочтительно включать в ДС (СФЦ) как отдельные функциональные события; – в ряде случаев может быть целесообразным включение в перечень систем ДС (СФЦ) не только исполнительных, но и отдельных вспомогательных систем, если в такой структуре моделируемые АП будут более представительно отражать важные особенности сценариев развития аварии; – для моделируемых функций и систем, их выполняющих, устанавливаются причинно-следственные взаимосвязи, и системы (по возможности) располагаются в ДС (СФЦ) в хронологическом порядке, то есть в той же последовательности, в которой события ожидаются в процессе развития аварии; – хронологическое расположение систем в ДС (СФЦ) осуществляется по разработанным ДПС, при этом в случае одновременного включения в работу двух или более систем порядок расположения в ДС (СФЦ) определяется с учетом их взаимосвязей; – при межсистемных взаимосвязях "зависимые" системы располагаются в ДС (СФЦ) после систем, оказывающих влияние на другие системы; – при отказе систем, оказывающих влияние на другие системы, функциональные события для соответствующих "зависимых" систем не разветвляются (удаление ветвлений) – отказ одной системы влечет за собой невозможность успешного выполнения своих функций другой системой; – функциональные события для резервных систем не разветвляются, если успешно функциональное событие основной системы ("первого эшелона") и при этом работа резервной системы одновременно с основной не изменяет конечных состояний всех АП, связанных с работой основной системы; – если при успешном функционировании некоторых впереди расположенных (в ДС (СФЦ)) систем для АП принимается успешное конечное состояние, то функциональные события последующих систем в продолжение АП не разветвляются – отказ/успех последующей системы не влияет на конечное состояние, связанное с данной АП; – если при отказе некоторой впереди расположенной (в ДС (СФЦ)) системы для АП принимается неуспешное конечное состояние, то функциональные события последующих систем в продолжение АП не разветвляются – отказ/успех последующей системы не влияет на конечное состояние, связанное с данной АП; – если не удается однозначно определить приоритет каких-либо систем при их расположении в ДС (СФЦ), то наборы АП (и соответствующие конечные состояния) определяются перебором всех возможных комбинаций функциональных событий, связанных с такими системами. Особенности построения ДС с взаимосвязями типа резервирование, зависимый отказ или неэффективность систем показаны на рисунке В.1.10. Система А Система Б Система В Система Г Система Д Последствия · · · · Не нужна · Не нужна · Не нужна · OK · · · · · В резерве · · OK · · · · · · · CD · · · · · · · OK · · · · · · · CD · · · · · · Не эффективна · CD · · · · Зависима · Зависима · · OK · · · · · · · CD · · · · Зависима · Зависима · Не эффективна · CD · · · · · · · Рисунок В.1.10 – Характерные взаимосвязи систем в дереве событий В.1.7 Учет зависимостей при построении деревьев событий (СФЦ) Важным, с точки зрения выявления межсистемных зависимостей, является анализ инцидентов, имевших место в процессе эксплуатации действующих объектов. Анализ зависимостей проводится в процессе построения ДС (СФЦ) и определения критериев успеха систем на основе детерминистского учета существующих зависимостей между системами и элементами. ИС влияют на набор систем, необходимых для приведения ОМН в безопасное состояние, на критерии успеха систем (ограничивают применение некоторых систем). Следствием ряда ИС являются зависимые отказы отдельных систем обеспечения безопасности, что оказывает влияние на группирование ИС. Проявление зависимости первого типа характерно, например, для потери электроснабжения, когда требуется функционирование систем аварийного и резервного электроснабжения для ряда моделируемых систем. Структурно-функциональная зависимость проявляется, например, в зависимости систем безопасности от системы подачи сжатого воздуха к пневмоприводам арматуры. Требуется специальный инженерный анализ влияния отказов системы вентиляции помещений на сценарии развития аварий: по условиям работоспособности оборудования, аппаратуры систем управления, а также доступа к оборудованию по месту. Влияние физических процессов на эффективность систем безопасности, на условия их работоспособности, на условия выполнения персоналом действий по управлению аварией (резервы времени, доступность оборудования и др.) необходимо проанализировать. К зависимостям, которые могут быть обусловлены как физическими процессами, так и функциональными связями, относятся так называемые "тонкие" взаимодействия. "Тонкие" взаимодействия выявляются при эксплуатации действующих объектов, а также используется опыт анализа для других ОМН. Так, например, отказы (незакрытие) обратных клапанов в группе насосов при отключении одного из них приводят к снижению расхода в контуре циркуляции, так как образуется байпасная линия (такая зависимость может быть учтена в моделях соответствующих систем). Условия развития аварии следует учитывать при анализе действий персонала по управлению аварией. Например, в аварии с пожаром на ПС, которая усугубляется отказом цепей автоматического и дистанционного управления арматурой, персонал не сможет управлять арматурой по месту. В.1.7.1 Функциональные зависимости На примере простого ДС (СФЦ) рассмотрим различные функциональные зависимости среди основных систем (рисунок В.1.11). Рисунок В.1.11 – Дерево событий (пример) 1 2 3 3 Рисунок В.1.12 – СФЦ (пример) На рисунке В.1.12: 1 – исходное событие; 2 – условие успешного функционирования системы А; 3 – условие успешного функционирования системы Б. Для иллюстрации влияния функциональных зависимостей, предположим, что работа системы Б не требуется при срабатывании системы А. Это изменило бы дерево событий, как показано на рисунке В.1.13. Рисунок В.1.13 – Влияние зависимости типа "нет необходимости" С использованием изобразительных средств СФЦ данный рисунок примет более простой вид (рисунок В.1.14): ИС А Б Рисунок В.1.14 – Влияние зависимости типа "нет необходимости" с помощью СФЦ Другой пример функциональной зависимости, где система Б может работать только при успешной работе системы А, отражен на рисунке В.1.15 Рисунок В.1.15 – Влияние зависимости типа "событие невозможно" С помощью СФЦ указанная зависимость будет отображаться так, как показано на рисунке В.1.16. ИС А Б Рисунок В.1.16 – Влияние зависимости типа "событие невозможно" Если отказ одной системы влечет за собой невозможность успешного выполнения своих функций другой системой, то это ведет к удалению ветвлений ДС. Удаление ветвлений происходит также в случае, если отказ/успех некоторой системы не влияет на конечное состояние МН, связанное с данной АП. По возможности, ДС (СФЦ) упрощаются структурно путем переупорядочивании функциональных событий с учетом межсистемных зависимостей. В.1.7.2 Общие элементы оборудования При использовании современных компьютерных кодов для ВАБ не требуется специального рассмотрения зависимостей между системами, вызванных наличием общих элементов оборудования. Для иллюстрации случая с наличием общего оборудования, предположим, что ДО, разработанные для систем А и Б содержат одни и те же базовые события отказов оборудования, а именно отказы элементов А и F (рисунок В1.17). Рисунок В.1.17 – Деревья отказов с общими элементами оборудования СФЦ, аналогичные деревьям отказов, представлены на рисунке В.1.18. А В Д E A F G C F Рисунок В.1.18 – СФЦ с общими элементами оборудования При корректном расчете минимальных сечений для АП, ДО для систем автоматически объединяются, с учетом того, отказала или сработала система в данной АП. Для последовательности 3 (рисунок В.1.11), например, ДО строится для верхнего события «отказ системы А, система Б работает». ДО для АП строится на основе ДО систем путем объединения их по логике «И». При этом, так как система B считается работоспособной, то ДО для нее «инвертируется», что соответствует логическому отрицанию события «отказ системы Б». ДО для последовательности 3 показано на рисунке В.1.19, а СФЦ –на рисунке В.1.20. Рисунок В.1.19 – Дерево отказов аварийной последовательности A B D E A F G C F Рисунок В.1.20 – СФЦ аварийной последовательности В.2 Примеры построения ДС Опасности в системе объекта МН могут возникать в результате различного рода дефектов и ошибок. В свою очередь ошибки и дефекты могут привести к нарушению нормального функционирования системы объекта МН с нежелательными последствиями. Рисунок В.2.1 – Схема классификации опасностей на МН На основе данной схемы можно идентифицировать и классифицировать любую опасность системы МН или ее объекта. На рисунке В.2.2 представлено дерево отказов для аварии на линейной части МН. Рисунок В.2.2 – Дерево отказов линейной части МН ПРИЛОЖЕНИЕ Г (справочное) АНАЛИЗ НАДЕЖНОСТИ СИСТЕМ Анализ надежности систем проводится для разработки логических моделей систем для всех моделируемых функций, в которых задействована анализируемая система. Модели систем также используются для определения частот инициирующих событий. Г.1 Функциональная декомпозиция ОМН на главные и вспомогательные системы. Анализ межсистемных связей и зависимостей Функциональная декомпозиция ОМН является первым этапом анализа надежности сложной технологической системы, на основе которого в дальнейшем выполняется построение расчетной математической модели. Главная цель функциональной декомпозиции заключается в разработке структурной модели объекта эксплуатации, определении функциональных связей и зависимостей между системами и подсистемами. Функциональная декомпозиция выполняется в два этапа: 1 этап – разбиение ОМН на множество систем и подсистем. 2 этап – установление связей и зависимостей между системами и подсистемами. С точки зрения выполнения первого этапа функциональной декомпозиции, целесообразно разделить все системы ОМН на три основных класса: 1) главные технологические системы; 2) обеспечивающие (вспомогательные) системы; 3)системы безопасности. Главные технологические системы – системы, отказы элементов в которых непосредственно приводят к отказу главной целевой функции ОМН. Как правило, главные технологические системы в пределах ОМН являются независимыми т.е. работа одних систем не зависит от работы других систем. Обеспечивающие системы – системы, отказы элементов в которых приводят к зависимым отказам элементов главных технологических систем. Системы безопасности – системы, отказы элементов которых приводят к невозможности локализации и ликвидации аварийных ситуаций на ОМН. При нормальных условиях эксплуатации отказы элементов систем безопасности не оказывают влияния на работоспособность главных технологических систем. При выполнении второго этапа функциональной декомпозиции определяются связи между системами, которые отображаются в виде графа функционального подчинения либо в виде матрицы связей. Рассмотрим матричную форму представления связей систем. Матрица связей систем строится следующим образом: Формируется таблица, в первом столбце которой указываются главные технологические системы. В первой строке данной таблицы приводится перечень обеспечивающих систем. Если работоспособность главной технологической системы зависит от функционирования обеспечивающей системы на пересечении соответствующей строки и столбца ставится «1». Г.2 Требования к структуре и объему исходных данных для анализа надежности систем Исходные данные, необходимые для анализа надежности систем подразделяются на две части: 1) проектные и эксплуатационные данные по системам; 2) данные по показателям надежности элементов систем. Источниками исходных данных являются материалы проекта, эксплуатационная документация, пусконаладочная документация и документация об испытаниях, опыте эксплуатации. Кроме собственно анализа систем, исходные данные используются для верификации и проверки правильности результатов анализа. Все исходные данные, в том числе и недокументированные, должны иметь ссылку на источник информации. Список специальной документации, используемой при анализе систем и сборе данных, приведен в таблице Г.1. Таблица Г.1 – Источники информации для ВАБ ОМН Источник информации Данные Техническое описание системы (проектная документация) Детальные описания назначения, структуры и принципа действия системы, анализ критериев успеха Технологические схемы (включая трубопроводы и КИПиА) Технологическая взаимосвязь элементов системы в процессе функционирования Электрические схемы Структура электроснабжения элементов систем Чертежи оборудования Показывают местоположения элементов конструкции для определения возможности восстановления элементов системы после отказа Инструкции по управлению системой при возникновении аварийных ситуаций Аварийные сценарии и действия персонала Инструкции по эксплуатации, техническому обслуживанию и ремонту Правила эксплуатации, действия персонала, периодичность ТОР, периодичность тестирования и опробования, виды отказов и порядок их устранения Эксплуатационные журналы Данные неготовности из-за технического обслуживания, среднее время восстановления, данные по наработке до отказа. Технологический регламент эксплуатации Эксплуатационные состояния системы, допустимое время простоя вследствие отказа, эксплуатационные режимы, порядок принятия решений по управлению процессом технической эксплуатации системы Структурная схема АСУ ТП Управляющие сигналы, уставки и алгоритмы управления системой Кроме технической документации, для сбора исходных данных используется осмотр оборудования по месту. Осмотр по месту преследует следующие основные цели: – проверку данных, содержащихся в технической документации; – определение возможности появления отказов по общей причине; – определение дополнительных факторов, влияющих на надежность персонала при выполнении действий по месту расположения оборудования; – проверку возможности выполнения тех или иных операций во время аварии. Г.2.1 Проектные и эксплуатационные данные, необходимые для моделирования систем Г.2.1.1 Название системы и обозначение Приводится принятое в эксплуатационной документации название системы и ее обозначение в соответствии с проектом. Г.2.1.2 Функции системы и критерии успеха Указываются функции системы, которые выполняются при нормальной эксплуатации, при возникновении отклонений от процесса нормальной эксплуатации и при возникновении аварийных ситуаций. Для каждой функции системы указываются критерии успеха. Критерий успеха для системы выражается в виде производительности системы или набора элементов (каналов или других частей системы), работа которых требуется, чтобы обеспечить эту производительность. Г.2.1.3 Описание системы и технологическая схема Описывается конфигурация системы и ее работа при нормальной эксплуатации, отклонении от процесса нормальной эксплуатации и аварии. Указывается число каналов, петель и т.д. и их состав (количество и типы основного оборудования); направление потока (источник среды и куда она подается). Г.2.1.4 Основные элементы системы Представляются следующие данные об основных элементах системы: – тип (заводская марка) элемента; – основные технические характеристики элемента (в соответствии с тех. паспортом, техническим описанием и т.д.); – размещение элементов, включая номера и повысотные отметки помещений; – потребности элемента в энергоснабжении, охлаждении, кондиционировании воздуха и вентиляции, смазке от внешних систем, в работе других вспомогательных систем. При этом должны быть указаны секции (сборки, шкафы), от которых элемент получает электропитание и наименование или обозначение других источников энергии (например, систем сжатого воздуха); – предельные значения параметров, от которых зависит эксплуатация элемента. В перечень основных элементов должны быть включены: а) в гидравлических и пневматических системах: 1) все элементы, имеющие движущиеся части (насосы; компрессоры; арматура, в том числе обратные клапаны); 2) баки и ресиверы; 3) трубопроводы, по которым среда подается к потребителю; а также байпасные и вспомогательные трубопроводы с Ду не менее 1/3 от Ду основного трубопровода; б) в электрических системах: 1) генераторы, дизельгенераторы; 2) инверторы, выпрямители; 3) секции и сборки, к которым подключены рассматриваемые в анализе потребители; 4) трансформаторы; 5) выключатели и разъединители 6) средства ЭХЗ; 7) электродвигатели; 8) воздушные линии электропередач; 9) подземные кабельные линии; 10) разрядники. Г.2.1.5 Контроль и управление системой Представляется информация о контроле параметров системы, которая включает измеряемые параметры, КИП с указанием позиции датчика и вторичного прибора, их типа и расположения. Отдельно указываются защиты и блокировки системы. Для них описываются алгоритмы срабатывания и уставки, элементы системы, на которые они воздействуют. Кроме того, указываются КИП, участвующие в формировании сигналов защит и блокировок. Г.2.1.6 Опробования и техническое обслуживание системы Подготавливаются данные о периодичности и объеме опробований. При этом указываются программы и инструкции, в соответствии с которыми эти опробования проводятся. Если вместе с опробованиями проводятся техническое обслуживание систем или их элементов, это также необходимо отметить. Необходимо иметь данные по технологическим операциям ТО и длительности их выполнения. Г.2.1.7 Взаимосвязь с другими системами Подготавливается информация о связях анализируемой системы с другими системами, которые нужны для обеспечения ее работоспособности или сами зависят от нее. Должны быть описаны следующие связи: – связи по энергоснабжению – указываются требования по энергоснабжению как исполнительных механизмов (например, электродвигателя насоса, пневмопривода арматуры и т.д.), так и управляющих устройств, по потребляемой энергии элементы могут быть электрические и пневматические; – связи по вентиляции – указываются требования к вентиляции помещений, в которых размещено оборудование системы, а также системы вентиляции, которые для этого задействованы; – связи с системами управления – указываются системы контроля и управления и/или управляющие системы, в которых формируются управляющие сигналы для оборудования рассматриваемой системы (включая сигналы на запуск, останов оборудования, запреты на включение/отключение, изменение положения арматуры и т.д.); – компоненты, являющиеся общими для нескольких систем; –прочие связи – могут существовать другие зависимости между системами (например, технологические связи по перекачиваемой среде, по подаче смазки и т.д.). При необходимости их тоже нужно описать. Г.2.1.8 Действия персонала Должна быть представлена информация о действиях персонала, ошибках, совершение которых могут привести к невыполнению системой своих функций (отказу системы), к ним относятся: – действия персонала, которые требуются для пуска/останова системы или элемента; – действия персонала, которые должны дублировать работу автоматики; –действия по приведению системы в работоспособное состояние после опробования или технического обслуживания; – действия по настройке оборудования системы. Г.2.1.9 Перечень документации Должны быть указаны документы, которые содержат технические описание системы, регламентируют порядок ее эксплуатации и технического обслуживания. В перечень должны войти проектные материалы, инструкции по эксплуатации, технические описания, технологические схемы, перечни защит и блокировок, разделы технологического регламента и т.д. Г.2.2 Данные по показателям надежности оборудования, необходимые для анализа систем Показатели надежности элементов ОМН могут быть получены либо путем накопления и статистической обработки данных по отказам в ходе эксплуатации системы, либо из различных баз данных, в которых собрана и обработана информация по надежности аналогичного оборудования. Статистический анализ эксплуатационных данных является наиболее предпочтительным способом получения информации по показателям надежности оборудования. Однако накопление необходимой статистики, как правило, происходит уже тогда, когда необходимость в ней пропадает и система выводится из эксплуатации. Чаще всего используют комбинированный способ, при котором первоначально показатели надежности оборудования принимают на основании какой-либо подходящей базы данных, а затем, по мере накопления собственной статистики отказов, данные по надежности постепенно уточняются на основе применения байесовского подхода. Наиболее представительными базами данных по показателям надежности тепломеханического и электротехнического оборудования являются базы данных, полученные в атомной отрасли для проведения вероятностного анализа безопасности АЭС. Существуют Европейская, Американская и Российская базы данных, на основе которых можно найти аналоги оборудования, использующегося в моделируемых ОМН и соответствующие им показатели надежности. Показатели надежности элементов систем, полученные из базы данных по надежности оборудования Российских АЭС нового поколения, представлены в таблице Г.2. Таблица Г.2 – Информация по надежности оборудования, необходимая для выполнения анализа надежности Оборудование (внутреуровневый код по [12]) Виды отказов Интенсивность отказов, λ (1 / час) Коэффициент неготовности, Кнг Средняя наработка до отказ, Т(час) Фактор ошибки Среднее время восстановления после отказа, Тв (час) Электромеханическое оборудование Кран шаровой с электроприводом и контролем протечек (6-03009) Отказ на открытие 1,78Е-06 1,95 12 Отказ на закрытие 9,69Е-07 1,93 12 Самопроизвольное закрытие (открытие) 2,27Е-06 10 4 продолжение таблицы Г.2 Кран шаровой (6-03008) Отказ на открытие 1,63Е-06 2,77 12 Отказ на закрытие 6,02Е-04 4,71 12 Самопроизвольное закрытие (открытие) 2,27Е-06 10 4 Обратный клапан (6-03006) Отказ на открытие 1,23Е-07 12 12 Отказ на закрытие 1,92Е-07 12 12 Компрессоры (6-17006) Отказ при запуске 2,00Е-06 10 24 Отказ при работе 2,00Е-04 10 24 Насосы (6-01000) Отказ при запуске 1,83Е-05 1,39 36 Отказ при работе 2,02Е-05 1,53 36 Гидроаккумуляторы (6-03026) Течь 7,72Е-08 10 48 Фильтр (6-03024, 6-05011) Засорение 3,00Е-05 10 36 Клапаны запорные (6-03023) Не открытие 2,76Е-07 5,83 24 Не закрытие после открытия 1,19Е-03 4,71 Электротехническое оборудование Агрегаты гарантированного питания (6-04027) Отказ при пуске 9,85Е-06 1,81 48 Отказ при работе 1,19Е-03 3,3 48