Техника безопасности — это инженерная дисциплина , которая гарантирует, что спроектированные системы обеспечивают приемлемые уровни безопасности . Она тесно связана с промышленной инженерией / системной инженерией и подмножеством системной инженерии безопасности. Техника безопасности гарантирует, что жизненно важная система ведет себя так, как нужно, даже если компоненты выходят из строя .
Методы анализа можно разделить на две категории: качественные и количественные методы. Оба подхода имеют общую цель — поиск причинно-следственных зависимостей между опасностью на системном уровне и отказами отдельных компонентов. Качественные подходы фокусируются на вопросе «Что должно пойти не так, чтобы могла возникнуть системная опасность?», в то время как количественные методы направлены на предоставление оценок вероятностей, темпов и/или серьезности последствий.
Сложность технических систем, таких как Улучшения дизайна и материалов, Плановые проверки, Проектирование с защитой от дурака и Резервное резервирование, снижает риск и увеличивает стоимость. Риск может быть снижен до уровней ALARA (настолько низко, насколько это разумно достижимо) или ALAPA (настолько низко, насколько это практически достижимо).
Традиционно методы анализа безопасности полагаются исключительно на мастерство и опыт инженера по безопасности. В последнее десятилетие подходы на основе моделей , такие как STPA (Systems Theoretic Process Analysis), стали заметными. В отличие от традиционных методов, методы на основе моделей пытаются вывести связи между причинами и следствиями из некой модели системы.
Два наиболее распространенных метода моделирования отказов называются анализом характера и последствий отказов (FMEA) и анализом дерева отказов (FTA). Эти методы — всего лишь способы обнаружения проблем и составления планов по преодолению отказов, как в вероятностной оценке риска . Одним из самых ранних полных исследований, использующих этот метод на коммерческой атомной станции, было исследование WASH-1400 , также известное как исследование безопасности реактора или отчет Расмуссена.
Анализ видов и последствий отказов (FMEA) — это индуктивный аналитический метод снизу вверх , который может быть выполнен как на функциональном уровне, так и на уровне отдельных частей. Для функционального FMEA виды отказов определяются для каждой функции в системе или элементе оборудования, обычно с помощью функциональной блок-схемы . Для FMEA отдельных частей виды отказов определяются для каждого компонента отдельных частей (например, клапана, разъема, резистора или диода). Описываются последствия вида отказа и присваивается вероятность на основе интенсивности отказов и соотношения видов отказов функции или компонента. Такое квантование сложно для программного обеспечения — существует ошибка или нет, а модели отказов, используемые для аппаратных компонентов, неприменимы. Температура, возраст и производственная изменчивость влияют на резистор; они не влияют на программное обеспечение.
Режимы отказов с идентичными эффектами могут быть объединены и обобщены в Сводке эффектов режимов отказов. В сочетании с анализом критичности FMEA известен как Анализ режимов отказов, эффектов и критичности или FMECA.
Анализ дерева отказов (FTA) — это дедуктивный аналитический метод сверху вниз . В FTA инициирующие первичные события, такие как отказы компонентов, человеческие ошибки и внешние события, отслеживаются с помощью булевых логических вентилей до нежелательного главного события, такого как крушение самолета или расплавление активной зоны ядерного реактора. Цель состоит в том, чтобы определить способы сделать главные события менее вероятными и убедиться, что цели безопасности достигнуты.
Деревья неисправностей являются логической инверсией деревьев успеха и могут быть получены путем применения теоремы де Моргана к деревьям успеха (которые напрямую связаны с блок-схемами надежности ).
FTA может быть качественным или количественным. Когда вероятности отказов и событий неизвестны, качественные деревья отказов могут быть проанализированы для минимальных наборов сечений. Например, если любой минимальный набор сечений содержит одно базовое событие, то верхнее событие может быть вызвано одним отказом. Количественный FTA используется для вычисления вероятности верхнего события и обычно требует компьютерного программного обеспечения, такого как CAFTA из Института исследований электроэнергетики или SAPHIRE из Национальной лаборатории Айдахо .
Некоторые отрасли используют как деревья отказов, так и деревья событий . Дерево событий начинается с нежелательного инициатора (потеря критического источника питания, отказ компонента и т. д.) и следует возможным дальнейшим системным событиям до серии конечных последствий. По мере рассмотрения каждого нового события добавляется новый узел на дереве с разделением вероятностей принятия любой ветви. Затем можно увидеть вероятности ряда «главных событий», возникающих из начального события.
В оффшорной нефтегазовой промышленности используется метод качественного анализа систем безопасности для обеспечения защиты оффшорных производственных систем и платформ. Анализ используется на этапе проектирования для выявления опасностей технологического процесса вместе с мерами по снижению риска. Методология описана в Рекомендуемой практике Американского института нефти 14C Анализ, проектирование, установка и тестирование основных систем безопасности на поверхности для оффшорных производственных платформ.
В методике используются методы системного анализа для определения требований безопасности для защиты любого отдельного компонента процесса, например, сосуда, трубопровода или насоса . [1] Требования безопасности отдельных компонентов интегрированы в полную систему безопасности платформы, включая системы удержания жидкости и аварийной поддержки, такие как обнаружение пожара и газа. [1]
На первом этапе анализа определяются отдельные компоненты процесса, к ним могут относиться: трубопроводы, коллекторы, сосуды под давлением , атмосферные сосуды, огневые нагреватели , компоненты с подогревом отработавших газов, насосы, компрессоры , трубопроводы и теплообменники . [2] Каждый компонент подлежит анализу безопасности для выявления нежелательных событий (отказ оборудования, сбои в процессе и т. д.), для которых должна быть предусмотрена защита. [3] Анализ также определяет обнаруживаемое состояние (например, высокое давление ), которое используется для инициирования действий по предотвращению или минимизации эффекта нежелательных событий. Таблица анализа безопасности (SAT) для сосудов под давлением включает в себя следующие данные. [3] [4]
Другими нежелательными событиями для сосудов высокого давления являются пониженное давление, прорыв газа, утечка и избыточная температура вместе с их связанными причинами и обнаруживаемыми условиями. [4]
После того, как события, причины и обнаруживаемые условия были идентифицированы, на следующем этапе методологии используется контрольный список анализа безопасности (SAC) для каждого компонента. [5] В нем перечислены устройства безопасности, которые могут потребоваться, или факторы, которые исключают необходимость в таком устройстве. Например, в случае перелива жидкости из сосуда (как указано выше) SAC определяет: [6]
Анализ гарантирует, что для смягчения каждого нежелательного события предусмотрены два уровня защиты. Например, для сосуда под давлением, подверженного избыточному давлению, первичной защитой будет PSH (высокое реле давления), чтобы перекрыть приток в сосуд, вторичной защитой будет предохранительный клапан давления (PSV) на сосуде. [8]
Следующий этап анализа связывает все датчики, запорные клапаны (ESV), системы отключения и системы аварийной поддержки в виде диаграммы оценки функции анализа безопасности (SAFE). [2] [9]
X обозначает, что устройство обнаружения слева (например, PSH) инициирует отключение или предупреждающее действие вверху справа (например, закрытие ESV).
Схема SAFE составляет основу диаграмм причин и следствий, которые связывают датчики с запорными клапанами и отключениями установки, что определяет функциональную архитектуру системы отключения процесса .
Методология также определяет системное тестирование, необходимое для обеспечения функциональности систем защиты. [10]
API RP 14C был впервые опубликован в июне 1974 года. [11] 8-е издание было опубликовано в феврале 2017 года. [12] API RP 14C был адаптирован в качестве стандарта ISO ISO 10418 в 1993 году под названием «Нефтяная и газовая промышленность. Морские добывающие установки. Анализ, проектирование, установка и тестирование основных систем безопасности наземных процессов». [13] Последнее издание ISO 10418 2003 года в настоящее время (2019 год) находится в стадии пересмотра.
Обычно руководства по безопасности предписывают набор шагов, поставляемых документов и критерий выхода, сосредоточенных вокруг планирования, анализа и проектирования, внедрения, проверки и валидации, управления конфигурацией и мероприятий по обеспечению качества для разработки критически важной для безопасности системы. [14] Кроме того, они обычно формулируют ожидания относительно создания и использования прослеживаемости в проекте. Например, в зависимости от уровня критичности требования, руководство Федерального управления гражданской авиации США DO-178B/C требует прослеживаемости от требований к проектированию и от требований к исходному коду и исполняемому объектному коду для программных компонентов системы. Таким образом, более качественная информация о прослеживаемости может упростить процесс сертификации и помочь установить доверие к зрелости прикладного процесса разработки. [15]
Обычно отказ в сертифицированных по безопасности системах считается приемлемым [ кем? ] , если в среднем из- за отказа теряется менее одной жизни на 109 часов непрерывной работы. {согласно документу FAA AC 25.1309-1A} Большинство западных ядерных реакторов , медицинского оборудования и коммерческих самолетов сертифицированы [ кем? ] по этому уровню. [ нужна ссылка ] Соотношение стоимости и потерь жизней было признано приемлемым на этом уровне ( FAA для авиационных систем в соответствии с Федеральными авиационными правилами ). [16] [17] [18]
После того, как режим отказа определен, его обычно можно смягчить, добавив в систему дополнительное или избыточное оборудование. Например, ядерные реакторы содержат опасное излучение , а ядерные реакции могут вызывать так много тепла , что никакое вещество не может его сдержать. Поэтому реакторы имеют аварийные системы охлаждения активной зоны для поддержания низкой температуры, экранирование для сдерживания излучения и инженерные барьеры (обычно несколько, вложенных, увенчанных зданием сдерживания ) для предотвращения случайной утечки. Системы, критически важные для безопасности , обычно должны не допускать, чтобы единичное событие или отказ компонента привели к катастрофическому режиму отказа.
Большинство биологических организмов имеют определенную степень избыточности: множественные органы, множественные конечности и т. д.
Для любого отказа почти всегда можно спроектировать и включить в систему отказоустойчивость или избыточность.
Существует две категории методов снижения вероятности отказа: Методы предотвращения отказов повышают надежность отдельных элементов (увеличение проектного запаса, снижение номинальных характеристик и т. д.). Методы обеспечения отказоустойчивости повышают надежность системы в целом (избыточность, барьеры и т. д.). [19]
Техника безопасности и техника надежности имеют много общего, но безопасность — это не надежность. Если медицинское устройство выходит из строя, оно должно выходить из строя безопасно; хирургу будут доступны другие альтернативы. Если двигатель одномоторного самолета выходит из строя, резервного варианта нет. Электрические сети спроектированы как для безопасности, так и для надежности; телефонные системы спроектированы для надежности, что становится проблемой безопасности при совершении экстренных вызовов (например, US 911 ).
Вероятностная оценка риска создала тесную связь между безопасностью и надежностью. Надежность компонентов, обычно определяемая с точки зрения частоты отказов компонентов , и вероятность внешнего события используются в количественных методах оценки безопасности, таких как FTA. Связанные вероятностные методы используются для определения среднего времени между отказами системы (MTBF) , доступности системы или вероятности успеха или неудачи миссии. Анализ надежности имеет более широкую область применения, чем анализ безопасности, в том смысле, что рассматриваются некритические отказы. С другой стороны, более высокие частоты отказов считаются приемлемыми для некритических систем.
Безопасность, как правило, не может быть достигнута только за счет надежности компонентов. Вероятность катастрофического отказа 10−9 в час соответствует частоте отказов очень простых компонентов, таких как резисторы или конденсаторы . Сложная система, содержащая сотни или тысячи компонентов, может достичь MTBF от 10 000 до 100 000 часов, что означает, что она будет выходить из строя при частоте 10−4 или 10−5 в час. Если отказ системы является катастрофическим, обычно единственным практическим способом достижения частоты отказов 10−9 в час является резервирование.
Если добавление оборудования нецелесообразно (обычно из-за расходов), то наименее затратной формой проектирования часто является «врожденная отказоустойчивость». То есть изменение конструкции системы таким образом, чтобы режимы ее отказов не были катастрофическими. Врожденные отказоустойчивости распространены в медицинском оборудовании, дорожных и железнодорожных сигналах, оборудовании связи и оборудовании безопасности.
Типичный подход заключается в том, чтобы организовать систему таким образом, чтобы обычные одиночные отказы приводили к безопасному отключению механизма (для атомных электростанций это называется пассивно безопасной конструкцией, хотя она охватывает больше, чем обычные отказы). В качестве альтернативы, если система содержит источник опасности, такой как батарея или ротор, то может быть возможным устранить опасность из системы, так что ее режимы отказа не могут быть катастрофическими. Стандартная практика Министерства обороны США по безопасности систем (MIL–STD–882) отдает наивысший приоритет устранению опасностей посредством выбора конструкции. [20]
Одной из самых распространенных отказоустойчивых систем является переливная трубка в ваннах и кухонных раковинах. Если клапан застревает в открытом положении, вместо того, чтобы вызвать перелив и повреждение, бак переливается в перелив. Другой распространенный пример — в лифте трос , поддерживающий кабину, удерживает пружинные тормоза открытыми. Если трос рвется, тормоза захватывают рельсы, и кабина лифта не падает.
Некоторые системы никогда не могут быть сделаны отказоустойчивыми, поскольку необходима постоянная доступность. Например, потеря тяги двигателя в полете опасна. Для таких ситуаций используются избыточность, отказоустойчивость или процедуры восстановления (например, несколько независимо управляемых и питаемых топливом двигателей). Это также делает систему менее чувствительной к ошибкам прогнозирования надежности или неопределенности, вызванной качеством для отдельных элементов. С другой стороны, обнаружение и исправление отказов и предотвращение отказов по общей причине становятся здесь все более важными для обеспечения надежности на уровне системы. [21]
{{cite book}}
: CS1 maint: numeric names: authors list (link){{cite book}}
: CS1 maint: numeric names: authors list (link){{cite book}}
: CS1 maint: numeric names: authors list (link)