Войти
Иллюстрация НАСА, показывающая зоны высокого риска столкновения для Международной космической станции Техника безопасности - это инженерная дисциплина, которая гарантирует, что спроектированные системы обеспечивают приемлемые уровни безопасности. Это тесно связано с промышленным проектированием / системным проектированием и подмножеством системной безопасности проектированием. Техника безопасности гарантирует, что критически важная система будет вести себя должным образом, даже когда компоненты выходят из строя.
Методы анализа можно разделить на две категории: качественные и количественные методы. Оба подхода разделяют цель поиска причинных зависимостей между опасностью на системном уровне и отказами отдельных компонентов. Качественные подходы сосредоточены на вопросе «Что должно пойти не так, чтобы могла возникнуть системная опасность?», В то время как количественные методы нацелены на обеспечение оценок вероятностей, темпов и / или серьезности последствий.
Сложность технических систем, таких как усовершенствования конструкции и материалов, плановые проверки, надежная конструкция и резервное резервное копирование, снижает риски и увеличивает стоимость. Риск может быть снижен до уровня ALARA (разумно достижимого низкого уровня) или уровня ALAPA (минимального практически достижимого).
Традиционно методы анализа безопасности полагаются исключительно на навыки и опыт инженера по технике безопасности. В последнее десятилетие стали заметны модельные подходы. В отличие от традиционных методов, методы, основанные на моделях, пытаются вывести отношения между причинами и следствиями на основе какой-то модели системы.
Два наиболее распространенных метода моделирования неисправностей называются анализом режимов и последствий отказа и анализом дерева отказов. Эти методы - всего лишь способы поиска проблем и составления планов по устранению сбоев, как в вероятностной оценке риска. Одним из первых полных исследований с использованием этого метода на коммерческой атомной станции было исследование WASH-1400, также известное как Исследование безопасности реактора или Отчет Расмуссена.
Анализ видов и последствий отказов (FMEA) - это восходящий, индуктивный аналитический метод, который может выполняться как на функциональном участке, так и на объекте. -частный уровень. Для функционального FMEA виды отказов идентифицируются для каждой функции в системе или элементе оборудования, обычно с помощью функциональной блок-схемы. Для FMEA, состоящего из частей, виды отказов идентифицируются для каждого компонента, состоящего из частей (например, клапана, соединителя, резистора или диода). Описываются эффекты режима отказа и назначается вероятность на основе интенсивности отказов и отношения режимов отказа функции или компонента. Это количественное определение сложно для программного обеспечения - ошибка существует или нет, и модели отказа, используемые для аппаратных компонентов, не применяются. На резистор влияют температура и возраст, а также производственная изменчивость; они не влияют на программное обеспечение.
Режимы отказа с одинаковыми последствиями можно комбинировать и резюмировать в Сводке эффектов режима отказа. В сочетании с анализом критичности FMEA известен как Анализ видов, последствий и критичности отказов или FMECA, произносится как «фух-МЭИ-ку».
Анализ дерева отказов (FTA) - это нисходящий, дедуктивный аналитический метод. В FTA инициирующие первичные события, такие как отказы компонентов, человеческие ошибки и внешние события, отслеживаются через логические элементы логической логики до нежелательного главного события, такого как крушение самолета или расплавление активной зоны ядерного реактора. Цель состоит в том, чтобы определить способы снижения вероятности основных событий и убедиться, что цели безопасности были достигнуты.
Диаграмма дерева отказов Деревья отказов являются логической инверсией деревьев успеха и могут быть получены путем применения теоремы де Моргана к деревьям успеха (которые напрямую связаны с блок-схемами надежности. ).
FTA может быть качественным или количественным. Когда вероятности отказа и события неизвестны, качественные деревья отказов могут быть проанализированы для минимальных наборов разрезов. Например, если какой-либо минимальный набор сокращений содержит одно базовое событие, то верхнее событие может быть вызвано единичным отказом. Количественный FTA используется для расчета вероятности максимального события и обычно требует компьютерного программного обеспечения, такого как CAFTA от Исследовательского института электроэнергетики или SAPHIRE от Национальной лаборатории Айдахо.
Некоторые отрасли используют как деревья отказов, так и деревья событий. Дерево событий начинается с нежелательного инициатора (потеря критически важного источника питания, отказ компонента и т. Д.) И следует за возможными дальнейшими системными событиями до серии окончательных последствий. При рассмотрении каждого нового события в дерево добавляется новый узел с разделением вероятностей перехода на любую из ветвей. Затем можно увидеть вероятности ряда «главных событий», возникающих из начального события.
Морская нефтегазовая промышленность использует метод качественного анализа систем безопасности для обеспечения защиты морских производственных систем и платформ. Анализ используется на этапе проектирования для выявления опасностей технологического процесса вместе с мерами по снижению рисков. Методология описана в Американском нефтяном институте Рекомендуемая практика 14C «Анализ, проектирование, установка и испытания основных систем безопасности на поверхности для морских эксплуатационных платформ».
В методике используются методы системного анализа для определения требований безопасности для защиты любого отдельного компонента процесса, например сосуд, трубопровод или насос. Требования безопасности отдельных компонентов интегрированы в полную систему безопасности платформы, включая системы удержания жидкости и аварийные вспомогательные системы, такие как обнаружение пожара и газа.
На первом этапе анализа определяются отдельные компоненты процесса, они могут включать: выкидные трубопроводы, коллекторы, сосуды высокого давления, атмосферные сосуды, огневые нагреватели, компоненты с подогревом выхлопных газов, насосы, компрессоры, трубопроводы и теплообменники. Каждый компонент подлежит анализу безопасности для выявления нежелательных событий (отказ оборудования, нарушения технологического процесса и т. Д.), Для которых должна быть предусмотрена защита. Анализ также определяет обнаруживаемое состояние (например, высокое давление ), которое используется для инициирования действий по предотвращению или минимизации эффекта нежелательных событий. Таблица анализа безопасности (SAT) для сосудов под давлением включает следующие детали:
| Таблица анализа безопасности (SAT) сосудов под давлением | ||
|---|---|---|
| Нежелательное событие | Причина | Обнаруживаемое ненормальное состояние |
| Избыточное давление | Заблокирован или ограничен выпуск Приток превышает расход Прорыв газа (от верхнего по потоку) Сбой регулирования давления Температурное расширение Избыточное тепловложение | Высокое давление |
| Перелив жидкости | Вход превышает выход Пробка жидкости Заблокирован или ограничен выход жидкости Сбой контроля уровня | Высокий уровень жидкости |
Другими нежелательными событиями для сосуда высокого давления являются пониженное давление, прорыв газа, утечка и превышение температуры вместе с их причинами и обнаруживаемыми условиями.
Как только события, причины и обнаруживаемые условия были идентифицированы, на следующем этапе методологии используется контрольный список анализа безопасности (SAC) для каждого компонента. Здесь перечислены защитные устройства, которые могут потребоваться, или факторы, исключающие необходимость в таком устройстве. Например, в случае перелива жидкости из емкости (как указано выше) SAC определяет:
Анализ гарантирует, что обеспечивается два уровня защиты для смягчения каждого нежелательного события. Например, для сосуда высокого давления, подверженного избыточному давлению, первичной защитой будет PSH (реле высокого давления) для перекрытия притока в сосуд, вторичная защита будет обеспечена предохранительным клапаном (PSV) на судне.
На следующем этапе анализа все сенсорные устройства, запорные клапаны (ESV), системы аварийного отключения и системы аварийной поддержки представлены в виде таблицы оценки функции анализа безопасности (SAFE).
| Таблица оценки функции анализа безопасности (БЕЗОПАСНОСТЬ) | Закройте впускной клапан | Закройте выпускной клапан | Аварийный сигнал | |||
|---|---|---|---|---|---|---|
| ESV-1a | ESV-1b | |||||
| Идентификация | Сервис | Устройство | Ссылка SAC | |||
| V-1 | Разделитель HP | PSH | A4.2a1 | X | X | |
| LSH | A4.2d1 | X | X | |||
| LSL | A4.2e1 | X | X | |||
| PSV | A4.2c1 | |||||
| и т. Д. | ||||||
| V-2 | Сепаратор НД | и т. Д. | ||||
X означает, что устройство обнаружения слева (например, PSH) инициирует отключение или предупреждающее действие в правом верхнем углу (например, закрытие ESV).
Таблица БЕЗОПАСНОСТИ составляет основу причинно-следственных диаграмм, которые связывают чувствительные устройства с запорными клапанами и аварийными остановами установки, которые определяют функциональную архитектуру системы останова технологического процесса.
Методология также определяет тестирование систем, которое необходимо для обеспечения функциональности систем защиты.
API RP 14C был впервые опубликован в июне 1974 года. 8-е издание было опубликовано в феврале 2017 года. API RP 14C был адаптирован в качестве стандарта ISO 10418 в 1993 году под названием «Нефтяная и газовая промышленность - Морские производственные установки - Анализ, проектирование, установка и тестирование основных систем безопасности наземных процессов». Последняя редакция ISO 10418 2003 г. в настоящее время (2019 г.) находится на пересмотре.
Как правило, руководство по безопасности предписывает набор шагов, поставляемых документов и критериев выхода, ориентированных на планирование, анализ и проектирование, внедрение, проверку и валидацию, управление конфигурацией и обеспечение качества деятельность по разработке системы, критичной для безопасности. Кроме того, они обычно формулируют ожидания относительно создания и использования трассируемости в проекте. Например, в зависимости от уровня критичности требования директива Федерального управления гражданской авиации США DO-178B / C требует прослеживаемости из требований до дизайн, а также от требований до исходного кода и исполняемого объектного кода для программных компонентов системы. Таким образом, более качественная информация о прослеживаемости может упростить процесс сертификации и помочь установить доверие к зрелости прикладного процесса разработки.
Обычно отказ в безопасности- сертифицированных систем допустим, если на в среднем менее одного ресурса на 10 часов непрерывной работы теряется из-за отказа. {согласно документу FAA AC 25.1309-1A} Большинство западных ядерных реакторов, медицинского оборудования и коммерческих самолетов сертифицированы на этот уровень. Соотношение стоимости и гибели людей было сочтено приемлемым на этом уровне (FAA для авиационных систем в соответствии с Федеральными авиационными правилами ).
A График НАСА показывает взаимосвязь между выживаемость экипажа астронавтов и количество избыточного оборудования на их космическом корабле («ММ», модуль миссии). Как только режим отказа определен, его обычно можно уменьшить путем добавления дополнительного или избыточное оборудование в системе. Например, ядерные реакторы содержат опасное излучение, а ядерные реакции могут вызывать столько тепла, что ни одно вещество не может их содержать. Поэтому реакторы имеют системы аварийного охлаждения активной зоны. для снижения температуры, защиты от излучения и инженерных барьеров (обычно несколько, вложенных друг в друга, преодолеваемых защитным зданием ) для предотвращения случайной утечки. Обычно требуются критически важные для безопасности системы, не допускающие единичное событие или отказ компонента с режим атастрофического отказа.
Большинство биологических организмов имеют определенную степень избыточности: несколько органов, несколько конечностей и т. Д.
Для любого конкретного сбоя переключение при отказе или избыточность почти всегда могут быть спроектированным и включенным в систему.
Существует две категории методов снижения вероятности отказа: Методы предотвращения отказов повышают надежность отдельных элементов (увеличенный расчетный запас, снижение номинальных характеристик и т. Д.). Методы отказоустойчивости повышают надежность системы в целом (избыточность, барьеры и т. Д.).
Техника безопасности и техника надежности имеют много общего, но безопасность - нет. надежность. Если медицинское устройство выходит из строя, оно должно безопасно выйти из строя; другие альтернативы будут доступны хирургу. Если двигатель на одномоторном самолете выходит из строя, резервной копии нет. Электрические сети спроектированы с учетом требований безопасности и надежности; телефонные системы рассчитаны на надежность, что становится проблемой безопасности при вызове службы экстренной помощи (например, «911»).
Вероятностная оценка риска установила тесную взаимосвязь между безопасностью и надежностью. Надежность компонентов, обычно определяемая с помощью компонента интенсивность отказов, и вероятность внешнего события используются в методах количественной оценки безопасности, таких как FTA. Связанные вероятностные методы используются для определения системы Среднее время наработки на отказ (MTBF), доступности системы или вероятности успеха или неудачи миссии. Анализ надежности имеет более широкую область применения, чем анализ безопасности, поскольку рассматриваются некритические отказы. С другой стороны, более высокая частота отказов считается приемлемой для некритических систем.
Как правило, безопасности нельзя добиться только за счет надежности компонентов. Вероятность катастрофического отказа 10 в час соответствует интенсивности отказов очень простых компонентов, таких как резисторы или конденсаторы. Сложная система, содержащая сотни или тысячи компонентов, могла бы достичь среднего наработки на отказ от 10 000 до 100 000 часов, то есть со скоростью 10 или 10 отказов в час. Если отказ системы является катастрофическим, обычно единственный практический способ добиться 10 отказов в час - это резервирование.
Когда добавление оборудования нецелесообразно (обычно из-за затрат), тогда наименее затратная форма проектирования часто является «изначально отказоустойчивой». То есть измените конструкцию системы, чтобы ее режимы отказа не были катастрофическими. Присущие отказоустойчивости распространены в медицинском оборудовании, дорожных и железнодорожных сигналах, оборудовании связи и средствах безопасности.
Типичный подход состоит в том, чтобы организовать систему таким образом, чтобы обычные единичные отказы приводили к безопасному отключению механизма (для атомных электростанций это называется пассивно безопасным проектом, хотя покрываются более чем обычные отказы). В качестве альтернативы, если система содержит источник опасности, такой как аккумулятор или ротор, то можно устранить опасность из системы, так что ее режимы отказа не могут быть катастрофическими. В Стандартной практике системной безопасности Министерства обороны США (MIL – STD – 882) наивысший приоритет отдается устранению опасностей путем выбора конструкции.
Одной из наиболее распространенных отказоустойчивых систем является переливная трубка в ваннах. и кухонные раковины. Если клапан заедает в открытом положении, вместо того, чтобы вызвать перелив и повреждение, резервуар выливается в переполнение. Другой распространенный пример - в лифте трос, поддерживающий кабину, остается открытым. При обрыве троса тормоза цепляются за рельсы, и кабина лифта не падает.
Некоторые системы невозможно сделать отказоустойчивыми, так как необходима постоянная доступность. Например, потеря тяги двигателя в полете опасна. Для этих ситуаций используются процедуры резервирования, отказоустойчивости или восстановления (например, несколько независимых управляемых двигателей с питанием от топлива). Это также делает систему менее чувствительной к ошибкам прогнозирования надежности или неопределенности, вызванной качеством для отдельных элементов. С другой стороны, обнаружение и устранение отказов, а также предотвращение отказов по общей причине становятся здесь все более важными для обеспечения надежности на уровне системы.
| journal =()