Представьте, что вы – оператор промышленного объекта и следите за его состоянием. И каждые 30 секунд на вашем экране загорается множество сигнальных оповещений (или «алармов», от англ. alarms), которые должны указывать на то, что что-то не в порядке с десятком датчиков. Но они оказываются ложными. И так происходит изо дня в день. Вопрос: что вы сделаете с такой системой оповещения? Правильно – скорее всего, отключите. Или сломаете, от постоянного стресса. Или, привыкнув, пропустите реальную проблему, которая приведет к аварии.
Это частая проблема при периодических процессах – тех технологических процессах, которые не идут постоянно, а запускаются с некоторой периодичностью. Поэтому игнорирование операторами АСУТП системы противоаварийной защиты из-за большого числа ложных сигнализаций является одним из факторов возникновения аварий на промышленных объектах. Корни этой проблемы лежат в неэффективной реализации условных сигнализаций в рамках системы противоаварийной защиты, точнее, в ее отсутствии.
Для непрерывных технологических процессов, любой выход за пределы уставок – это инцидент. А при периодическом технологическом процессе часть времени оборудование простаивает, находится в процессе пуска или останова, и, если это нормальное состояние, то сигнализировать об этом необходимости нет. Достаточно вывести индикацию на мнемосхему. Проблема заключается в том, что очень часто проектировщики, выполняя проект, не задумываются о том, какой это процесс. А заказчик не дает специальных указаний по конфигурированию системы сигнализаций в проекте автоматизации и реализации системы противоаварийной защиты. Программист, который выполняет конфигурирование системы, честно выполняет проект. Для модулей датчиков указываются предупредительные и критические уставки, а для оборудования – флаг состояния и по ним включается сигнализация. Итогом становится ситуация с избыточными сигнализациями на объекте. Особенно опасно такое положение дел на объектах, где встречаются вместе непрерывные и периодические процессы. Избыточность сигнализаций понижает концентрацию внимания операторов, а в худшем случае может заставить отключить защиту или игнорировать оповещения, что резко повышает риск возникновения аварии до «бытового» уровня вероятности. Вероятность возникновения пожара раз в 10 000 лет мало кого пугает. А ужесточение наказаний – малоэффективный способ борьбы с природой человека.
Конкретный пример: ситуация, сложившаяся на объекте одного крупного российского нефтеперерабатывающего предприятия. При эксплуатации узла налива углеводородов в автомобильные цистерны при штатном наливе происходило частое срабатывание сигнализаций – в среднем каждые 30-40 секунд. Это довольно много, звуковая сигнализация звенела почти непрерывно, и работать в такой обстановке без ошибок было трудно, в то время как операторам еще нужно заполнять накладные и отпускать продукцию. Избыток сигнализаций приводил к утомлению и провоцировал нарушения дисциплины. Ситуация требовала срочного решения. В данном случае решение проблемы оказалось несложным, и заказчик собственными силами провёл анализ и выяснил, что 80% всех сигнализаций приходятся на момент подключения или отключения автоцистерны и генерируются всего 12 датчиками.
Процесс налива периодический и, когда налив не идёт, аварийные показания датчиков не являются опасным отклонением процесса, о котором следует так навязчиво предупреждать оператора. Так как большая часть этих сигнализаций не была полезной, операторы научились их игнорировать, хотя эти датчики участвуют в защите оборудования. Опасным было то, что на этот же пост в числе прочих приходили сигнализации и от работающего оборудования, например, от насосов. И оператор мог пропустить действительно критичное оповещение.
В инструментарии системы управления ДельтаВ есть возможность по конфигурированию условных сигнализаций. Их использование позволяет удобно и практично включать сигнализации по дополнительному условию, откуда название: «условные сигнализации». Опираясь на знание основ автоматизации, на реализацию логики блокировок для данного объекта и на результаты опытной эксплуатации заказчик применил концепцию условных сигнализаций для 12 датчиков. Дополнительным условием включения сигнализации стал тот же признак что и для включения логики блокировок – расход продукта на измерительной линии. Таким образом, сигнализации стали включаться совместно с логикой блокировок при пуске поста налива, как и следовало сделать с самого начала.
Даже когда есть осознание проблемы, не всегда складывается комплексная работа по решению. Не всегда заказчик знает, что у поставщика АСУТП может быть решение для этой проблемы, такое, например, как услуга по управлению алармами Alarm Management от Emerson. Эта услуга и сформулированное до проектирования требование по администрированию алармов – резерв для повышения безопасности. Так, простое включение требования руководства по администрированию алармов в техническое задание на проектирование, а ещё лучше – принятие стандарта на оформление ТЗ на АСУТП, в котором закрепляется необходимость приведения систем в соответствие руководству, поможет вам снизить риски и повысить безопасность эксплуатации объектов.