Фильтр по тематике
Обеспечение безопасной эксплуатации опасных производств – важнейшее требование технологического процесса. В большинстве нормативных документов по вопросам безопасности даже не упоминается о технологических защитах (ТЗ), несмотря на то что они напрямую связаны с обеспечением безопасности технологического процесса.
Выводы комиссий по расследованию причин аварий [1, 2, 3] побудили обратиться к теме технологических защит и на примере электростанций показать проблемы, требующие решения.
В теплоэнергетике при разработке систем используется разнообразная терминология с неоднозначным значением, вследствие того что в нормативной и технической литературе по технологическим защитам и сигнализации для тепловых электростанций отсутствуют стандартные определения основополагающих терминов: авария, защита, аварийная сигнализация (АС), предупредительная сигнализация (ПС), блокировка, защитная блокировка (ЗБ). Такие термины, как внимание, тревога, тревожное сообщение, предупредительное сообщение, сигнал, на сигнал, звуковой, световой, предаварийное, употребляются для описания предупредительной сигнализации, а ряд терминов: авария, аварийная защита, аварийный останов, аварийное отключение, аварийное отклонение, аварийная сигнализация, отключение, ПАЗ (противоаварийная защита), аварийная сигнализация с остановом турбины, автоматическая защита, тепловая защита – употребляются для описания технологических защит.
Назначение ТЗ – защита от аварии действующего энергетического оборудования, и поэтому требуется употребление строго определённых терминов в технической и прежде всего в нормативной документации.
В теплоэнергетике рассматриваются и в нормативной документации применяются следующие типы ТЗ [4, 5]:
Отличие по принципу построения (структурирования) ограничивает возможность выработать единые правила для всех типов и является одной из причин отсутствия структурной схемы ТЗ, которая должна быть основой для построения ТЗ.
Другая причина отсутствия структурной схемы ТЗ – это необоснованное включение в неё функций регулирования, логического управления и защитных блокировок.
В статье рассмотрены ТЗ по контролируемым параметрам как наиболее значимые в общем объёме технологических защит и ТЗ по отключению энергетического оборудования (по его количественному показателю), поскольку эти типы ТЗ допускают объединение в одну структурную схему.
На основании структурной схемы рассмотрены существующие проблемы понимания и применения термина ТЗ в технической литературе и нормативной документации. Предполагается, что дальнейшая систематизация понятия ТЗ предотвратит в значительной мере ошибочные решения при формировании систем.
Рассмотрим некоторые очевидные примеры, так в нормативном документе [6] употребление термина авария вместо защита воспринимается как неизбежность аварии при возникновении предаварийной ситуации и приводит к неправильному пониманию аварии, по существу, к неправильному применению слова «авария» в описании технологического процесса управляемого объекта.
В нормативной литературе по управлению энергетическим оборудованием используются варианты названий подсистем:
Разнообразие приводит к неоднозначному исполнению подсистем. Объединение в принципе функционально различных подсистем технологических защит и защитных блокировок [7, 8] в одну подсистему необоснованно.
Согласно нормативным документам [4, 7] ТЗ по контролируемым параметрам выполняются по различным схемам в зависимости от числа каналов, контролирующих один параметр: один из одного, один из двух, два из двух, два из трёх, но существуют схемы защиты по разным параметрам (например, по двум параметрам в п. 3.3.17 [4] защита «по повышению температуры масла за маслоохладителями турбины ПО ТМЗ при пониженном давлении воды перед маслоохладителями») не имеет разъяснений, без которых при формировании ТЗ по разным параметрам могут быть сформулированы и реализованы различные варианты алгоритмов ТЗ.
Употребление термина защита на сигнал несёт в себе ошибочное представление о состоянии ТЗ системы управления. При появлении подсистемы технологических защит в системе управления для неё не был создан терминологический аппарат понятий и определений технологической сигнализации и защит.
В одних отраслях промышленности системы управления имеют технологические защиты и технологическую сигнализацию, а в других отраслях имеется только технологическая сигнализация [9]. Это принципиальное для правильного понимания функции технологической сигнализации и защит различие не отражено в технической и нормативной литературе.
Отсутствие единого нормативного поля понятий в части сигнализации и защит привело к необходимости уточнения терминов технологических защит и сигнализации в нормативной, технической, и, следовательно, учебной литературе.
Вопрос терминологии является важнейшим для правильного понимания и формулирования алгоритма ТЗ. Каждый технический термин должен иметь единственное функциональное значение, чтобы можно было понимать его однозначно. Только в этом случае алгоритм технологической сигнализации и защит будет выполнять прямую и единственную свою задачу – защищать объект управления и предотвращать аварию.
Правильное определение назначения технологической сигнализации и защит по контролируемым параметрам и их взаимосвязь при правильном структурном исполнении составных частей закладывают основу создания систем управления, обеспечивающих надёжную защиту объекта управления.
В отраслях промышленности [10], где в системе управления имеется только технологическая сигнализация, необходимые действия при срабатывании предупредительной и аварийной сигнализации выполняет оператор, контролирующий технологический процесс согласно инструкции. В такой системе управления технологическая сигнализация входит в подсистему сигнализации.
Там, где имеется ТЗ, функции технологической сигнализации (предупредительной и аварийной) существенно отличаются от предыдущей, входя составной и неотъемлемой частью в структуру подсистемы ТЗ.
С появлением ТЗ процесс развития и преобразования подсистемы сигнализации не нашёл отражения в нормативной документации. Технологическая сигнализация по контролируемым параметрам в настоящее время остаётся в составе всей подсистемы сигнализации, что не позволяет сформировать в полном объёме структурную схему ТЗ.
На основании изложенного предлагается специалистам по системам управления в части технологической сигнализации и защит (в первую очередь, разрабатывающим нормативные документы и учебную литературу) рассмотреть построение и формирование подсистемы технологической сигнализации и защит (ТСЗ)* на основе приведённой на рис. 1 структурной схемы, содержащей объём необходимых для выполнения защиты функций:
Блоки 4, 5, 6, 7, 8 образуют ядро алгоритма ТСЗ, в котором осуществляется процесс контроля всего периода предаварийной ситуации от начала – срабатывания предупредительной сигнализации – до срабатывания защиты. Здесь формируется и осуществляется алгоритм ТСЗ. Именно в эту часть вложено принципиальное отличие от существующего нормативного определения и понимания защит и сигнализации.
Подсистема ТСЗ предназначена для предотвращения аварии. Корректное определение аварии создаёт правильное направление функционального выполнения ТСЗ. Авария* – это процесс или результат разрушения объекта управления или его составных частей с возможными вытекающими последствиями.
Роль оператора – контролировать правильность выполнения алгоритма ТЗ в предаварийной ситуации (при срабатывании ПС) и выполнять необходимые действия согласно инструкции; в случае нарушения алгоритма ТЗ или его отказа (при достижении параметром аварийной уставки и срабатывании АС) необходимо воздействовать непосредственно на исполнительные органы защиты, нажав кнопку аварийного останова.
При возникновении предаварийной ситуации предлагается выполнение алгоритма технологической сигнализации и защит (ТСЗ), состоящего из частей А и Б:
А) при выходе контролируемого параметра из рабочего диапазона и достижении им предупредительной уставки срабатывает светозвуковая технологическая предупредительная сигнализация (ТПС), по которой оператор согласно инструкции принимает соответствующие меры для возвращения параметра в рабочий диапазон. ТПС информирует оператора о возможном возникновении предаварийной (аварийной) ситуации, поэтому она является неотъемлемой частью подсистемы технологических защит;
Б) при достижении контролируемым параметром величины аварийной уставки срабатывает защита. Назначение защиты – предотвратить разрушение оборудования, то есть привести агрегат в безопасное состояние с помощью исполнительных органов защиты (блок 12). Каждое срабатывание защиты, включая и локальную, должно сопровождаться светозвуковой сигнализацией с указанием причины срабатывания по параметру, по которому сработала защита. Такая сигнализация называется технологической аварийной сигнализацией (ТАС, блок 8) и является следствием срабатывания технологической защиты.
Временной интервал между срабатыванием ТПС и срабатыванием ТЗ необходим для принятия мер по выходу из предаварийной ситуации.
Для технологических параметров, по которым имеется предупредительная сигнализация и защита, наличие выдержки времени в алгоритме ТЗ [4, 11] теряет смысл, так как время между срабатыванием ПС и ТЗ может составлять минуты и десятки минут, что несоизмеримо больше, чем выдержки времени (секунды, десятки секунд). В этом случае введение выдержек времени в алгоритм ТЗ неоправданно, и причиной тому является неправильное понимание функционального назначения ТПС и применение её в отрыве от ТЗ.
Для технологических параметров, не имеющих предупредительной сигнализации, а имеющих только ТЗ, введение выдержек времени в алгоритм ТЗ оправданно, если этого требует технологическая особенность контролируемого параметра. Например, при погасании факела в камере сгорания газовой турбины выдержка времени даётся на случай кратковременного отказа или ложного срабатывания каналов контроля.
Выполнение формулировок А и Б для построения алгоритма ТСЗ является барьером на пути ошибочных алгоритмов «защит» по различным комбинациям отдельных параметров (два из двух или два из трёх). Мнение о существовании множества вариантов алгоритмов ТЗ является неправильным, такое представление может привести к ошибочному варианту алгоритма ТЗ.
Правильный алгоритм ТСЗ по контролируемому параметру может быть только один.
Рассмотрим пример: согласно нормативному документу [7] технологические защиты (ТЗ) и защитные блокировки (ЗБ) объединены в одну подсистему и обозначаются в проектной документации одной буквой S, но стоит обратить внимание на следующее: «защитные блокировки, как правило, запрещают выполнение операций на технологическом оборудовании, приводящих к возникновению аварийных ситуаций» [7]. То есть защитные блокировки участвуют в алгоритмах управления по блокированию неправильных действий операторов или автоматики и находятся за пределами представленной структурной схемы ТСЗ.
ТЗ и ЗБ – две независимые подсистемы в системе управления, решающие свои задачи.
Объединение подсистем ТЗ и ЗБ препятствует правильному пониманию назначения подсистемы ТЗ и её корректной функциональной реализации.
Искажённое понимание функции ТЗ турбины порождает неправильные требования ТЗ. В нормативном документе [4] сказано: «п. 2.6.11. Понижение давления греющего пара в ПВД (подогреватель высокого давления – для электростанций с деаэраторами повышенного давления)», «п. 3.6.11. Давление контролируется в корпусе первого по ходу питательной воды ПВД одним датчиком. Защита действует на открытие задвижки на линии дренажа конденсата из этого ПВД в последний по ходу конденсата ПНД (подогреватель низкого давления) или в конденсатор и на закрытие задвижки на линии дренажа конденсата из первого ПВД в деаэратор. При восстановлении давления в первом ПВД с выдержкой времени до 15 с производятся обратные переключения». Переключение подачи конденсата из ПВД в деаэратор или конденсатор происходит при разных рабочих режимах нагрузки турбины, поэтому и защищать здесь нечего и не от чего. В зависимости от давления в ПВД по алгоритму управления конденсат переключается из ПВД либо в деаэратор, либо в конденсатор.
Ещё пример формального заимствования электрического термина «защита на сигнал» в терминологию защиты по технологическим параметрам турбогенераторной установки, которое приводит к неправильному пониманию события. На турбогенераторной установке имеется два вида защит и сигнализаций – электрические и технологические. В электрической защите и сигнализации, согласно ПУЭ [12], существует следующая терминология: защита на сигнал и защита на отключение. В технологических существуют общепринятые термины – предупредительная сигнализация и защита. Если сравнивать термины и их функциональное значение, то можно сказать, что электрическая защита на сигнал соответствует технологической предупредительной сигнализации, а электрическая защита на отключение соответствует технологической защите. Таким образом, функциональное значение слова защита имеет существенное отличие в электрической и технологической терминологии, и путать эти понятия в проектной документации и тем более в нормативной [6, 7] нельзя, так как получаются формулировки, искажающие действительность и ведущие к предоставлению неправильной информации оператору.
В электрической терминологии защита на сигнал означает выход электрического параметра за пределы нормы и срабатывание сигнализации, информирующей оператора. В технологической терминологии вывод защиты на сигнал означает отключение защиты, о чём оператор должен получать однозначную информацию – по такому-то параметру защита отключена. Важно отметить, что при отключении защиты предупредительная и аварийная сигнализации не отключаются и при достижении соответствующих уставок выполняют свои функции (связи между блоками 5–6 и 7–8 на рис. 1 остаются неразрывными).
Подсистема сигнализации о состоянии (включён/выключен), положении (открыто/закрыто), диагностике каналов контроля, об обнаруженных неисправностях различных устройств и т.д. – это принципиально другая сигнализация и недопустимо её смешивать c технологической сигнализацией по контролируемым параметрам, являющейся составной частью ТСЗ.
Существуют и другие самостоятельные сигнализации, например пожарная, охранная, которые также не имеют ничего общего с ТС по контролируемым параметрам.
В добавление к перечисленным неточностям в части ТЗ особо следует отметить существенное отличие от всех подсистем системы управления. Содержание алгоритма ТЗ скрыто в её схемном или программном решении, тогда как во всех других подсистемах управления можно увидеть (или услышать) результат срабатывания или несрабатывания алгоритма управления. При неправильном составлении алгоритма ТЗ его проверка будет проходить по этому же неправильному алгоритму, но будет получен положительный результат, а при определённом стечении обстоятельств на работающем агрегате – авария.
Реализация неправильного алгоритма ТЗ (отличного от представленной структурной схемы и правил А и Б) в схемном или программном решении будет являться миной замедленного действия.
Формулировка технологической сигнализации и защит (ТСЗ) верна и для газоперекачивающих компрессорных станций, в нефтепереработке, в химической промышленности, в металлургии и в других отраслях, где система управления имеет технологические защиты.
В процессе долговременной эксплуатации тепловых электростанций разработан ряд нормативных документов по выполнению технологических защит, в которых определены параметры защит и их алгоритмы. Существующие в них неточности и ошибки – это следствие сложившихся десятилетиями стереотипов в правильности изложения при составлении столь важных документов, которые требуют критического пересмотра (см. рис. 1 и правила А и Б). Правильность выполнения ТСЗ напрямую связана с безопасной эксплуатацией объектов управления.
С пуска в 1954 г. [13] первой атомной станции проблемы безопасной эксплуатации атомных станций остаются первостепенными.
Были разработаны и продолжают совершенствоваться общие положения, правила и нормы по ядерной и радиационной безопасности [14, 15, 16, 17]. Этим документам должны удовлетворять защиты: аварийная защита (АЗ), локальная аварийная защита (ЛАЗ), система управления и защиты (СУЗ) [18, 19, 20].
Эти защиты направлены на обеспечение ядерной и радиационной безопасности в рамках существующей международной шкалы событий на АЭС [21]. По этой шкале наряду с аварийными ситуациями рассматриваются проектные аварии ядерного и радиационного характера, а также запроектные аварии, то есть при проектировании атомных станций и разработке системы управления допускаются проектные аварии и возможны запроектные аварии. В [14] дано следующее определение: «Авария – нарушение эксплуатации АС, при котором произошёл выход радиоактивных веществ и/или ионизирующего излучения за предусмотренные проектом для нормальной эксплуатации границы в количествах, превышающих установленные пределы безопасной эксплуатации. Авария характеризуется исходным событием, путями протекания и последствиями». В случае аварии разрабатываются системы и средства локализации и уменьшения последствий радиационного заражения [22].
Следовало ожидать, что накопленный опыт в части ТЗ в теплоэнергетике, на тепловых электростанциях будет использован в атомной энергетике. Но на деле развитие атомной энергетики в нашей стране пошло своим путём. Одно из объяснений такому положению находим в высказывании академика Легасова В.А. [23]: «… атомная энергетика в Советском Союзе вырастала не из сферы энергетики, а она вырастала как бы из атомной промышленности…».
Прошло около полувека с пуска первых промышленных реакторов, но современные события показывают неизменность стратегических и тактических концепций по выполнению защит. Так, например, в [24] сказано: «…6 апреля 1993 г. при взрыве на радиохимическом заводе Сибирского химкомбината в Томске-7 система чрезвычайного реагирования снова дала сбой. Авария была результатом нарушения технологического процесса, в результате которого произошёл взрыв аппарата, содержавшего 25 м3 уран-плутониевого раствора. И здесь, как и в Чернобыле, не обошлось без «человеческого фактора». Операторы установки не заметили вовремя, что засорилась линия подачи воздуха для перемешивания растворов, что привело к недопустимому повышению температуры и давления в ёмкости…».
Прошло семь лет после Чернобыльской аварии, и всё тот же «человеческий фактор»: «…операторы установки не заметили вовремя…».
Установка должна оснащаться контрольно-измерительными приборами, контролирующими технологический процесс, с подсистемой защит по технологическим параметрам. Сначала должна была сработать предупредительная сигнализация по контролю температуры и давления в ёмкости при достижении параметрами предупредительных уставок, а при достижении параметрами аварийных уставок должна была сработать защита, приведя технологический процесс в безопасное состояние, предотвращая аварию (физическое разрушение). Это функция технологических защит.
В [25] читаем: «23 сентября 1998 г. при подъёме мощности реактора ЛФ-2 после срабатывания АЗ допустимый уровень мощности был превышен на 10%. В результате в нескольких технологических каналах был превышен допустимый уровень подогрева воды и в трёх каналах произошла разгерметизация части ТВЭЛов, что привело к загрязнению оборудования и трубопроводов I контура. Содержание ксенона-133 в выбросе из реактора в течение 10 дней превысило годовой допустимый уровень. Реактор остановлен на планово-предупредительный ремонт». Если после срабатывания защиты происходит физическое разрушение элементов реактора, то кому нужна такая защита? Отсутствие в системе управления реактором технологической защиты, задача которой – предотвращение физического его разрушения, и явилось причиной аварии.
Проводя аналогию с тепловыми станциями, можно сказать, что в атомной промышленности не была поставлена задача и создана подсистема, обеспечивающая целостность управляемого объекта, которая в случае необходимости привела бы этот объект в безопасное состояние. На конкретной ядерной установке не была создана подсистема, обладающая адекватными средствами и свойством приведения реактора в безопасное состояние (без физического разрушения).
Обратимся к учебной литературе по системам управления атомными станциями и отметим существующее понимание ТЗ.
В [18] говорится: «Подсистема технологических защит применяется для сохранения оборудования от повреждений и предупреждения аварий. На электротехническом оборудовании (электродвигателях, генераторах, трансформаторах) применяется защита от перегрузки, перенапряжения, токовая, грозовая и другие виды защиты». Перечисленные защиты к технологическим защитам отношения не имеют, поскольку относятся к электрическим защитам и выполняются по «Правилам устройства электроустановок» (ПУЭ). Далее в [18] сказано: «К подсистеме технологических защит можно условно отнести блокировки, назначение которых часто приводит и к защитным действиям, хотя наряду с ними осуществляют и автоматическое управление отдельными элементами технологического оборудования». Как и в теплоэнергетике, объединение технологических защит и защитных блокировок в одну подсистему препятствует правильному пониманию технологических защит по контролируемым параметрам и правильной их реализации.
Отсутствие преемственности терминологического аппарата теплоэнергетики привело к неправильной интерпретации технологических защит в учебной литературе по атомной энергетике.
Существующие подсистемы защит (АЗ, ЛАЗ, СУЗ) реакторной установки, обеспечивающие безопасность атомной станции, выполняют широкий спектр функций: защиты, блокировки, регулирование, то есть решают многофункциональные задачи. Возложение на подсистемы защит несвойственных им функций не могло не сказаться на качестве выполнения той функции, для которой каждая подсистема создана.
Анализируя причины Чернобыльской аварии, обратим внимание на следующее [19]: «Реактор РБМК-1000 обладает качественно новыми динамическими свойствами, обусловленными главным образом большими физическими размерами активной зоны и существенными изменениями коэффициентов реактивности в процессе эксплуатации реактора». Там же: «Исследования динамики реактора РБМК-1000, проведённые с применением математической модели, показали, что в активной зоне реактора самопроизвольно развиваются деформации энергораспределения. Эти расчёты были подтверждены экспериментами на реакторе». И далее: «На основании обобщения расчётных и экспериментальных данных было установлено, что при увеличении глубины выгорания топлива увеличивается паровой и температурный графитовый эффект реактивности, приводящий к уменьшению постоянной времени развития перекосов энергораспределения…».
Видно, что реактор в процессе эксплуатации мог изменять свои ядерно-физические характеристики и превращаться из управляемого «мирного атома» в неуправляемый. Подсистема технологических защит реактора обязана была отслеживать изменения в состоянии реактора по физическим и технологическим параметрам и должна иметь в случае необходимости достаточно времени и средств для приведения реактора в безопасное состояние.
Необходимо было реактор РБМК-1000 оснастить достаточным количеством точек измерения, обеспечивающих контроль физико-технического состояния реактора по принципу единичного измерения с необходимым количеством контролируемых каналов в каждой точке измерения во всей его активной зоне (диаметр 11,8 м, высота 7 м), обеспечивая вычислительный комплекс для расчётов эксплуатационных параметров реактора на протяжении всего периода эксплуатации, что позволило бы избежать возникновения бесконтрольных локальных очагов неуправляемых ядерных реакций, а правильное выполнение логической схемы защиты контролируемых точек реактора должно было обеспечить надёжное срабатывание защиты.
Эти требования нужно формулировать для каждого типа реактора в нормативных документах для выполнения защит по физическим и технологическим параметрам реактора. Подтверждением сказанному служит [19]: «Совершенно обязательным условием эксплуатации является выполнение следующих требований: исключение потери контроля и управления цепной реакцией деления, сохранение средствами защиты способности прекращать цепную реакцию при возникновении любых отклонений от пределов и условий безопасной эксплуатации реактора».
В начальной стадии эксплуатации реактора при достижении контролируемым параметром (условно назовем его ф-параметр) предупредительной уставки должна была сработать предупредительная сигнализация, по которой оператор в соответствии с инструкцией должен был принять меры для возвращения реактора по ф-параметру в рабочий диапазон. Если бы действия оператора не привели к нормализации работы реактора и ф-параметр, продолжая ухудшаться, достиг аварийной уставки, то автоматически должна была сработать защита и остановить реактор. Роль оператора в части подсистемы защит по технологическим и физическим параметрам заключается в контроле правильности выполнения алгоритма защиты и, в случае его отказа, воздействии непосредственно на исполнительные органы защиты нажатием кнопки аварийного останова.
Так должны были развиваться события, случившиеся в апреле 1986 г. на четвёртом блоке ЧАЭС. В конце апреля процесс планового останова реактора затянулся по ряду причин, и в этот период произошёл провал мощности реактора до 30 МВт, что способствовало возникновению в реакторе парового эффекта. Наличие положительного парового коэффициента реактивности вызвало в реакторе положительный мощностной коэффициент реактивности с положительной обратной связью по мощности, такое состояние реактора является нестабильным и опасным. К моменту принятия решения об останове реактора и нажатии кнопки АО (аварийного останова) у операторов не было, как оказалось, никакой информации о взрывоопасном состоянии реактора, которому требовался только толчок, чтобы взорваться. Этим толчком оказались поглощающие стержни исполнительных органов защиты, которые внесли положительную реактивность в первоначальный момент при входе в реактор после нажатия кнопки аварийного останова, что оказалось достаточным для разгона реактора и последующего взрыва.
Причина несрабатывания защиты реактора от кнопки АО скрыта не только в конструкции поглощающих стержней, но в первую очередь в самом бесконтрольно-взрывоопасном состоянии реактора к моменту останова, когда хватило всего нескольких секунд для превращения внешне работоспособного реактора в чрево ада.
АСУ ТП реактора с защитой по технологическим и физическим параметрам не контролировала переход реактора в неустойчивое состояние. Возникают вопросы к системе управления. Где предупредительная сигнализация, которая в начале процесса должна была отреагировать на переход реактора во взрывоопасное состояние и сигнализировать об этом оператору? Где защита, которая должна была автоматически сработать, не допуская реактор до состояния, отделённого несколькими секундами от возможного взрыва? В отсутствие оснащения реактора в полном объёме необходимым количеством контрольно-измерительных каналов с вычислительным комплексом для расчётов эксплуатационных параметров, определяющих взрывоопасное состояние реактора как на начальной его стадии, так и в развившемся процессе, с передачей сигналов в схему сигнализации и защит, и кроется причина Чернобыльской аварии, а установленные АЗ реактора по мощности и по скорости изменения мощности оказались неэффективны.
Авария, превратившаяся в катастрофу, выявила несовершенство как реактора, так и, в первую очередь, системы управления. Несоответствие между огромным потенциалом энергии, сконцентрированной в ядерном топливе, и конструкцией реактора с системой управления, не способной надёжно контролировать эту энергию, а в нужный момент и заглушить реактор, в полной мере проявилось в Чернобыле.
Знакомясь с событиями предаварийной обстановки на четвёртом блоке Чернобыльской АС, следует заметить, что техническая проблема приобрела эмоционально-личностный характер и была отнесена к категории «человеческого фактора» [1], что не соответствует действительности и не способствует корректным выводам, от которых зависят правильные решения. Неверное выполнение защит по технологическим и физическим параметрам или их отсутствие может привести к ядерной и радиационной авариям, что и случилось на Чернобыльской АЭС.
Обратим внимание на выводы комиссии [2]: «1.5.1. В соответствии с избранной концепцией была спроектирована не отвечающая целям безопасности система управления и защиты реактора. Неудовлетворительные с точки зрения безопасности физические и теплогидравлические характеристики активной зоны реактора были усугублены ошибками, допущенными при конструировании СУЗ». Неточное раскрытие причин Чернобыльской аварии, сведённое к конструктивным недостаткам СУЗ, уводит от истинной причины аварии.
Аналогичные оценки системы защиты высказаны и академиком Легасовым В.А. [23]: «Конечно, то, что произошло на Чернобыле, имеет не абстрактных, а конкретных виновников. Мы уже сегодня знаем, что система управления защитой (СУЗ) этого реактора была дефектна, и ряду научных работников это было известно, и они вносили предложения, как этот дефект убрать…».
Аналогичные оценки системы управления находим и в зарубежных источниках [26]: «Главными направлениями модернизации и усовершенствования РБМК проектанты АЭС и разработчики реакторов считают замену устаревшей системы централизованного контроля „Скала“…». Эти поверхностные оценки отношения системы управления к аварии не раскрывают её глубины. Несовершенство системы управления – отсутствие ТЗ и явилось причиной аварии.
После Чернобыльской катастрофы были разработаны программы ЕС по ядерной безопасности для Центральной и Восточной Европы и СНГ [27]: «Деятельность Европейского союза: программы технической поддержки PHARE и TACIS были распространены на все страны Центральной и Восточной Европы (PHARE) и СНГ (TACIS), в которых эксплуатируются реакторы советской конструкции. Первая программа по ядерной безопасности была реализована на болгарской АЭС Козлодуй в 1991 г. Основными целями этих программ являются поддержка и ускорение реализации национальных программ совершенствования безопасности в следующих направлениях:
Направление действия программы ЕС по ядерной безопасности на улучшение, усовершенствование, модернизацию оборудования атомных станций отечественного производства показывает схожесть принципов и требований в подходах к безопасности атомных станций, как отечественных, так и западных, включая формирование АСУ ТП с подсистемой защит.
В силу превосходства западных стран в компьютеризации АСУ ТП АЭС и технологии производства оборудования были достигнуты положительные результаты программы ЕС по модернизации отечественных атомных станций, но нельзя считать эти меры достаточными, поскольку не дана оценка и досконально не рассмотрена роль АСУ ТП в Чернобыльской аварии специалистами по системам управления, как отечественными, так и зарубежными. Отсутствие глубокого анализа роли АСУ ТП АЭС зарубежными специалистами по сиcтемам управления в материалах расследования Чернобыльской аварии говорит о том, что вопрос отсутствия технологических защит в АСУ ТП на зарубежных атомных объектах также актуален, а на отказ от атомной энергетики в некоторых западных странах повлияло состояние систем безопасности на АЭС.
Ещё пример вывода комиссии [2]: «1.5.4. Исследования причин и обстоятельств аварии на 4-м блоке Чернобыльской АЭС нельзя считать завершёнными, и они должны быть продолжены с целью установления истины и извлечения необходимых уроков для будущего».
Существующая практика по разработке АСУ ТП АЭС [28] базируется на ранее выполненных проектах по техническому заданию с учётом общих правил и норм по безопасности, которые, в свою очередь, постоянно совершенствуются и уточняются, но концепция построения защит, принятая в мировой практике, не меняется.
Существующее неблагоприятное состояние технологических защит опасных производств проявилось и в гидро-энергетике. Авария на Саяно-Шушенской ГЭС также связана с технологической защитой. В гидроэнергетике по технологическим параметрам принят термин «гидромеханические защиты». Согласно документу [3] на гидроэлектростанции осуществляются защиты по 10 технологическим параметрам, но среди них нет защиты по контролю вибрации. Одними из определяющих показателей работоспособного состояния гидрогенератора являются его нормативные показатели по виброконтролю. По заводским требованиям допустимая максимальная величина вибрации подшипника гидроагрегата [3] установлена равной 160 мкм, к моменту срыва крышки турбины величина вибрации достигла 840 мкм. При достижении значения вибрации подшипника 150 мкм должна была сработать предупредительная сигнализация, по ней оператор принимает меры по нормализации вибрационного состояния агрегата. В случае его ухудшения и достижения 160 мкм должна была автоматически сработать технологическая (гидромеханическая) защита и с помощью исполнительных органов привести агрегат в безопасное состояние, то есть остановить его. Так должны были развиваться события на втором агрегате утром 17 августа 2009 г., но они приняли трагический характер. Отсутствие технологической (гидромеханической) защиты (рис. 1) по контролю вибрации на гидроагрегате № 2 явилось причиной аварии, приведшей к катастрофическим последствиям.
Технологические защиты (перечень параметров и алгоритмы) управляемого объекта от физического разрушения выполняются по нормативным документам ТЗ, разрабатываемым головным отраслевым институтом с учётом требований завода-изготовителя.
Отсутствие в большинстве отраслей промышленности с опасными производствами нормативных документов по выполнению технологических защит допускает возможность создания систем, не обеспечивающих безопасную эксплуатацию.
В современной нормативной документации по теплоэнергетике подсистема технологических защит, построенная из подсистем ТЗ, регулирования и блокировок, не позволяет правильно сформировать ТЗ с созданием структурной схемы.
Структурная схема показывает состав элементов подсистемы, объём их функций и границы действия, создавая правильное понимание однозначного функционального назначения и решения задачи защиты от физического разрушения управляемого объекта.
Отделение от подсистемы технологических защит функций регулирования и блокировок позволяет правильно сформулировать задачу ТЗ и выстроить структурную схему подсистемы технологической сигнализации и защит (ТСЗ).
На основе представленных в статье структурной схемы ТСЗ и правил А и Б предлагается создать отраслевые нормативные документы по выполнению технологических защит с учётом специфики производственных процессов для повышения безопасности производств. Эти документы, разработанные на основе подсистемы ТСЗ, следует учитывать при применении существующих правил и положений по обеспечению безопасности опасных производств.
Одновременно на основе созданных нормативных документов предлагается разработать учебный курс ТСЗ для подготовки специалистов. ●
* Определение автора.
Автор благодарит за помощь в подготовке статьи Владимира Яковлевича Кюнченкова .
E-mail: groza-lonas@mail.ru
автоматизация
Однофазные источники бесперебойного питания Systeme Electric
Почти все современные сферы промышленности, IT-инфраструктура, а также любые ответственные задачи и проекты предъявляют повышенные требования к питающей сети – электропитание должно быть надёжным, стабилизированным и обеспечивать бесперебойную работу. В данной статье мы рассмотрим решения по однофазному бесперебойному питанию от российской компании Systeme Electric. 28.12.2023 СТА №1/2024 1090 0 0
автоматизация
Однопроводный канал телеметрии по PLC
В статье рассматриваются методы реализации однопроводных каналов передачи данных по силовым электросетям в жилых зданиях, загородных и промышленных помещениях. В качестве информационного провода предлагается использовать проводник «нейтраль» электропроводки. Приводятся анализ возможных конфигураций каналов передачи данных этого типа и результаты экспериментальных проверок. Рассматриваются преимущества новых методов по сравнению с традиционными PLC и области возможного применения данной технологии. 28.12.2023 СТА №1/2024 1216 0 0
автоматизация
BioSmart Quasar 7 — мал да удал
Компания BIOSMART в пандемийном 2020 году весьма своевременно представила свой первый лицевой терминал Quasar (рис. 1) с диагональю экрана 10 дюймов. Уже в следующем, 2021 году был представлен бесконтактный сканер рисунка вен ладони PALMJET (рис. 2). Ну а в текущем 2023 году компания представила новую уменьшенную модель лицевого терминала Quasar 7 (рис. 3), который смог в компактном корпусе объединить обе передовые технологии бесконтактной биометрической идентификации. 28.12.2023 СТА №1/2024 1124 0 0
автоматизация
Открытые сетевые платформы — когда сети и вычисления в одном устройстве
Открытая сетевая платформа (ONP) – это мощное средство для реализации как простых, так и масштабных сетей, а также инструмент, который позволяет в одном высокопроизводительном устройстве реализовать целый вычислительный комплекс, объединяющий внутри себя коммутаторы, маршрутизаторы, межсетевые экраны, а также сам сервер обработки данных. Используя все преимущества данной архитектуры, компания AAEON разработала своё решение, сетевую платформу FWS-8600, на базе высокопроизводительных процессоров Intel Xeon Scalable 2-го поколения. В статье раскрыты детали и особенности ONP, характеристики FWS-8600, а также почему использование процессоров Intel Xeon Scalable 2-го поколения значительно увеличивает потенциал платформы. 28.12.2023 СТА №1/2024 1445 0 0
