ГОСТ Р МЭК 61511-3-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности.

ГОСТ Р МЭК 61511-3-2018 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности.

Теги документа

гост безопасность гост безопасность функциональных систем гост системы безопасности гост функциональная безопасность

ГОСТ Р МЭК 61511-3-2018

Группа Т51

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ

Системы безопасности приборные для промышленных процессов

Часть 3

Руководство по определению требуемых уровней полноты безопасности

Functional safety. Safety instrumented systems for the process industry sector. Part 3. Guidelines for the determination of the required safety integrity levels

___________________________________________________________

ОКС 13.110

Дата введения 2019-07-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного перевода на русский язык международного стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 058 "Функциональная безопасность"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2018 г. N 467-ст

4 Настоящий стандарт идентичен международному стандарту МЭК 61511-3:2016* "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (IEC 61511-3:2016 "Functional safety - Safety instrumented systems for the process industry sector - Part 3: Guidelines for the determination of the required safety integrity levels", IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА

5 ВЗАМЕН ГОСТ Р МЭК 61511-3-2011

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Приборные системы безопасности (ПСБ) уже в течение многих лет используют для выполнения функций безопасности (ФБ ПСБ) в промышленных процессах. Для эффективного применения приборных систем безопасности при выполнении ФБ ПСБ необходимо, чтобы они соответствовали определенному минимальному уровню стандартизации.

Область применения комплекса стандартов МЭК 61511 - ПСБ, применяемые в промышленных процессах. Комплекс стандартов МЭК 61511 также рассматривает проведение анализа опасности и риска процесса для обеспечения формирования спецификации приборных систем безопасности. Вклад других систем безопасности учитывается только по отношению к требованиям к эффективности приборных систем безопасности. ПСБ включает все устройства, необходимые для выполнения каждой ФБ ПСБ, - от датчика(ов) до исполнительного(ых) элемента(ов).

В основе комплекса стандартов МЭК 61511 лежат две фундаментальные концепции, необходимые для ее применения: концепция жизненного цикла системы безопасности и концепция уровней полноты безопасности (УПБ).

Комплекс стандартов МЭК 61511 рассматривает ПСБ, использующие электрические/электронные/программируемые электронные технологии. Если для логических устройств используют другие принципы действия, то следует применять основные положения МЭК 61511, чтобы гарантировать выполнение требований к функциональной безопасности. Комплекс стандартов МЭК 61511 также рассматривает датчики и исполнительные элементы ПСБ независимо от принципа их действия. Комплекс стандартов МЭК 61511 является конкретизацией для промышленных процессов общего подхода к вопросам обеспечения безопасности, представленного в комплексе стандартов МЭК 61508:2010.

Комплекс стандартов МЭК 61511 устанавливает подход, минимизирующий стандартизацию деятельности для всех стадий жизненного цикла ПСБ. Этот подход был принят в целях реализации рациональной и последовательной технической политики.

В большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. Но при необходимости процесс может быть дополнен системами защиты или системами, с помощью которых достигается любой установленный остаточный риск. Системы защиты основаны на применении различных технологий: химических, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных. Любая стратегия обеспечения безопасности должна рассматривать каждую конкретную ПСБ в контексте других систем защиты. Для облегчения применения такого подхода комплекс стандартов МЭК 61511:

- требует, чтобы выполнялась оценка опасностей и рисков для определения общих требований к безопасности;

- требует, чтобы выполнялось распределение требований к безопасности в (по) приборной(ым) системе(ам) безопасности;

- реализует подход, который применим ко всем приборным мерам обеспечения функциональной безопасности;

- подробно рассматривает применение определенных действий по управлению безопасностью, которые могут быть применены ко всем методам обеспечения функциональной безопасности;

- охватывает все стадии жизненного цикла системы безопасности - от разработки первоначальной концепции, проектирования, внедрения, эксплуатации и технического обслуживания вплоть до утилизации;

- дает возможность, чтобы существующие или новые стандарты в разных странах, регламентирующие конкретные промышленные процессы, были с ним гармонизированы.

Комплекс стандартов МЭК 61511 призван привести к высокому уровню согласованности (например, основных принципов, терминологии, информации) в рамках конкретных промышленных процессов. Это принесет преимущества как в плане безопасности, так и в плане экономики.

В пределах своей юрисдикции соответствующие регулирующие органы (например, национальные, федеральные, штата, провинции, округа, города) могут устанавливать такие правила к процессу проектирования системы безопасности, к процессу управления безопасностью или другие правила, которые должны превалировать над требованиями, определенными в МЭК 61511-1.

Настоящий стандарт содержит руководство по определению требуемых уровней полноты безопасности, используя анализ опасности и риска (АОР). Содержащаяся в настоящем стандарте информация предназначена для проведения глубокого анализа различных общих методов применения АОР. Для применения любого из этих методов представленной информации недостаточно.

Перед применением настоящего стандарта следует ознакомиться с концепцией и определением понятия "уровень полноты безопасности", приведенными в МЭК 61511-1:2016. Приложения к настоящему стандарту рассматривают следующие вопросы:

Приложение A содержит общую информацию для всех рассматриваемых ниже методов оценки различных опасностей и рисков.

Приложение B содержит обзор полуколичественного метода определения требуемого УПБ.

Приложение C содержит обзор метода матриц безопасности для определения требуемого УПБ.

Приложение D содержит обзор метода, использующего для определения требуемого УПБ полукачественный подход графа рисков.

Приложение E содержит обзор метода, использующего для определения требуемого УПБ качественный подход графа рисков.

Приложение F содержит обзор метода, использующего для выбора требуемого УПБ анализ слоев защиты (АСЗ).

Приложение G содержит анализ слоев защиты, использующий матрицу риска.

Приложение H содержит обзор качественного подхода для оценки риска и назначения УПБ.

Приложение I содержит обзор основных этапов проектирования и калибровки графа рисков.

Приложение J содержит обзор влияния многоконтурных систем безопасности на определение требуемого УПБ.

Приложение K содержит обзор основных положений метода приемлемого риска и метода ALARP.

На рисунке 1 представлена общая структура комплекса стандартов МЭК 61511 и показана роль, которую комплекс стандартов МЭК 61511 играет в достижении функциональной безопасности для ПСБ.

Рисунок 1 - Общая структура комплекса стандартов МЭК 61511

1 Область применения

Настоящий стандарт содержит:

- основные положения концепции риска и описание отношения между риском и полнотой безопасности (см. A.4, приложение A);

- определение допустимого риска (см. приложение K);

- описание различных методов, позволяющих определить уровень полноты безопасности (УПБ) для функций безопасности ПСБ (см. приложения B-K);

- влияние многоконтурных систем безопасности на вычисления, определяющие способность достигнуть желаемого снижения риска (см. приложение J).

В частности, настоящий стандарт:

a) применяют в случаях, когда функциональная безопасность достигается путем использования одной или более функций безопасности ПСБ для защиты персонала, населения или окружающей среды;

b) может быть применен на объектах, не требующих обеспечения безопасности, например для защиты имущества;

c) иллюстрирует типичные методы оценки опасностей и рисков, которые могут быть выполнены для определения требований к функциональной безопасности, а также УПБ каждой из функций безопасности ПСБ;

d) иллюстрирует методы и/или средства, позволяющие определить требуемые УПБ;

e) содержит структуру работ по установлению УПБ, но не определяет УПБ для конкретных случаев применения;

f) не содержит примеров определения требований к иным методам снижения рисков.

Приложения B-K упрощенно иллюстрируют количественные и качественные подходы. Эти приложения были включены лишь для иллюстрации общих принципов, положенных в основу ряда используемых методов, и не могут служить руководством к их практическому применению.

Примечания

1 Тем, кто намеревается практически использовать методы, описанные в упомянутых приложениях, следует обратиться к ссылкам, имеющимся в каждом приложении.

2 Методы определения УПБ, включенные в настоящий стандарт, могут не подойти для всех применений. В частности, для режима с высокой частотой запросов или непрерывного режима работы могут потребоваться конкретные методы или дополнительные факторы, которые в настоящем стандарте не описаны.

3 Представленные в настоящем стандарте методы могут привести к неконсервативным результатам, если они используются за пределами их областей применения и если должным образом не рассматривают такие факторы, как общая причина, отказоустойчивость, общесистемные свойства приложения, отсутствие опыта использования методов, независимость слоев защиты и т.д. См. приложение J.

На рисунке 2 показана совокупность типовых слоев защиты и методов снижения риска.

Рисунок 2 - Типовые слои защиты и средства снижения риска

2 Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий международный стандарт (для датированной ссылки применяют только указанное издание ссылочного стандарта):

IEC 61511-1:2016, Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and application programming requirements ("Безопасность функциональная. Приборные системы безопасности, для технологических процессов в промышленности. Часть 1. Термины, определения и технические требования")

3 Термины, определения и сокращения

В настоящем стандарте применены термины, определения и сокращения, приведенные по МЭК 61511-1 (раздел 3).

Приложения настоящего стандарта являются справочными и не обязательными. Кроме того, применение любого конкретного метода, описанного в приложениях настоящего стандарта, не гарантирует соответствия требованиям МЭК 61511-1:2016.

Приложение A

(справочное)

Риск и полнота безопасности. Общие требования

A.1 Общие сведения

В данном разделе приведена информация об основополагающих концепциях риска и связи рисков с полнотой безопасности. Эта информация является общей для всех рассматриваемых ниже методов оценки различных опасностей и рисков.

A.2 Необходимая степень снижения риска

Необходимая степень снижения риска, которая может быть установлена либо качественно (см. примечание 1), либо количественно (см. примечание 2), - это такое снижение риска, которое должно быть обеспечено для достижения уровня риска (например, целевого уровня безопасности процесса), приемлемого в конкретной ситуации. Концепция необходимого снижения риска является фундаментально важной для формулирования спецификации требований безопасности для функций безопасности ПСБ (в частности, требований к полноте безопасности). Цель определения приемлемого риска (например, целевого уровня безопасности процесса) в случае конкретного опасного события состоит в установлении величины "разумного" риска, учитывающего как частоту возникновения опасных событий, так и их специфические последствия. Слои защиты (см. рисунок A.2) разрабатываются так, чтобы уменьшить частоту возникновения опасных ситуаций и/или их последствия.

Важными факторами для оценки величины приемлемого риска являются восприятие и точки зрения тех лиц, которые подвергаются опасности. При определении приемлемого риска для конкретного применения необходимо учитывать:

- указания соответствующих регулирующих органов;

- обсуждения и соглашения между различными сторонами, принимающими участие в данном применении;

- промышленные стандарты и руководства;

- промышленные, экспертные и научные советы;

- законодательные и регулирующие требования, как общие, так и относящиеся к конкретному применению.

Примечания

1 При определении необходимой степени снижения риска следует предварительно установить приемлемый риск. В МЭК 61508-5:2010, приложения D и E, рассмотрены качественные и полуколичественные методы, хотя в рассмотренных там примерах необходимое снижение риска представлено, скорее, в неявном виде и не установлено точно.

2 Например, опасное событие, приводящее к определенным последствиям, как правило, характеризуется максимальной частотой повторений в год.

A.3 Роль приборных систем безопасности

ПСБ реализует функции безопасности, необходимые для достижения или для поддержания безопасного состояния процесса, и, следовательно, вносит вклад в решение задачи необходимого снижения риска для достижения приемлемого риска. Например, в спецификации требований к функциям безопасности может быть указано, что если температура достигает значение

, то клапан

открывается, обеспечивая поступление воды в емкость.

Необходимое снижение риска может достигаться с помощью одной или комбинации нескольких ПСБ либо с помощью других слоев защиты.

В выполнении функции безопасности может участвовать человек. Например, оператор может получать информацию о состоянии процесса и выполнять основанные на этой информации некоторые действия в системе безопасности. Если человек является частью функции безопасности, то должны быть учтены все человеческие факторы.

ПСБ может действовать по запросу или в непрерывном режиме.

Считается, что полнота безопасности состоит из двух частей:

a) полнота безопасности аппаратных средств - это часть полноты безопасности, связанная со случайными отказами аппаратных средств, причем относящимися к опасным отказам. Факт достижения установленного уровня полноты безопасности аппаратных средств можно оценить с разумным уровнем точности. Поэтому требования могут быть распределены между подсистемами, используя известные правила комбинации вероятностей с учетом отказов по общей причине. Для достижения требуемой полноты безопасности аппаратных средств может оказаться необходимым применение структур с резервированием;

b) систематическая полнота безопасности - эта часть полноты безопасности связана с систематическими отказами, относящимися к опасным отказам. Хотя влияние отдельных систематических отказов на полноту безопасности можно оценить, данные по отказам, вызванным ошибками при проектировании, и отказам по общей причине указывают на то, что влияние этих отказов бывает сложно предсказать. При этом увеличивается неопределенность в расчетах вероятности отказов в конкретной ситуации (например, вероятности отказов ПСБ). Следовательно, необходимо обосновать, какие способы минимизации этой неопределенности окажутся наиболее эффективными. Нужно отметить, что меры, принятые для уменьшения вероятности случайных отказов аппаратных средств, не должны обязательно приводить к снижению вероятности систематических отказов. Такие технические решения, как резервирование в виде организации параллельных каналов с идентичным оборудованием, которые являются весьма эффективными для случайных отказов аппаратных средств, мало полезны для уменьшения систематических отказов.

Общее снижение риска, достигаемое функциями безопасности ПСБ вместе со средствами других слоев защиты, должно быть таким, чтобы обеспечить:

- частоту отказов функций безопасности, достаточно низкую для того, чтобы частота опасных событий не превышала бы значения, соответствующего приемлемому риску, и/или

- возможность того, что функции безопасности так изменяют последствия отказов, чтобы риск не превышал значение приемлемого риска.

Рисунок A.1 иллюстрирует общую концепцию снижения риска. Общая модель предполагает следующее:

- имеется процесс и связанная с ним основная система управления процессом (ОСУП);

- существует связанный с процессом человеческий фактор;

- слои защиты безопасности включают в свой состав:

- механическую систему защиты,

- приборные системы безопасности,

- неприборные системы,

- механическую систему ослабления последствий.

Примечание - На рисунке A.1 представлена обобщенная модель риска, иллюстрирующая общие принципы. Модель риска для конкретного случая должна составляться с учетом конкретных приемов, с помощью которых на базе ПСБ и других слоев защиты фактически достигается необходимое снижение риска. Результирующая модель риска в конкретном случае может отличаться от представленной на рисунке A.1.

На рисунках A.1 и A.2 показаны следующие риски:

- риск процесса. Это риск наличия конкретных опасных событий для процесса. При этом учитывается наличие основной системы управления процессом и человеческого фактора. При определении этого риска не рассматриваются какие бы то ни было специальные средства защиты безопасности;

- приемлемый риск (заданный уровень безопасности процесса). Риск, который считается приемлемым в данном контексте на основе принятой в обществе системы ценностей;

- остаточный риск. В контексте настоящего стандарта это риск возникновения опасных событий при условии применения всей совокупности слоев защиты.

Риск процесса является функцией от риска, связанного с самим процессом, но учитывающего также снижение риска, достигнутое благодаря применению системы управления процессом. Для того чтобы избежать неразумных требований к полноте безопасности ОСУП, настоящий стандарт устанавливает ограничения на возможные требования.

Необходимое снижение риска - это уменьшение уровня риска до такого минимального значения, который необходим для обеспечения приемлемого риска. Оно может достигаться с помощью как одного способа, так и комбинацией способов снижения риска. Процесс необходимого снижения риска, обеспечивающий достижение конкретного приемлемого риска от начального значения риска процесса, показан на рисунке A.1.

Примечание - В некоторых применениях для достижения целевого риска параметры риска (например, частота и вероятность отказа по запросу) не могут быть просто объединены, как представлено в рисунке A.1, без учета факторов, отмеченных в приложении J. Это может произойти из-за влияния отказов по общей причине и общих зависимостей между различными слоями защиты.

A.4 Риск и полнота безопасности

Очень важно полностью осознать разницу между риском и полнотой безопасности. Риск - это мера частоты появления и последствий конкретного опасного события. Его можно оценить для различных ситуаций (риск процесса, приемлемый риск, остаточный риск и т.д., см. рисунок A.1). При определении приемлемого риска учитывают социальные и политические факторы. Полнота безопасности - это мера вероятности того, что функция безопасности ПСБ и другие слои защиты обеспечат установленную безопасность. Только после того как приемлемый риск установлен и получена оценка величины необходимого снижения риска, можно определить требования к полноте безопасности ПСБ.

Примечание - Такая процедура может носить итеративный характер, что позволит осуществить оптимизацию разработки в целях выполнения различных требований. Роль, которую играют функции безопасности при достижении необходимого снижения риска, показаны на рисунках A.1 и A.2.

A.5 Распределение требований к безопасности

На рисунке A.4 показано распределение требований к безопасности (требований как к функциям безопасности, так и к полноте безопасности) по различным ПСБ и другим слоям защиты. Требования к процессу распределения даны в МЭК 61511-1, раздел 9.

Применение тех или иных методов для распределения требований полноты безопасности по ПСБ, другим связанным с безопасностью технологическим системам, а также по внешним средствам снижения риска зависит прежде всего от того, каким образом определена степень необходимого снижения риска - количественно или качественно. Эти подходы называют полуколичественными, полукачественными и качественными соответственно (см. приложения B-F).

Рисунок A.1 - Общая концепция снижения риска

Рисунок A.2 - Концепции риска и полноты безопасности

A.6 Опасное событие, опасная ситуация и вредоносное событие

Термины "опасное событие" и "опасная ситуация" часто используются в последующих приложениях. На рисунке A.3 продемонстрировано различие между терминами и показано развитие от опасного события до опасной ситуации из-за потери управления, приводящее к возникновению вредоносного события.

Рисунок A.3 демонстрирует, как вред наносится людям, но его также можно применить и к нанесению вреда окружающей среде или ущерба имуществу.

Рисунок A.3 - Развитие вредоносного события

Рисунок A.3 показывает, как потеря управления или инициирование любой другой причины приводит к аварийной ситуации и формирует запрос к мерам защиты, таким как предупредительные тревожные сигнализации, ПСБ, предохранительная арматура и т.д. Опасное событие возникает, если выполняется запрос, а соответствующие меры защиты находятся в состоянии отказа и не функционируют, как положено. Опасное событие само по себе не обязательно наносит ущерб, но если человек (люди) находился в зоне (или области) его воздействия, и таким образом подвергался воздействию опасного события, то это приводит к опасной ситуации. Если человек не способен избежать пагубных последствий воздействия, то оно характеризуется как вредоносное воздействие из-за нанесения вреда здоровью.

A.7 Уровни полноты безопасности

В настоящем стандарте определены четыре уровня полноты безопасности, причем уровень полноты безопасности 4 - наивысший, уровень полноты безопасности 1 - низший.

Целевые меры отказов для задания всех четырех уровней полноты безопасности определены в МЭК 61511-1, таблицы 3 и 4. Установлены два таких параметра: один для ПСБ, действующих в режиме низкой интенсивности запросов, и другой для ПСБ, работающих в режиме с непрерывным запросом или в режиме высокой интенсивности запросов.

Примечание - В случае ПСБ, работающей в режиме низкой интенсивности запросов, целевой мерой отказов является средняя вероятность опасного отказа функции безопасности по запросу. В случае если ПСБ работает в режиме с непрерывным запросом или в режиме высокой интенсивности запросов, то целевой мерой отказов является средняя частота опасных отказов функции безопасности (см. МЭК 61511-1, 3.2.83 и таблицу 5).

A.8 Выбор метода для определения требуемого уровня полноты безопасности

Имеются различные пути установления требуемого УПБ для конкретного случая. В приложениях B-I представлена информация о ряде используемых методов. Выбор метода для конкретного применения зависит от многих факторов, в том числе:

- от сложности задачи;

- указаний регулирующих органов;

- природы риска и требуемой величины его снижения;

- опыта и квалификации персонала, выполняющего эту работу;

- доступной информации о параметрах риска (см. рисунок A.4);

- доступной информации о ПСБ, использующейся в настоящее время в конкретных применениях, описанных в отраслевых стандартах и промышленной практике.

В некоторых случаях можно использовать не один, а несколько методов. Так, при определении требуемого УПБ для всех рассматриваемых функций безопасности ПСБ в качестве первого шага можно использовать качественные методы. Те функции, которым с помощью этого метода был присвоен уровень 3 или 4, следует затем проанализировать более детально с использованием количественных методов для получения более точной оценки требуемой их полноты безопасности.

Важно то, что какой бы ни был выбран метод (методы) для конкретного применения, для его оценки должны использоваться определенные критерии риска.

Примечание - Требования к полноте безопасности устанавливаются для каждой функции безопасности ПСБ до распределения [см. МЭК 61511-1 (раздел 9)].

Рисунок A.4 - Распределение требований безопасности по слоям защиты, не относящимся к ПСБ, и другим слоям защиты

Приложение B

(справочное)

Полуколичественный метод. Анализ дерева событий

B.1 Общие сведения

В данном приложении рассмотрен вопрос о том, как с помощью полуколичественного подхода можно определять целевые уровни полноты безопасности. Полуколичественный подход использует как качественные, так и количественные методы и наиболее целесообразен в случаях, когда приемлемый риск определяется численно (например, определенные последствия не должны возникать чаще чем один раз в сто лет).

Данное приложение не предназначено для использования в качестве руководства по применению конкретного метода, а имеет своей целью проиллюстрировать его общие принципы. Приложение основано на методе, детально описанном в CCPS/AIChE, Guidelines for Hazard Evaluation Procedures, Third Edition, Wiley-lnterscience, New York (2008).

B.2 Соответствие МЭК 61511-1

Основная цель данного приложения - проследить процедуру выбора необходимых функций безопасности ПСБ и установления их УПБ. Для решения этой задачи необходимо выполнить следующие основные шаги:

a) установить целевую (заданную) безопасность процесса (приемлемый риск);

b) провести анализ опасности и риска, чтобы оценить существующий риск для каждого конкретного опасного события;

c) определить функцию (функции) безопасности, требуемую для каждого конкретного опасного события;

d) распределить функции безопасности по слоям защиты.

Примечание - Предполагается, что слои защиты не зависят один от другого. Процесс распределения может гарантировать, что вероятность отказов по общей причине, отказов общего вида и систематических отказов достаточно мала по сравнению с общими требованиями снижения риска;

e) определить, требуются ли функции безопасности ПСБ;

f) определить УПБ функций безопасности ПСБ.

Шаг a) определяет целевую безопасность процесса. На шаге b) выполняется анализ риска процесса, а шаг c) позволяет на основании анализа риска определить, какие требуются функции безопасности и каким должно быть снижение риска, чтобы была достигнута целевая безопасность. После распределения на шаге d) этих функций безопасности по слоям защиты становится ясным, требуется ли функция (функции) безопасности ПСБ [шаг e)] и каким должен быть ее (их) УПБ [шаг f)].

В данном приложении при оценивании риска для достижения целей стандартов МЭК 61511 предлагается использовать полуколичественные методы. Этот подход продемонстрирован на простом примере.

B.3 Пример

B.3.1 Общее описание

Рассмотрим процесс, включающий емкость под давлением с насосом и двумя выходами (жидкости и газа), содержащую смесь газа и летучей воспламеняющейся жидкости, а также необходимое оборудование (см. рисунок B.1). Управление процессом осуществляется основной системой управления процессом (ОСУП), которая контролирует сигнал датчика расхода и управляет перемещением клапана. Имеются следующие технические системы, реализующие процесс: а) независимый датчик давления, который в случае недопустимого повышения давления выдает предупредительный сигнал, побуждающий оператора к принятию соответствующих мер по прекращению подачи жидкости в емкость, и б) если реакции оператора на аварийный сигнал не последует, то включается дополнительный, неприборный слой защиты, который является регулятором давления, чтобы предотвратить опасности, связанные с высоким давлением в емкости. Сбросы из регулятора давления отводятся по трубам в сепараторную емкость, которая соединена с системой сброса газа. В этом примере принимается, что система сброса газа спроектирована, смонтирована и действует нормально и имеет разрешение на применение. Таким образом, потенциально возможные отказы системы сброса газа в этом примере не рассматриваются.

Примечание - Понятие "технические системы" относится здесь ко всем системам, работающим с процессом. Они включают и иные автоматические средства защиты, а также оператора (операторов).

B.3.2 Целевой уровень безопасности процесса

Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение целевого уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой. Целевой уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям. В качестве примера примем, что для целевого уровня безопасности процесса установлено, что средняя частота сброса не должна превышать 10

в год, что объясняется ожидаемыми последствиями сброса для окружающей среды.

Обозначения:

FC - регулятор расхода;

FCV - клапан-регулятор расхода;

PAH - верхняя уставка сигнализации давления;

BV - запорный клапан;

PRV - клапан сброса давления

Рисунок B.1 - Емкость под давлением с существующими системами безопасности

B.3.3 Анализ опасности

Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:

- анализ безопасности;

- контрольные листы;

- анализ гипотез ("что произойдет, если");

- метод HAZOP;

- анализ видов и последствий отказов;

- анализ причин и последствий.

Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazard and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые могут повлиять на возможность достижения проектной производительности установки.

На втором шаге для примера, приведенного на рисунке B.1, проводится анализ HAZOP. Целью применения этого метода анализа является оценка потенциально опасных событий, связанных с выбросами в окружающую среду. Краткий перечень результатов применения метода приведен в таблице B.1.

В результате применения HAZOP установлено, что значительное превышение давления может привести к выбросам горючего материала в окружающую среду. Это является исходным событием, которое может перерасти в опасное событие по сценарию, зависящему от реакции имеющихся технических систем. Если бы метод HAZOP был применен к анализу объекта в полной мере, то в рассмотрении могли бы появиться иные исходные события, приводящие к выбросам, включая утечку из технологического оборудования, полный разрыв трубопровода и такие внешние события, как пожар. В данном иллюстративном примере рассмотрены только условия возникновения высокого давления.

Примечание - В данном примере предполагается, что емкость может оказаться под высоким давлением из-за неспособности оборудования, расположенного ниже по технологической цепочке, обслуживать полный поток газа из емкости, когда поток подачи слишком высок.

Таблица B.1 - Результаты анализа методом HAZOP


Объект	Отклонение	Причина	Последствие	Мера защиты	Действие
Емкость	Интенсивный поток	Отказ контура управления потоком	Интенсивный поток приводит к высокому давлению (см. примечание)
	Высокое давление	1 Отказ контура управления потоком. 2 Внешнее возгорание	Повреждение емкости и выброс в окружающую среду	1) Аварийный сигнал высокого давления. 2) Система пожаротушения (потоком воды). 3) Клапан сброса давления	Оценка проектных условий сброса давления в окружающую среду
	Малый поток/ отсутствие потока	Отказ контура управления потоком	Нет последствий, представляющих интерес
	Обратный поток		Нет последствий, представляющих интерес

B.3.4 Полуколичественный метод анализа риска

Оценку рисков процесса выполняют с помощью полуколичественного метода анализа, который позволяет определить и количественно оценить риски, связанные с возможными ошибками или опасными событиями в технологическом процессе. Результаты анализа могут быть использованы для выбора необходимых функций безопасности и их УПБ, дающих возможность снизить риск процесса до приемлемого уровня. Оценка риска процесса с помощью полуколичественного метода может быть выполнена в виде приведенной ниже последовательности шагов, причем первые четыре шага могут быть реализованы в процессе применения метода HAZOP:

a) определить опасности для процесса;

b) определить исходные события;

c) построить сценарии опасного развития событий применительно к каждому исходному событию;

d) определить состав слоев защиты.

Примечания

1 Чтобы обеспечить процесс защитой, функции безопасности распределены по слоям защиты, которые включают ПСБ и другие средства снижения риска (см. рисунок B.2).

2 Шаг d) применяется к рассматриваемому примеру, так как он связывает существующий процесс с существующими слоями защиты;

e) с помощью архивных данных или используя методы моделирования (анализ дерева событий, анализ видов и последствий отказов, анализ дерева ошибок) уточнить частоту появления исходных событий и надежность существующих систем безопасности;

f) оценить количественно частоту возникновения всех существенно опасных событий;

g) оценить последствия всех существенно опасных событий;

h) просуммировать результаты (последствия и частоту инцидентов) оценки риска, связанного с каждым опасным событием.

Существенные результаты такого анализа, представляющие интерес:

- лучшее и более детальное понимание опасностей и рисков, связанных с процессом;

- знание риска процесса;

- понимание вклада существующей функции безопасности в общее снижение риска;

- определение каждой функции безопасности, требующейся для снижения риска процесса до приемлемого уровня;

- сравнение полученной оценки риска процесса с целевым значением.

Метод полуколичественного анализа требует значительных ресурсов, но имеет достоинства, которые не обеспечивают качественные подходы. При определении опасностей этот метод базируется в большой степени на экспертных оценках команды специалистов, обеспечивает ясный способ управления существующими системами безопасности, основанными на других технологиях, использует средства документирования всех мероприятий, которые привели к полученным результатам, и обеспечивает поддержку жизненного цикла.

Для представленного примера с помощью HAZOP-анализа было идентифицировано одно исходное событие (возникновение избыточного давления), которое повлекло возникновение возможности выброса вещества в окружающую среду. Необходимо отметить, что используемый в данном пункте подход является комбинацией количественной оценки частоты возникновения опасного события и качественной оценки его последствий. Данный подход применяют для иллюстрации систематической процедуры, которой рекомендуется следовать для определения опасных событий и функций безопасности ПСБ.

B.3.5 Анализ рисков существующих процессов

Следующий шаг состоит в установлении факторов, которые могут способствовать возникновению исходного события. На рисунке B.2 показано простое дерево ошибок, на котором представлен ряд причин возникновения чрезвычайно высокого давления в емкости. Событие верхнего уровня - чрезмерное повышение давления в емкости - может быть вызвано отказом основной системы управления процессом (например, контура управления потоком) или внешним фактором - пожаром (см. таблицу B.1).

Дерево ошибок наглядно представляет воздействие отказа ОСУП на процесс, а частоту наружного пожара полагают незначительной. Сама ОСУП не выполняет каких-либо функций защиты. Ее отказ, однако, приводит к росту числа запросов к ПСБ. Таким образом, при наличии надежной ОСУП запросов к ПСБ будет меньше.

Дереву ошибок можно поставить в соответствие количественные оценки. В настоящем примере предполагается, что частота появления условий чрезвычайно высокого давления будет порядка 10

в год. Необходимо учесть, что каждая причина, показанная на рисунке B.2, предполагается независимой (т.е. отсутствуют взаимовлияния) от других причин, с интенсивностью отказов, выраженной как события в год.

Рисунок B.2 - Дерево ошибок при превышении давления в емкости

Примечание - На рисунке B.2 представлено дерево ошибок без учета мер защиты.

После установления частоты появления исходного события, используя средства анализа дерева событий, проводят моделирование реакции систем безопасности (успешная работа или отказ) на аномальные условия. Данные по надежности систем безопасности могут быть взяты из эксплуатационных данных, опубликованных баз данных или получены по результатам прогноза, полученным методом моделирования надежности.

Для рассматриваемого примера использованы реальные данные по надежности, а не данные, взятые из литературы или полученные в результате прогнозирования работы системы. На рисунке B.3 показаны возможные сценарии потенциального выброса, которые могут произойти в условиях повышения давления. В результате моделирования таких случаев были получены: a) частота возникновения каждой из приводящих к аварии последовательностей событий и b) качественная оценка последствий в виде выброса воспламеняющихся материалов.

На рисунке B.3 показаны пять вариантов развития опасных событий, причем для каждого приведены частота появления и последствия возможного выброса. Реализация сценария 1 включает реакцию оператора на аварийную сигнализацию о высоком давлении, что происходит с частотой 8·10

в год, и эти действия оператора приводят к уменьшению выпуска продукции без выброса. Такая авария соответствует исходным условиям, принятым при проектировании процесса, а оператор обучен и протестирован для выполнения соответствующих действий, обеспечивающих достижение снижения риска.

Более того, условиям проектирования соответствуют также сценарии 2 и 4, при которых происходит выброс воспламеняющихся материалов с общей частотой 1,9·10

в год (9·10

+1·10

). Общая частота возникновения аварий для сценариев 3 и 5, для которых характерны повреждение емкости и выброс материала в окружающую среду, равна 1,9·10

в год (9·10

+1·10

Примечание - Результаты были округлены до первой значащей цифры.

Рисунок B.3 - Опасные события при существующих системах безопасности

Примечание - В некоторых применениях частота и вероятность отказов по запросу не могут быть получены умножением, как показано в рисунке B.3. Это может произойти из-за влияния отказов по общей причине и общих зависимостей между различными слоями защиты (см. Приложение J).

Следует отметить, что при анализе не принималась во внимание возможность отказа по общей причине сигнализатора высокого давления и отказа датчика уровня в составе ОСУП. Такого рода отказы по общей причине могут привести к существенному увеличению частоты аварий по сценарию 3 и, следовательно, к увеличению риска.

Примечание - Предполагается, что события, изображенные на рисунке B.3, независимы. Более того, указанные данные являются приближенными, поэтому сумма частот всех возникающих аварий приближается к частоте исходного события (0,1 в год).

B.3.6 События, не отвечающие целевому уровню безопасности процесса

Как отмечалось ранее, в соответствии с конкретными руководящими указаниями для технологического объекта устанавливается целевой уровень безопасности процесса: выброс материала в окружающую среду должен происходить с частотой, не превышающей 10

раз в год. Общая частота выбросов в окружающую среду составляет 1,9·10

(сценарий 3) + 1,9·10

(сценарий 5) = 1,92·10

в год, что больше, чем целевой уровень безопасности процесса. Учитывая данные о частоте возникновения опасных событий и данные о последствиях, представленные на рисунке B.3, для сценариев выброса 2, 3 и 5 необходимо дополнительное снижение риска, чтобы частота выбросов была ниже целевого уровня безопасности процесса.

B.3.7 Снижение риска путем использования других слоев защиты

Прежде чем установить необходимость функции безопасности ПСБ, следует рассмотреть слои защиты, использующие другие технологии. Система пожаротушения (потоком воды) перечислена в качестве меры защиты в таблице B.1, но она не предотвращает повреждение сосуда или выброс в окружающую среду.

Учитывая, что цель анализа состоит в том, чтобы минимизировать риск, связанный с выбросами материала в окружающую среду, можно заключить, что система пожаротушения (потоком воды) не является приемлемой схемой снижения риска повреждения сосуда или выброса в окружающую среду. Система пожаротушения (потоком воды) действительно снижает риск для персонала и эскалации событий, что в данном примере не оценивается.

B.3.8 Снижение риска путем использования функции безопасности ПСБ

Целевой уровень безопасности процесса не может быть достигнут применением слоев защиты, использующих другие технологии. Для уменьшения общей частоты выбросов в атмосферу требуется новая ПСБ, реализующая функцию безопасности с УПБ 2, чтобы обеспечить достижение целевого уровня безопасности процесса. Такая новая ПСБ показана в рисунке B.4.

Нет необходимости в данном пункте выполнять детальный проект функции безопасности ПСБ. Вполне достаточна общая концепция ее проекта. Цель на данном шаге состоит в том, чтобы определить, обеспечит ли новая ПСБ, реализующая функцию безопасности с УПБ 2, необходимое снижение риска и достижение целевого уровня безопасности процесса. Детальное проектирование функции безопасности ПСБ необходимо выполнять только после того, как для нее будет определен целевой уровень безопасности процесса. Для данного примера новая функция безопасности ПСБ использует сдвоенный специально предназначенный для безопасности датчик давления (на рисунке В.4 не показан), включенный по схеме 1оо2 и связанный с логическим решающим устройством, которое также управляет дополнительным отсечным клапаном и насосом.

Примечание - Обозначение 1оо2 означает "один из двух", т.е. любой из сдвоенных датчиков может послать сигнал, останавливающий процесс.

Новая функция безопасности ПСБ с УПБ 2 предназначена для уменьшения частоты выбросов из сосуда, находящегося под высоким давлением. На рисунке В.4 изображен новый слой защиты и представлены все потенциально опасные сценарии. Как можно видеть на этом рисунке, частота выбросов из такой емкости может быть снижена до значения 10

в год и ниже, и целевой уровень безопасности процесса может быть достигнут при условии, что полученная в результате функция безопасности ПСБ отвечает требованиям УПБ 2.

На рисунке B.4 определены семь возможных сценариев, для каждого из которых даны частота возникновения и качественное описание последствия. Частота сценария 1 совпадает с ранее рассмотренной. Реакция оператора происходит с частотой 8·10

в год и приводит к уменьшению выпуска продукции.

В этом проекте успешная работа ПСБ приводит к остановке процесса с частотой 1,9·10

в год. ПСБ уменьшает интенсивность запроса процесса к клапану сброса давления (PRV). Частота реализации сценария 3, включающая сброс из PRV в систему сброса газа, снижена на два порядка величины по сравнению с предыдущим случаем до 9·10

в год. В сценарии 4 опасное событие с выбросом материала в окружающую среду происходит с частотой 9·10

в год.

В сценарии 5 сброс в систему сброса не происходит в результате остановки процесса с помощью ПСБ с частотой 1·10

в год. Если ПСБ не действует, то PRV обеспечивает следующую функцию безопасности, как показано в сценарии 6, и открывает систему сброса. Открытие PRV происходит с частотой 1·10

в год. Общая частота сброса в систему сброса, определяется сценариями 3 и 6, которая вычисляется как сумма их полных частот 9·10

+1·10

=1,9·10

. Сбросы из системы сброса являются приемлемым условием при проектировании процесса. Сценарий 7 связан с отказом всех функций безопасности и реализуется с частотой 1·10

в год.

Общая частота выбросов в окружающую среду (сумма частот сценариев 4 и 7) снижена до 1,9·10

в год, ниже целевого уровня безопасности процесса, равного 10

в год.

Следует отметить, что анализ с использованием дерева событий не учитывает возможность отказа по общей причине и общие зависимости между системой аварийной сигнализации высокого давления и функцией безопасности ПСБ с УПБ 2. Возможны также отказ по общей причине и общие зависимости между функциями безопасности и датчиком уровня в составе ОСУП.

Такие отказы по общей причине приводят к существенному увеличению вероятности отказа функций защиты при наличии запроса и, следовательно, к значительному увеличению общего риска.

Примечание - Результаты были округлены до первой значащей цифры.

Рисунок B.4 - Опасные события для функции безопасности ПСБ с УПБ 2

Приложение C

(справочное)

Метод матрицы слоев безопасности

C.1 Введение

Для каждого технологического процесса снижение риска должно начинаться уже на стадии проектирования процесса при выборе наиболее важных решений: при выборе собственно процесса и его местоположения, при принятии решения о запасах опасных реагентов и их размещении. Минимизация запасов опасных химических компонентов, применение таких трубопроводных и теплообменных систем, которые физически исключают нежелательное смешивание активных химических веществ, выбор толстостенных сосудов, способных противостоять максимально возможным давлениям в процессе, выбор теплоносителя, максимальная температура которого ниже температуры разложения реагентов, - все эти проектные решения по процессу снижают эксплуатационные риски. Такое внимание к снижению риска путем тщательного выбора конструктивных и технологических параметров процесса - это ключ к созданию безопасного процесса. Рекомендуется и в дальнейшем продолжать поиски путей снижения опасности и применения заведомо безопасных проектных решений. К сожалению, даже используя в максимальной степени эту философию проектирования, не удается полностью исключить потенциальную опасность и приходится применять дополнительные защитные меры.

В промышленных технологических процессах для их защиты применяют многочисленные слои защиты, как это показано на рисунке C.1. Каждый слой защиты, показанный на этом рисунке, состоит из специального оборудования и/или элементов административного управления, которые, действуя совместно с другими слоями защиты, уменьшают риск процесса и/или управляют им.

Рисунок C.1 - Слои защиты

Концепция слоев защиты (СЗ) базируется на трех основных принципах:

a) слой защиты представляет собой совокупность технических средств и/или организационных мер, которые функционируют в согласии с другими слоями защиты, обеспечивая снижение риска процесса или управление им;

b) слой защиты должен удовлетворять следующим критериям:

- снижать определенный риск по меньшей мере в 10 раз,

- обладать такими важными характеристиками, как:

- специфичность. СЗ проектируется для того, чтобы предотвратить или ослабить последствия одного потенциально опасного события. Причин возникновения этого опасного события может быть много, и, следовательно, действие СЗ может быть вызвано многими исходными событиями,

- независимость. СЗ считается независимым от других слоев защиты, если можно показать, что потенциально возможные совместные отказы по общей причине или общего типа отсутствуют;

- надежность. Можно рассчитывать, что СЗ будет выполнять предназначенные для него функции, если при его проектировании учитываются как случайные, так и систематические отказы;

- проверяемость. СЗ проектируется для того, чтобы облегчить регулярное подтверждение соответствия функций защиты;

с) слой защиты, обеспечиваемый функцией безопасности ПСБ, - это такой слой защиты, реализация которого удовлетворяет определению ПСБ, принятому в МЭК 61511-1:2016, 3.2.69 (термин "ПСБ" был использован при разработке матрицы слоев защиты).

Литература:

Guidelines for Safe Automation of Chemical Processes, American Institute of Chemical Engineers, CCPS, 345 East 47th Street, New York, NY 10017, 1993, ISBN 0-8169-0554-1

Layer of Protection Analysis-Simplified - Process risk assessment, American Institute of Chemical Engineers, CCPS, 3 Park avenue, New York, NY 10016-5991, 2001, ISBN 0-8169-0811-7

CCPS/AIChE, Guidelines for Safe and Reliable Instrumented Protective Systems, Wiley-lnterscience, New York (2007)

ISA 84.91.01: Identification and Mechanical Integrity of Safety Controls, Alarms, and Interlocks in the Process Industries, The Instrumentation, Society of Automation, 67 Alexander Drive, PO Box 12277, Research Triangle Park, NC 27709, USA

Safety Shutdown Systems: Design, Analysis and Justification, Gruhn and Cheddie, 1998, The Instrumentation, Systems, and Automation Society, 67 Alexander Drive, PO Box 12277, Research Triangle Park, NC 27709, USA, ISBN 1-55617-665-1

FM Global Property Loss Prevention Data Sheet 7-45, "Instrumentation and Control in Safety Applications", 1998, FM Global, Johnston, Rl, USA

C.2 Целевой уровень безопасности процесса

Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение задаваемого уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой. Заданный уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям.

C.3 Анализ опасности

- анализ безопасности;

- контрольные листы;

- анализ гипотез ("что произойдет, если");

- метод HAZOP;

- анализ видов и последствий отказов;

- анализ причин и последствий.

Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazadr and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые ставят под сомнение возможность достижения проектной производительности установки.

Метод HAZOP подробно рассмотрен в МЭК 61882:2001. Применение этого метода требует детальных знаний и понимания вопросов проектирования объекта, его функционирования и обслуживания. Обычно опытный руководитель осуществляющей анализ группы специалистов, выполняя процесс разработки, постоянно "ведет" свою команду, используя при этом соответствующий набор подсказок. Такие подсказки применяются в особые или ключевые моменты исследования объекта с учетом соответствующих параметров процесса. Все это позволяет обнаружить возможные отклонения от нормального функционирования процесса. Контрольные листы или опыт выполнения процесса также помогают группе исследователей составить необходимый перечень возможных отклонений, который подлежит рассмотрению в процессе анализа. В результате анализа группа составляет перечни возможных причин отклонений в процессе, последствий таких отклонений, а также необходимых организационных и технических систем. Если причины и последствия отклонений в процессе существенны, а имеющиеся меры защиты недостаточны, то группа может представить на рассмотрение руководства предложения по дополнительным мерам безопасности или по перечню последующих действий.

Часто оказывается возможным обобщить приобретенный на конкретном объекте опыт и результаты его исследования методом HAZOP и распространить все это на имеющиеся в компании аналогичные процессы. Если такое обобщение возможно, то применение метода матрицы слоев безопасности оказывается целесообразным и при ограниченных ресурсах.

C.4 Метод анализа риска

После того как анализ по методу HAZOP проведен, связанный с процессом риск можно оценить, используя как количественные, так и качественные методы. В основе этих методов лежат экспертные оценки, сделанные персоналом предприятия и другими специалистами в области анализа опасности и риска, позволяющие выявить потенциально опасные события и оценить их возможность, интенсивность и последствия.

Для оценки риска процесса может быть использован качественный подход, который позволяет проследить сценарий развития опасного события и оценить его вероятность (примерный диапазон возможности появления) и тяжесть.

Типичное руководство по оценке возможности появления опасных событий без учета действующих СЗ показано в таблице C.1. Данные, приведенные в таблице, носят общий характер и могут быть использованы в тех случаях, когда сведения о конкретном процессе или производстве отсутствуют. Однако если такие конкретные данные имеются, то именно их следует использовать для установления возможности появления опасных событий.

Аналогично в таблице C.2 показан один из способов ранжирования тяжести воздействия опасных событий при их относительном оценивании. Предложенные рейтинги также являются иллюстративными. Тяжесть воздействия опасных событий и их рейтинги строятся для конкретного предприятия (процесса) на базе экспертных оценок и имеющегося опыта.

Таблица C.1 - Частота возможности появления опасного события (без учета СЗ)


Тип события	Возможность возникновения
	Качественное ранжирование
Множественные отказы различных приборов или клапанов, множественные ошибки персонала при нормальных внешних условиях или спонтанные отказы технологического оборудования	Низкая
Отказы резервированных приборов, клапанов или большие выбросы в зонах загрузки/разгрузки	Средняя
Утечки в процессе, отказы отдельных приборов или клапанов, ошибки персонала, приводящие к небольшим выбросам опасных материалов	Высокая
Примечание - Считается, что система соответствует настоящему стандарту, если утверждается, что отказ функции управления происходит реже чем 10 в год.

Таблица C.2 - Критерии ранжирования тяжести воздействия опасных событий


Ранг тяжести	Результат
Значительное	Значительный ущерб оборудованию. Останов процесса на длительное время. Катастрофические последствия для персонала и окружающей среды
Серьезное	Ущерб оборудованию. Кратковременная остановка процесса. Серьезные последствия для персонала и окружающей среды
Малое	Незначительный ущерб оборудованию. Отсутствие остановки процесса. Малый ущерб для персонала и окружающей среды

C.5 Матрица слоев безопасности

Для оценки риска можно использовать матрицу риска, объединяющую вероятность появления опасных событий и рейтинг тяжести их воздействия. Аналогичный подход можно применить и для построения матрицы, которая бы определяла потенциальное снижение риска, связанное с используемой ПСБ для слоя защиты. Подобная матрица риска показана на рисунке C.2, на котором в матрицу был введен целевой уровень безопасности процесса. Иными словами, матрица базируется на конкретном опыте эксплуатации и критериях риска, принятых в данной компании, на принятых в этой компании принципах разработки, эксплуатации и защиты, а также на значении уровня безопасности, установленном компанией в качестве целевого уровня безопасности процесса.

C.6 Общая процедура:

a) установить целевой уровень безопасности процесса;

b) провести анализ возможных опасностей (например, методом HAZOP), чтобы выявить все опасные события, представляющие интерес;

c) построить сценарий развития опасного события и оценить возможность появления этого события, пользуясь при этом данными и руководящими материалами конкретной фирмы;

d) пользуясь руководящими материалами компании, установить рейтинг тяжести опасных событий;

e) определить используемые на объекте СЗ (см. рисунок C.2). Оцениваемую возможность появления опасных событий следует снижать в 10 раз для каждого СЗ;

f) определить необходимость применения дополнительного слоя защиты, реализуемого ПСБ, путем сравнения остаточного риска с величиной целевого уровня безопасности процесса;

g) определить уровень полноты безопасности системы, пользуясь рисунком C.2;

h) пользователь должен следовать C.1, перечисление b).

_______________

Одна функция безопасности ПСБ с УБП 3 не обеспечивает при таком уровне риска достаточного его снижения. Чтобы снизить риск, требуются дополнительные изменения.

Одна функция безопасности ПСБ с УБП 3 может не обеспечить при таком уровне риска достаточного его снижения. Требуется дополнительный анализ.

Вероятно, нет необходимости в слое защиты на основе ПСБ.

Примечания

1 Общее число слоев защиты включает все СЗ, защищающие процесс, в том числе и классифицируемые ПСБ (при необходимости).

2 Возможность появления опасного события - это возможность того, что опасное событие произойдет при отключенных СЗ. В качестве руководящего указания см. таблицу C.1.

3 Тяжесть опасного события - воздействие, связанное с опасным событием. В качестве руководства см. таблицу C.2.

4 Такой поход не считается пригодным в случаях с УПБ 4.

Рисунок C.2 - Пример матрицы слоев безопасности

Приложение D

(справочное)

Полукачественный метод. Калиброванный граф риска

D.1 Введение

Данное приложение базируется на общей схеме формирования графа риска, описанной в МЭК 61508-5, E.1. Настоящее приложение адаптировано таким образом, чтобы лучше соответствовать потребностям технологических процессов в промышленности.

В данном приложении описан метод калиброванного графа риска, применяемый для определения УПБ функций безопасности ПСБ. Этот полукачественный метод позволяет при известных факторах риска, связанных с процессом и базовой системой управления, определить УПБ функций безопасности ПСБ.

В принятом подходе используется ряд параметров, которые в совокупности описывают природу опасной ситуации, возникающей в случае отказа ПСБ или при ее отсутствии. В каждом из четырех наборов параметров выбирается по одному. Выбранные параметры затем объединяются, чтобы решить, какому уровню полноты безопасности должны соответствовать функции безопасности ПСБ. Эти параметры:

- позволяют получить ранжированную оценку рисков и

- представляют собой ключевые факторы оценки риска.

Подход, связанный с применением графа риска, может быть также использован для определения необходимости снижения риска в случае, когда последствия связаны с существенным ущербом для окружающей среды или с материальными потерями. Цель настоящего приложения - предложить руководство по применению метода.

Сначала в настоящем приложении рассматриваются вопросы защиты персонала от опасности. Представлена одна из возможностей применения к технологическому процессу общего графа риска, приведенного в МЭК 61508-5 (рисунок E.1). В заключение рассматривается применение метода графа риска для защиты окружающей среды и имущества.

D.2 Синтез графа риска

Риск определяется как комбинация вероятности возникновения вреда и серьезности этого вреда (см. МЭК 61511-1, раздел 3). Обычно применительно к технологическому процессу риск является функцией следующих четырех параметров:

- последствия опасной ситуации (C);

- нахождение в опасной зоне (вероятность того, что в подверженной опасности области находятся люди) (F);

- вероятность того, что опасности можно избежать (P);

- интенсивность запросов (число случаев за год, когда опасная ситуация возникает в отсутствие рассматриваемой функции безопасности ПСБ) (W).

Если граф риска применяется для определения УПБ функции безопасности, выполняемой в непрерывном режиме, то следует рассмотреть необходимость изменения параметров, используемых в графе риска. Такие параметры (см. таблицу D.1) должны представлять собой факторы риска, которые наилучшим образом соотносятся с характеристиками рассматриваемого объекта. Необходимо также будет рассмотреть соответствие уровней полноты безопасности результатам решений по выбору параметров, поскольку для снижения риска до допустимого уровня может понадобиться некоторая настройка. Например, параметр W может быть переопределен как общее время работы системы, выраженное в процентах от общего времени ее существования. При таком выборе W1 опасность не является непрерывно действующим фактором и период времени, в котором отказ будет приводить к появлению опасности, будет составлять малую долю года. В этом примере следует пересмотреть и другие параметры, чтобы соответствующие критерии принятия решения и пересмотренные результаты определения УПБ гарантировали допустимый риск.

Таблица D.1 - Описание параметров графа риска для промышленных процессов


Параметр		Описание
Последствия	C	Число жертв и/или серьезных травм, которые, вероятно, появятся в результате опасного события. Определяется путем подсчета числа людей в подверженной опасности области с учетом их уязвимости по отношению к опасному событию
Нахождение в опасной зоне	F	Вероятность того, что в подверженной опасности области во время опасного события находятся люди. Определяется путем расчета доли времени, в течение которого в области находились люди, по отношению ко времени действия опасного события. При этом следует исходить из большей вероятности нахождения людей в опасной области, что позволит изучить нештатные ситуации, которые могут возникнуть при развитии опасного события (следует также оценить, не приведет ли это к необходимости пересмотра параметра C)
Вероятность того, что опасности можно избежать	P	Вероятность того, что люди могут избежать опасной ситуации, которая существует при отказе функции безопасности ПСБ, выполняемой по запросу. Она зависит от того, существуют ли независимые способы предупреждения людей об опасности, прежде чем она возникнет, и о путях эвакуации
Интенсивность запросов	W	Количество случаев в год, когда опасное событие происходит при отсутствии рассматриваемой функции безопасности ПСБ. Его можно определить, рассмотрев все отказы, приводящие к опасному событию, и оценив общую частоту происшествий. Другие СЗ также должны учитываться

D.3 Калибровка

Процесс калибровки преследует следующие цели:

a) описать все параметры таким образом, чтобы дать возможность команде, занимающейся оценкой УПБ, сделать объективное заключение, основанное на характеристиках объекта;

b) обеспечить соответствие выбранного для данного объекта УПБ корпоративному критерию риска и обеспечить при определении УПБ учет возможного риска со стороны других источников;

c) обеспечить проверку процесса выбора параметров.

Калибровка графа риска - это процесс присвоения численных значений параметрам графа риска. При этом формируется базис для оценки существующего риска процесса и оказывается возможным определить требуемую полноту безопасности рассматриваемой функции безопасности ПСБ. Каждому параметру присваивается диапазон значений, таких, что, будучи примененными в комбинации, они позволяют получить количественную оценку риска, существующего в отсутствие данной функции безопасности. Так, устанавливается мера степени доверия функции безопасности ПСБ. Граф риска связывает определенные комбинации параметров риска с УПБ. Связь между комбинациями параметров риска и УПБ устанавливается путем рассмотрения величины допустимого риска, связанного с конкретной опасностью. В приложении I см. описание процесса калибровки (I.2 и I.4.7).

Рассматривая калибровку графа риска, важно принять во внимание требования к риску, возникающие как со стороны собственников, так и со стороны регламентирующих органов. Риск для жизни может быть рассмотрен с двух позиций:

- индивидуальный риск - определяется как риск в течение года для лиц, наиболее подверженных риску. Обычно задается максимально допустимое его значение, которое обычно учитывает совокупность воздействий от всех источников опасности;

- общественный риск - определяется как общий риск в течение года, испытываемый группой лиц. Обычное требование в этом случае состоит в том, чтобы снизить общественный риск по меньшей мере до такого значения, которое может быть воспринято обществом как допустимое и дальнейшее снижение которого связано с непропорциональными по отношению к результату затратами.

Если необходимо снизить индивидуальный риск до определенного максимально допустимого уровня, то нельзя полагать, что такое снижение риска может быть достигнуто применением какой-либо одной ПСБ. Лицо, подвергаемое риску, может находиться под воздействием многих его источников (например, риски падения, пожара, взрыва).

При рассмотрении требуемой степени снижения риска организация может исходить из критериев, связанных с приращением стоимости устранения фатального исхода. Эту величину можно подсчитать, разделив суммированные за год расходы на дополнительное оборудование и технику, обеспечивающие увеличение полноты безопасности, на приращение сокращения риска. Дополнительный уровень полноты безопасности считается оправданным, если приращение затрат на устранение фатального исхода оказывается меньше предусмотренного ранее значения.

Широко применяемый критерий для общественного риска базируется на вероятности

появления

фатальных исходов. Критерий допустимого общественного риска имеет вид кривой или семейства кривых в логарифмической шкале, связывающих число фатальных исходов с частотой несчастных случаев. Проверка соблюдения требований к общественному риску выполняется путем построения кривой, отражающей зависимость накопленной частоты возникновения несчастных случаев от их последствий [кривая

]. Далее следует убедиться, что эта кривая не пересекает кривую допустимого риска. Руководство по разработке критериев для общественных рисков включено в британскую публикацию HSE "Reducing Risks, Protecting People", ISBN 0 7176 2151 0.

Четыре параметра риска, перечисленные в D.2, включены в дерево решений, представленное на рисунке D.1. Все вышеупомянутые проблемы следует принять во внимание перед тем, как установить значения каждого из параметров. Большинству параметров присваивается определенный диапазон (например, если ожидаемая частота запросов конкретного процесса оказывается в пределах определенного уровня значений запросов в год, то можно использовать параметр W3). Аналогично в случае запросов, имеющих частоту на порядок ниже, применяется параметр W2, а на следующем, еще более низком уровне - параметр W1. Присвоение каждому параметру определенного уровня помогает команде специалистов принять решение о том, какое значение параметра выбрать для конкретного объекта. Для калибровки графа риска каждому параметру присваивается или численное значение, или определенный диапазон. Риск, связанный с каждой из комбинаций параметров, далее оценивается с позиций индивидуального и социального риска. Затем можно определить величину снижения риска, удовлетворяющую требованиям (риск должен быть равен или меньше допустимого). С помощью этого метода для каждой комбинации параметров может быть определен уровень полноты безопасности. Нет необходимости проводить эту работу по калибровке каждый раз, когда требуется определить УПБ для конкретного случая. Как правило, бывает достаточно провести эту работу однократно для каждой опасности. Если исходные предположения, принятые при калибровке, оказываются неверными для конкретного проекта, то могут потребоваться уточнения.

Если оценки параметров выполнены, то необходимо располагать информацией о том, как эти оценки были получены.

Важно, чтобы этот процесс калибровки был согласован в организации на верхнем уровне, отвечающем за безопасность. Принятые решения определяют общий достигнутый уровень безопасности.

В общем случае с помощью графа риска сложно определить возможность зависимого отказа между источниками запроса и ПСБ. При этом может потребоваться провести переоценку эффективности ПСБ.

D.4 Организация и состав команды специалистов для определения УПБ

Маловероятно, чтобы отдельный специалист обладал необходимым умением и опытом для принятия самостоятельного решения относительно всех соответствующих параметров. Для этого обычно используют командный подход, причем задача команды - определить уровни полноты безопасности. В состав такой команды, как правило, входят:

- специалист по технологическому процессу;

- инженер - специалист по управлению процессом;

- инженер по эксплуатации;

- специалист по безопасности;

- специалист, имеющий практический опыт эксплуатации рассматриваемого процесса.

Команда обычно рассматривает поочередно каждую функцию безопасности ПСБ. При этом команде требуется иметь подробную информацию о процессе и вероятном числе лиц, подвергающихся риску.

D.5 Оформление документов по результатам определения УПБ

Очень важно, чтобы все решения, принимаемые в процессе определения УПБ, были зафиксированы в документах, связанных с управлением конфигурацией. Из документации должно быть ясно, почему командой были выбраны данные конкретные параметры, связанные с функцией безопасности. Заполненные формы принятых предположений и основанных на них результатах определения УПБ каждой функции безопасности должны быть скомплектованы в досье. Если установлено, что в области, обслуживаемой одной командой, имеется целый ряд систем, выполняющих функции безопасности, то может оказаться необходимым пересмотреть правомерность допущений, принятых при калибровке. В досье следует также включать следующую дополнительную информацию:

- граф риска с описанием всех диапазонов параметров;

- номера всех используемых проектных и измененных документов;

- ссылки на известные допущения и результаты любых исследований, которые были использованы при оценке параметров;

- ссылки на отказы, которые приводили к запросам, и на ошибочные модели развития события, в которых эти отказы были использованы для определения частоты запросов;

- ссылки на источники данных, использованных при определении интенсивности запросов.

D.6 Пример калибровки, основанной на типовых критериях

Таблица D.2, в которой даны описания параметров и диапазоны каждого из них, была составлена в соответствии с конкретными критериями, типичными для химических процессов, по процедуре, рассмотренной выше. Прежде чем использовать эту таблицу в контексте любого проекта, важно подтвердить, что она отвечает требованиям тех лиц, которые несут ответственность за безопасность.

Для модификации параметра, характеризующего последствия, введена концепция степени защищенности, поскольку во многих случаях отказ не приводит к немедленному фатальному исходу. Уязвимость лица, подвергающегося опасности, - это важный аспект анализа риска, поскольку, например, доза опасного воздействия, полученная человеком, может оказаться недостаточной для того, чтобы вызвать фатальный исход. Уязвимость по отношению к последствиям опасного события есть функция концентрации опасности, которой подвергся человек, и длительности воздействия этой опасности. Пусть, например, отказ приводит к повышению давления в сосуде, но не выше давления, при котором он был испытан. Обычно подобный отказ может привести к утечке через фланец. В этом случае события, скорее всего, будут развиваться достаточно медленно, и у обслуживающего персонала будет возможность избежать последствий. Даже в случае большой утечки жидких компонентов развитие опасности будет достаточно медленным, и обслуживающему персоналу с большой вероятностью удастся избежать опасности. Конечно, встречаются случаи, в которых отказ может приводить к разрыву трубопровода или стенки сосуда; в таких случаях уязвимость персонала может быть высокой.

Анализ признаков развития опасного события может привести к увеличению количества людей, находящихся в опасности. Всегда следует рассмотреть наихудший сценарий развития событий.

Важно осознать разницу между "уязвимостью" (V) и "вероятностью того, что опасности можно избежать" (P), что позволит не учитывать дважды один и тот же фактор. Уязвимость - это мера, которая связана со скоростью развития событий после возникновения опасности, в то время как параметр P - это мера, связанная с предотвращением опасности. Параметр

следует применять только в тех случаях, когда опасность может быть предотвращена в результате действий оператора, после того как он придет к выводу, что ПСБ отказала.

Существуют некоторые ограничения на выбор параметров нахождения в опасной зоне. Параметр нахождения в опасной зоне требуется выбирать по наименее защищенному лицу, а не по среднему для всех лиц. Обоснованием этому является стремление обеспечить, чтобы ни такое лицо, ни тем более остальные люди не подвергались высокому риску.

Если какой-либо из параметров не попадает в определенный диапазон, то требования к снижению риска следует установить каким-либо иным методом или провести повторную калибровку графа риска, используя описанные выше методы.

Рисунок D.1 должен всегда использоваться с повторной калибровкой, чтобы настроить критерии риска для производственного помещения. Данный метод нельзя пытаться использовать для любого производственного помещения без подходящих критериев риска. Путь, которым выполняется калибровка, будет зависеть от того, как выражены критерии допустимого риска. Описания параметров должны быть подобраны так, чтобы они соответствовали диапазону предназначенного применения и допустимости риска. Значения C, F, P или W могут быть изменены. В качестве примера в таблице D.2 показана калибровка, где значение W подбирается с помощью параметра калибровки D так, чтобы настроить его на указанные критерии риска.

Рисунок D.1 - Граф риска. Общая схема

Таблица D.2 - Пример калибровки графа риска общего назначения


Параметр риска	Классификация	Комментарии
Последствия (С). Число фатальных исходов.	Минимальный ущерб	a) Система классификации относится к случаям фатального исхода
Подсчитывается умножением числа людей, находящихся в опасной области, на уязвимость к	Диапазон 0,01-0,1	или травм для людей. b) При интерпретации
определенной опасности. Уязвимость определяется природой опасности, от которой осуществляется	Диапазон >0,1-1,0	параметров , , и следует принимать во
защита. Могут использоваться следующие	Диапазон >1,0	внимание последствия несчастного случая и нормальное их
факторы: 0,01 Небольшой выброс воспламеняющихся или токсичных материалов. 0,1 Большой выброс воспламеняющихся или токсичных материалов. 0,5 То же, что и выше, но велика вероятность возгорания либо высокотоксичный материал. 1 Разрушение или взрыв		устранение
Нахождение в опасной зоне ( ). Определяется как доля времени пребывания людей в области, подвергающейся опасности, по отношению к величине периода работы. Примечания	От редкого до более частого нахождения в опасной зоне. Нахождения в опасной зоне меньше чем 0,1.	с) См. выше комментарий а)
1 Если время пребывания в опасной зоне различно для различных смен, то следует выбирать наибольшее время. 2 Величину следует применять только в тех случаях, когда частота запроса случайна и не зависит от того, превышает ли нахождение в опасной зоне обычное значение. Последнее характерно для случаев, когда запросы возникают при пуске оборудования или во время изучения ненормальных ситуаций	От частого до постоянного пребывания в опасной зоне
Вероятность избежать опасного события ( ), если отказывает система защиты	Принимается, если выполняются условия графы 4.	d) следует выбирать, только если справедливы следующие условия:
	Принимается, если условия не выполняются	- предусмотрены средства оповещения оператора об отказе ПСБ; - предусмотрены независимые средства останова процесса так, чтобы избежать опасности или позволить персоналу эвакуироваться в безопасную зону; - время между оповещением оператора и опасным событием превышает 1 час или явно достаточное для выполнения необходимых действий
Интенсивность (частота) запросов ( ). Количество случаев в год	Частота запросов меньше чем 0,1 в год.	е) Цель введения фактора - оценить частоту появления опасности без ПСБ.
возникновения опасного события при отсутствии ПСБ. Для того чтобы определить частоту запроса, необходимо рассмотреть все	Частота запросов лежит в диапазоне 0,1 и в год.	Если частота запроса очень велика, то УПБ следует определять либо другим методом,
причины отказа, которые могут привести к возникновению одного и того же опасного события. При определении интенсивности запросов роль системы управления и ее вмешательство в ход процесса следует учитывать в минимальной степени. Если система спроектирована и эксплуатируется не в соответствии с МЭК 61511, то ее функционирование ограничено уровнем безопасности ниже, чем УПБ 1. Частота запросов ( ) равна частоте запросов к рассматриваемой функции безопасности ПСБ	Частота запросов лежит в диапазоне между и 10 . При частотах запросов больших, чем 10 , потребуется более высокий уровень полноты безопасности	либо путем повторной калибровки графа риска. Следует отметить, что методы графа риска могут оказаться не лучшим решением задачи, если объект работает в непрерывном режиме (см. МЭК 61511-1, пункт 3.2.39.2). f) является параметром калибровки, значение которого следует определять, исходя из корпоративного критерия допустимого риска с учетом других источников риска для людей, ему подвергающихся. Числовые значения, которые будут использоваться для каждого значения в таблице, должны быть получены с помощью процедуры калибровки графа риска, описанной в D.3 или приложении I
Примечание - Данный пример предназначен для иллюстрации принципов построения графов риска. Граф риска для конкретного приложения и конкретных опасных ситуаций должен быть согласован с условиями, учитываемыми при определении допустимого риска (см. D.1-D.6).

Полная версия документа доступна с 20.00 до 24.00 по московскому времени.

Для получения доступа к полной версии без ограничений вы можете выбрать подходящий тариф или активировать демо-доступ.