ГОСТ Р МЭК 61511-3-2011 Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности.
ГОСТ Р МЭК 61511-3-2011
Группа Т51
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ.
СИСТЕМЫ БЕЗОПАСНОСТИ ПРИБОРНЫЕ ДЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ
Часть 3
Руководство по определению требуемых уровней полноты безопасности
Functional safety. Safety instrumented systems for the process industry sector. Part 3. Guidelines for the determination of the required safety integrity levels
___________________________________________________________
ОКС 25.040.01
Дата введения 2012-08-01
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"
Сведения о стандарте
1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Корпоративные электронные системы" на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 октября 2011 г. N 470-ст
4 Настоящий стандарт идентичен международному стандарту МЭК 61511-3:2003* "Безопасность функциональная. Системы безопасности, приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (IEC 61511-3:2003 "Functional safety - Safety instrumented systems for the process industry sector - Part 3: Guidelines for the determination of the required safety integrity levels").
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Введение
Приборные системы безопасности уже в течение многих лет используются для выполнения функций безопасности в промышленных процессах. Для эффективного применения приборных систем безопасности при выполнении функций безопасности необходимо, чтобы они соответствовали определенному минимальному уровню стандартизации.
Область применения настоящего стандарта - приборные системы безопасности, применяемые в промышленных процессах. Он также устанавливает необходимость проведения оценки опасности и риска процесса для обеспечения формирования спецификации приборных систем безопасности. Вклад других систем безопасности может быть учтен только при рассмотрении требований к эффективности приборных систем безопасности. Приборная система безопасности включает все компоненты и подсистемы, необходимые для выполнения функции безопасности, от датчика(ов) до исполнительного(ых) элемента(ов).
В основе настоящего стандарта лежат две фундаментальные концепции, необходимые для его применения: концепция жизненного цикла безопасности и концепция уровней полноты безопасности.
Настоящий стандарт рассматривает приборные системы безопасности, использующие электрические/электронные/программируемые электронные технологии. Если для логических устройств используют другие принципы действия, то следует применять основные положения настоящего стандарта. Настоящий стандарт также рассматривает датчики и исполнительные элементы приборной системы безопасности независимо от принципа их действия. Настоящий стандарт является конкретизацией общего подхода к вопросам обеспечения безопасности, представленного в МЭК 61508, для промышленных процессов (см. МЭК 61511-1, приложение А).
Настоящий стандарт устанавливает подход, минимизирующий стандартизацию деятельности для всех стадий жизненного цикла безопасности. Этот подход был принят в целях реализации рациональной и последовательной технической политики.
В большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. При необходимости он может быть дополнен системами защиты или системами, с помощью которых достигается любой установленный остаточный риск. Системы защиты основаны на применении различных технологий: химических, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных. Любая стратегия обеспечения безопасности должна рассматривать каждую конкретную приборную систему безопасности в контексте других систем защиты. Для облегчения применения такого подхода настоящий стандарт:
- требует, чтобы выполнялась оценка опасностей и рисков для определения общих требований к безопасности;
- требует, чтобы выполнялось распределение требований к безопасности в (по) приборной(ым) системе(ам) безопасности;
- реализует подход, который применим ко всем приборным методам обеспечения функциональной безопасности;
- подробно рассматривает применение определенных действий, таких как руководство работами по безопасности, которые могут быть применены ко всем методам обеспечения функциональной безопасности.
Настоящий стандарт по приборным системам безопасности для промышленных процессов:
- охватывает все стадии жизненного цикла безопасности - от разработки первоначальной концепции, проектирования, внедрения, эксплуатации и технического обслуживания вплоть до утилизации;
- дает возможность, чтобы существующие или новые стандарты в разных странах, регламентирующие конкретные промышленные процессы, были с ним гармонизированы.
Настоящий стандарт призван привести к высокому уровню согласованности (например, основных принципов, терминологии, информации) в рамках конкретных промышленных процессов. Это принесет преимущества как в плане безопасности, так и в плане экономики.
В пределах своей юрисдикции соответствующие регулирующие органы (например, национальные, федеральные, штата, провинции, округа, города) могут устанавливать требования к проектированию безопасности процесса, к управлению безопасностью процесса или другие требования, которые должны превалировать над требованиями, определенными в настоящем стандарте.
Настоящий стандарт содержит руководство по определению требуемых уровней полноты безопасности, используя анализ опасности и риска (АОР). Содержащаяся в настоящем стандарте информация предназначена для проведения глубокого анализа различных общих методов применения АОР. Для применения любого из этих методов представленной информации недостаточно.
Перед применением настоящего стандарта следует ознакомиться с концепцией и определением понятия "уровень полноты безопасности", приведенными в МЭК 61511-1. Приложения к настоящему стандарту рассматривают следующие вопросы:
Приложение А содержит обзор основных положений метода приемлемого риска и метода ALARP.
Приложение В содержит обзор полуколичественного метода определения требуемого УПБ.
Приложение С содержит обзор метода матриц безопасности для определения требуемого УПБ.
Приложение D содержит обзор метода, использующего для определения требуемого УПБ полукачественный подход графа рисков.
Приложение Е содержит обзор метода, использующего для определения требуемого УПБ качественный подход графа рисков.
Приложение F содержит обзор метода, использующего для выбора требуемого УПБ анализ слоев защиты (АСЗ).
На рисунке 1 представлена общая структура настоящего стандарта.
Рисунок 1 - Общая структура настоящего стандарта
1 Область применения
Настоящий стандарт содержит:
- основные положения концепции риска и описание отношения между риском и полнотой безопасности (см. раздел 3);
- определение допустимого риска (см. приложение А);
- описание различных методов, позволяющих определить уровень полноты безопасности (УПБ) для функций безопасности приборных систем безопасности (ПСБ) (см. приложения В, С, D, Е и F).
В частности, настоящий стандарт:
a) применяют в случаях, когда функциональная безопасность достигается путем использования одной или более функций безопасности ПСБ для защиты персонала, населения или окружающей среды;
b) может быть применен на объектах, не требующих обеспечения безопасности, например для защиты имущества;
c) иллюстрирует типичные методы оценки опасностей и рисков, которые могут быть проведены для определения требований к функциональной безопасности и к УПБ каждой из функций безопасности ПСБ;
d) иллюстрирует методы и/или средства, позволяющие определить требуемые УПБ;
e) содержит структуру работ по установлению УПБ, но не определяет УПБ для конкретных случаев применения;
f) не содержит примеров определения требований к иным методам снижения рисков.
Приложения В, С, D, Е и F упрощенно иллюстрируют количественный и качественный подходы. Эти приложения были включены лишь для иллюстрации общих принципов, положенных в основу ряда используемых методов, и не могут служить руководством к их практическому применению.
Примечание - Тем, кто намеревается практически использовать методы, описанные в упомянутых приложениях, следует обратиться к ссылкам, имеющимся в каждом приложении.
На рисунке 2 показана совокупность методов снижения риска.
Рисунок 2 - Типовые способы снижения риска, встречающиеся на технологических объектах (модель слоев защиты)
2 Термины, определения и сокращения
В настоящем стандарте применены термины, определения и сокращения, приведенные в МЭК 61511-1 (раздел 3).
3 Риск и полнота безопасности. Общие требования
3.1 Общие сведения
В данном разделе приведена информация об основополагающих концепциях риска и связи рисков с полнотой безопасности. Эта информация является общей для всех рассматриваемых ниже методов оценки различных опасностей и рисков.
3.2 Необходимая степень снижения риска
_______________
Важными факторами для оценки величины приемлемого риска являются восприятие и точки зрения тех лиц, которые подвергаются опасности. При определении приемлемого риска для конкретного применения необходимо учитывать:
- указания соответствующих регулирующих органов;
- обсуждения и соглашения между различными сторонами, принимающими участие в данном применении;
- промышленные стандарты и руководства;
- промышленные, экспертные и научные советы;
- законодательные и регулирующие требования, как общие, так и относящиеся к конкретному применению.
3.3 Роль приборных систем безопасности
Необходимое снижение риска может достигаться с помощью одной или нескольких ПСБ либо с помощью других слоев защиты.
В выполнении функции безопасности может участвовать человек. Например, оператор может получать информацию о состоянии процесса и выполнять основанные на этой информации защитные действия. Если человек является частью функции безопасности, то должны быть учтены все человеческие факторы.
ПСБ может действовать по запросу или в непрерывном режиме.
3.4 Полнота безопасности
Считается, что полнота безопасности состоит из двух частей:
a) полнота безопасности аппаратных средств - это часть полноты безопасности, связанная со случайными отказами аппаратных средств, причем относящимися к опасным отказам. Факт достижения установленного уровня полноты безопасности аппаратных средств можно оценить с разумным уровнем точности. Поэтому требования могут быть распределены между подсистемами, используя известные правила произведения вероятностей и учитывая отказы по общей причине. Для достижения требуемой полноты безопасности аппаратных средств может оказаться необходимым применение структуры с резервированием;
b) систематическая полнота безопасности - эта часть полноты безопасности связана с систематическими отказами, относящимися к опасным отказам. Хотя влияние отдельных систематических отказов на полноту безопасности можно оценить, данные по отказам, вызванным ошибками при проектировании, и отказам по общей причине указывают на то, что влияние этих отказов бывает сложно предсказать. При этом увеличивается неопределенность в расчетах вероятности отказов в конкретной ситуации (например, вероятности отказов ПСБ). Следовательно, необходимо решить, какие способы минимизации этой неопределенности окажутся наиболее эффективными. Нужно отметить, что меры, принятые для уменьшения вероятности случайных отказов аппаратных средств, не должны обязательно приводить к снижению вероятности систематических отказов. Такие технические решения, как резервирование в виде организации параллельных каналов с идентичным оборудованием, которые являются весьма эффективными для случайных отказов аппаратных средств, мало полезны для уменьшения систематических отказов.
Общее снижение риска, достигаемое функциями безопасности ПСБ вместе со средствами других слоев защиты, должно быть таким, чтобы обеспечить:
- частоту отказов функций безопасности, достаточно низкую для того, чтобы частота опасных событий не превышала бы значения, соответствующего приемлемому риску, и/или
- возможность того, что функции безопасности так изменяют последствия отказов, чтобы риск не превышал значение приемлемого риска.
Рисунок 3 иллюстрирует общую концепцию снижения риска. Общая модель предполагает следующее:
- имеется процесс и связанная с ним основная система управления процессом (ОСУП);
- существует связанный с процессом человеческий фактор;
- слои защиты безопасности включают в свой состав:
1) механическую систему защиты,
2) приборные системы безопасности,
3) механическую систему ослабления последствий.
Примечание - На рисунке 3 представлена обобщенная модель риска, иллюстрирующая общие принципы. Модель риска для конкретного случая должна составляться с учетом конкретных приемов, с помощью которых на базе ПСБ и других слоев защиты фактически достигается необходимое снижение риска. Результирующая модель риска в конкретном случае может отличаться от представленной на рисунке 3.
На рисунках 3 и 4 показаны следующие риски:
- риск процесса. Это риск наличия конкретного опасного события для процесса. При этом учитывается наличие основной системы управления процессом и человеческого фактора. При определении этого риска не рассматриваются какие бы то ни было специальные средства защиты безопасности;
- приемлемый риск (заданный уровень безопасности процесса). Риск, который считается приемлемым в данном контексте на основе принятой в обществе системы ценностей;
- остаточный риск. В контексте настоящего стандарта это риск возникновения опасных событий при условии применения всей совокупности слоев защиты.
Риск процесса является функцией от риска, связанного с самим процессом, но учитывающего также снижение риска, достигнутое благодаря применению системы управления процессом. Для того чтобы избежать неразумных требований к полноте безопасности ОСУП, настоящий стандарт устанавливает ограничения на возможные требования.
Необходимое снижение риска - это уменьшение уровня риска до такого минимального значения, который необходим для обеспечения приемлемого риска. Оно может достигаться с помощью как одного способа, так и комбинацией способов снижения риска. Процесс необходимого снижения риска, обеспечивающий достижение конкретного приемлемого риска от начального значения риска процесса, показан на рисунке 3.
Рисунок 3 - Общая концепция снижения риска
3.5 Риск и полнота безопасности
Очень важно полностью осознать разницу между риском и полнотой безопасности. Риск - это мера частоты появления и последствий конкретного опасного события. Его можно оценить для различных ситуаций (риск процесса, приемлемый риск, остаточный риск и т.д., см. рисунок 3). При определении приемлемого риска учитывают социальные и политические факторы. Полнота безопасности - это мера вероятности того, что функция безопасности ПСБ и другие слои защиты обеспечат установленную безопасность. Только после того, как приемлемый риск установлен и получена оценка величины необходимого снижения риска, можно определить требования к полноте безопасности ПСБ.
Примечание - Такая процедура может носить итеративный характер, что позволит осуществить оптимизацию разработки в целях выполнения различных требований.
Роль, которую играют функции безопасности при достижении необходимого снижения риска, показаны на рисунках 3 и 4.
Рисунок 4 - Концепции риска и полноты безопасности
3.6 Распределение требований к безопасности
На рисунке 5 показано распределение требований к безопасности по различным ПСБ и другим слоям защиты. Требования охватывают как функции безопасности, так и полноту безопасности. Требования к стадии распределения требований к безопасности даны в МЭК 61511-1 (раздел 9).
Примечание - Требования к полноте безопасности устанавливаются для каждой функции безопасности ПСБ до распределения (см. МЭК 61511-1, раздел 9).
Рисунок 5 - Размещение требований безопасности по ПСБ, по слоям защиты или ослабления, не относящимся к ПСБ, и по другим слоям защиты
Применение тех или иных методов для распределения требований полноты безопасности по ПСБ, другим связанным с безопасностью технологическим системам, а также по внешним средствам снижения риска зависит прежде всего от того, каким образом определена степень необходимого снижения риска - количественно или качественно. Эти подходы называют полуколичественными, полукачественными и качественными соответственно (см. приложения В, С, D и F).
3.7 Уровни полноты безопасности
В настоящем стандарте определены четыре уровня полноты безопасности (УПБ), причем УПБ 4 - наивысший, УПБ 1 - низший.
Предельные значения показателей отказов для задания всех четырех УПБ определены в МЭК 61511-1 (таблицы 3 и 4). Установлены два таких параметра: один - для ПСБ, действующих в режиме по запросу, и другой - для ПСБ, работающих в непрерывном режиме.
Примечание - В случае ПСБ, работающей в режиме по запросу, мерой полноты безопасности является средняя вероятность отказа выполнения функции безопасности при появлении запроса. В случае, если ПСБ работает в непрерывном режиме, мерой полноты безопасности является частота опасных отказов функции безопасности в час (см. МЭК 61511-1, пункт 3.2.43).
3.8 Выбор метода для определения требуемого уровня полноты безопасности
Имеются различные пути установления требуемого УПБ для конкретного случая. В приложениях В-F представлена информация о ряде используемых методов. Выбор метода для конкретного применения зависит от многих факторов, в том числе от:
- сложности задачи;
- указаний регулирующих органов;
- природы риска и требуемой величины его снижения;
- опыта и квалификации персонала, выполняющего эту работу;
- доступной информации о параметрах риска.
В некоторых случаях можно использовать не один, а несколько методов. Так, при определении требуемого УПБ для всех рассматриваемых функций безопасности ПСБ в качестве первого шага можно использовать качественные методы. Те функции, которым с помощью этого метода был присвоен УПБ 3 или 4, следует затем проанализировать более детально с использованием количественных методов для получения более точной оценки требуемой их полноты безопасности.
Приложение А
(справочное)
Принцип снижения риска настолько, насколько это практически целесообразно (принцип ALARP), и концепция приемлемого риска
А.1 Общие положения
В данном приложении рассмотрен особый принцип (ALARP), который может быть применен в процессе определения приемлемого риска и УПБ. Принцип ALARP сам по себе - это не метод решения задачи определения УПБ, а концепция, которая может быть применена в процессе решения этой задачи. Желающие использовать практически принципы, указанные в этом приложении, должны обратиться к [1]-[5].
А.2 Модель ALARP
А.2.1 Введение
В 3.2 приведены основные критерии, которые используют для контроля за промышленными рисками, и указано, что соответствующая деятельность должна быть направлена на то, чтобы определить:
a) риск велик настолько, что он вообще неприемлем; или
b) риск незначительный либо может быть сведен до этого уровня; или
c) является ли риск промежуточным между оценками, указанными в перечислениях а) и b), и снижен ли он до самого низкого практичного уровня. При этом "практичность" определяется, с одной стороны, преимуществами, которые влекут за собой снижение уровня риска, и, с другой стороны, стоимостью мероприятий по его снижению.
Согласно перечислению с) принцип ALARP рекомендует снижать риск до уровня "практической целесообразности" или до уровня, который является "настолько низким, насколько он практически целесообразен" (ALARP). Таким образом, если риск попадает в область, ограниченную, с одной стороны, областью неприемлемых уровней риска и областью незначительных уровней - с другой, то применение принципа ALARP приводит к тому, что результирующий риск оказывается приемлемым в конкретной ситуации. Согласно этому подходу риск может попасть в одну их трех областей: в недопустимую, приемлемую и вполне приемлемую (см. рисунок А.1).
Рисунок А.1 - Приемлемый риск и принцип ALARP
Риск, превышающий некоторый уровень, считается недопустимым. Такой риск не может быть признан оправданным при любых нормальных обстоятельствах. Если такой риск существует, то он либо должен быть снижен настолько, чтобы попасть в область приемлемого или вполне приемлемого риска, либо должен быть устранен источник опасности.
Риск ниже этого уровня считается приемлемым при условии, что он был уменьшен до уровня, при котором выгода от дальнейшего его снижения не оправдана ввиду требующихся для этого больших затрат и при условии, что для управления этим риском применены все соответствующие общепринятые стандарты. Чем выше риск, тем обычно больше расходы по его сокращению. Риск, сниженный таким образом, можно рассматривать как "сниженный до практически целесообразного уровня" (ALARP).
В области, расположенной ниже области допустимых значений, уровни риска считаются настолько несущественными, что контролирующий орган не требует дальнейших улучшений. Эта широкая область, риски в которой малы по сравнению с ежедневно испытываемыми нами рисками, не требует детальных исследований для демонстрации ALARP; однако необходимо сохранять бдительность, чтобы быть уверенным в том, что риск остается на прежнем уровне.
Концепцию ALARP можно применять и при качественном, и при количественном способе задания риска. В А.2.2 рассмотрен метод, используемый при количественном задании риска. (В приложении С приведен полуколичественный метод, а в приложениях D и Е - качественные методы определения необходимого снижения риска при конкретном источнике опасности. В рассмотренных методах для принятия решения может быть использована концепция ALARP.)
При применении принципа ALARP необходимо всегда быть уверенным, что все принятые предположения обоснованы и документально оформлены.
А.2.2 Задание приемлемого риска
Для применения принципа ALARP необходимо предварительно определить границы трех областей, показанных на рисунке А.1, значения которых выражены вероятностью возникновения события и его последствиями. Такое определение обычно бывает результатом обсуждения и соглашения между заинтересованными сторонами (например, между регулирующими органами в области безопасности, теми, действия которых приводят к появлению риска, и теми, кто этому риску подвергается).
Чтобы использовать принцип ALARP, надо установить соответствие между последствиями риска и приемлемой частотой его возникновения, что может быть сделано, введя классы риска. В таблице А.1 в качестве примера приведены три класса (I, II, III) для разных частот возникновения риска и разных вариантов его последствий. В таблице А.2 дана интерпретация каждого из классов риска на базе концепции ALARP. Описание каждого из классов риска выполняется на основе рисунка А.1. Подразумевается, что риски, определенные внутри каждого из классов, - это риски, по отношению к которым уже приняты меры по их сокращению. Согласно рисунку А.1 можно выделить следующие три класса рисков:
класс I - недопустимая область;
класс II - область применения концепции ALARP;
класс III - наиболее приемлемая область.
Таблица А.1 - Пример классификации инцидентов
|
|
|
|
|
Возможность инцидента | Класс риска | |||
| Катастрофические последствия | Критические последствия | Незначительные последствия | Пренебрежимо малые последствия |
Вполне вероятен | I | I | I | II |
Вероятен | I | I | II | II |
Возможен | I | II | II | II |
Мало вероятен | II | II | II | III |
Невероятен | II | III | III | III |
Невозможен | II | III | III | III |
Примечания
1 Интерпретацию классов риска с I по III см. в таблице А.2. 2 Фактическое заполнение таблицы индексами классов риска I, II и III зависит от конкретной ситуации, а также от того, какие фактические значения вероятности мы присваиваем понятиям "вероятно", "возможно" и т.д. Таким образом, таблицу А.1 следует рассматривать как иллюстрацию того, каким образом подобная таблица может заполняться, а не как вариант для дальнейшего использования. | ||||
Таблица А.2 - Интерпретация классов риска
|
|
Класс риска | Интерпретация |
Класс I | Неприемлемый риск |
Класс II | Нежелательный риск, допустимый, только если его дальнейшее снижение практически невозможно или если связанные с этим расходы непропорционально велики по сравнению с достигаемым результатом |
Класс III | Пренебрежимо малый риск |
Примечание - Связь между УПБ и классом риска отсутствует. УПБ определяется снижением риска, связанным с конкретной функцией безопасности ПСБ (см. приложения В-F). | |
Таблица, подобная таблице 1, обычно создается для каждой конкретной ситуации или для конкретной подотрасли промышленности, принимая во внимание широкий круг социальных, политических и экономических факторов. Каждому виду последствий ставятся в соответствие вероятность и таблица с классами риска. Например, "вполне вероятен" в таблице А.1 может означать событие, которое возникает с частотой, превышающей 10 раз в год. Его критическим последствием может быть один смертельный исход и/или многочисленные телесные повреждения, или несколько случаев профессиональных заболеваний.
Задав допустимый риск, можно определить уровни полноты безопасности функций безопасности ПСБ с помощью, например, одного из методов, описанных в приложениях С-F.
Приложение В
(справочное)
Полуколичественный метод
В.1 Общие сведения
В данном приложении рассмотрен вопрос о том, как с помощью полуколичественного подхода можно определять УПБ. Полуколичественный подход наиболее целесообразен в случаях, когда приемлемый риск определяется численно (например, определенные последствия не должны возникать чаще, чем один раз в сто лет).
Данное приложение не предназначено для использования в качестве руководства по применению конкретного метода, а имеет своей целью проиллюстрировать его общие принципы. Приложение основано на методе, детально описанном в [6].
В.2 Соответствие МЭК 61511-1
Общая цель данного приложения - проследить процедуру выбора необходимых функций безопасности ПСБ и установления их УПБ. Для решения этой задачи необходимо выполнить следующие основные шаги:
1) установить целевую (заданную) безопасность процесса (приемлемый риск);
2) провести анализ опасности и риска, чтобы оценить существующий риск;
3) определить требуемую функцию (функции) безопасности;
4) распределить функции безопасности по слоям защиты.
Примечание - Предполагается, что слои защиты не зависят один от другого;
5) определить, требуются ли функции безопасности ПСБ;
6) определить УПБ функций безопасности ПСБ для конкретного слоя защиты.
Шаг 1 определяет требование к безопасности процесса. На шаге 2 выполняется анализ риска процесса, а шаг 3 позволяет на основании анализа риска определить, какие требуются функции безопасности и каким должно быть снижение риска, чтобы заданная безопасность была достигнута. После распределения на шаге 4 этих функций безопасности по слоям защиты становится ясным, требуется ли функция (функции) безопасности ПСБ (шаг 5) и каким должен быть ее (их) УПБ (шаг 6).
В данном приложении предлагается для достижения целей серии стандартов МЭК 61511 использовать при оценивании риска полуколичественные методы. Этот подход продемонстрирован на простом примере.
В.3 Пример
Рассмотрим процесс, включающий емкость под давлением с летучей воспламеняющейся жидкостью и необходимое оборудование (см. рисунок В.1). Управление объектом осуществляется основной системой управления процессом (ОСУП), которая контролирует сигнал датчика уровня и управляет перемещением клапана. Имеются следующие технические системы, реализующие процесс: а) независимый датчик давления, который в случае недопустимого повышения давления выдает предупредительный сигнал, побуждающий оператора к принятию соответствующих мер по прекращению подачи жидкости в емкость, и б) если реакции оператора на аварийный сигнал не последует, включается дополнительный неприборный слой защиты от повышения давления. Выбросы с помощью системы защиты отводятся по трубам в сепараторную емкость, которая соединена с системой сброса газа. В этом примере принимается, что система сброса газа спроектирована, смонтирована и действует нормально и имеет разрешение на применение. Таким образом, потенциально возможные отказы системы сброса газа в этом примере не рассмотрены.
Примечание - Понятие "технические системы" относится здесь ко всем системам, работающим с процессом. Они включают и иные автоматические средства защиты, а также оператора (операторов).
СЗ - система защиты для дополнительного ослабления последствий (сток, сброс давления, ограниченное пространство, резервная емкость); СВД - сигнализатор высокого давления; ДУ - датчик уровня; КУУ - клапан управления уровнем; ОСУП - основная система управления процессом
Рисунок В.1 - Емкость под давлением с существующими системами безопасности
В.3.1 Заданный уровень безопасности процесса
В.3.2 Анализ опасности
Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:
- анализ безопасности;
- контрольные листы;
- анализ гипотез ("что произойдет, если");
- метод HAZOP;
- анализ видов и последствий отказов;
- анализ причин и последствий.
Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazard and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые ставят под сомнение возможность достижения проектной производительности установки.
На втором шаге для примера, приведенного на рисунке В.1, проводится анализ HAZOP. Целью применения этого метода анализа является оценка потенциально опасных событий, связанных с выбросами в окружающую среду. Краткий перечень результатов применения метода приведен в таблице В.1.
Таблица В.1 - Результаты анализа методом HAZOP
|
|
|
|
|
|
Объект | Отклонение | Причины | Последствия | Защита | Действие |
Емкость | Высокий уровень | Отказ ОСУП | Высокое давление | Оператор |
|
| Высокое давление | 1 Высокий уровень.
2 Внешнее возгорание | Выброс в окружающую среду | 1 Сигнализация, оператор, слой защиты.
2 Система пожаротушения | Оценка условий выброса в окружающую среду |
| Малый поток/ отсутствие потока | Отказ ОСУП | Нет последствий, представляющих интерес |
|
|
| Обратный поток |
| Нет последствий, представляющих интерес |
|
|
В результате применения HAZOP установлено, что значительное превышение давления может привести к выбросам горючего материала в окружающую среду. Это является исходным событием, которое может перерасти в опасное событие по сценарию, зависящему от реакции имеющихся технических систем. Если бы метод HAZOP был применен к анализу объекта в полной мере, то в рассмотрении могли бы появиться иные исходные события, приводящие к выбросам, включая утечку из технологического оборудования, полный разрыв трубопровода и такие внешние события, как пожар. В данном иллюстративном примере рассмотрены только условия возникновения высокого давления.
В.3.3 Полуколичественный метод анализа риска
Оценку рисков процесса выполняют с помощью полуколичественного метода анализа, который позволяет определить и количественно оценить риски, связанные с возможными ошибками или опасными событиями в технологическом процессе. Результаты анализа могут быть использованы для выбора необходимых функций безопасности и их УПБ, дающих возможность снизить риск процесса до приемлемого уровня. Оценка риска процесса с помощью полуколичественного способа может быть выполнена в виде приведенной ниже последовательности шагов, причем первые четыре шага могут быть реализованы в процессе применения метода HAZOP:
1 Выделить опасности для процесса.
2 Определить состав слоев защиты.
Примечания
1 Слои защиты включают совокупность всех систем безопасности, предназначенных для защиты процесса, включая ПСБ, системы, связанные с безопасностью, основанные на других технологиях, внешние средства снижения риска и реакцию оператора.
2 Шаг 2 применяется, так как это действующий процесс, как в рассмотренном примере.
3 Определить исходные события.
4 Построить сценарии опасного развития событий применительно к каждому исходному событию.
5 С помощью архивных данных или используя методы моделирования (анализ дерева ошибок, методы Маркова), уточнить частоту появления исходных событий и надежность существующих систем безопасности.
6 Оценить количественно частоту возникновения всех существенно опасных событий.
7 Оценить последствия всех существенно опасных событий.
8 Просуммировать результаты (последствия и частоту инцидентов) оценки риска, связанного с каждым опасным событием.
Существенные результаты такого анализа, представляющие интерес:
- лучшее и более детальное понимание опасностей и рисков, связанных с процессом;
- знание риска процесса;
- понимание вклада имеющихся систем безопасности в общее снижение риска;
- определение каждой функции безопасности, требующейся для снижения риска процесса до приемлемого уровня;
- сравнение полученной оценки риска процесса с заданным значением.
Способ полуколичественного анализа требует значительных ресурсов, но имеет достоинства, которые не обеспечивают качественные подходы. При определении опасностей этот способ базируется в большой степени на экспертных оценках команды специалистов, обеспечивает ясный способ управления существующими системами безопасности, основанными на других технологиях, использует средства документирования всех мероприятий, которые привели к полученным результатам, и обеспечивает поддержку жизненного цикла.
Для представленного примера с помощью HAZOP анализа было идентифицировано одно исходное событие (возникновение избыточного давления), которое повлекло возникновение возможности выброса вещества в окружающую среду. Необходимо отметить, что используемый в данном пункте подход является комбинацией количественной оценки частоты возникновения опасного события и качественной оценки его последствий. Данный подход применяют для иллюстрации систематической процедуры, которой рекомендуется следовать для определения опасных событий и функций безопасности ПСБ.
В.3.4 Анализ рисков существующих процессов
Рисунок В.2 - Дерево неисправностей при превышении давления в емкости
После установления частоты появления исходного события, используя средства анализа дерева событий, проводят моделирование реакции систем безопасности (успешная работа или отказ) на аномальные условия. Данные по надежности систем безопасности могут быть взяты из эксплуатационных данных, опубликованных баз данных или получены по результатам прогноза методом моделирования надежности. Для рассматриваемого примера использованы реальные данные, а не данные, взятые из литературы или полученные в результате прогнозирования работы системы.
На рисунке В.2 показаны возможные сценарии потенциального выброса, которые могут произойти в условиях повышения давления. В результате моделирования таких случаев были получены: а) частота возникновения каждой из приводящих к аварии последовательности событий и b) качественная оценка последствий в виде выброса воспламеняющихся материалов.
Примечание - Предполагается, что события, изображенные на рисунке В.3, независимы. Более того, указанные данные являются приближенными, поэтому сумма частот всех возникающих аварий приближается к частоте исходного события (0,1 в год).
Рисунок В.3 - Опасные события при существующих системах безопасности
Следует отметить, что при анализе не принималась во внимание возможность отказа по общей причине сигнализатора высокого давления и отказа датчика уровня в составе ОСУП. Такого рода отказы по общей причине могут привести к существенному увеличению вероятности отказов системы аварийной сигнализации при наличии запроса и, следовательно, увеличить риск. Для получения дополнительной информации см. [7].
В.3.5 События, не отвечающие заданному уровню безопасности
В.3.6 Снижение риска с помощью других слоев защиты
Прежде чем установить необходимость выполнения функции безопасности ПСБ, следует рассмотреть слои защиты, использующие другие технологии. Чтобы проиллюстрировать эту процедуру, примем, что в целях дальнейшего усиления действия существующей системы безопасности вводится еще один дополнительный совершенно независимый слой защиты. Процесс с новым слоем защиты показан на рисунке В.4. Для выявления всех потенциально опасных событий используют метод дерева событий. Из рисунка В.4 следует, что в условиях превышения давления могут произойти семь видов аварийных событий с выбросом материала.
СЗ 1 - слой защиты; СЗ 2 - слой защиты 2; СВД - сигнализатор высокого давления; ДУ - датчик уровня; КУУ - клапан управления уровнем
Рисунок В.4 - Опасные события при резервированном слое защиты
В.3.7 Снижение риска путем использования функции безопасности ПСБ
Примечание - Обозначение 1оо2 означает "один из двух", т.е. любой из сдвоенных датчиков может послать сигнал, останавливающий процесс.
СЗ 1 - система защиты; СЗ 2 - система защиты; СВД - сигнализатор высокого давления; ДУ - датчик уровня; ВК - входной клапан; КУУ - клапан управления уровнем
Рисунок В.5 - Опасные события при функции безопасности ПСБ с УПБ 2
Следует отметить, что анализ с использованием дерева событий не учитывает возможность появления отказа по общей причине в системе аварийной сигнализации высокого давления и функции безопасности ПСБ с УПБ 2. Возможен также отказ по общей причине обоих этих защитных устройств и датчика уровня в составе ОСУП.
Такие отказы по общей причине приводят к существенному увеличению вероятности отказа защитных функций при наличии запроса и, следовательно, к значительному увеличению общего риска. Для получения дополнительной информации см. [7].
Приложение С
(справочное)
Метод матрицы слоев безопасности
С.1 Введение
Для каждого технологического процесса снижение риска должно начинаться уже на стадии проектирования процесса при выборе наиболее важных решений: при выборе собственно процесса и его местоположения, при принятии решения о запасах опасных реагентов и их размещении. Минимизация запасов опасных химических компонентов, применение таких трубопроводных и теплообменных систем, которые физически исключают нежелательное смешивание активных химических веществ, выбор толстостенных сосудов, способных противостоять максимально возможным давлениям в процессе, выбор теплоносителя, максимальная температура которого ниже температуры разложения реагентов, - все эти проектные решения по процессу снижают эксплуатационные риски. Такое внимание к снижению риска путем тщательного выбора конструктивных и технологических параметров процесса - это ключ к созданию безопасного процесса. Рекомендуется и в дальнейшем продолжать поиски путей снижения опасности и применения заведомо безопасных проектных решений. К сожалению, даже используя в максимальной степени эту философию проектирования, не удается полностью исключить потенциальную опасность и приходится применять дополнительные защитные меры.
В промышленных технологических процессах для их защиты применяют многочисленные слои защиты (СЗ), как это показано на рисунке С.1. Каждый СЗ, показанный на этом рисунке, состоит из специального оборудования и/или элементов административного управления, которые, действуя совместно с другими СЗ, уменьшают риск процесса и/или управляют им.
Рисунок С.1 - Слои защиты
Концепция слоев защиты базируется на трех основных принципах [8]-[11]:
1) слой защиты представляет собой совокупность технических средств и/или организационных мер, которые функционируют в согласии с другими СЗ, обеспечивая снижение риска процесса или управление им;
2) слой защиты (СЗ) должен удовлетворять следующим критериям:
- снижать определенный риск по меньшей мере в 10 раз,
- обладать такими важными характеристиками, как:
- специфичность. СЗ проектируется для того, чтобы предотвратить или ослабить последствия одного потенциально опасного события. Причин возникновения этого опасного события может быть много, и, следовательно, действие СЗ может быть вызвано многими исходными событиями;
- независимость. СЗ считается независимым от других слоев защиты, если можно показать, что потенциально возможные совместные отказы по общей причине или общего типа отсутствуют;
- надежность. Можно рассчитывать, что СЗ будет выполнять предназначенные для него функции, если при его проектировании учитываются как случайные, так и систематические отказы;
- проверяемость. СЗ проектируется для того, чтобы облегчить регулярное подтверждение соответствия функций защиты;
3) слой защиты, обеспечиваемый функцией безопасности ПСБ, - это такой СЗ, реализация которого удовлетворяет принятому в данном приложении определению ПСБ. (Термин ПСБ был использован при разработке матрицы СЗ).
Заданный уровень безопасности процесса
Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение задаваемого уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой. Заданный уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям.
С.2 Анализ опасности
Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:
- анализ безопасности;
- контрольные листы;
- анализ гипотез ("что произойдет, если");
- метод HAZOP;
- анализ видов и последствий отказов;
- анализ причин и последствий.
Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazadr and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые ставят под сомнение возможность достижения проектной производительности установки.
Хотя метод HAZOP первоначально разрабатывался для оценки новых проектов и/или случаев применения, по которым в промышленности было мало опыта, подход оказался весьма эффективным и для действующих процессов. Применение этого метода требует детальных знаний и понимания вопросов проектирования объекта, его функционирования и обслуживания. Обычно опытный руководитель осуществляющей анализ группы специалистов, выполняя процесс разработки, постоянно "ведет" свою команду, используя при этом соответствующий набор подсказок. Такие подсказки применяются в особые или ключевые моменты исследования объекта с учетом соответствующих параметров процесса. Все это позволяет обнаружить возможные отклонения от нормального функционирования процесса. Контрольные листы или опыт выполнения процесса также помогают группе исследователей составить необходимый перечень возможных отклонений, который подлежит рассмотрению в процессе анализа. В результате анализа группа составляет перечни возможных причин отклонений в процессе, последствий таких отклонений, а также необходимых организационных и технических систем. Если причины и последствия отклонений в процессе существенны, а имеющиеся средства защиты недостаточны, то группа может представить на рассмотрение руководства предложения по дополнительным мерам безопасности или по перечню последующих действий.
Часто оказывается возможным обобщить приобретенный на конкретном объекте опыт и результаты его исследования методом HAZOP и распространить все это на имеющиеся в компании аналогичные процессы. Если такое обобщение возможно, то применение метода матрицы слоев безопасности оказывается целесообразным и при ограниченных ресурсах.
С.3 Метод анализа риска
После того как анализ по методу HAZOP проведен, связанный с процессом риск можно оценить, используя как количественные, так и качественные методы. В основе этих методов лежат экспертные оценки, сделанные персоналом предприятия и другими специалистами в области анализа опасности и риска, позволяющие выявить потенциально опасные события и оценить их возможность, интенсивность и последствия.
Для оценки риска процесса может быть использован качественный подход, который позволяет проследить сценарий развития опасного события и оценить его вероятность (примерный диапазон возможности появления) и тяжесть.
Типичное руководство по оценке возможности появления опасных событий без учета действующих СЗ показано в таблице С.1. Данные, приведенные в таблице, носят общий характер и могут быть использованы в тех случаях, когда сведения о конкретном процессе или производстве отсутствуют. Однако если такие конкретные данные имеются, то именно их следует использовать для установления возможности появления опасных событий.
Таблица С.1 - Частота возможности появления опасного события (без учета СЗ)
|
|
Тип события | Возможность возникновения |
| Качественное ранжирование |
Множественные отказы различных приборов или клапанов, множественные ошибки персонала при нормальных внешних условиях или спонтанные отказы технологического оборудования | Низкая |
Отказы резервированных приборов, клапанов или большие выбросы в зонах загрузки/разгрузки | Средняя |
Утечки в процессе, отказы отдельных приборов или клапанов, ошибки персонала, приводящие к небольшим выбросам опасных материалов | Высокая |
Примечание - Считается, что система соответствует настоящему стандарту, если утверждается, что отказ функции управления происходит реже чем 10 в год. | |
Аналогично в таблице С.2 показан один из способов ранжирования тяжести воздействия опасных событий при их относительном оценивании. Предложенные рейтинги также являются иллюстративными. Тяжесть воздействия опасных событий и их рейтинги строятся для конкретного предприятия (процесса) на базе экспертных оценок и имеющегося опыта.
Таблица С.2 - Критерии ранжирования тяжести воздействия опасных событий
|
|
Ранг тяжести | Результат |
Обширное | Значительный ущерб оборудованию. Остановка процесса на длительное время. Катастрофические последствия для персонала и окружающей среды |
Серьезное | Ущерб оборудованию. Кратковременная остановка процесса. Серьезные последствия для персонала и окружающей среды |
Незначительное | Незначительный ущерб оборудованию. Отсутствие остановки процесса. Малый ущерб для персонала и окружающей среды |
С.4 Матрица слоев безопасности
Для оценки риска можно использовать матрицу риска, объединяющую вероятность появления опасных событий и рейтинг тяжести их воздействия. Аналогичный подход можно применить и для построения матрицы, которая бы определяла потенциальное снижение риска, связанное с используемой ПСБ для слоя защиты. Подобная матрица риска показана на рисунке С.2, на котором в матрицу был введен заданный уровень безопасности. Иными словами, матрица базируется на конкретном опыте эксплуатации и критериях риска, принятых в данной компании, на принятых в этой компании принципах разработки, эксплуатации и защиты, а также на значении уровня безопасности, установленном компанией в качестве заданного уровня безопасности.
a) Одна функция безопасности ПСБ с УБП 3 не обеспечивает при таком уровне риска достаточного его снижения. Чтобы снизить риск, требуются дополнительные изменения в процессе [(см. перечисление d)].
b) Одна функция безопасности ПСБ с УБП 3 может не обеспечить при таком уровне риска достаточного его снижения. Требуется дополнительный критический анализ [(см. перечисление d)].
c) Вероятно, нет необходимости в независимом от ПСБ слое.
d) Такой поход не считается пригодным в случаях с УПБ 4.
Рисунок С.2 - Пример матрицы слоев безопасности
Общее число СЗ включает все СЗ, защищающие процесс, в том числе и классифицируемые ПСБ.
Возможность появления опасного события - это возможность того, что опасное событие произойдет при отключенных СЗ. В качестве руководящего указания см. таблицу С.1.
Тяжесть опасного события - воздействие, связанное с опасным событием. В качестве руководства см. таблицу С.2.
С.5 Общая процедура:
1) установить задание на УПБ процесса;
2) провести анализ возможных опасностей (например, методом HAZOP), чтобы выявить все опасные события, представляющие интерес;
3) построить сценарий развития опасного события и оценить возможность появления этого события, пользуясь при этом данными и руководящими материалами конкретной фирмы;
4) пользуясь руководящими материалами компании, установить рейтинг тяжести опасных событий;
5) определить используемые на объекте СЗ. Оцениваемую возможность появления опасных событий следует снижать в 10 раз для каждого СЗ;
6) определить необходимость применения дополнительного СЗ, реализуемого ПСБ, путем сравнения остаточного риска с величиной заданного УПБ;
7) определить УПБ системы, пользуясь рисунком С.2.
Примечание - Пользователю следует оценить возможную степень зависимости между СЗ и попытаться минимизировать любые подобные зависимости.
Приложение D
(справочное)
Определение требуемых уровней полноты безопасности. Полукачественный метод. Калиброванный граф риска
D.1 Введение
Данное приложение базируется на общей схеме формирования графа риска, описанной в МЭК 61508-5 (приложение D.4). Данное приложение адаптировано таким образом, чтобы лучше соответствовать потребностям технологических процессов в промышленности.
В приложении описан метод калиброванного графа риска, применяемый для определения УПБ функций безопасности ПСБ. Этот полукачественный метод позволяет при известных факторах риска, связанных с процессом и базовой системой управления, определить УПБ функций безопасности ПСБ.
В принятом подходе используется ряд параметров, которые в совокупности описывают природу опасной ситуации, возникающей в случае отказа ПСБ или при ее отсутствии. В каждом из четырех наборов параметров выбирается по одному. Выбранные параметры затем объединяются, чтобы решить, какому уровню полноты безопасности должны соответствовать функции безопасности ПСБ. Эти параметры:
- позволяют получить ранжированную оценку рисков и
- представляют собой ключевые факторы оценки риска.
Подход, связанный с применением графа риска, может быть также использован для определения необходимости снижения риска в случае, когда последствия связаны с существенным ущербом для окружающей среды или с материальными потерями. Цель данного приложения - предложить руководство по применению метода.
Сначала в приложении рассматриваются вопросы защиты персонала от опасности. Представлена одна из возможностей применения к технологическому процессу общего графа риска, приведенного в МЭК 61508-5 (рисунок D.1). В заключение, рассматривается применение метода графа риска для защиты окружающей среды и имущества.