Товары в корзине: 0 шт Оформить заказ
Стр. 1
 

66 страниц

563.00 ₽

Купить ГОСТ Р МЭК 61511-2-2011 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Содержит руководство по установлению требований, разработке, монтажу, эксплуатации и техническому обслуживанию функций безопасности приборных систем безопасности и соответствующих приборных систем безопасности в соответствии с МЭК 61511-1.

 Скачать PDF

Заменен на ГОСТ Р МЭК 61511-2-2018

Идентичен IEC 61511-2(2003)

Оглавление

1 Область применения

2 Нормативные ссылки

3 Сокращения и определения

4 Соответствие настоящему стандарту

5 Управление функциональной безопасностью

     5.1 Цель

     5.2 Требования

6 Требования к жизненному циклу безопасности

     6.1 Цель

     6.2 Требования

7 Верификация

     7.1 Цель

8 Анализ опасностей и рисков процесса

     8.1 Цель

     8.2 Требования

9 Распределение функций безопасности по слоям защиты

     9.1 Цель

     9.2 Требования к процессу распределения

     9.3 Дополнительные требования для уровня полноты безопасности 4

     9.4 Требования к основной системе управления процессом как к слою защиты

     9.5 Требования к предотвращению отказов по общей причине, отказов общего типа и зависимых отказов

10 Спецификация требований к безопасности ПСБ

     10.1 Цель

     10.2 Общие требования

     10.3 Требования к безопасности ПСБ

11 Проектирование и разработка ПСБ

     11.1 Цель

     11.2 Основные требования

     11.3 Требования к поведению системы при обнаружении отказа

     11.4 Требования к отказоустойчивости аппаратных средств

     11.5 Требования к выбору компонентов и подсистем

     11.6 Внешние устройства

     11.7 Интерфейсы

     11.8 Требования к проектированию обслуживания или испытаний

     11.9 Вероятность отказа функции безопасности ПСБ

12 Требования к прикладному ПО, включая критерии выбора сервисного ПО

     12.1 требования к жизненному циклу безопасности ППО

     12.2 Спецификация требований к безопасности ППО

     12.3 Планирование подтверждения соответствия безопасности ППО

     12.4 Проектирование и разработка ППО

     12.5 Интеграция ППО с подсистемой ПСБ

     12.6 Процедуры модификации ПО на ФЯП и ЯОИ

     12.7 Верификация ППО

13 Заводские приемочные испытания

     13.1 Цель

     13.2 Рекомендации

14 Установка и ввод в действие ПСБ

     14.1 Цель

     14.2 Требования

15 Подтверждение соответствия безопасности ПСБ

     15.1 Цель

     15.2 Требования

16 Эксплуатация и обслуживание ПСБ

     16.1 Цель

     16.2 Требования

     16.3 Проверочные испытания и осмотр

17 Модификация ПСБ

     17.1 Цель

     17.2 Требования

18 Снятие с эксплуатации ПСБ

     18.1 Цель

     18.2 Требования

19 Требования к информации и документации

     19.1 Цели

     19.2 Требования

Приложение А (справочное) Примеры методов расчета вероятности отказа при наличии запроса для функции безопасности ПСБ

Приложение В (справочное) Разработка архитектуры типовой ПСБ

Приложение С (справочное) Особенности применения программируемого логического контроллера безопасности

Приложение D (справочное) Пример методологии разработки ППО логического решающего устройства ПСБ

Приложение Е (справочное) Пример разработки внешне конфигурируемых диагностик для безопасно конфигурируемого программируемого электронного логического устройства

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

 
Дата введения01.08.2012
Добавлен в базу01.09.2013
Завершение срока действия01.07.2019
Актуализация01.01.2019

Этот ГОСТ находится в:

Организации:

18.10.2011УтвержденФедеральное агентство по техническому регулированию и метрологии469-ст
ИзданСтандартинформ2013 г.
РазработанООО Корпоративные электронные системы

Functional safety. Safety instrumented systems for the process industry sector. Part 2. Guidelines for the application of IEC 61511-1

Нормативные ссылки:
Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТРМЭК

61511-2—

2011

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ СИСТЕМЫ БЕЗОПАСНОСТИ ПРИБОРНЫЕ ДЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ

Часть 2

Руководство по применению МЭК 61511-1

IEC 61511-2:2003

Functional safety — Safety instrumented systems for the process industry sector — Part 2: Guidelines for the application of IEC 61511-1 (IDT)

ш

Издание официальное

Москва

Стандартинформ

2013

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 октября 2011 г. № 469-ст

Настоящий стандарт идентичен международному стандарту МЭК 61511-2:2003 «Безопасность функциональная. Системы безопасности, приборные для промышленных процессов. Часть 2. Руководство по применению МЭК 61511-1» (IEC 61511-2:2003 «Functional safety — Safety instrumented systems for the process industry sector — Part 2: Guidelines for the application of IEC 61511-1»),

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

4    ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2013

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р МЭК 61511 -2—2011

a)    Виды аудита

Проведение аудита ПСБ обеспечивает полезной информацией руководство предприятия, а также инженеров, занятых обслуживанием и разработкой приборов. Оно придает руководству действенность и осведомленность о степени использования и эффективности применяемых ПСБ. Существует много различных видов аудита. Реальный тип, масштаб и частота проведения аудита в любом конкретном случае должны отражать возможное влияние таких действий на полноту безопасности.

Видами аудита являются:

1)    собственно аудиты, как независимые, так и проводимые собственными силами;

2)    контроль;

3)    визиты безопасности (например, при обходе предприятия и разборе инцидента);

4)    обследование ПСБ (по анкете).

Необходимо различать обследования и проверки, с одной стороны, и действия по аудиту — с другой. Обследование и проверка направлены на оценку выполнения конкретных действий на жизненном цикле (например, контролер проверяет выполнение работы по обслуживанию перед тем, как компонент будет вновь включен в работу). В отличие от них действия по аудиту являются более исчерпывающими и концентрируются на полной реализации ПСБ в отношении жизненного цикла безопасности. Аудит должен включать в себя определение того, выполнена ли программа обследований и проверок.

Аудиты и контроль могут быть выполнены силами собственного персонала компании, стройки, завода или проекта (например, внутренний аудит) или независимыми лицами (например, аудиторами компании, отделом обеспечения качества, контрольными органами, покупателями или третьими лицами).

Руководители различного уровня могут пожелать использовать соответствующие типы аудита, чтобы получить дополнительную информацию об эффективности внедрения ПСБ. Результаты аудитов могут быть использованы для определения неправильно выполняемых процедур, что приведет к улучшению их применения.

b)    Стратегия аудита

Программы проведения аудита стройки, завода или проекта должны предусматривать повторяющиеся программы независимых и внутренних аудитов и контроля.

Повторяющиеся программы регулярно обновляются для отражения предыдущих характеристик и результатов аудита, а также существующих проблем и приоритетов. Они охватывают все связанные со стройкой/заводом/проектом действия и аспекты ПСБ, относящиеся к соответствующим периоду времени и полноте.

Первостепенное основание и дополнительная ценность аудитов состоят в том, что их проведение обеспечивает своевременное получение информации. Эти действия имеют своей целью повысить эффективность ПСБ, например, помочь минимизировать риск для работников и населения получить травму или погибнуть, способствовать повышению культуры безопасности труда, способствовать предотвращению любого возможного выброса вещества в окружающую среду.

В итоге стратегия проведения аудитов может иметь смешанный характер и устанавливаться руководством (заказчиком) так, чтобы играть роль обратной связи, дающей информацию, необходимую руководству для своевременных действий.

c)    Процедура и протоколы аудита

Максимальная ценность проведения аудита может быть достигнута только при условии, что все стороны (включая аудиторов, кандидатов на участие, руководителей завода, руководителя отдела и т. д.) понимают необходимость каждого аудита и могут на него влиять. Последующее описание проведения процесса и протоколов аудита может помочь гарантировать некоторую последовательность в подходе к достижению этих целей. Она состоит из следующих пяти ключевых стадий процесса проведения аудита:

1)    стратегия и программа аудита.

Следует ясно определить цель проведения каждого аудита и назначить группы его исполнителей с указанием роли и ответственности каждой из таких групп.

Необходимо иметь стратегию аудита.

Следует составить программу проведения аудитов.

Необходимо регулярно пересматривать процедуры аудита, программы и стратегию его проведения;

2)    подготовка и предварительное планирование аудита.

5

Прежде чем проводить аудит, старший руководитель стройки, завода или проекта и/или соответствующий координатор аудита должны определить контактное лицо.

Аудиторам и контактному лицу следует на самой ранней стадии обсудить, понять и согласовать:

-    границы области аудита;

-    продолжительность проведения аудита;

-    персонал, который следует привлечь;

-    основу аудита или стандарт для его проведения;

-    необходимость приложения особых усилий на подготовительной стадии и привлечения заводского персонала для повышения шансов на успешный аудит.

Рекомендуется следующее распределение времени на каждую стадию проведения аудита:

-    подготовка аудита — 30 %;

-    проведение аудита — 40 %;

-    составление отчета с замечаниями — 20 %;

-    завершение аудита — 10 %.

Аудитору следует подготовить к проведению аудита руководящие материалы, процедуры, инструкции и т.п., а также данные и, при необходимости, контрольные листы.

Аудитор должен придавать особое значение и объяснять, какие изменения в области аудита могут произойти в ходе его проведения, если будут обнаружены серьезные замечания или ошибки;

3)    проведение аудита.

Аудитор должен проводить свою работу непрерывно в течение нескольких дней, в пределах установленного для аудита периода времени, учитывая возможные отвлечения от работы персонала стройки, завода или проекта.

В ходе проведения аудита следует периодически информировать контактное лицо о выявленных замечаниях, тем самым избегая возникновения непредвиденных обстоятельств по окончании работы.

Аудитору следует стараться привлечь заводской персонал к участию в процессе аудита, чтобы передать свои знания и понимание (процессов и замечаний) владельцу.

Успех аудита в значительной степени зависит от стиля работы аудитора — он должен стараться быть полезным, конструктивным, вежливым, собранным и объективным.

Как минимум, аудитор должен стараться выполнить согласованные объемы и сроки работ; все необходимые изменения следует обсуждать;

4)    составление отчета с замечаниями.

Аудитору следует поддерживать тесные контакты как до конца проведения аудита, так и позже, вплоть до выпуска итогового отчета.

Соответствующему руководству должна быть предоставлена возможность прокомментировать проект отчета и замечания, а также при желании обсудить их на официальной встрече.

Нормальной практикой считается запрос плана действий стройки, завода или проектной организации, связанный с замечаниями, включенными в отчет;

5)    завершение аудита.

Отчеты по аудиту обычно требуют реакции в форме плана действий. Аудитор должен проверить, выполнен ли этот план удовлетворительно к установленной дате или к следующему аудиту в зависимости от обстоятельств.

Для проверки выполнения плана действий могут быть использованы соответствующие следящие системы стройки/завода/проекта.

Замечания каждой группы аудиторов следует периодически рассматривать и широко информировать о результатах этого рассмотрения.

Замечания и/или результаты аудитов могут быть использованы для пересмотра частоты их проведения и применены руководством как входная информация для анализа ПСБ.

5.2.6.2.2 Настоящий подпункт придает особое значение той роли, которую играет управление изменениями в процессах проведения аудитов.

5.2.7 Управление конфигурацией ПСБ

5.2.7.1    Требования

5.2.7.1.1    Для управления и поддержания возможности оперативного контроля устройств на всех стадиях их жизненного цикла может быть установлен механизм идентификации, управления и отслеживания для моделей или версий каждого устройства.

ГОСТ Р МЭК 61511 -2—2011

На возможно ранней стадии жизненного цикла безопасности каждому устройству следует присвоить уникальный объектный идентификатор. В некоторых случаях более ранние модели или версии устройств могут оставаться в эксплуатации и обслуживании. В качестве первого шага следует составить программу управления конфигурацией, которая может охватывать следующие аспекты:

a)    обеспечение процедуры идентификации всех устройств на всех стадиях жизненного цикла;

b)    уникальная идентификация модели, версии и внутреннего статуса каждого изделия (включая программные) с указанием поставщика, даты и места применения, а также изменений модели или версии по отношению к исходной модели или версии;

c)    идентификация и отслеживание всех действий и изменений, проведенных по результатам замеченных отказов и выполненных аудитов;

d)    управление вводом в эксплуатацию, определяющее статус и модель/версию соответствующих устройств;

e)    меры безопасности, которые должны быть предприняты, чтобы обеспечить отсутствие неавторизованных перенастроек или изменений в действующих ПСБ;

f)    определение версий каждого программного средства, которые в совокупности определяют законченное устройство;

д) обеспечение координации процесса добавления многочисленных ПСБ на одном или более объектах;

h)    оформленная документально авторизация ввода устройств в эксплуатацию;

i)    зарегистрированный перечень подписей, допускающих ввод в эксплуатацию;

j)    стадии или фазы, на которых устройства находятся под управлением конфигурацией;

k)    управление соответствующей сопроводительной документацией;

l)    определение для каждой модели/версии устройства:

-    функциональной спецификации,

-    технической спецификации;

т) установление того, что все подразделения и/или организации, участвующие в руководстве и обслуживании ПСБ, определены и границы их ответственности подписаны и понятны.

6 требования к жизненному циклу безопасности

6.1    Цель

Функциональная безопасность, достигнутая для любого объекта процесса, зависит от удовлетворительного выполнения ряда действий. Цель применения систематической концепции жизненного цикла безопасности к ПСБ состоит в том, чтобы все действия, необходимые для достижения функциональной безопасности, были выполнены и чтобы можно было показать другим, что они выполнены в правильном порядке. В МЭК 61511-1 типичный жизненный цикл безопасности представлен на рисунке 8 и в таблице 2, требования к каждой стадии жизненного цикла приведены в пунктах 8—16 МЭК 61511-1.

Настоящий стандарт признает, что установленные действия могут быть структурированы разными способами, обеспечивающими выполнение всех требований. Подобная реструктуризация может быть предпочтительной, если она позволяет добиться лучшей интеграции работ, связанных с безопасностью, в обычные проектные процедуры. Цель раздела 6 МЭК 61511-1 состоит в том, чтобы даже при использовании другого жизненного цикла безопасности были определены входные и выходные данные для каждой стадии жизненного цикла и были включены все существенные требования.

6.2    Требования

6.2.1    Особое внимание должно быть обращено на то, чтобы заранее определить жизненный цикл безопасности той ПСБ, которую будут использовать. Опыт показывает, что здесь часто возникают проблемы, даже если эта работа хорошо и своевременно спланирована и получены согласования со всеми несущими ответственность лицами, подразделениями и организациями. В лучшем случае некоторые работы будут пропущены или потребуют переделки; в худшем случае безопасность может быть поставлена под угрозу.

6.2.2    Хотя настоящий стандарт этого не требует, обычно полезно на самой ранней стадии составить предполагаемый жизненный цикл безопасности ПСБ в проектируемом жизненном цикле процесса, включая перечень блоков, показанных на рисунке 8 МЭК 61511-1, которые применяют в проекте. После того как это будет сделано, следует рассмотреть информацию, необходимую для начала работ по безо-

7

пасности, вместе с вопросом о том, кто, вероятно, способен эту информацию предоставить. В некоторых случаях может оказаться невозможным установить точную информацию по отдельным позициям ранее, чем на поздних этапах разработки. В таких случаях может оказаться необходимым сделать оценки, основанные на предшествующем опыте, и затем подкрепить их более поздними данными. В подобной ситуации важно предусмотреть это в жизненном цикле безопасности.

6.2.3 Другой важной частью планирования жизненного цикла безопасности является определение методов, которые будут применяться на каждой стадии. Определение таких методов важно потому, что часто приходится использовать специфические методы, которые требуют привлечения лиц или подразделений, обладающих уникальным умением или опытом. Например, в конкретном случае применения последствия отказа могут зависеть от максимального развиваемого давления; и единственный способ, которым его можно определить, состоит в том, чтобы разработать динамическую модель процесса. Требования к информации, необходимой для динамического моделирования, дадут важный импульс процессу разработки.

7    Верификация

7.1    Цель

Цель верификации состоит в обеспечении того, что действия, предусмотренные планом верификации на каждой стадии жизненного цикла безопасности, действительно выполнены и что требуемые выходные результаты стадии, будь это документация, аппаратное средство или программное обеспечение, реализованы и соответствуют своему назначению.

7.1.1    Требования

7.1.1.1    МЭК 61511-1 признает, что организации будут иметь свои собственные процедуры верификации, и не требует, чтобы они всегда выполнялись одинаковым способом. Напротив, смысл данного пункта состоит в том, что все действия по верификации планируются заблаговременно, вместе с любыми другими процедурами, мероприятиями и методами, которые должны применяться.

7.1.1.2    Дополнительные требования не предусмотрены.

7.1.1.3    Важно, чтобы результаты верификации были пригодны для того, чтобы можно было показать, что на всех стадиях жизненного цикла безопасности была проведена эффективная верификация.

8    Анализ опасностей и рисков процесса

8.1    Цель

Общая цель состоит в том, чтобы установить необходимость применения функций безопасности (например, для слоев защиты) и соответствующие уровни качества их выполнения (сокращение риска), которые необходимы, чтобы гарантировать безопасность процесса. Обычно промышленные технологические процессы обеспечиваются несколькими слоями безопасности так, чтобы отказ одного слоя не вызывал или не допускал опасных последствий на другом слое. Типичные слои безопасности представлены на рисунке 9 МЭК 61511-1.

8.2    Требования

8.2.1 Требования к проведению анализа опасностей и рисков устанавливаются только на основе конкретной задачи. Это означает, что организация может использовать любой метод, который она считает эффективным и обеспечивающим результаты в виде ясного описания функций безопасности и соответствующие уровни качества их выполнения.

При проведении анализа опасности и риска следует устанавливать и рассматривать опасности и опасные события, которые могли произойти во всех обоснованных предсказуемых случаях (включая условия появления отказов и обоснованное предсказуемое неправильное применение).

Предварительный анализ опасностей и рисков в типичном проекте для промышленных процессов следует выполнять на ранней стадии разработки основных проектных решений по процессу. На этой стадии принимается допущение о том, что опасности устранены или снижены до практически разумного предела путем применения принципов внутренней безопасности и хорошей инженерной практики (эти действия по снижению опасности лежат вне области применения МЭК 61511). Для ПСБ такой предварительный анализ опасностей и рисков важен потому, что создание, проектирование и реализация ПСБ являются сложными задачами и могут потребовать длительного времени. Другая причина, требующая

более раннего выполнения этой работы, состоит в том, что информация о структуре системы потребуется до того, как будут разработаны блок-схемы базового процесса и его автоматизации.

Если построена технологическая карта процесса и доступны все исходные данные процесса, то для выполнения предварительной оценки опасности и риска обычно бывает достаточно этой информации. Необходимо признать, что в проекте могут появиться дополнительные опасности, так как далее выполняется детальное проектирование. Поэтому после завершения построения технологической карты базового процесса и его автоматизации может потребоваться окончательная оценка опасности и риска. Этот окончательный анализ обычно проводится с помощью формальной и полностью документируемой процедуры, такой, как исследование опасности и работоспособности (HAZOP). Она должна подтвердить, что разработанные уровни безопасности адекватно обеспечивают безопасность предприятия. В ходе этого окончательного анализа необходимо рассмотреть, не приводят ли отказы в системах безопасности к каким-либо новым опасностям, и установить на этой стадии, не появилась ли необходимость введения новых функций безопасности. Другим более вероятным результатом является выявление дополнительных событий, которые приводят к опасностям, уже определенным на предварительной стадии. В таких случаях необходимо рассмотреть, нужна ли какая-либо коррекция функций безопасности и требований к качеству их выполнения, установленных при предварительном анализе.

Подход, применяемый для выявления опасностей, зависит от рассматриваемого случая применения. Для некоторых простых процессов, по которым имеется большой опыт эксплуатации типовых разработок, таких, как простые морские устьевые (нефтегазодобывающие) вышки, может оказаться эффективным использование ранее разработанных промышленных вопросников (например, анкеты анализа безопасности, приведенные в [1] и [2]). Если проект более сложен или рассматривается новый процесс, может оказаться необходимым применение более структурированного подхода (например, по [3]).

Примечание — Дополнительная информация о выборе соответствующих методов приведена в [4].

При рассмотрении последствий событий, связанных с конкретными отказами, следует проанализировать все возможные результаты отказов, а также частоту отказов с учетом вкладов в каждый результат. Ни один из ожидаемых результатов не должен игнорироваться или исключаться из анализа риска. Воздействие на трубопроводы или емкости давления, превышающего проектное, не всегда будет приводить к катастрофическим потерям содержимого. Во многих случаях оборудование будет подвергаться испытаниям давлением, превышающим проектное, и единственным последствием может быть утечка воспламеняющегося вещества, приводящая к возможности возгорания. При оценке последствий следует проконсультироваться с лицами, ответственными за механическую целостность установки. Им потребуется учесть не только исходные процедуры испытаний давлением, но и испытания на коррозию, если предусмотрена программа борьбы с ней. Если оценки последствий базируются на таких допущениях, то важно, чтобы это было ясно заявлено и соответствующие процедуры были включены в систему управления безопасностью.

При дальнейшем рассмотрении последствий следует оценить число лиц, которые могут подвергаться конкретной опасности. Надо быть внимательным при использовании такого статистического подхода, так как он не будет справедлив во всех случаях, в таких, где опасность существует только во время запуска оборудования, когда необходимый штат сотрудников всегда присутствует. Во многих случаях оперативный и обслуживающий персонал будет находиться в опасной зоне только изредка, и это обстоятельство следует принять во внимание при прогнозировании последствий. При использовании подобного статистического подхода необходимо проявлять осторожность, так как он может быть применим не во всех случаях (в таких, например, когда опасность существует только в период запуска, а персонал присутствует все время). Следует также обратить внимание на возможное увеличение численности людей, находящихся вблизи от опасного события для исследования влияния симптомов разрастающегося события.

При оценке возможных источников запросов на срабатывание ПСБ такая оценка должна охватывать следующие ситуации: запуск, постоянная работа, останов, ошибки обслуживания, ручное вмешательство (например, в режиме ручного управления), потеря ресурсов (например, сжатого воздуха, охлаждающей воды, сжатого азота, электроэнергии, пара, отходящего тепла и т. д.).

При рассмотрении частоты запросов в некоторых сложных случаях может потребоваться провести анализ дерева ошибок. Это часто бывает необходимо, когда серьезные последствия являются результатом одновременных отказов, вызванных более чем одним событием (например, когда предохранительный коллектор не рассчитан на срабатывание по наихудшему случаю из всех источников). Требуется принять решение о том, следует ли включать ошибки оператора в список событий, спо-

собных привести к опасности, и какое значение частоты должно использоваться для таких событий. Ошибки оператора часто подлежат исключению, если его действия требуют разрешающего подтверждения или предусмотрены средства блокировки доступа, предотвращающие непредумышленные действия.

Необходимо также быть осторожным в тех случаях, когда принимается снижение частоты запросов за счет действий оператора. Такое допущение должно быть ограничено возможностями человеческого фактора, такими, как скорость выполнения необходимых действий и сложность решаемых задач. Если оператор должен действовать по результатам аварийной сигнализации и принимается, что снижение риска происходит более чем в 10 раз, то систему в целом следует разрабатывать в соответствии с МЭК 61511-1. Система, выполняющая функцию безопасности, будет тогда включать в себя датчик, определяющий появление опасной ситуации, воспроизведение аварийной сигнализации, ответное действие оператора и оборудование, используемое оператором для прекращения любой опасности.

Следует отметить, что снижение риска менее чем в 10 раз может быть принято без необходимости соответствия МЭК 61511. Если принимается такое допущение, то следует тщательно рассмотреть возможности человеческого фактора. Любые требования по снижению риска с помощью аварийной сигнализации должны быть подкреплены документально оформленным описанием необходимой реакции на сигнализацию и тем, что оператор имеет достаточно времени для корректирующего действия, а также уверенностью в том, что оператор подготовлен к выполнению защитных действий.

Система аварийной сигнализации может быть использована как способ снижения риска путем снижения частоты запросов к ПСБ при условиях:

-    датчик, применяемый в системе сигнализации, не используется для целей управления, если потеря управления приводит к запросу на срабатывание функции безопасности ПСБ;

-    датчик, применяемый в системе сигнализации, не используется как часть ПСБ;

-    учтены ограничения на снижение риска, которое можно требовать от основной системы управления процессом (ОСУП), и отказы с общей причиной.

Примеры способов, которые могут применяться при установлении УПБ для ПСБ, даны в МЭК 61511-3 [5], где содержатся также указания о том, что следует рассмотреть при выборе метода, используемого в конкретном случае применения.

При установлении того, требуется ли снижение риска, необходимо располагать заданными характеристиками безопасности процесса и окружающей среды. Они могут быть установлены для конкретного объекта или эксплуатирующей компании и будут сравниваться с уровнем риска, существующим при отсутствии дополнительных функций безопасности. После установления потребности в сокращении риска следует рассмотреть, какие функции требуется выполнить, чтобы вернуть процесс в безопасное состояние. Теоретически функции могут быть описаны в общем виде без ссылки на конкретную технологию. Например, в случае защиты от превышения давления функция может быть определена как предотвращение того, что давление превзойдет установленное значение. Тогда такая функция может быть выполнена как предохранительным клапаном, так и ПСБ. Если функция описана в общем виде, то выбор используемого способа ее реализации будет проведен на следующем этапе жизненного цикла (распределение функций безопасности ПСБ по слоям защиты). На практике в зависимости от выбранного типа системы функциональные требования будут различными, поэтому данная и следующая стадии в некоторых случаях могут быть объединены.

Подводя итог, можно сказать, что в ходе анализа опасности и риска необходимо рассмотреть следующее:

-    каждое определенное опасное событие и последовательность событий, которые их составляют;

-    последствия и возможность появления последовательностей событий, вызванных каждым опасным событием; они могут быть выражены количественно или качественно;

-    необходимость снижения риска для каждого опасного события;

-    меры, предпринимаемые для снижения или устранения опасностей и рисков;

-    допущения, принятые в ходе анализа рисков, включая оценки интенсивностей запросов и отказов оборудования; должно быть подробно раскрыто любое допущение, принятое для эксплуатационных ограничений или вмешательств человека;

-    ссылки на ключевую информацию о связанных с безопасностью системах на каждой стадии жизненного цикла ПСБ (например, в работах по верификации или оценке соответствия).

Используемую информацию и получаемые результаты, составляющие анализ опасности и риска, следует оформлять документально.

ю

ГОСТ Р МЭК 61511 -2—2011

Может оказаться необходимым повторить проведение оценки опасности и риска на различных стадиях полного жизненного цикла безопасности ПСБ по мере того, как принимаемые решения и доступная информация становятся более совершенными.

8.2.2    Для промышленных процессов важной причиной запросов, которые должны быть рассмотрены во многих приложениях, является отказ ОСУП. Необходимо отметить, что отказ ОСУП может быть вызван датчиком, клапаном или системой управления.

Иногда системы управления, используемые для промышленных процессов, имеют резервные процессоры, но датчики и клапаны остаются нерезервными. При назначении интенсивности отказов ОСУП существует важное ограничение, которое надо осознать. МЭК 61511-1 устанавливает ограничение на интенсивность опасных отказов, связанных с конкретной опасностью, которое может составлять до 10~5 в час, но при условии, что система создается в соответствии с требованиями настоящего стандарта. Причина данного ограничения состоит в том, что если принимается более низкая интенсивность опасных отказов, то она должна лежать в диапазоне интенсивностей отказов, приведенном в таблице 4 МЭК 61511-1. Ограничение обеспечивает, что высокие доверительные уровни не относятся к системам, которые не отвечают требованиям МЭК 61511-1.

8.2.3    Дополнительные требования не предусмотрены.

9 Распределение функций безопасности по слоям защиты
9.1    Цель

Для того чтобы определить потребность в ПСБ и значения соответствующих УПБ, важно рассмотреть существующие (или требующиеся) другие уровни защиты и насколько значительную защиту они обеспечивают. После рассмотрения других уровней защиты следует определить необходимость применения уровня защиты в виде ПСБ. Если такой уровень необходим, то следует определить УПБ для функции (или функций) безопасности этой ПСБ.

9.2    Требования к процессу распределения

9.2.1    Первое требование состоит в том, чтобы согласовать используемые слои защиты и распределить задания на качество работы по функциям безопасности ПСБ. На практике часто функции безопасности распределяются только по ПСБ, так как в таких существуют проблемы применения разработок с внутренне присущей им безопасностью и систем, работающих на других принципах действия.

Примерами таких проблем являются ограничения, связанные с воспламеняемостью или с защитой от экзотермических реакций. Любое решение по использованию приборных систем вместо традиционных подходов, таких, как предохранительные клапаны, требуется подкрепить разумными доводами, которые покажутся вескими надзорным органам.

Как указывалось выше, действия по оценке опасности и риска и по распределению могут выполняться параллельно, либо распределение может при некоторых обстоятельствах выполняться перед оценкой опасности и риска. Решения по распределению функций безопасности ПСБ по слоям защиты часто принимаются на основе практического опыта организации-пользователя. Следует также учесть хорошую установившуюся промышленную практику. Решения, принимаемые по ПСБ, должны допускать наличие других уровней защиты. Например, если установлены предохранительные клапаны и они спроектированы и смонтированы в соответствии с промышленными нормами, то может быть решено, что их достаточно для достижения адекватного снижения риска. ПСБ в таких случаях будут только ограничивать давление на уровнях, при которых размер или качество работы предохранительного клапана (клапанов) будут для данного применения недостаточны или будут лишь предотвращать выбросы в атмосферу.

9.2.2    Дополнительные требования не предусмотрены.

9.2.3    Если функция безопасности реализована как функция безопасности ПСБ, то необходимо будет учитывать режим ее реализации — по запросам или по непрерывному запросу. В большинстве случаев в промышленных процессах реализуется режим по запросам, причем частота запросов невелика. Для таких случаев подходит таблица 3, приведенная в МЭК 61511-1. Встречаются случаи с частыми (например, свыше одного раза в год) запросами, для которых более подходящим является режим работы с непрерывным запросом, так как вероятность появления опасного отказа будет определяться прежде всего интенсивностью отказов ПСБ. Для таких случаев применима таблица 4 МЭК 61511-1. Случаи режима работы с непрерывным запросом, в которых отказ привел бы к непосредственной опасности, редки. Система управления горелкой или скоростью турбины может относиться к системе,

функционирующей в режиме с непрерывным запросом, если системы защиты недостаточны для всех видов отказов такой системы управления.

Таблица 3 МЭК 61511-1 определяет УПБ, выраженные в значениях средней вероятности отказа при наличии запроса (ВОНЗср). Заданное значение ВОНЗср будет определяться требуемым сокращением риска, которое, в свою очередь, может быть найдено путем сравнения риска процесса без ПСБ с величиной допустимого риска. Его можно определить в количественной или качественной форме способами, приведенными в [5].

Таблица 4 МЭК 61511-1 устанавливает УПБ, выраженные в значениях заданной частоты опасных отказов при выполнении функции безопасности ПСБ. Эта частота будет определяться приемлемой интенсивностью отказов ПСБ с учетом последствия отказа в конкретном случае применения. Если для определения требуемого УПБ используется таблица 4 МЭК 61511-1, то его целевое значение базируется на частоте опасных отказов ПСБ. При применении таблицы 4 МЭК 61511-1 некорректно преобразовывать частоту опасных отказов в вероятность их появления при наличии запроса, используя межпроверочный интервал или интенсивность запросов. Хотя при таком преобразовании единицы измерения могут быть правильными, оно будет ошибочным и может привести к невыполнению требований, предъявляемых к УПБ функций безопасности.

Заданные значения средней вероятности отказов при наличии запроса или частоты опасных отказов применяются к функции безопасности ПСБ, а не к отдельным компонентам или подсистемам. Компонент или подсистема (например, датчик, логическое решающее устройство, оконечный элемент) не могут иметь УПБ, установленные вне их применения в конкретной ПСБ. Однако компонент или подсистема могут иметь независимый максимальный УПБ, характеризующий ее возможности.

Результатом работ по оценке опасности и риска и по распределению требований должно быть ясное описание функций, которые будут выполнены системами безопасности, включая возможные ПСБ и требования к УПБ (вместе с режимом работы, непрерывным или по запросам) для каждой функции безопасности ПСБ. Такое описание формирует основу для составления спецификации требований к безопасности ПСБ. Описание функций должно быть ясным настолько, насколько это необходимо для того, чтобы обеспечить поддержание безопасности.

На данной стадии реализации нет необходимости определять структуру для подсистем датчиков и клапанов. Решения по таким структурам достаточно сложны, и определение, требует ли конкретная подсистема датчиков голосующую группу 2ооЗ, а подсистема клапанов голосующую группу 1оо2, будет зависеть от многих факторов.

9.2.4 Необходимо полностью понимать смысл таблиц 3 и 4, приведенных в МЭК 61511-1. В частности, значения ВОНЗср, которые могут быть приняты для одиночной функции безопасности ПСБ, ограничены пределом 10-5, что связано со снижением риска в 105 раз (УПБ 4). Анализ надежности может показать, что достижение интенсивности случайных отказов технических средств, не превышающей 10-5, возможно, но в МЭК 61511-1 принимается, что систематические отказы и отказы по общей причине будут ограничивать реально достигаемое качество функционирования. Настоятельно рекомендуется, чтобы в тех случаях, когда анализ риска показывает необходимость столь значительного снижения риска, была бы принята во внимание трудность достижения УПБ 4 для функции безопасности ПСБ в секторе промышленных процессов. При этом следует рассмотреть возможность использования нескольких независимых ПСБ с более низким УПБ.

К примечанию 4. Чтобы достичь более высоких уровней снижения риска (например, превышающих 103), можно использовать несколько ПСБ. При этом важно, чтобы каждая из ПСБ могла независимо выполнять функцию безопасности и чтобы независимость между ПСБ была достаточно обоснованной. Например, может оказаться нецелесообразным объединять контур давления, обладающий УПБ 2, с контуром уровня, имеющим УПБ 1, чтобы реализовать функцию безопасности по превышению давления, отвечающую требованию к снижению риска, равному 103, так как в тот момент, когда датчик уровня обнаружит повышение уровня, сосуд уже может находиться под давлением, превышающим установленное ограничение.

Кроме того, при использовании нескольких ПСБ следует учитывать отказы по общей причине. При этом должны выполняться все остальные требования, установленные в МЭК61511-1, включая требования к минимальной отказоустойчивости, приведенные в таблице 5.

Чтобы проиллюстрировать, как можно совместно использовать несколько ПСБ для достижения более высоких уровней снижения риска, рассмотрим следующий пример.


Пусть комплект датчиков, соединенных по схеме «2 из 3», группа логических устройств со структурой «2 из 3» и соединение исполнительных устройств «1 из 2» образуют ПСБ, имеющую ВОНЗср, равную 3,05 х 10-4. Такая ПСБ дает снижение риска, равное приблизительно 3,3 х 103.

Было бы неправильно предполагать, что совместное использование двух таких систем приведет к сокращению риска, равному 10 х 106 (3,3 х 103 х 3,3 х 103). Факторы, связанные с общими причинами, такие, как применение аналогичных принципов действия, разработка обеих систем по той же самой функциональной спецификации, человеческие факторы (например, программирование, монтаж, обслуживание), внешние факторы (например, коррозия, закупоривание, замерзание воздухопроводов, попадание молнии), будут ограничивать качество работы системы. Необходимо также принимать во внимание любые компоненты, используемые этими двумя системами совместно.

Более подходящим решением могло бы быть использование второй нерезервной системы, построенной на компонентах, отличающихся от применяемых в первой системе настолько, насколько это возможно (чтобы свести к минимуму проблемы, связанные с потенциально существующими общими причинами).

Например, рассмотрим ПСБ, содержащую одиночный выключатель, релейную логику и одиночный исполнительный элемент, которые составляют систему с ВОНЗср, равной 7,7 х 10~3. Такая система дает снижение риска, равное приблизительно 1,3 х 102.

Комбинация программируемой ПСБ с простой релейной ПСБ дает теоретическое снижение риска, равное 4,3 х 105 (3,3 х 103 х 1,3 х 102). При такой комбинации, как показано выше, функционирование теоретически возможно (так как любая ПСБ может остановить процесс), хотя и здесь должны быть учтены факторы общей причины, и достигаемое снижение риска будет из-за них несколько ниже.

9.3    Дополнительные требования для уровня полноты безопасности 4

9.3.1    Дополнительные требования не предусмотрены.

9.3.2    Дополнительные требования не предусмотрены.

9.4    Требования к основной системе управления процессом как к слою защиты

9.4.1    ОСУП при определенных условиях может считаться слоем защиты. Если функции ОСУП выполняются в целях снижения риска процесса, то сама ОСУП может рассматриваться как средство снижения определенных рисков.

9.4.2    Снижение риска менее чем в 10 раз может быть поручено приборной системе без необходимости выполнять ее в соответствии с требованиями МЭК 61511-1. Это позволяет использовать ОСУП для некоторого снижения риска без необходимости обеспечивать соответствие таких систем требованиям МЭК 61511-1. Любое заявленное требование следует подвергнуть проверке путем анализа полноты ОСУП (определенной с помощью анализа надежности и данных о качестве функционирования) и анализа процедур, используемых для конфигурирования, модификации и режимов эксплуатации и обслуживания. Если распределение требований по снижению риска затрагивает функции ОСУП, то важно обеспечить безопасность доступа и управление изменениями. Снижение риска, которое может быть возложено на функции ОСУП, также определяется степенью независимости между функциями ОСУП и источником нарушения. На рисунке 2 показана такая независимость.


Г


1

Источник

Датчик А

нарушений 1 1

Датчик В

1

1

1

1

Уровень |

Датчик С

снижения I

риска I

Датчик D

Входная плата 1

Входная плата 2


I__


Контроллер _ Выходная


№1


плата 1


‘-CD

.-Ш


Контроллер _ Выходная


№2


плата 2


ОСУП


Рисунок 2 — Функция ОСУП и независимость источника нарушений


13


Например, рассмотрим случай, в котором контур управления расходом выполняет роль источника нарушения. Этот источник включает в себя датчик расхода, контроллер и управляющий клапан. Для того чтобы распределить снижение риска между контуром управления давлением и ОСУП, датчик давления следует соединить с независимым контроллером, воздействующим на независимый исполнительный элемент (например, выпускной клапан факельной системы).

9.5 Требования к предотвращению отказов по общей причине, отказов общего типа
и зависимых отказов

9.5.1    Важно рассмотреть на ранней стадии вопрос о том, существует ли какая-либо причина отказов, являющаяся общей между резервными компонентами на каждом уровне (например, между двумя предохранительными клапанами давления одной и той же емкости), между разными слоями защиты или между слоями защиты и ОСУП. Примером может служить ситуация, в которой отказ устройства ОСУП может привести к запросу на срабатывание ПСБ, в составе которой используется устройство с теми же характеристиками. В таких случаях необходимо установить, существует ли правдоподобный вид отказов, способных привести к одновременному отказу обоих устройств. Если такая общая причина отказов установлена, то могут быть предприняты следующие действия:

a)    общая причина может быть ослаблена путем внесения изменений в проект ПСБ или ОСУП. Двумя эффективными методами снижения возможности отказов по общей причине являются разнообразие проектов и физическое разделение. Обычно такой подход предпочтителен;

b)    при определении достаточности снижения общего риска следует принять во внимание возможность событий, связанных с общей причиной отказов. Может потребоваться построение анализа дерева ошибок, которое отражает как причины запроса, так и отказы системы защиты. В таком дереве ошибок могут быть представлены отказы по общей причине, а их влияние на общий риск может быть оценено количественно с помощью соответствующих методов моделирования.

Следует отметить, что любые датчики или исполнительные механизмы, являющиеся общими для ОСУП и ПСБ, очень часто порождают отказы по общей причине, и подходить к таким устройствам с общими элементами следует так, как указано в данном подпункте.

9.5.2    При проведении оценки возможности появления отказов по общей причине, отказов общего вида и зависимых отказов применимы приведенные ниже положения. Широта, строгость и глубина оценки будет зависеть от УПБ предполагаемой функции. При УПБ, равном 3 и выше, влияние отказов по общей причине, отказов общего вида и зависимых отказов может быть доминирующим. Поэтому следует рассмотреть:

-    независимость между слоями защиты. Должен быть выполнен анализ влияния режима отказа, чтобы установить, может ли одинарное событие вызвать отказ больше чем одного слоя защиты или отказ ОСУП и слоя защиты. Глубина и строгость анализа будут зависеть от величины риска;

-    разнообразие между слоями защиты. Целью является обеспечение разнообразия между слоями защиты и ОСУП, но это не всегда достижимо. Примером может служить защита от превышения давления, когда контур управления давлением в ОСУП может быть источником запросов. И в ОСУП, и в ПСБ требуется реализовать измерение давления, а выбор подходящего для этого оборудования ограничен. Некоторое разнообразие может быть достигнуто путем применения оборудования разных изготовителей, но если датчики в ПСБ и ОСУП подсоединяются к объекту по одинаковым схемам, такое разнообразие может быть ограниченным;

-    физическое разделение между различными слоями защиты. Физическое разделение будет снижать влияние отказов по общей причине благодаря физическим причинам. Подключение измерительных компонентов ОСУП и ПСБ должно быть максимально физически разделено и подчинено функциональным потребностям, таким, как точность и время отклика.

10 Спецификация требований к безопасности ПСБ
10.1    Цель

Разработка спецификации требований к безопасности ПСБ является одной из наиболее важных процедур на всем жизненном цикле безопасности. Именно с помощью такой спецификации пользователь может определить, какие функции безопасности он хотел бы запроектировать и реализовать в ПСБ.

Полное подтверждение соответствия ПСБ выполняется с использованием этой спецификации.

10.2    Общие требования

10.2.1 Спецификация требований к безопасности ПСБ может быть отдельным документом или сборником нескольких документов, включающим процедуры, рисунки или положения стандартов пред-

14

ГОСТ Р МЭК 61511 -2—2011
Содержание

1    Область применения............................................1

2    Нормативные ссылки............................................1

3    Сокращения и определения........................................1

4    Соответствие настоящему стандарту...................................2

5    Управление функциональной безопасностью..............................2

5.1    Цель..................................................2

5.2    Требования...............................................2

6    Требования к жизненному циклу безопасности..............................7

6.1    Цель..................................................7

6.2    Требования...............................................7

7    Верификация................................................8

7.1    Цель..................................................8

8    Анализ опасностей и рисков процесса..................................8

8.1    Цель..................................................8

8.2    Требования...............................................8

9    Распределение функций безопасности по слоям защиты.......................11

9.1    Цель..................................................11

9.2    Требования к процессу распределения..............................11

9.3    Дополнительные требования для уровня полноты безопасности 4...............13

9.4    Требования к основной системе управления процессом как к слою защиты..........13

9.5    Требования к предотвращению отказов по общей причине, отказов общего типа и зависимых

отказов................................................14

10    Спецификация требований к безопасности ПСБ...........................14

10.1    Цель ................................................14

10.2    Общие требования.........................................14

10.3    Требования к безопасности ПСБ.................................15

11    Проектирование и разработка ПСБ...................................16

11.1    Цель.................................................16

11.2    Основные требования.......................................16

11.3    Требования к поведению системы при обнаружении отказа..................20

11.4    Требования к отказоустойчивости аппаратных средств.....................20

11.5    Требования к выбору компонентов и подсистем.........................21

11.6    Внешние устройства........................................23

11.7    Интерфейсы............................................23

11.8    Требования к проектированию обслуживания или    испытаний.................25

11.9    Вероятность отказа функции безопасности ПСБ........................25

12    Требования к прикладному ПО, включая критерии выбора сервисного ПО.............27

12.1    Требования к жизненному циклу безопасности ППО......................27

12.2    Спецификация требований к безопасности ППО........................30

12.3    Планирование подтверждения соответствия безопасности ППО...............31

12.4    Проектирование и разработка ППО................................31

12.5    Интеграция ППО с подсистемой ПСБ...............................37

12.6    Процедуры модификации ПО на ФЯП и ЯОИ..........................37

12.7    Верификация ППО.........................................38

13 Заводские приемочные испытания...................................39

13.1    Цель.................................................39

13.2    Рекомендации...........................................39

14    Установка и ввод в действие ПСБ...................................39

14.1    Цель.................................................39

14.2    Требования.............................................39

15 Подтверждение соответствия безопасности ПСБ...........................40

15.1    Цель.................................................40

15.2    Требования.............................................40

ГОСТ Р МЭК 61511 -2—2011

приятия. Такие требования могут быть разработаны группой, занимающейся оценкой опасности и риска, и/или самой группой разработчиков.

10.3 Требования к безопасности ПСБ

10.3.1 Как указано в МЭК 61511-1, существует ряд требований к проекту, которые должны быть определены в проекте раньше, чем будут рассмотрены функции безопасности ПСБ, обеспечивающие желательную защиту.

Спецификации требований к безопасности для отдельных подсистем могут также быть получены из этой полной спецификации.

Некоторые положения, посвященные спецификациям требований по безопасности, сводятся к следующему:

a)    прежде всего необходимо определить функцию безопасности ПСБ и ее УПБ. Примером функции безопасности ПСБ служит функция «Защитить реактор от превышения давления путем открытия клапанов сброса при высоком давлении». Типичное описание функции будет содержать следующие элементы:

-    измерения, необходимые для того, чтобы выявить появление условий опасных событий. Простым примером может быть повышение давления до определенного значения, подлежащего определению. Значение параметра, при котором начинаются защитные действия, должно быть вне его рабочего диапазона, но не превышать значения, которое приводит к опасному событию. Необходимо установить допустимые пределы для показателей быстродействия системы и точности измерения. При выборе этих пределов их необходимо обсудить с лицами, ответственными за разработку и создание ПСБ;

-    действия, которые должны быть выполнены для предотвращения условия опасного события. Простым примером может служить снижение расхода пара, подаваемого в теплообменник на определенное время. Следует отметить, что обычно неэффективно предусматривать прекращение подачи пара в теплообменник. Проектировщику следует знать, что именно необходимо для успешной работы. Например, в нагревательных устройствах может оказаться достаточным снизить расход менее чем на 10 % на одну минуту. Другим примером может быть необходимость останова объекта в течение нескольких секунд;

-    действия, не требующиеся для предотвращения опасной ситуации, но которые могут быть выгодны по эксплуатационным причинам. Такими действиями могут быть формирование аварийных сигналов, отключение устройств, увеличивающих или уменьшающих поток, для сокращения запросов на другие системы защиты или действия по быстрому запуску, после того как источник опасности будет устранен. Важно отделить подобные действия от действий, необходимых для предотвращения условия опасной ситуации, чтобы минимизировать стоимость и ограничить рабочий диапазон ПСБ, что крайне необходимо. Чем шире выбран диапазон, тем труднее показать, что общая вероятность отказа по запросу соответствует требованиям, связанным с установленным уровнем полноты безопасности;

-    любые выявленные состояния процесса или последовательности операций ПСБ, которые должны быть предотвращены, так как они могут приводить к опасным ситуациям;

b)    спецификация требований по безопасности должна устанавливать безопасное состояние процесса для каждой определенной функции, выраженное в терминах конкретных технологических условий: какие потоки должны быть включены или остановлены, какие клапаны процесса должны быть открыты или закрыты, какими должны быть рабочие состояния любого вращающегося оборудования (насосы, компрессоры, перемешивающие устройства). Если для приведения процесса к безопасному состоянию необходимо установление некоторой упорядоченной последовательности состояний, то она также должна быть установлена.

Примечание — При выборе исполнительных элементов следует рассмотреть преимущества разнообразных решений (например, прекращение подачи продукта и расхода пара для снижения давления);

c)    в самом начале следует определить требования к желательному интервалу проведения проверочных испытаний, с тем чтобы они могли быть учтены в проекте ПСБ. Например, если проверочные испытания должны выполняться только во время плановых остановов (например, каждые три года), то в проекте может потребоваться предусмотреть большее резервирование, чем в случае проведения ежегодных испытаний;

d)    следует установить требования к возможности ручного перевода процесса в безопасное состояние. Например, если существует требование о том, чтобы оператор мог вручную остановить часть оборудования как из операторной, так и на месте, то это необходимо указать в спецификации. Также

ГОСТ Р МЭК 61511-2-2011

16    Эксплуатация и обслуживание ПСБ..................................40

16.1    Цель.................................................40

16.2    Требования.............................................40

16.3    Проверочные испытания и осмотр................................41

17    Модификация ПСБ............................................42

17.1    Цель.................................................42

17.2    Требования.............................................42

18    Снятие с эксплуатации ПСБ.......................................42

18.1    Цель.................................................42

18.2    Требования.............................................42

19    Требования к информации и документации..............................42

19.1    Цели.................................................42

19.2    Требования.............................................42

Приложение А (справочное) Примеры методов расчета вероятности отказа при наличии запроса

для функции безопасности ПСБ..............................44

Приложение В (справочное) Разработка архитектуры типовой ПСБ..................45

Приложение С (справочное) Особенности применения программируемого логического контроллера

безопасности ........................................ 49

Приложение D (справочное) Пример методологии разработки ППО логического решающего

устройства ПСБ.......................................51

Приложение Е (справочное) Пример разработки внешне конфигурируемых диагностик для безопасно

конфигурируемого программируемого электронного логического устройства.....55

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам    Российской Федерации..................57

Библиография................................................58

IV

ГОСТ Р МЭК 61511 -2—2011
Введение

Приборные системы безопасности уже в течение многих лет используют для выполнения функций безопасности в промышленных процессах. Для эффективного применения приборных систем безопасности при выполнении функций безопасности необходимо, чтобы они соответствовали определенному минимальному уровню стандартизации.

Область применения настоящего стандарта — приборные системы безопасности, применяемые в промышленных процессах. Он также рассматривает вопросы интерфейса между такими системами и другими системами безопасности, которые выявляются в результате проведения оценки опасностей и рисков, присущих промышленному процессу. Приборная система безопасности включает в себя датчики, логические решающие устройства и исполнительные элементы.

В основе настоящего стандарта лежат две фундаментальные концепции, необходимые для его применения: концепция жизненного цикла безопасности и концепция уровней полноты безопасности. Жизненный цикл безопасности формирует центральную структуру, объединяющую большинство положений настоящего стандарта.

Настоящий стандарт рассматривает приборные системы безопасности, использующие электри-ческие/электронные/программируемые электронные технологии. Если для логических устройств используют другие принципы действия, то следует применять основные положения настоящего стандарта. Настоящий стандарт также рассматривает датчики и исполнительные элементы приборной системы безопасности независимо от принципа их действия. Настоящий стандарт является конкретизацией общего подхода к вопросам обеспечения безопасности, представленного в МЭК 61508, для промышленных процессов.

Настоящий стандарт устанавливает подход, минимизирующий стандартизацию деятельности для всех стадий жизненного цикла безопасности. Этот подход был принят в целях реализации рациональной и последовательной технической политики. Цель настоящего стандарта — дать представление о том, как выполнять требования МЭК 61511-1.

Чтобы облегчить применение настоящего стандарта, номера разделов и подразделов идентичны соответствующим номерам разделов и подразделов МЭК 61511-1 (исключая приложения).

В большинстве ситуаций безопасность эффективнее всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. При необходимости он может быть дополнен системами защиты, основанными на применении различных технологий (например, химических, механических, гидравлических, пневматических, электрических, электронных, термодинамических (пример — гаситель пламени), программируемых электронных), с помощью которых достигается любой установленный остаточный риск. Любая стратегия обеспечения безопасности должна рассматривать каждую конкретную приборную систему безопасности в контексте других систем защиты. Для облегчения применения такого подхода настоящий стандарт:

-    требует, чтобы выполнялась оценка опасностей и рисков для определения общих требований к безопасности;

-    требует, чтобы выполнялось распределение требований к безопасности в (по) приборной(ым) системе(ам) безопасности;

-    реализует подход, который применим ко всем приборным методам обеспечения функциональной безопасности;

-    подробно рассматривает применение определенных действий, таких, как руководство работами по безопасности, которые могут быть применены ко всем методам обеспечения функциональной безопасности.

Настоящий стандарт по приборным системам безопасности для промышленных процессов:

-    охватывает все стадии жизненного цикла безопасности — от разработки первоначальной концепции, проектирования, внедрения, эксплуатации и технического обслуживания вплоть до утилизации;

-    дает возможность, чтобы существующие или новые стандарты в разных странах, регламентирующие конкретные промышленные процессы, были с ним гармонизированы.

Настоящий стандарт призван привести к высокому уровню согласованности (например, основных принципов, терминологии, информации) в рамках конкретных промышленных процессов. Это принесет преимущества как в плане безопасности, так и в плане экономики.

На рисунке 1 представлена общая структура настоящего стандарта.

V

ГОСТ Р МЭК 61511-2-2011


Определения и сокращения Раздел 3 ЧАСТЫ


Соответствие Раздел 4 ЧАСТЬ 1


Руководство работами по функциональной безопасности Раздел 5 ЧАСТЫ


Требования к жизненному циклу безопасности Раздел 6 ЧАСТЫ


Верификация Раздел 7 ЧАСТЬ 1


Требования к информации Раздел 7 ЧАСТЬ 1


Различия Приложение А ЧАСТЫ


Руководство по применению части 1 ЧАСТЬ 2


Руководство по определению требуемых уровней полноты безопасности ЧАСТЬ 3


Рисунок 1 — Общая структура настоящего стандарта


VI


ГОСТ Р МЭК 61511-2-2011
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ СИСТЕМЫ БЕЗОПАСНОСТИ ПРИБОРНЫЕ ДЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ

Часть 2

Руководство по применению МЭК 61511-1

Functional safety. Safety instrumented systems for the industrial processes.

Part 2. Guidelines for the application of IEC 61511-1

Дата введения — 2012—08—01

1    Область применения

Настоящий стандарт содержит руководство по установлению требований, разработке, монтажу, эксплуатации и техническому обслуживанию функций безопасности приборных систем безопасности и соответствующих приборных систем безопасности в соответствии с МЭК 61511-1. Настоящий стандарт построен так, что каждый его номер раздела и подраздела совпадает с содержательно связанным номером раздела и подраздела МЭК 61511-1 (за исключением приложений).

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие международные стандарты:

МЭК 61508-2:2000 Системы электрические/электронные/программируемые электронные, связанные с функциональной безопасностью. Часть 2. Требования кэлектрическим/электронным/программи-руемым электронным системам, связанным с безопасностью (IEC 61508-2:2000, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 2:    Requirements    for

electrical/electronic/ programmable electronic safety-related systems)

МЭК 61508-3:1998 Системы электрические/электронные/программируемые электронные, связанные с функциональной безопасностью. Часть 3. Требования к программному обеспечению (IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-related systems — Part 3: Software requirements)

МЭК 61508-4:1998 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 4. Определения и сокращения (IEC 61508-4:1998, Functional safety of electrical/electronic/prog rammable electronic safety-related systems — Part 4:1998, Definitions and abbreviations)

МЭК 61511-1:2003 Безопасность функциональная. Приборные системы безопасности для технологических процессов в промышленности. Часть 1. Термины, определения и технические требования (IEC 61511-1:2003, Functional safety — Safety instrumented systems for process industry sector — Part 1: Framework, definitions, system, hardware and software requirements)

3    Сокращения и определения

Дополнительные требования не предусмотрены, за исключением пунктов 3.2.68 и 3.2.71 МЭК 61511-1.

Издание официальное

3.2.68 Функция безопасности должна предотвращать появление конкретного опасного события, например «предотвращать превышение давления в емкости #АВС456, уровня 100 бар». Функция безопасности может быть реализована:

a)    отдельной приборной системой безопасности (ПСБ), или

b)    одной или несколькими ПСБ и/или другими слоями защиты.

В случае Ь) каждая ПСБ или другой слой защиты должны быть способны к выполнению функции безопасности, а полная их комбинация должна обеспечить требуемое снижение риска (заданную безопасность процесса).

3.2.71 Функции безопасности ПСБ формируются из функции безопасности, имеют соответствующий уровень полноты безопасности (УПБ) и выполняются конкретной ПСБ, например «закрыть клапан #ХУ123 в течение 5 с, если давление в емкости #АВС456 достигнет 100 бар». Необходимо отметить, что компоненты ПСБ могут быть использованы для выполнения более чем одной функции безопасности ПСБ.

4    Соответствие настоящему стандарту

Дополнительные требования не предусмотрены.

5    Управление функциональной безопасностью
5.1    Цель

Целью раздела 5 МЭК 61511-1 является установление требований к выполнению таких управляющих действий, которые необходимы для уверенности в том, что цели, связанные с функциональной безопасностью, достигаются.

5.2    Требования
5.2.1    Общие требования

5.2.1.1    Дополнительные требования не предусмотрены.

5.2.1.2    Если организация несет ответственность за выполнение одного или нескольких действий, необходимых для функциональной безопасности, и она выполняет работы в соответствии с процедурами обеспечения качества, то многие действия, описанные в данном разделе, уже выполняются в целях достижения качества. В таких случаях, возможно, нет необходимости повторять эти действия в целях обеспечения функциональной безопасности. При этом следует провести критический анализ принятых процедур обеспечения качества, чтобы установить достижение цели функциональной безопасности.

5.2.2    Организация и ресурсы

5.2.2.1    Внутри компании, стройки, завода или проекта следует определить организационную структуру, связанную с ПСБ; следует ясно понимать и знать роли и ответственность каждого элемента этой структуры. В рамках структуры должны быть определены индивидуальные роли, включая их описание, и цель. Для каждой роли должны быть строго определены ответственность и конкретные обязанности. Кроме того, должно быть установлено, кто и кому представляет индивидуальные отчеты. Целью должно быть обеспечение того, что каждый специалист в организации понимает свою роль и обязанности, связанные с работами по ПСБ.

5.2.2.2    Следует установить требования к подготовленности и знаниям, необходимым для выполнения всех работ жизненного цикла безопасности, связанных с ПСБ; для каждого уровня подготовки следует определить уровни компетентности. Следует оценить имеющиеся и требуемые трудовые ресурсы (численность персонала) по каждому уровню подготовки и компетентности. В случае выявления различий между ними следует разработать календарные планы достижения необходимых уровней компетентности. При нехватке подготовленных кадров может быть проведен дополнительный набор опытного персонала.

5.2.3 Оценка риска и управление риском

Требования, установленные в МЭК 61511-1 (пункт 5.2.3) состоят в том, что должны быть выявлены опасности, оценены риски и определено необходимое снижение риска. Признано, что существует большое число различных методов для выполнения таких оценок. МЭК 61511-1 не предлагает конкретного метода. Вместо этого специалисту рекомендуется ознакомиться с обзором ряда методов по этой проблеме в МЭК 61511-3. Дополнительные указания даны в 8.2.1 настоящего стандарта.

2

ГОСТ Р МЭК 61511 -2—2011
5.2.4    Планирование

Цель данного пункта состоит в том, чтобы гарантировать, что в рамках всего проекта адекватное планирование безопасности было проведено так, что на каждой стадии жизненного цикла (например, техническое проектирование, эксплуатация) предусмотрены все необходимые действия. Настоящий стандарт не требует, чтобы такие действия по планированию имели какую-то конкретную структуру, но требует, чтобы они периодически дополнялись и критически оценивались.

5.2.5    Реализация и контроль

5.2.5.1    Цель данного пункта — обеспечить, чтобы выполнялись такие эффективные процедуры управления,которые:

-    гарантируют удовлетворительные решения по всем рекомендациям, вытекающим из анализа опасностей, из оценки риска, из других действий по оценке и проверке, а также из действий по верификации и подтверждению соответствия;

-    позволяют установить, что ПСБ работает в соответствии с ее спецификацией требований к безопасности в течение всего времени ее эксплуатации в течение срока службы.

5.2.5.2    Необходимо отметить, что в данном контексте в состав поставщиков могут входить подрядчики, выполняющие проектирование, и подрядчики, обеспечивающие обслуживание, а также поставщики отдельных компонентов.

5.2.5.3    Следует периодически проводить критический анализ характеристик ПСБ, чтобы убедиться в том, что исходные допущения, принятые при составлении спецификации требований к безопасности, сохраняются. Например, следует периодически оценивать интенсивность отказов различных компонентов ПСБ, чтобы убедиться, что она остается на принятом исходном уровне. Если интенсивности отказов оказались хуже, чем первоначально определенные, то может понадобиться модификация проекта. Аналогично должна быть проанализирована интенсивность запросов на срабатывание ПСБ. Если интенсивность запросов окажется выше первоначально принятой, то может потребоваться уточнение УПБ.

5.2.6    Оценка, аудит и проверки

Проведение оценок и аудитов является средством, направленным на выявление и устранение ошибок. Приведенные ниже положения поясняют различие между этими двумя видами действий.

Оценка функциональной безопасности имеет своей целью установить, являются ли меры предосторожности, принятые на рассматриваемых стадиях жизненного цикла, достаточными для достижения безопасности. Суждение выносят исполнители оценки в отношении решений, принятых лицами, ответственными за реализацию функциональной безопасности. Например, оценка, сделанная перед вводом в эксплуатацию, может быть посвящена вопросу о том, достаточны ли принятые процедуры обслуживания.

Аудиторы функциональной безопасности определяют по проектной или эксплуатационной документации, были ли выполнены необходимые процедуры с установленной частотой и лицами, обладающими необходимой компетентностью. Аудиторы не обязаны делать выводы о достаточности рассматриваемой ими работы. Однако если они осознают, что внесение изменений может принести дополнительные преимущества, то соответствующие сведения следует включать в отчет.

Необходимо отметить, что во многих случаях может быть пересечение между работой исполнителя оценки и аудитора. Например, аудитор может встретиться с необходимостью не только установить, получил ли оператор необходимую подготовку, но и вынести дополнительно суждение о том, привела ли подготовка к требуемому уровню компетентности.

5.2.6.1    Оценка функциональной безопасности

5.2.6.1.1    Оценка функциональной безопасности (ОФБ) является основной процедурой, демонстрирующей, что ПСБ выполняет предъявляемые к ней требования, связанные с ее функциями безопасности и УПБ. Основная цель такой оценки состоит в том, чтобы продемонстрировать с помощью независимой оценки процесса разработки системы его соответствие требованиям действующих стандартов и установившейся практике. Оценка ПСБ может быть необходима на различных стадиях жизненного цикла. Чтобы выполнить эффективную оценку, должна быть разработана процедура, которая определяет границы области применения этой оценки, вместе с указаниями по составу группы, выполняющей оценку.

Атрибутами хорошей установившейся практики ОФБ считаются следующие черты:

-    для каждой ОФБ должен быть сгенерирован план, определяющий область применения оценки, исполнителей оценки, их компетентность и информацию, которая должна быть получена в результате их работы;

3

-    ОФБ должна учитывать требования других стандартов и практического опыта, которые могут содержаться во внешних или внутренних корпоративных стандартах, в руководствах, процедурах или нормах и правилах. План ОФБ должен определять, что именно должно быть оценено в данной конкретной работе, системе или случае применения;

-    частота ОФБ может быть различной для разработок разных систем, но, как минимум, ОФБ всегда должна выполняться перед тем, как потенциальные опасности начнут действовать на систему. Некоторые компании предпочитают проводить ОФБ до выполнения стадии сборки/установки, чтобы предотвратить дорогостоящие переделки на более поздних стадиях жизненного цикла;

-    частоту и строгость проведения ОФБ следует определять с учетом таких факторов, как:

-    сложность,

-    значимость безопасности,

-    предшествующий опыт, связанный с подобными системами,

-    стандартизация конструктивных особенностей;

-    перед проведением ОФБ следует обеспечить наличие достаточных данных о результатах проектирования, монтажа, действий по верификации и подтверждению соответствия. Наличие достаточного количества данных само по себе может быть критерием оценки. Данные должны представлять текущее или принятое состояние проекта или установки системы;

-    исполнители ОФБ должны быть в достаточной мере независимыми;

-    исполнители ОФБ должны обладать опытом и знаниями в области соответствующей технологии и применения оцениваемой системы;

-    систематический и непротиворечивый подход к ОФБ следует соблюдать на всем жизненном цикле и для всех систем. Само проведение ОФБ является субъективной деятельностью, поэтому для устранения субъективности, насколько это возможно, должно быть создано подробное руководство (возможно, с использованием контрольных листов), являющееся приемлемым для данной организации.

Документы, создаваемые входе ОФБ, должны быть полными, а сделанные в них заключения следует согласовать со всеми лицами, ответственными за руководство работами по функциональной безопасности ПСБ, до перехода к выполнению следующей стадии жизненного цикла.

5.2.6.1.2    Чтобы увеличить объективность оценки, к ней необходимо привлечь специалиста, не участвовавшего в проектировании. Имеется потребность в специалисте высокого уровня (например, по опыту, образованию, служебному положению), для того чтобы убедиться в том, что все спорные вопросы приняты во внимание и учтены Так же как предлагается в МЭК 61511-1 (примечание к подпункту 5.2.6.1.2), для некоторых крупных проектов или групп специалистов по оценке может оказаться необходимым иметь более одного старшего специалиста, независимого от группы разработчиков исходного проекта.

В зависимости от структуры компании и службы экспертизы внутри компании требование к независимости специалиста по оценке может быть выполнено путем привлечения внешней организации. Наоборот, другие компании, имеющие в своем составе организации, которые обладают опытом оценки и применения ПСБ, независимы и отделены (по управлению и по другим ресурсам) от лиц, ответственных за проект, могут использовать собственные ресурсы, удовлетворяющие требованиям независимой организации.

5.2.6.1.3    Объем работ по оценке зависит от размера и сложности проекта. Может оказаться возможным оценивать результаты различных стадий в одно и то же время. Это, в частности, справедливо в случаях внесения небольших изменений в текущий проект.

5.2.6.1.4    В некоторых странах ОФБ выполняют на стадии 3, которую часто называют предпроек-тным обзором безопасности (ППОБ).

5.2.6.1.5    Дополнительные требования не предусмотрены.

5.2.6.1.6    Дополнительные требования не предусмотрены.

5.2.6.1.7    Группа специалистов, занятая оценкой, должна иметь доступ к любой информации, которую она считает необходимой для проведения оценки. В состав такой информации следует включать сведения, полученные при оценках опасности и рисков, на стадиях разработки, монтажа, приемки и подтверждения соответствия.

5.2.6.2 Аудит и проверка

5.2.6.2.1 В данном подпункте дано руководство по проведению аудита системы с помощью примеров, иллюстрирующих соответствующие действия.

4