Товары в корзине: 0 шт Оформить заказ
Стр. 1 

45 страниц

517.00 ₽

Купить ГОСТ Р МЭК 61511-3-2011 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Содержит: - основные положения концепции риска и описание отношения между риском и полнотой безопасности; - определение допустимого риска; - описание различных методов, позволяющих определить уровень полноты безопасности для функций безопасности приборных систем безопасности.

 Скачать PDF

Заменен на ГОСТ Р МЭК 61511-3-2018

Идентичен IEC 61511-3(2003)

Оглавление

1 Область применения

2 Термины, определения и сокращения

3 Риск и полнота безопасности. Общие требования

     3.1 Общие сведения

     3.2 Необходимая степень снижения риска

     3.3 Роль приборных систем безопасности

     3.4 Полнота безопасности

     3.5 Риски полнота безопасности

     3.6 Распределение требований к безопасности

     3.7 Уровни полноты безопасности

     3.8 Выбор метода для определения требуемого уровня полноты безопасности

Приложение А (справочное) Принцип снижения риска настолько, насколько это практически целесообразно (принцип ALARP), и концепция приемлемого риска

Приложение В (справочное) Полуколичественный метод

Приложение С (справочное) Метод матрицы слоев безопасности

Приложение D (справочное) Определение требуемых уровней полноты безопасности. Полукачественный метод. Калиброванный граф риска

Приложение Е (справочное) Определение требуемых уровней полноты безопасности. Качественный метод. Граф риска

Приложение F (справочное) Анализ слоев защиты

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации

Библиография

 
Дата введения01.08.2012
Добавлен в базу01.09.2013
Завершение срока действия01.07.2019
Актуализация01.01.2021

Этот ГОСТ находится в:

Организации:

18.10.2011УтвержденФедеральное агентство по техническому регулированию и метрологии470-ст
РазработанООО Корпоративные электронные системы
ИзданСтандартинформ2012 г.

Functional safety. Safety instrumented systems for the process industry sector. Part 3. Guidelines for the determination of the required safety integrity levels

Нормативные ссылки:
Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ГОСТРМЭК

61511-3-

2011

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ. СИСТЕМЫ БЕЗОПАСНОСТИ ПРИБОРНЫЕ ДЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ

Часть 3

Руководство по определению требуемых уровней полноты безопасности

IEC 61511-3:2003

Functional safety — Safety instrumented systems for the process industry sector Part 3: Guidelines for the determination of the required safety integrity levels

(IDT)

Издание официальное

Стандартинформ

2012

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации — ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» на основе собственного аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 октября 2011 г. № 470-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61511-3:2003 «Безопасность функциональная. Системы безопасности, приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности» (IEC 61511-3:2003 «Functional safety — Safety instrumented systems for the process industry sector—Part 3: Guidelines for the determination of the required safety integrity levels»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (подраздел 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок — в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

© Стандартинформ, 2012

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

3.6 Распределение требований к безопасности

На рисунке 5 показано распределение требований к безопасности по различным ПСБ и другим слоям защиты. Требования охватывают как функции безопасности, так и полноту безопасности. Требования к стадии распределения требований к безопасности даны в МЭК 61511-1 (раздел 9).

Метод определения требований безопасности

Соответствующие национальные или международные стандарты


Распределение функций безопасности и соответствующих требований к полноте безопасности


Предотвращающие/ ослабляющие слои защиты, не относящиеся к ПСБ


Другие спои защиты


а) необходимое снижение риска для всех функций безопасности ПСБ


ФБ ПСБ № 1

ФБ ПСБ

№2

I

I

ФБ ПСБ

ФБ ПСБ

№1

№2


Ь) необходимое снижение риска для конкретных функций безопасности ПСБ


т


I


Требования к проектированию ПСБ (см. МЭК 61511-1)


Применение тех или иных методов для распределения требований полноты безопасности по ПСБ, другим связанным с безопасностью технологическим системам, а также по внешним средствам снижения риска зависит прежде всего от того, каким образом определена степень необходимого снижения риска — количественно или качественно. Эти подходы называют полуколичественными, полукачест-венными и качественными соответственно (см. приложения В, С, D и F).

Примечани е — Требования к полноте безопасности устанавливаются для каждой функции безопасности ПСБ до распределения (см. МЭК 61511-1, раздел 9).

Рисунок 5 — Размещение требований безопасности по ПСБ, по слоям защиты или ослабления, не относящимся к ПСБ, и по другим слоям защиты

3.7 Уровни полноты безопасности

В настоящем стандарте определены четыре уровня полноты безопасности (УПБ), причем УПБ 4 — наивысший, УПБ 1 — низший.

Предельные значения показателей отказов для задания всех четырех УПБ определены в МЭК 61511-1 (таблицы 3 и 4). Установлены два таких параметра: один — для ПСБ, действующих в режиме по запросу, и другой — для ПСБ, работающих в непрерывном режиме.

Примечание — В случае ПСБ, работающей в режиме по запросу, мерой полноты безопасности является средняя вероятность отказа выполнения функции безопасности при появлении запроса. В случае, если ПСБ работает в непрерывном режиме, мерой полноты безопасности является частота опасных отказов функции безопасности в час (см. МЭК 61511-1, пункт 3.2.43).

ГОСТ Р МЭК 61511 -3—2011

3.8 Выбор метода для определения требуемого уровня полноты безопасности

Имеются различные пути установления требуемого УПБ для конкретного случая. В приложениях В — F представлена информация о ряде используемых методов. Выбор метода для конкретного применения зависит от многих факторов, в том числе от:

-    сложности задачи;

-    указаний регулирующих органов;

-    природы риска и требуемой величины его снижения;

-    опыта и квалификации персонала, выполняющего эту работу;

-    доступной информации о параметрах риска.

В некоторых случаях можно использовать не один, а несколько методов. Так, при определении требуемого УПБ для всех рассматриваемых функций безопасности ПСБ в качестве первого шага можно использовать качественные методы. Те функции, которым с помощью этого метода был присвоен УПБ 3 или 4, следует затем проанализировать более детально с использованием количественных методов для получения более точной оценки требуемой их полноты безопасности.

7

Приложение А (справочное)

Принцип снижения риска настолько, насколько это практически целесообразно (принцип ALARP), и концепция приемлемого риска

А.1 Общие положения

В данном приложении рассмотрен особый принцип (ALARP), который может быть применен в процессе определения приемлемого риска и УПБ. Принцип ALARP сам по себе — это не метод решения задачи определения УПБ, а концепция, которая может быть применена в процессе решения этой задачи. Желающие использовать практически принципы, указанные в этом приложении, должны обратиться к [1] — [5].

А.2 Модель ALARP

А.2.1 Введение

В 3.2 приведены основные критерии, которые используют для контроля за промышленными рисками, и указано, что соответствующая деятельность должна быть направлена на то, чтобы определить:

a)    риск велик настолько, что он вообще неприемлем; или

b)    риск незначительный либо может быть сведен до этого уровня; или

c)    является ли риск промежуточным между оценками, указанными в перечислениях а) и Ь), и снижен ли он до самого низкого практичного уровня. При этом «практичность» определяется, с одной стороны, преимуществами, которые влекут за собой снижение уровня риска, и, с другой стороны, стоимостью мероприятий по его снижению.

Согласно перечислению с) принцип ALARP рекомендует снижать рискдо уровня «практической целесообразности» или до уровня, который является «настолько низким, насколько он практически целесообразен» (ALARP). Таким образом, если риск попадает в область, ограниченную, с одной стороны, областью неприемлемых уровней риска и областью незначительных уровней — с другой, то применение принципа ALARP приводит к тому, что результирующий риск оказывается приемлемым в конкретной ситуации. Согласно этому подходу риск может попасть в одну их трех областей: в недопустимую, приемлемую и вполне приемлемую (см. рисунок А.1).

Риск, превышающий некоторый уровень, считается недопустимым. Такой риск не может быть признан оправданным при любых нормальных обстоятельствах. Если такой риск существует, то он либо должен быть снижен настолько, чтобы попасть в область приемлемого или вполне приемлемого риска, либо должен быть устранен источник опасности.

ш

2

О

I а £>s

а “ s о

?! s ю

Несущественный риск

Риск ниже этого уровня считается приемлемым при условии, что он был уменьшен до уровня, при котором выгода от дальнейшего его снижения не оправдана ввиду требующихся для этого больших затрат и при условии, что для управления этим риском применены все соответствующие общепринятые стандарты. Чем выше риск, тем обычно больше расходы по его сокращению. Риск, сниженный таким образом, можно рассматривать как «сниженный до практически целесообразного уровня» (ALARP).

о

о.

Рисунок А.1 — Приемлемый риск и принцип ALARP

8

ГОСТ Р МЭК 61511 -3—2011

В области, расположенной ниже области допустимых значений, уровни риска считаются настолько несущественными, что контролирующий орган не требует дальнейших улучшений. Эта широкая область, риски в которой малы по сравнению с ежедневно испытываемыми нами рисками, не требует детальных исследований для демонстрации ALARP; однако необходимо сохранять бдительность, чтобы быть уверенным в том, что риск остается на прежнем уровне.

Концепцию ALARP можно применять и при качественном, и при количественном способе задания риска. В А.2.2 рассмотрен метод, используемый при количественном задании риска. (В приложении С приведен полуколи-чественный метод, а в приложениях D и Е — качественные методы определения необходимого снижения риска при конкретном источнике опасности. В рассмотренных методах для принятия решения может быть использована концепция ALARP.)

При применении принципа ALARP необходимо всегда быть уверенным, что все принятые предположения обоснованы и документально оформлены.

А.2.2 Задание приемлемого риска

Для применения принципа ALARP необходимо предварительно определить границы трех областей, показанных на рисунке А. 1, значения которых выражены вероятностью возникновения события и его последствиями. Такое определение обычно бывает результатом обсуждения и соглашения между заинтересованными сторонами (например, между регулирующими органами в области безопасности, теми, действия которых приводят к появлению риска, и теми, кто этому риску подвергается).

Чтобы использовать принцип ALARP, надо установить соответствие между последствиями риска и приемлемой частотой его возникновения, что может быть сделано, введя классы риска. В таблице А.1 в качестве примера приведены три класса (I, II, III) для разных частот возникновения риска и разных вариантов его последствий. В таблице А.2 дана интерпретация каждого из классов риска на базе концепции ALARP. Описание каждого из классов риска выполняется на основе рисунка А.1. Подразумевается, что риски, определенные внутри каждого из классов, — это риски, по отношению к которым уже приняты меры по их сокращению. Согласно рисунку А.1 можно выделить следующие три класса рисков:

класс I — недопустимая область;

класс II — область применения концепции ALARP;

класс III — наиболее приемлемая область.

Таблица, подобная таблице 1, обычно создается для каждой конкретной ситуации или для конкретной подотрасли промышленности, принимая во внимание широкий круг социальных, политических и экономических факторов. Каждому виду последствий ставятся в соответствие вероятность и таблица с классами риска. Например, «вполне вероятен» в таблице А.1 может означать событие, которое возникает с частотой, превышающей 10 раз в год. Его критическим последствием может быть один смертельный исход и/или многочисленные телесные повреждения, или несколько случаев профессиональных заболеваний.

Примечания

1    Интерпретацию классов риска с I по III см. в таблице А.2.

2    Фактическое заполнение таблицы индексами классов риска I, II и III зависит от конкретной ситуации, а также от того, какие фактические значения вероятности мы присваиваем понятиям «вероятно», «возможно» и т. д. Таким образом, таблицу А.1 следует рассматривать как иллюстрацию того, каким образом подобная таблица может заполняться, а не как вариант для дальнейшего использования.


Задав допустимый риск, можно определить уровни полноты безопасности функций безопасности ПСБ с помощью, например, одного из методов, описанных в приложениях С — F.

Таблица А.1 — Пример классификации инцидентов

Возможность

инцидента

Класс риска

Катастрофические

последствия

Критические

последствия

Н езнач ител ьные последствия

Пренебрежимо малые последствия

Вполне вероятен

1

1

1

и

Вероятен

1

1

II

II

Возможен

1

м

м

II

Мало вероятен

м

м

м

III

Невероятен

м

mi

in

III

Невозможен

м

mi

in

III

9

Таблица А.2 — Интерпретация классов риска

Класс риска

Интерпретация

Класс 1

Неприемлемый риск

Класс II

Нежелательный риск, допустимый, только если его дальнейшее снижение практически невозможно или если связанные с этим расходы непропорционально велики по сравнению с достигаемым результатом

Класс III

Пренебрежимо малый риск

Примечание — Связь между УПБ и классом риска отсутствует. УПБ определяется снижением риска, связанным с конкретной функцией безопасности ПСБ (см. приложения В — F).

10

ГОСТ Р МЭК 61511 -3—2011

Приложение В (справочное)

Полуколичественный метод

В.1 Общие сведения

В данном приложении рассмотрен вопрос о том, как с помощью полуколичественного подхода можно определять УПБ. Полуколичественный подход наиболее целесообразен в случаях, когда приемлемый риск определяется численно (например, определенные последствия не должны возникать чаще, чем один раз в сто лет).

Данное приложение не предназначено для использования в качестве руководства по применению конкретного метода, а имеет своей целью проиллюстрировать его общие принципы. Приложение основано на методе, детально описанном в [6].

В.2 Соответствие МЭК 61511-1

Общая цель данного приложения — проследить процедуру выбора необходимых функций безопасности ПСБ и установления их УПБ. Для решения этой задачи необходимо выполнить следующие основные шаги:

1)    установить целевую (заданную) безопасность процесса (приемлемый риск);

2)    провести анализ опасности и риска, чтобы оценить существующий риск;

3)    определить требуемую функцию (функции) безопасности;

4)    распределить функции безопасности по слоям защиты.

Примечание — Предполагается, что слои защиты не зависят один от другого;

5)    определить, требуются ли функции безопасности ПСБ;

6)    определить УПБ функций безопасности ПСБ для конкретного слоя защиты.

Шаг 1 определяет требование к безопасности процесса. На шаге 2 выполняется анализ риска процесса, а шаг 3 позволяет на основании анализа риска определить, какие требуются функции безопасности и каким должно быть снижение риска, чтобы заданная безопасность была достигнута. После распределения на шаге 4 этих функций безопасности по слоям защиты становится ясным, требуется ли функция (функции) безопасности ПСБ (шаг 5) и каким должен быть ее (их) УПБ (шаг 6).

В данном приложении предлагается для достижения целей серии стандартов МЭК 61511 использовать при оценивании риска полуколичественные методы. Этот подход продемонстрирован на простом примере.

В.З Пример

Рассмотрим процесс, включающий емкость под давлением с летучей воспламеняющейся жидкостью и необходимое оборудование (см. рисунок В.1). Управление объектом осуществляется основной системой управления процессом (ОСУП), которая контролирует сигнал датчика уровня и управляет перемещением клапана. Имеются следующие технические системы, реализующие процесс: а) независимый датчик давления, который в случае недопустимого повышения давления выдает предупредительный сигнал, побуждающий оператора к принятию соответствующих мер по прекращению подачи жидкости в емкость, и б) если реакции оператора на аварийный сигнал не последует, включается дополнительный неприборный слой защиты от повышения давления. Выбросы с помощью системы защиты отводятся по трубам в сепараторную емкость, которая соединена с системой сброса газа. В этом примере принимается, что система сброса газа спроектирована, смонтирована и действует нормально и имеет разрешение на применение. Таким образом, потенциально возможные отказы системы сброса газа в этом примере не рассмотрены.

Примечание — Понятие «технические системы» относится здесь ко всем системам, работающим с процессом. Они включают и иные автоматические средства защиты, а также оператора (операторов).

В.3.1 Заданный уровень безопасности процесса

Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение заданного уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой. Заданный уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям. В качестве примера примем, что для задания безопасности процесса установлено, что средняя частота сброса не должна превышать 1СН в год, что объясняется ожидаемыми последствиями сброса для окружающей среды.

11

На сброс




СЗ — система защиты для дополнительного ослабления последствий (сток, сброс давления, ограниченное пространство, резервная емкость); СВД — сигнализатор высокого давления; ДУ — датчик уровня; КУУ — клапан управления уровнем;

ОСУП —основная система управления процессом

Рисунок В.1 — Емкость под давлением с существующими системами безопасности

В.3.2 Анализ опасности

Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:

-    анализ безопасности;

-    контрольные листы;

-    анализ гипотез («что произойдет, если»);

-    метод HAZOP;

-    анализ видов и последствий отказов;

-    анализ причин и последствий.

Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazard and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые ставят под сомнение возможность достижения проектной производительности установки.

На втором шаге для примера, приведенного на рисунке В.1, проводится анализ HAZOP. Целью применения этого метода анализа является оценка потенциально опасных событий, связанных с выбросами в окружающую среду. Краткий перечень результатов применения метода приведен в таблице В.1.

В результате применения HAZOP установлено, что значительное превышение давления может привести к выбросам горючего материала в окружающую среду. Это является исходным событием, которое может перерасти в опасное событие по сценарию, зависящему от реакции имеющихся технических систем. Если бы метод HAZOP был применен к анализу объекта в полной мере, то в рассмотрении могли бы появиться иные исходные события, приводящие к выбросам, включая утечку из технологического оборудования, полный разрыв трубопровода и такие внешние события, как пожар. В данном иллюстративном примере рассмотрены только условия возникновения высокого давления.

Таблица В.1 — Результаты анализа методом HAZOP

Объект

Отклонение

Причины

Последствия

Защита

Действие

Емкость

Высокий

уровень

Отказ ОСУП

Высокое

давление

Оператор

Высокое

давление

1    Высокий уровень.

2    Внешнее возгорание

Выброс в окружающую среду

1    Сигнализация, оператор, слой защиты.

2    Система пожаротушения

Оценка условий выброса в окружающую среду

Окончание таблицы В. 1

Объект

Отклонение

Причины

Последствия

Защита

Действие

Малый поток/

отсутствие

потока

Отказ ОСУП

Нет последствий, представляющих интерес

Обратный

поток

Нет последствий, представляющих интерес

В.3.3 Полуколичественный метод анализа риска

Оценку рисков процесса выполняют с помощью полуколичественного метода анализа, который позволяет определить и количественно оценить риски, связанные с возможными ошибками или опасными событиями в технологическом процессе. Результаты анализа могут быть использованы для выбора необходимых функций безопасности и их УПБ, дающих возможность снизить риск процесса до приемлемого уровня. Оценка риска процесса с помощью полуколичественного способа может быть выполнена в виде приведенной ниже последовательности шагов, причем первые четыре шага могут быть реализованы в процессе применения метода HAZOP:

1    Выделить опасности для процесса.

2    Определить состав слоев защиты.

Примечания

1    Слои защиты включают совокупность всех систем безопасности, предназначенных для защиты процесса, включая ПСБ, системы, связанные с безопасностью, основанные на других технологиях, внешние средства снижения риска и реакцию оператора.

2    Шаг 2 применяется, так как это действующий процесс, как в рассмотренном примере.

3    Определить исходные события.

4    Построить сценарии опасного развития событий применительно к каждому исходному событию.

5    С помощью архивных данных или используя методы моделирования (анализ дерева ошибок, методы Маркова), уточнить частоту появления исходных событий и надежность существующих систем безопасности.

6    Оценить количественно частоту возникновения всех существенно опасных событий.

7    Оценить последствия всех существенно опасных событий.

8    Просуммировать результаты (последствия и частоту инцидентов) оценки риска, связанного с каждым опасным событием.

Существенные результаты такого анализа, представляющие интерес:

-    лучшее и более детальное понимание опасностей и рисков, связанных с процессом;

-    знание риска процесса;

-    понимание вклада имеющихся систем безопасности в общее снижение риска;

-    определение каждой функции безопасности, требующейся для снижения риска процесса до приемлемого уровня;

-    сравнение полученной оценки риска процесса с заданным значением.

Способ полуколичественного анализа требует значительных ресурсов, но имеет достоинства, которые не обеспечивают качественные подходы. При определении опасностей этот способ базируется в большой степени на экспертных оценках команды специалистов, обеспечивает ясный способ управления существующими системами безопасности, основанными на других технологиях, использует средства документирования всех мероприятий, которые привели к полученным результатам, и обеспечивает поддержку жизненного цикла.

Для представленного примера с помощью HAZOP анализа было идентифицировано одно исходное событие (возникновение избыточного давления), которое повлекло возникновение возможности выброса вещества в окружающую среду. Необходимо отметить, что используемый в данном пункте подход является комбинацией количественной оценки частоты возникновения опасного события и качественной оценки его последствий. Данный подход применяют для иллюстрации систематической процедуры, которой рекомендуется следовать для определения опасных событий и функций безопасности ПСБ.

В.3.4 Анализ рисков существующих процессов

Следующий шаг состоит в установлении факторов, которые могут способствовать возникновению исходного события. На рисунке В.2 показано простое дерево ошибок, на котором представлен ряд причин возникновения чрезвычайно высокого давления в емкости. Событие верхнего уровня — чрезмерное повышение давления в емкости — может быть вызвано отказом ОСУП или внешним фактором — пожаром (см. таблицу В.1). Дерево ошибок наглядно представляет воздействие отказа ОСУП на процесс. Сама ОСУП не выполняет каких-либо функций защиты. Ее отказ, однако, приводит к росту числа запросов к ПСБ. Таким образом, при наличии надежной ОСУП запросов к ПСБ было бы меньше. Дереву ошибок можно поставить в соответствие количественные оценки. В настоящем примере предполагается, что частота появления условий чрезвычайно высокого давления имеет порядок 10-1 в год.

13

CZ\ -или=

- основное событие;

д - входной ключ

Рисунок В.2 — Дерево неисправностей при превышении давления в емкости

После установления частоты появления исходного события, используя средства анализа дерева событий, проводят моделирование реакции систем безопасности (успешная работа или отказ) на аномальные условия. Данные по надежности систем безопасности могут быть взяты из эксплуатационных данных, опубликованных баз данных или получены по результатам прогноза методом моделирования надежности. Для рассматриваемого примера использованы реальные данные, а не данные, взятые из литературы или полученные в результате прогнозирования работы системы.

На рисунке В.2 показаны возможные сценарии потенциального выброса, которые могут произойти в условиях повышения давления. В результате моделирования таких случаев были получены: а) частота возникновения каждой из приводящих к аварии последовательности событий и Ь) качественная оценка последствий в виде выброса воспламеняющихся материалов.

На рисунке В.З показаны пять вариантов развития опасных событий, причем для каждого приведены частота появления и последствия возможного выброса. При аварии по сценарию 1 выбросы отсутствуют. Такая авария соответствует исходным условиям, принятым при проектировании процесса. Более того, условиям проектирования соответствуют также случаи «опасных» сценариев 2 и 4, при которых происходит выброс материала для вспышки. Частота возникновения аварий для сценариев 3 и 5, для которых характерен выброс материала в окружающую среду, находится в пределах от 9 х 1 СИ до 1 х 10-3 в год.

Примечание — Предполагается, что события, изображенные на рисунке В.З, независимы. Более того, указанные данные являются приближенными, поэтому сумма частот всех возникающих аварий приближается к частоте исходного события (0,1 в год).

Следует отметить, что при анализе не принималась во внимание возможность отказа по общей причине сигнализатора высокого давления и отказа датчика уровня в составе ОСУП. Такого рода отказы по общей причине могут привести к существенному увеличению вероятности отказов системы аварийной сигнализации при наличии запроса и, следовательно, увеличить риск. Для получения дополнительной информации см. [7].

ГОСТ Р МЭК 61511 -3—2011

Сигнал

высокого

давления


Реакция    Слой

оператора    защиты


1    Нет сброса в систему сброса

0,9

Срабатывание

0,9

Превышение

0,9

10"1

давления

10"1

10’1 в год

Отказ

10'1

0,9

10'1

2

газа, 8x10 в год

2    Сброс в систему сброса газа,

8    х 10’3 в год

3    Сброс в атмосферу, 9 х 10"4 в год

4    Сброс в систему сброса газа,

9    х 10'3 в год

5    Сброс в атмосферу, 1 х 10'3 в год

Рисунок В.З — Опасные события при существующих системах безопасности

В.3.5 События, не отвечающие заданному уровню безопасности

Как отмечалось ранее, специфическое требование технологического объекта состоит в том, чтобы установить следующее задание на уровень безопасности: выброс материала в окружающую среду должен происходить с частотой, не превышающей 104 раз в год. Для того чтобы выполнить это задание при данной частоте появления опасных событий и их последствиях (рисунок В.З), необходимо снизить риск так, чтобы аварийные ситуации по сценариям 3 и 5 отвечали заданному уровню безопасности.

В.3.6 Снижение риска с помощью других слоев защиты

Прежде чем установить необходимость выполнения функции безопасности ПСБ, следует рассмотреть слои защиты, использующие другие технологии. Чтобы проиллюстрировать эту процедуру, примем, что в целях дальнейшего усиления действия существующей системы безопасности вводится еще один дополнительный совершенно независимый слой защиты. Процесс с новым слоем защиты показан на рисунке В.4. Для выявления всех потенциально опасных событий используют метод дерева событий. Из рисунка В.4 следует, что в условиях превышения давления могут произойти семь видов аварийных событий с выбросом материала.

Сигнализация

ВЫСОКОГО

давления

Реакция

оператора

Слой защиты 1

Слой защиты 2

СЗ 1 — слой защиты; СЗ 2 — слой защиты 2; СВД — сигнализатор высокого давления; ДУ — датчик уровня; КУУ — клапан

управления уровнем

Анализ частоты появления моделируемых опасных событий, отображенных на рисунке В.4, показывает, что заданный для емкости уровень безопасности не достигается в случаях опасных событий 4 и 7, когда имеет место выброс материала в окружающую среду, и, следовательно, уровень безопасности ниже заданного. Фактически об-

Частота и последствия

1    Нет сброса в систему сброса

2    Сброс в систему сброса газа, 9 х 10"3 в год

3    Сброс в систему сброса газа,

8    х КГ4 в год

4    Выброс в окружающую среду,

9    х КГ5 в год

5    Сброс в систему сброса газа, 9 х 10"3 в год

6    Сброс в систему сброса газа, 9 х КГ4 в год

7    Выброс в окружающую среду, 1 х 10-4 в год

Рисунок В.4 — Опасные события при резервированном слое защиты

15

ГОСТ Р МЭК 61511 -3—2011

Содержание

1    Область применения............................................1

2    Термины, определения и сокращения..................................2

3    Риск и полнота безопасности. Общие требования............................2

3.1    Общие сведения............................................2

3.2    Необходимая степень снижения риска...............................2

3.3    Роль приборных систем безопасности................................3

3.4    Полнота безопасности........................................3

3.5    Риск и полнота безопасности.....................................4

3.6    Распределение требований к безопасности.............................6

3.7    Уровни полноты безопасности....................................6

3.8    Выбор метода для определения требуемого уровня    полноты безопасности...........7

Приложение А (справочное) Принцип снижения риска настолько, насколько это практически

целесообразно (принцип ALARP), и концепция приемлемого риска..........8

Приложение В (справочное) Полуколичественный метод........................11

Приложение С (справочное) Метод матрицы слоев безопасности...................17

Приложение D (справочное) Определение требуемых уровней полноты безопасности.

Полукачественный метод. Калиброванный    граф риска................21

Приложение Е (справочное) Определение требуемых уровней полноты безопасности.

Качественный метод. Граф риска............................28

Приложение F (справочное) Анализ слоев защиты............................32

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

ссылочным национальным стандартам Российской Федерации...........38

Библиография................................................39

щая частота выбросов в окружающую среду составляет 1,9 х 10"4 раз в год. На этой стадии следует оценить целесообразность использования внешних средств снижения риска. Принимая, что цель обеспечения безопасности — минимизировать риск, связанный с выбросами в окружающую среду, можно заключить, что использование таких внешних средств снижения риска, как ограждение, не является целесообразным альтернативным способом уменьшения риска. Таким образом, поскольку никакая иная не входящая в ПСБ защита не может обеспечить заданный уровень безопасности, то для защиты от превышения давления и выброса воспламеняющегося материала требуется функция безопасности, выполняемая ПСБ.

В.3.7 Снижение риска путем использования функции безопасности ПСБ

Заданного уровня безопасности не удается достигнуть с помощью применения слоев защиты, использующих иные технологии, или внешних средств снижения риска. Сценарий 7, при котором может произойти выброс, сам по себе еще соответствует заданию безопасности. Фактически же суммарная частота выбросов в окружающую среду, как следует из рисунка В.4, составляет 1,9 х 1(Н в год (сумма частот по сценариям 4 и 7). Для уменьшения общей частоты выбросов в атмосферу (т. е. чтобы обеспечить соответствие заданию по безопасности) в ПСБ требуется реализовать новую функцию безопасности сУПБ 2. Новая функция безопасности ПСБ показана на рисунке В.5. На этом этапе нет необходимости в детальной разработке функции безопасности ПСБ, достаточно лишь ее общее концептуальное решение. Цель этого шага — установить, обеспечит ли выполнение функции безопасности ПСБ с УПБ 2 требуемое снижение риска и позволит ли это достигнуть заданного уровня безопасности. Детальное проектирование функции безопасности ПСБ следует выполнить только после того, как будет достигнут заданный уровень безопасности. Например, в новой функции безопасности ПСБ может быть использован сдвоенный датчик давления, включенный по схеме 1оо2 (1 из 2) и связанный с логическим решающим устройством, которое управляет дополнительным отсечным клапаном.

Примечание — Обозначение 1оо2 означает «один из двух», т. е. любой из сдвоенных датчиков может послать сигнал, останавливающий процесс.

Новая функция безопасности ПСБ с УПБ 2 предназначена для уменьшения частоты выбросов из сосуда, находящегося под высоким давлением. На рисунке В.5 изображен новый слой защиты и представлены все потенциально опасные сценарии. Как можно видеть на этом рисунке, частота выбросов из такой емкости может быть снижена до значения 1 СИ в год и ниже и заданный уровень безопасности может быть достигнут при условии, что полученная в результате функция безопасности ПСБ отвечает требованиям УПБ 2. Общая частота выбросов в окружающую среду (сумма частот сценариев 4 и 7) снижена до 1,9х 10~5 в год, ниже критерия безопасности, равного 1СН в год.

Следует отметить, что анализ с использованием дерева событий не учитывает возможность появления отказа по общей причине в системе аварийной сигнализации высокого давления и функции безопасности ПСБ с УПБ 2. Возможен также отказ по общей причине обоих этих защитных устройств и датчика уровня в составе ОСУП.

Сигнализация

высокого

давления

Реакция

оператора

Функции

безопасности

Слой

защиты

Такие отказы по общей причине приводят к существенному увеличению вероятности отказа защитных функций при наличии запроса и, следовательно, к значительному увеличению общего риска. Для получения дополнительной информации см. [7].

1    Нет сброса в систему сброса,

8    х 10'2 в год

2    Нет сброса в систему сброса,

9    х 10"3 в год

3    Нет сброса в систему сброса газа,

8    х КГ5 в год

4    Выброс в окружающую среду,

9    х 10"6 в год

5    Нет сброса в систему сброса,

1 х 10"2 в год

6    Нет сброса в систему сброса газа, 9 х 10'5 в год

7    Выброс в окружающую среду,

1 х 10"5 в год

СЗ 1 — система защиты; СЗ 2 — система защиты; СВД — сигнализатор высокого давления; ДУ — датчик уровня; ВК — входной клапан; КУУ— клапан управления уровнем


Частота и последствия

Рисунок В.5 — Опасные события при функции безопасности ПСБ с УПБ 2

Введение

Приборные системы безопасности уже в течение многих лет используются для выполнения функций безопасности в промышленных процессах. Для эффективного применения приборных систем безопасности при выполнении функций безопасности необходимо, чтобы они соответствовали определенному минимальному уровню стандартизации.

Область применения настоящего стандарта — приборные системы безопасности, применяемые в промышленных процессах. Он также устанавливает необходимость проведения оценки опасности и риска процесса для обеспечения формирования спецификации приборных систем безопасности. Вклад других систем безопасности может быть учтен только при рассмотрении требований к эффективности приборных систем безопасности. Приборная система безопасности включает все компоненты и подсистемы, необходимые для выполнения функции безопасности, отдатчика(ов) до исполнительного(ых)эле-мента(ов).

В основе настоящего стандарта лежат две фундаментальные концепции, необходимые для его применения: концепция жизненного цикла безопасности и концепция уровней полноты безопасности.

Настоящий стандарт рассматривает приборные системы безопасности, использующие электри-ческие/электронные/программируемые электронные технологии. Если для логических устройств используют другие принципы действия, то следует применять основные положения настоящего стандарта. Настоящий стандарт также рассматривает датчики и исполнительные элементы приборной системы безопасности независимо от принципа их действия. Настоящий стандарт является конкретизацией общего подхода к вопросам обеспечения безопасности, представленного в МЭК 61508, для промышленных процессов (см. МЭК 61511-1, приложение А).

Настоящий стандарт устанавливает подход, минимизирующий стандартизацию деятельности для всех стадий жизненного цикла безопасности. Этот подход был принят в целях реализации рациональной и последовательной технической политики.

В большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. При необходимости он может быть дополнен системами защиты или системами, с помощью которых достигается любой установленный остаточный риск. Системы защиты основаны на применении различных технологий: химических, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных. Любая стратегия обеспечения безопасности должна рассматривать каждую конкретную приборную систему безопасности в контексте других систем защиты. Для облегчения применения такого подхода настоящий стандарт:

-    требует, чтобы выполнялась оценка опасностей и рисков для определения общих требований к безопасности;

-    требует, чтобы выполнялось распределение требований к безопасности в (по) приборной(ым) системе(ам) безопасности;

-    реализует подход, который применим ко всем приборным методам обеспечения функциональной безопасности;

-    подробно рассматривает применение определенных действий, таких как руководство работами по безопасности, которые могут быть применены ко всем методам обеспечения функциональной безопасности.

Настоящий стандарт по приборным системам безопасности для промышленных процессов:

-    охватывает все стадии жизненного цикла безопасности — от разработки первоначальной концепции, проектирования, внедрения, эксплуатации и технического обслуживания вплоть до утилизации;

-    дает возможность, чтобы существующие или новые стандарты в разных странах, регламентирующие конкретные промышленные процессы, были с ним гармонизированы.

Настоящий стандарт призван привести к высокому уровню согласованности (например, основных принципов, терминологии, информации) в рамках конкретных промышленных процессов. Это принесет преимущества как в плане безопасности, так и в плане экономики.

В пределах своей юрисдикции соответствующие регулирующие органы (например, национальные, федеральные, штата, провинции, округа, города) могут устанавливать требования к проектированию безопасности процесса, к управлению безопасностью процесса или другие требования, которые должны превалировать над требованиями, определенными в настоящем стандарте.

Настоящий стандарт содержит руководство по определению требуемых уровней полноты безопасности, используя анализ опасности и риска (АОР). Содержащаяся в настоящем стандарте информация предназначена для проведения глубокого анализа различных общих методов применения АОР. Для применения любого из этих методов представленной информации недостаточно.


Перед применением настоящего стандарта следует ознакомиться с концепцией и определением понятия «уровень полноты безопасности», приведенными в МЭК 61511-1. Приложения к настоящему стандарту рассматривают следующие вопросы:

Приложение А содержит обзор основных положений метода приемлемого риска и метода ALARP.

Приложение В содержит обзор полуколичественного метода определения требуемого УПБ.

Приложение С содержит обзор метода матриц безопасности для определения требуемого УПБ.

Приложение D содержит обзор метода, использующего для определения требуемого УПБ полука-чественный подход графа рисков.

Приложение Е содержит обзор метода, использующего для определения требуемого УПБ качественный подход графа рисков.

Приложение F содержит обзор метода, использующего для выбора требуемого УПБ анализ слоев защиты (АСЗ).

На рисунке 1 представлена общая структура настоящего стандарта.



Нормативные ссылки Раздел 2 ЧАСТЬ 1


ЧАСТЬ 1

Разработка общих требований к безопасности (концепция, определение области применения, анализ опасности и риска)

Раздел 8

1


ЧАСТЬ 1

Распределение требований безопасности по функциям безопасности и разработка спецификации требований к безопасности Разделы 9 и 10


ЧАСТЫ

Разработка

Разработка ПО

приборных

приборных

функций

функций

безопасности

безопасности

Раздел 11

Раздел 12

ЧАСТЫ

Заводские приемочные испытания, монтаж, приемка и подтверждение соответствия безопасности приборных систем безопасности Разделы 13,14 и 15


I


ЧАСТЫ

Эксплуатация и обслуживание, модификация и модернизация, снятие с эксплуатации или демонтаж приборных систем безопасности Разделы 18,17 и 18


Термины, определения и сокращения Раздел 3 ЧАСТЬ 1


Соответствие Раздел 4 ЧАСТЬ 1


Руководство работами по функциональной безопасности Раздел 5 ЧАСТЫ


Требования к жизненному циклу безопасности Раздел 6 ЧАСТЫ


Верификация Раздел 7 ЧАСТЫ


Требования к информации Раздел 7 ЧАСТЫ


Различия Приложение А ЧАСТЬ 1


Руководство по применению части 1 ЧАСТЬ 2


Руководство по определению требуемых уровней полноты безопасности ЧАСТЬ 3


Рисунок 1 — Общая структура настоящего стандарта


V


НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ.

СИСТЕМЫ БЕЗОПАСНОСТИ ПРИБОРНЫЕ ДЛЯ ПРОМЫШЛЕННЫХ ПРОЦЕССОВ

Часть 3

Руководство по определению требуемых уровней полноты безопасности

Functional safety. Safety instrumented systems for the process industry sector.

Part 3. Guidelines for the determination of the required safety integrity levels

Дата введения — 2012—08—01

1 Область применения

Настоящий стандарт содержит:

-    основные положения концепции риска и описание отношения между риском и полнотой безопасности (см. раздел 3);

-    определение допустимого риска (см. приложение А);

-    описание различных методов, позволяющих определить уровень полноты безопасности (УПБ) для функций безопасности приборных систем безопасности (ПСБ) (см. приложения В, С, D, Е и F).

В частности, настоящий стандарт:

a)    применяют в случаях, когда функциональная безопасность достигается путем использования одной или более функций безопасности ПСБ для защиты персонала, населения или окружающей среды;

b)    может быть применен на объектах, не требующих обеспечения безопасности, например для защиты имущества;

c)    иллюстрирует типичные методы оценки опасностей и рисков, которые могут быть проведены для определения требований к функциональной безопасности и к УПБ каждой из функций безопасности ПСБ;

d)    иллюстрирует методы и/или средства, позволяющие определить требуемые УПБ;

e)    содержит структуру работ по установлению УПБ, но не определяет УПБ для конкретных случаев применения;

f)    не содержит примеров определения требований к иным методам снижения рисков.

Приложения В, С, D, Е и F упрощенно иллюстрируют количественный и качественный подходы.

Эти приложения были включены лишь для иллюстрации общих принципов, положенных в основу ряда используемых методов, и не могут служить руководством к их практическому применению.

Примечани е — Тем, кто намеревается практически использовать методы, описанные в упомянутых приложениях, следует обратиться к ссылкам, имеющимся в каждом приложении.

На рисунке 2 показана совокупность методов снижения риска.

Издание официальное

РЕАГИРОВАНИЕ НАСЕЛЕНИЯ НА АВАРИЮ

Аварийное радиооповещение

РЕАГИРОВАНИЕ ПРЕДПРИЯТИЯ НА АВАРИЮ

Процедура эвакуации

ОСЛАБЛЕНИЕ

Механические системы ослабления последствий Приборные управляющие системы безопасности Приборные системы ослабления опасности Надзор оператора

f    ПРЕДОТВРАЩЕНИЕ

'    Механическая    система    защиты

Аварийная сигнализация и корректирующие действия оператора Приборные управляющие системы безопасности Приборные системы защиты

fУПРАВЛЕНИЕ И МОНИТОРИНГ N

Системы управления основным процессом Системы мониторинга (системы аварийной сигнализации)

ПРОЦЕСС


Надзор оператора

Рисунок 2 — Типовые способы снижения риска, встречающиеся на технологических объектах

(модель слоев защиты)

2    Термины, определения и сокращения

В настоящем стандарте применены термины, определения и сокращения, приведенные в МЭК 61511-1 (раздел 3).

3    Риск и полнота безопасности. Общие требования

3.1    Общие сведения

В данном разделе приведена информация об основополагающих концепциях риска и связи рисков с полнотой безопасности. Эта информация является общей для всех рассматриваемых ниже методов оценки различных опасностей и рисков.

3.2    Необходимая степень снижения риска

Необходимая степень снижения риска (которая может быть установлена либо качественно1), либо количественно2)) — это такое снижение риска, которое должно быть обеспечено для достижения уровня риска (заданного уровня безопасности процесса), приемлемого в конкретной ситуации. Концепция необходимого снижения риска является фундаментально важной для формулирования технических

ГОСТ Р МЭК 61511 -3—2011

требований к безопасности функций безопасности ПСБ (особенно в части требований к полноте безопасности спецификации требований к безопасности). Цель определения приемлемого риска (заданного уровня безопасности процесса) в случае конкретного опасного события состоит в установлении величины «разумного» риска, учитывающего как частоту возникновения опасных событий, так и их специфические последствия. Слои защиты (см. рисунок 3) разрабатываются так, чтобы уменьшить частоту возникновения опасных ситуаций и/или их последствия.

Важными факторами для оценки величины приемлемого риска являются восприятие и точки зрения тех лиц, которые подвергаются опасности. При определении приемлемого риска для конкретного применения необходимо учитывать:

-    указания соответствующих регулирующих органов;

-    обсуждения и соглашения между различными сторонами, принимающими участие в данном применении;

-    промышленные стандарты и руководства;

-    промышленные, экспертные и научные советы;

-    законодательные и регулирующие требования, как общие, так и относящиеся к конкретному применению.

3.3    Роль приборных систем безопасности

ПСБ реализует функции безопасности, необходимые для достижения или для поддержания безопасного состояния процесса, и, следовательно, вносит вклад в решение задачи необходимого снижения риска для достижения приемлемого риска. Например, в спецификации требований к функциям безопасности может быть указано, что если температура достигает значения х, то клапан у открывается, обеспечивая поступление воды в емкость.

Необходимое снижение риска может достигаться с помощью одной или нескольких ПСБ либо с помощью других слоев защиты.

В выполнении функции безопасности может участвовать человек. Например, оператор может получать информацию о состоянии процесса и выполнять основанные на этой информации защитные действия. Если человек является частью функции безопасности, то должны быть учтены все человеческие факторы.

ПСБ может действовать по запросу или в непрерывном режиме.

3.4    Полнота безопасности

Считается, что полнота безопасности состоит из двух частей:

a)    полнота безопасности аппаратных средств — это часть полноты безопасности, связанная со случайными отказами аппаратных средств, причем относящимися к опасным отказам. Факт достижения установленного уровня полноты безопасности аппаратных средств можно оценить с разумным уровнем точности. Поэтому требования могут быть распределены между подсистемами, используя известные правила произведения вероятностей и учитывая отказы по общей причине. Для достижения требуемой полноты безопасности аппаратных средств может оказаться необходимым применение структуры с резервированием;

b)    систематическая полнота безопасности — эта часть полноты безопасности связана с систематическими отказами, относящимися к опасным отказам. Хотя влияние отдельных систематических отказов на полноту безопасности можно оценить, данные по отказам, вызванным ошибками при проектировании, и отказам по общей причине указывают на то, что влияние этих отказов бывает сложно предсказать. При этом увеличивается неопределенность в расчетах вероятности отказов в конкретной ситуации (например, вероятности отказов ПСБ). Следовательно, необходимо решить, какие способы минимизации этой неопределенности окажутся наиболее эффективными. Нужно отметить, что меры, принятые для уменьшения вероятности случайных отказов аппаратных средств, не должны обязательно приводить к снижению вероятности систематических отказов. Такие технические решения, как резервирование в виде организации параллельных каналов с идентичным оборудованием, которые являются весьма эффективными для случайных отказов аппаратных средств, мало полезны для уменьшения систематических отказов.

Общее снижение риска, достигаемое функциями безопасности ПСБ вместе со средствами других слоев защиты, должно быть таким, чтобы обеспечить:

-    частоту отказов функций безопасности, достаточно низкую для того, чтобы частота опасных событий не превышала бы значения, соответствующего приемлемому риску, и/или 3

-    возможность того, что функции безопасности так изменяют последствия отказов, чтобы риск не превышал значение приемлемого риска.

Рисунок 3 иллюстрирует общую концепцию снижения риска. Общая модель предполагает следующее:

-    имеется процесс и связанная с ним основная система управления процессом (ОСУП);

-    существует связанный с процессом человеческий фактор;

-    слои защиты безопасности включают в свой состав:

1)    механическую систему защиты,

2)    приборные системы безопасности,

3)    механическую систему ослабления последствий.

Примечание — На рисунке 3 представлена обобщенная модель риска, иллюстрирующая общие принципы. Модель риска для конкретного случая должна составляться с учетом конкретных приемов, с помощью которых на базе ПСБ и других слоев защиты фактически достигается необходимое снижение риска. Результирующая модель риска в конкретном случае может отличаться от представленной на рисунке 3.

На рисунках 3 и 4 показаны следующие риски:

-    риск процесса. Это риск наличия конкретного опасного события для процесса. При этом учитывается наличие основной системы управления процессом и человеческого фактора. При определении этого риска не рассматриваются какие бы то ни было специальные средства защиты безопасности;

-    приемлемый риск (заданный уровень безопасности процесса). Риск, который считается приемлемым в данном контексте на основе принятой в обществе системы ценностей;

-    остаточный риск. В контексте настоящего стандарта это риск возникновения опасных событий при условии применения всей совокупности слоев защиты.

Риск процесса является функцией от риска, связанного с самим процессом, но учитывающего также снижение риска, достигнутое благодаря применению системы управления процессом. Для того чтобы избежать неразумных требований к полноте безопасности ОСУП, настоящий стандарт устанавливает ограничения на возможные требования.

Необходимое снижение риска — это уменьшение уровня риска до такого минимального значения, который необходим для обеспечения приемлемого риска. Оно может достигаться с помощью какодного способа, так и комбинацией способов снижения риска. Процесс необходимого снижения риска, обеспечивающий достижение конкретного приемлемого риска от начального значения риска процесса, показан на рисунке 3.

3.5 Риск и полнота безопасности

Очень важно полностью осознать разницу между риском и полнотой безопасности. Риск — это мера частоты появления и последствий конкретного опасного события. Его можно оценить для различных ситуаций (риск процесса, приемлемый риск, остаточный риск и т. д., см. рисунок 3). При определении приемлемого риска учитывают социальные и политические факторы. Полнота безопасности — это мера вероятности того, что функция безопасности ПСБ и другие слои защиты обеспечат установленную безопасность. Только после того, как приемлемый риск установлен и получена оценка величины необходимого снижения риска, можно определить требования к полноте безопасности ПСБ.

Примечание — Такая процедура может носить итеративный характер, что позволит осуществить оптимизацию разработки в целях выполнения различных требований.

Роль, которую играют функции безопасности при достижении необходимого снижения риска, показаны на рисунках 3 и 4.

4


Рисунок 3 — Общая концепция снижения риска



Процесс и основная система управления процессом


Полнота безопасности предотвращающих/ослабляющих слоев защиты, не относящихся к ПСБ, других слоев защиты и ПСБ, применяемых для необходимого снижения риска


Рисунок 4 — Концепции риска и полноты безопасности


1

11 при определении необходимой степени снижения риска следует предварительно установить приемлемый риск. В МЭК 61508-5 (приложения D и Е) перечислены соответствующие количественные методы, хотя в рассмотренных там примерах необходимое снижение риска представлено, скорее, в неявном виде.

2

Например, опасное событие, приводящее к определенным последствиям, как правило, характеризуется максимальной частотой повторений в год.

3