ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ

Системы безопасности приборные для промышленных процессов

Часть 3

Руководство по определению требуемых уровней полноты безопасности

(IEC 61511-3:2016, ЮТ)

Издание официальное

Стандартинформ

2018

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Корпоративные электронные системы» на основе собственного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 058 «Функциональная безопасность»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2018 г. № 467-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 61511-3:2016 «Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности» (IEC 61511-3:2016 «Functional safety — Safety instrumented systems for the process industry sector— Part 3: Guidelines for the determination of the required safety integrity levels», IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочного международного стандарта соответствующий ему национальный стандарт, сведения о котором приведены в дополнительном приложении ДА

5    ВЗАМЕН ГОСТ Р МЭК 61511-3-2011

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ, оформление, 2018

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р МЭК 61511-3-2018

Применение тех или иных методов для распределения требований полноты безопасности по ПСБ, другим связанным с безопасностью технологическим системам, а также по внешним средствам снижения риска зависит прежде всего от того, каким образом определена степень необходимого снижения риска — количественно или качественно. Эти подходы называют полуколичественными, полукачественными и качественными соответственно (см. приложения В—F).

Рисунок А.2 — Концепции риска и полноты безопасности

А.6 Опасное событие, опасная ситуация и вредоносное событие

Термины «опасное событие» и «опасная ситуация» часто используются в последующих приложениях. На рисунке А. 3 продемонстрировано различие между терминами и показано развитие от опасного события до опасной ситуации из-за потери управления, приводящее к возникновению вредоносного события.

5

Рисунок А.З демонстрирует, как вред наносится людям, но его также можно применить и к нанесению вреда окружающей среде или ущерба имуществу.

Рисунок А.З — Развитие вредоносного события

Рисунок А.З показывает, как потеря управления или инициирование любой другой причины приводит к аварийной ситуации и формирует запрос к мерам защиты, таким как предупредительные тревожные сигнализации, ПСБ, предохранительная арматура и т. д. Опасное событие возникает, если выполняется запрос, а соответствующие меры защиты находятся в состоянии отказа и не функционируют, как положено. Опасное событие само по себе не обязательно наносит ущерб, но если человек (люди) находился в зоне (или области) его воздействия, и таким образом подвергался воздействию опасного события, то это приводит к опасной ситуации. Если человек не способен избежать пагубных последствий воздействия, то оно характеризуется как вредоносное воздействие из-за нанесения вреда здоровью.

А.7 Уровни полноты безопасности

В настоящем стандарте определены четыре уровня полноты безопасности, причем уровень полноты безопасности 4 — наивысший, уровень полноты безопасности 1 — низший.

Целевые меры отказов для задания всех четырех уровней полноты безопасности определены в МЭК 61511-1, таблицы 3 и 4. Установлены два таких параметра: один для ПСБ, действующих в режиме низкой интенсивности запросов, и другой для ПСБ, работающих в режиме с непрерывным запросом или в режиме высокой интенсивности запросов.

Примечание — В случае ПСБ, работающей в режиме низкой интенсивности запросов, целевой мерой отказов является средняя вероятность опасного отказа функции безопасности по запросу. В случае если ПСБ работает в режиме с непрерывным запросом или в режиме высокой интенсивности запросов, то целевой мерой отказов является средняя частота опасных отказов функции безопасности (см. МЭК 61511-1, 3.2.83 и таблицу 5).

А.8 Выбор метода для определения требуемого уровня полноты безопасности

Имеются различные пути установления требуемого УПБ для конкретного случая. В приложениях В—I представлена информация о ряде используемых методов. Выбор метода для конкретного применения зависит от многих факторов, в том числе:

-    от сложности задачи;

-    указаний регулирующих органов;

-    природы риска и требуемой величины его снижения;

-    опыта и квалификации персонала, выполняющего эту работу;

-    доступной информации о параметрах риска (см. рисунок А.4);

-    доступной информации о ПСБ, использующейся в настоящее время в конкретных применениях, описанных в отраслевых стандартах и промышленной практике.

В некоторых случаях можно использовать не один, а несколько методов. Так, при определении требуемого УПБ для всех рассматриваемых функций безопасности ПСБ в качестве первого шага можно использовать качественные методы. Те функции, которым с помощью этого метода был присвоен уровень 3 или 4, следует затем проанализировать более детально с использованием количественных методов для получения более точной оценки требуемой их полноты безопасности.

6

ГОСТ Р МЭК 61511-3-2018

Важно то, что какой бы ни был выбран метод (методы) для конкретного применения, для его оценки должны использоваться определенные критерии риска.

Метод определения требований безопасности Соответствующие национальные или международные стандарты а) необходимое снижение риска для всех функций безопасности ПСБ Ь) необходимое снижение риска для конкретных функций безопасности ПСБ с) уровни полноты безопасности

Примечание — Требования к полноте безопасности устанавливаются для каждой функции безопасности ПСБ до распределения [см. МЭК 61511-1 (раздел 9)].

Рисунок А.4 — Распределение требований безопасности по слоям защиты, не относящимся к ПСБ,

и другим слоям защиты

7

Приложение В (справочное)

Полуколичественный метод. Анализ дерева событий

В.1 Общие сведения

В данном приложении рассмотрен вопрос о том, как с помощью полуколичественного подхода можно определять целевые уровни полноты безопасности. Полуколичественный подход использует как качественные, так и количественные методы и наиболее целесообразен в случаях, когда приемлемый риск определяется численно (например, определенные последствия не должны возникать чаще чем один раз в сто лет).

Данное приложение не предназначено для использования в качестве руководства по применению конкретного метода, а имеет своей целью проиллюстрировать его общие принципы. Приложение основано на методе, детально описанном в CCPS/AIChE, Guidelines for Hazard Evaluation Procedures, Third Edition, Wiley-lnterscience, New York (2008).

B.2 Соответствие МЭК 61511-1

Основная цель данного приложения — проследить процедуру выбора необходимых функций безопасности ПСБ и установления их УПБ. Для решения этой задачи необходимо выполнить следующие основные шаги:

a)    установить целевую (заданную) безопасность процесса (приемлемый риск);

b)    провести анализ опасности и риска, чтобы оценить существующий риск для каждого конкретного опасного события;

c)    определить функцию (функции) безопасности, требуемую для каждого конкретного опасного события;

d)    распределить функции безопасности по слоям защиты.

Примечание — Предполагается, что слои защиты не зависят один от другого. Процесс распределения может гарантировать, что вероятность отказов по общей причине, отказов общего вида и систематических отказов достаточно мала по сравнению с общими требованиями снижения риска;

e)    определить, требуются ли функции безопасности ПСБ;

f)    определить УПБ функций безопасности ПСБ.

Шаг а) определяет целевую безопасность процесса. На шаге Ь) выполняется анализ риска процесса, а шаг с) позволяет на основании анализа риска определить, какие требуются функции безопасности и каким должно быть снижение риска, чтобы была достигнута целевая безопасность. После распределения на шаге d) этих функций безопасности по слоям защиты становится ясным, требуется ли функция (функции) безопасности ПСБ [шаг е)] и каким должен быть ее (их) УПБ [шаг f)].

В данном приложении при оценивании риска для достижения целей стандартов МЭК 61511 предлагается использовать полуколичественные методы. Этот подход продемонстрирован на простом примере.

В.З Пример

В.3.1 Общее описание

Рассмотрим процесс, включающий емкость под давлением с насосом и двумя выходами (жидкости и газа), содержащую смесь газа и летучей воспламеняющейся жидкости, а также необходимое оборудование (см. рисунок В.1). Управление процессом осуществляется основной системой управления процессом (ОСУП), которая контролирует сигнал датчика расхода и управляет перемещением клапана. Имеются следующие технические системы, реализующие процесс: а) независимый датчик давления, который в случае недопустимого повышения давления выдает предупредительный сигнал, побуждающий оператора к принятию соответствующих мер по прекращению подачи жидкости в емкость, и б) если реакции оператора на аварийный сигнал не последует, то включается дополнительный, неприборный слой защиты, который является регулятором давления, чтобы предотвратить опасности, связанные с высоким давлением в емкости. Сбросы из регулятора давления отводятся по трубам в сепараторную емкость, которая соединена с системой сброса газа. В этом примере принимается, что система сброса газа спроектирована, смонтирована и действует нормально и имеет разрешение на применение. Таким образом, потенциально возможные отказы системы сброса газа в этом примере не рассматриваются.

Примечание — Понятие «технические системы» относится здесь ко всем системам, работающим с процессом. Они включают и иные автоматические средства защиты, а также оператора (операторов).

В.3.2 Целевой уровень безопасности процесса

Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение целевого уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой.

ГОСТ Р МЭК 61511-3-2018

Целевой уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям. В качестве примера примем, что для целевого уровня безопасности процесса установлено, что средняя частота сброса не должна превышать 10~⁴в год, что объясняется ожидаемыми последствиями сброса для окружающей среды.

Сброс газа

Обозначения:

FC — регулятор расхода;

FCV — клапан-регулятор расхода;

РАН — верхняя уставка сигнализации давления;

BV — запорный клапан;

PRV — клапан сброса давления

Рисунок В.1 — Емкость под давлением с существующими системами безопасности

В.3.3 Анализ опасности

Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:

-    анализ безопасности;

-    контрольные листы;

-    анализ гипотез («что произойдет, если»);

-    метод HAZOP;

-    анализ видов и последствий отказов;

-    анализ причин и последствий.

Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazard and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые могут повлиять на возможность достижения проектной производительности установки.

На втором шаге для примера, приведенного на рисунке В.1, проводится анализ HAZOP. Целью применения этого метода анализа является оценка потенциально опасных событий, связанных с выбросами в окружающую среду. Краткий перечень результатов применения метода приведен в таблице В.1.

В результате применения HAZOP установлено, что значительное превышение давления может привести к выбросам горючего материала в окружающую среду. Это является исходным событием, которое может перерасти в опасное событие по сценарию, зависящему от реакции имеющихся технических систем. Если бы метод HAZOP был применен к анализу объекта в полной мере, то в рассмотрении могли бы появиться иные исходные события, приводящие к выбросам, включая утечку из технологического оборудования, полный разрыв трубопровода и такие внешние события, как пожар. В данном иллюстративном примере рассмотрены только условия возникновения высокого давления.

Примечание — В данном примере предполагается, что емкость может оказаться под высоким давлением из-за неспособности оборудования, расположенного ниже по технологической цепочке, обслуживать полный поток газа из емкости, когда поток подачи слишком высок.

9

Таблица В.1 — Результаты анализа методом HAZOP

Объект Отклонение Причина Последствие Мера защиты Действие Емкость Интенсивный поток Отказ контура управления потоком Интенсивный поток приводит к высокому давлению (см. примечание) Высокое давление 1    Отказ контура управления потоком. 2    Внешнее возгорание Повреждение емкости и выброс в окружающую среду 1)    Аварийный сигнал высокого давления. 2)    Система пожаротушения (потоком воды). 3)    Клапан сброса давления Оценка проектных условий сброса давления в окружающую среду Малый поток / отсутствие потока Отказ контура управления потоком Нет последствий, представляющих интерес Обратный поток Нет последствий, представляющих интерес

В.3.4 Полуколичественный метод анализа риска

Оценку рисков процесса выполняют с помощью полуколичественного метода анализа, который позволяет определить и количественно оценить риски, связанные с возможными ошибками или опасными событиями в технологическом процессе. Результаты анализа могут быть использованы для выбора необходимых функций безопасности и их УПБ, дающих возможность снизить риск процесса до приемлемого уровня. Оценка риска процесса с помощью полуколичественного метода может быть выполнена в виде приведенной ниже последовательности шагов, причем первые четыре шага могут быть реализованы в процессе применения метода HAZOP:

a)    определить опасности для процесса;

b)    определить исходные события;

c)    построить сценарии опасного развития событий применительно к каждому исходному событию;

d)    определить состав слоев защиты.

Примечания

1    Чтобы обеспечить процесс защитой, функции безопасности распределены по слоям защиты, которые включают ПСБ и другие средства снижения риска (см. рисунок В.2).

2    Шаг d) применяется к рассматриваемому примеру, так как он связывает существующий процесс с существующими слоями защиты;

e)    с помощью архивных данных или используя методы моделирования (анализ дерева событий, анализ видов и последствий отказов, анализ дерева ошибок) уточнить частоту появления исходных событий и надежность существующих систем безопасности;

f)    оценить количественно частоту возникновения всех существенно опасных событий;

д) оценить последствия всех существенно опасных событий;

h) просуммировать результаты (последствия и частоту инцидентов) оценки риска, связанного с каждым опасным событием.

Существенные результаты такого анализа, представляющие интерес:

-    лучшее и более детальное понимание опасностей и рисков, связанных с процессом;

-    знание риска процесса;

-    понимание вклада существующей функции безопасности в общее снижение риска;

-    определение каждой функции безопасности, требующейся для снижения риска процесса до приемлемого уровня;

-    сравнение полученной оценки риска процесса с целевым значением.

Метод полуколичественного анализа требует значительных ресурсов, но имеет достоинства, которые не обеспечивают качественные подходы. При определении опасностей этот метод базируется в большой степени на экспертных оценках команды специалистов, обеспечивает ясный способ управления существующими системами безопасности, основанными на других технологиях, использует средства документирования всех мероприятий, которые привели к полученным результатам, и обеспечивает поддержку жизненного цикла.

ГОСТ Р МЭК 61511-3-2018

Для представленного примера с помощью HAZOP-анализа было идентифицировано одно исходное событие (возникновение избыточного давления), которое повлекло возникновение возможности выброса вещества в окружающую среду. Необходимо отметить, что используемый в данном пункте подход является комбинацией количественной оценки частоты возникновения опасного события и качественной оценки его последствий. Данный подход применяют для иллюстрации систематической процедуры, которой рекомендуется следовать для определения опасных событий и функций безопасности ПСБ.

В.3.5 Анализ рисков существующих процессов

Следующий шаг состоит в установлении факторов, которые могут способствовать возникновению исходного события. На рисунке В.2 показано простое дерево ошибок, на котором представлен ряд причин возникновения чрезвычайно высокого давления в емкости. Событие верхнего уровня — чрезмерное повышение давления в емкости — может быть вызвано отказом основной системы управления процессом (например, контура управления потоком) или внешним фактором — пожаром (см. таблицу В.1).

Дерево ошибок наглядно представляет воздействие отказа ОСУП на процесс, а частоту наружного пожара полагают незначительной. Сама ОСУП не выполняет каких-либо функций защиты. Ее отказ, однако, приводит к росту числа запросов к ПСБ. Таким образом, при наличии надежной ОСУП запросов к ПСБ будет меньше.

Дереву ошибок можно поставить в соответствие количественные оценки. В настоящем примере предполагается, что частота появления условий чрезвычайно высокого давления будет порядка 10^-1 в год. Необходимо учесть, что каждая причина, показанная на рисунке В.2, предполагается независимой (т. е. отсутствуют взаимовлияния) от других причин, с интенсивностью отказов, выраженной как события в год.

Обозначения:

О

д

— основное событие;

— входной ключ

Рисунок В.2 — Дерево ошибок при превышении давления в емкости

Примечание — На рисунке В.2 представлено дерево ошибок без учета мер защиты.

11

После установления частоты появления исходного события, используя средства анализа дерева событий, проводят моделирование реакции систем безопасности (успешная работа или отказ) на аномальные условия. Данные по надежности систем безопасности могут быть взяты из эксплуатационных данных, опубликованных баз данных или получены по результатам прогноза, полученным методом моделирования надежности.

Для рассматриваемого примера использованы реальные данные по надежности, а не данные, взятые из литературы или полученные в результате прогнозирования работы системы. На рисунке В.З показаны возможные сценарии потенциального выброса, которые могут произойти в условиях повышения давления. В результате моделирования таких случаев были получены: а) частота возникновения каждой из приводящих к аварии последовательностей событий и Ь) качественная оценка последствий в виде выброса воспламеняющихся материалов.

На рисунке В.З показаны пять вариантов развития опасных событий, причем для каждого приведены частота появления и последствия возможного выброса. Реализация сценария 1 включает реакцию оператора на аварийную сигнализацию о высоком давлении, что происходит с частотой 8- 10“²в год, и эти действия оператора приводят к уменьшению выпуска продукции без выброса. Такая авария соответствует исходным условиям, принятым при проектировании процесса, а оператор обучен и протестирован для выполнения соответствующих действий, обеспечивающих достижение снижения риска.

Более того, условиям проектирования соответствуют также сценарии 2 и 4, при которых происходит выброс воспламеняющихся материалов с общей частотой 1,9-10~² в год (9-10~³ + 1 ■ 10^-2). Общая частота возникновения аварий для сценариев 3 и 5, для которых характерны повреждение емкости и выброс материала в окружающую среду, равна 1,9 ■ 10^-4 в год (9 ■ 10^-5 + 1-10^-4).

Сброс газа

Сигнал высокого давления	Реакция оператора	Клапан сброса давления (PRV)
НС31		НСЗ 2

Срабатывание

Срабатывание 0,9 Срабатывание Отказ контура управления потоком 0,9 Отказ 0,99 0,1 Отказ 0,01 10"1 в гсщ Срабатывание Отказ 0,99 0,1 Отказ

_2

1    Нет сброса в систему сброса газа, 8-10 год.

-3

2    Сброс через PRV в систему сброса газа, 8-10 год.

-4

3    Сброс в атмосферу, 9-10 гсщ.

-3

4    Сброс через PRV в систему сброса газа, 9-10 год.

_з

5    Сброс в атмосферу, 1-10 гсщ.

0,01

Примечание — Результаты были округлены до первой значащей цифры.

Рисунок В.З — Опасные события при существующих системах безопасности

ГОСТ Р МЭК 61511-3-2018

Примечание — В некоторых применениях частота и вероятность отказов по запросу не могут быть получены умножением, как показано в рисунке В.З. Это может произойти из-за влияния отказов по общей причине и общих зависимостей между различными слоями защиты (см. Приложение J).

Следует отметить, что при анализе не принималась во внимание возможность отказа по общей причине сигнализатора высокого давления и отказа датчика уровня в составе ОСУП. Такого рода отказы по общей причине могут привести к существенному увеличению частоты аварий по сценарию 3 и, следовательно, к увеличению риска.

Примечание — Предполагается, что события, изображенные на рисунке В.З, независимы. Более того, указанные данные являются приближенными, поэтому сумма частот всех возникающих аварий приближается к частоте исходного события (0,1 в год).

В.3.6 События, не отвечающие целевому уровню безопасности процесса

Как отмечалось ранее, в соответствии с конкретными руководящими указаниями для технологического объекта устанавливается целевой уровень безопасности процесса: выброс материала в окружающую среду должен происходить с частотой, не превышающей 10~⁴ раз в год. Общая частота выбросов в окружающую среду составляет 1,9- 10^-5 (сценарий 3) + 1,9-10^-4 (сценарий 5) = 1,92- 10~⁴в год, что больше, чем целевой уровень безопасности процесса. Учитывая данные о частоте возникновения опасных событий и данные о последствиях, представленные на рисунке В.З, для сценариев выброса 2, 3 и 5 необходимо дополнительное снижение риска, чтобы частота выбросов была ниже целевого уровня безопасности процесса.

В.3.7 Снижение риска путем использования других слоев защиты

Прежде чем установить необходимость функции безопасности ПСБ, следует рассмотреть слои защиты, использующие другие технологии. Система пожаротушения (потоком воды) перечислена в качестве меры защиты в таблице В.1, но она не предотвращает повреждение сосуда или выброс в окружающую среду.

Учитывая, что цель анализа состоит в том, чтобы минимизировать риск, связанный с выбросами материала в окружающую среду, можно заключить, что система пожаротушения (потоком воды) не является приемлемой схемой снижения риска повреждения сосуда или выброса в окружающую среду. Система пожаротушения (потоком воды) действительно снижает риск для персонала и эскалации событий, что в данном примере не оценивается.

В.3.8 Снижение риска путем использования функции безопасности ПСБ

Целевой уровень безопасности процесса не может быть достигнут применением слоев защиты, использующих другие технологии. Для уменьшения общей частоты выбросов в атмосферу требуется новая ПСБ, реализующая функцию безопасности сУПБ 2, чтобы обеспечить достижение целевого уровня безопасности процесса. Такая новая ПСБ показана в рисунке В.4.

Нет необходимости в данном пункте выполнять детальный проект функции безопасности ПСБ. Вполне достаточна общая концепция ее проекта. Цель на данном шаге состоит в том, чтобы определить, обеспечит ли новая ПСБ, реализующая функцию безопасности с УПБ 2, необходимое снижение риска и достижение целевого уровня безопасности процесса. Детальное проектирование функции безопасности ПСБ необходимо выполнять только после того, как для нее будет определен целевой уровень безопасности процесса. Для данного примера новая функция безопасности ПСБ использует сдвоенный специально предназначенный для безопасности датчик давления (на рисунке В.4 не показан), включенный по схеме 1оо2 и связанный с логическим решающим устройством, которое также управляет дополнительным отсечным клапаном и насосом.

Примечание — Обозначение 1оо2 означает «один из двух», т. е. любой из сдвоенных датчиков может послать сигнал, останавливающий процесс.

Новая функция безопасности ПСБ с УПБ 2 предназначена для уменьшения частоты выбросов из сосуда, находящегося под высоким давлением. На рисунке В.4 изображен новый слой защиты и представлены все потенциально опасные сценарии. Как можно видеть на этом рисунке, частота выбросов из такой емкости может быть снижена до значения 10“⁴ в год и ниже, и целевой уровень безопасности процесса может быть достигнут при условии, что полученная в результате функция безопасности ПСБ отвечает требованиям УПБ 2.

На рисунке В.4 определены семь возможных сценариев, для каждого из которых даны частота возникновения и качественное описание последствия. Частота сценария 1 совпадает с ранее рассмотренной. Реакция оператора происходит с частотой 8-10^-2 в год и приводит к уменьшению выпуска продукции.

В этом проекте успешная работа ПСБ приводит к остановке процесса с частотой 1,9-10^-2 в год. ПСБ уменьшает интенсивность запроса процесса к клапану сброса давления (PRV). Частота реализации сценария 3, включающая сброс из PRV в систему сброса газа, снижена на два порядка величины по сравнению с предыдущим случаем до 9-10^-5 в год. В сценарии 4 опасное событие с выбросом материала в окружающую среду происходит с частотой 9 ■ 10^-7 в год.

В сценарии 5 сброс в систему сброса не происходит в результате остановки процесса с помощью ПСБ с частотой 1 ■ 1СГ² в год. Если ПСБ не действует, то PRV обеспечивает следующую функцию безопасности, как показано в сценарии 6, и открывает систему сброса. Открытие PRV происходит с частотой 1 ■ 10“⁴ в год. Общая частота сброса в систему сброса, определяется сценариями 3 и 6, которая вычисляется как сумма их полных

13

ГОСТ Р МЭК 61511-3-2018

Содержание

1    Область применения..................................................................1

2    Нормативные ссылки..................................................................2

3    Термины, определения и сокращения....................................................2

Приложение А (справочное) Риск и полнота безопасности. Общие требования...................3

Приложение В (справочное) Полуколичественный метод. Анализ дерева событий................8

Приложение С (справочное) Метод матрицы слоев безопасности.............................15

Приложение D (справочное) Полукачественный метод. Калиброванный граф риска..............19

Приложение Е (справочное) Качественный метод. Граф риска................................26

Приложение F (справочное) Анализ слоев защиты..........................................29

Приложение G (справочное) Анализ слоев защиты, используя матрицу риска...................35

Приложение Н (справочное) Качественный подход для оценки риска и назначение

уровня полноты безопасности (УПБ).........................................49

Приложение I (справочное) Создание и калибровка графа риска..............................59

Приложение J (справочное) Многоконтурные системы безопасности...........................63

Приложение К (справочное) Принцип снижения риска настолько, насколько это практически

целесообразно (принцип ALARP), и концепция приемлемого риска...............73

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам...............................................75

ГОСТ Р МЭК 61511-3-2018

Приложение С (справочное)

Метод матрицы слоев безопасности

С.1 Введение

Для каждого технологического процесса снижение риска должно начинаться уже на стадии проектирования процесса при выборе наиболее важных решений: при выборе собственно процесса и его местоположения, при принятии решения о запасах опасных реагентов и их размещении. Минимизация запасов опасных химических компонентов, применение таких трубопроводных и теплообменных систем, которые физически исключают нежелательное смешивание активных химических веществ, выбор толстостенных сосудов, способных противостоять максимально возможным давлениям в процессе, выбор теплоносителя, максимальная температура которого ниже температуры разложения реагентов, — все эти проектные решения по процессу снижают эксплуатационные риски. Такое внимание к снижению риска путем тщательного выбора конструктивных и технологических параметров процесса — это ключ к созданию безопасного процесса. Рекомендуется и в дальнейшем продолжать поиски путей снижения опасности и применения заведомо безопасных проектных решений. К сожалению, даже используя в максимальной степени эту философию проектирования, не удается полностью исключить потенциальную опасность и приходится применять дополнительные защитные меры.

В промышленных технологических процессах для их защиты применяют многочисленные слои защиты, как это показано на рисунке С.1. Каждый слой защиты, показанный на этом рисунке, состоит из специального оборудования и/или элементов административного управления, которые, действуя совместно с другими слоями защиты, уменьшают риск процесса и/или управляют им.

Концепция слоев защиты (СЗ) базируется на трех основных принципах:

a)    слой защиты представляет собой совокупность технических средств и/или организационных мер, которые функционируют в согласии с другими слоями защиты, обеспечивая снижение риска процесса или управление им;

b)    слой защиты должен удовлетворять следующим критериям:

- снижать определенный риск по меньшей мере в 10 раз,

15

Введение

Приборные системы безопасности (ПСБ) уже в течение многих лет используют для выполнения функций безопасности (ФБ ПСБ) в промышленных процессах. Для эффективного применения приборных систем безопасности при выполнении ФБ ПСБ необходимо, чтобы они соответствовали определенному минимальному уровню стандартизации.

Область применения комплекса стандартов МЭК 61511 — ПСБ, применяемые в промышленных процессах. Комплекс стандартов МЭК 61511 также рассматривает проведение анализа опасности и риска процесса для обеспечения формирования спецификации приборных систем безопасности. Вклад других систем безопасности учитывается только по отношению к требованиям к эффективности приборных систем безопасности. ПСБ включает все устройства, необходимые для выполнения каждой ФБ ПСБ, — от датчика(ов) до исполнительного(ых) элемента(ов).

В основе комплекса стандартов МЭК 61511 лежат две фундаментальные концепции, необходимые для ее применения: концепция жизненного цикла системы безопасности и концепция уровней полноты безопасности (УПБ).

Комплекс стандартов МЭК 61511 рассматривает ПСБ, использующие электрические/электрон-ные/программируемые электронные технологии. Если для логических устройств используют другие принципы действия, то следует применять основные положения МЭК 61511, чтобы гарантировать выполнение требований к функциональной безопасности. Комплекс стандартов МЭК 61511 также рассматривает датчики и исполнительные элементы ПСБ независимо от принципа их действия. Комплекс стандартов МЭК 61511 является конкретизацией для промышленных процессов общего подхода к вопросам обеспечения безопасности, представленного в комплексе стандартов МЭК 61508:2010.

Комплекс стандартов МЭК 61511 устанавливает подход, минимизирующий стандартизацию деятельности для всех стадий жизненного цикла ПСБ. Этот подход был принят в целях реализации рациональной и последовательной технической политики.

В большинстве ситуаций безопасность лучше всего может быть достигнута с помощью проектирования безопасного в своей основе процесса. Но при необходимости процесс может быть дополнен системами защиты или системами, с помощью которых достигается любой установленный остаточный риск. Системы защиты основаны на применении различных технологий: химических, механических, гидравлических, пневматических, электрических, электронных, программируемых электронных. Любая стратегия обеспечения безопасности должна рассматривать каждую конкретную ПСБ в контексте других систем защиты. Для облегчения применения такого подхода комплекс стандартов МЭК 61511:

-    требует, чтобы выполнялась оценка опасностей и рисков для определения общих требований к безопасности;

-    требует, чтобы выполнялось распределение требований к безопасности в (по) приборной(ым) системе(ам) безопасности;

-    реализует подход, который применим ко всем приборным мерам обеспечения функциональной безопасности;

-    подробно рассматривает применение определенных действий по управлению безопасностью, которые могут быть применены ко всем методам обеспечения функциональной безопасности;

-    охватывает все стадии жизненного цикла системы безопасности — от разработки первоначальной концепции, проектирования, внедрения, эксплуатации и технического обслуживания вплоть до утилизации;

-    дает возможность, чтобы существующие или новые стандарты в разных странах, регламентирующие конкретные промышленные процессы, были с ним гармонизированы.

Комплекс стандартов МЭК 61511 призван привести к высокому уровню согласованности (например, основных принципов, терминологии, информации) в рамках конкретных промышленных процессов. Это принесет преимущества как в плане безопасности, так и в плане экономики.

В пределах своей юрисдикции соответствующие регулирующие органы (например, национальные, федеральные, штата, провинции, округа, города) могут устанавливать такие правила к процессу проектирования системы безопасности, к процессу управления безопасностью или другие правила, которые должны превалировать над требованиями, определенными в МЭК 61511-1.

Настоящий стандарт содержит руководство по определению требуемых уровней полноты безопасности, используя анализ опасности и риска (АОР). Содержащаяся в настоящем стандарте информация предназначена для проведения глубокого анализа различных общих методов применения АОР. Для применения любого из этих методов представленной информации недостаточно.

ГОСТ Р МЭК 61511-3-2018

Перед применением настоящего стандарта следует ознакомиться с концепцией и определением понятия «уровень полноты безопасности», приведенными в МЭК 61511-1:2016. Приложения к настоящему стандарту рассматривают следующие вопросы:

Приложение А содержит общую информацию для всех рассматриваемых ниже методов оценки различных опасностей и рисков.

Приложение В содержит обзор полуколичественного метода определения требуемого УПБ.

Приложение С содержит обзор метода матриц безопасности для определения требуемого УПБ.

Приложение D содержит обзор метода, использующего для определения требуемого УПБ полу-качественный подход графа рисков.

Приложение Е содержит обзор метода, использующего для определения требуемого УПБ качественный подход графа рисков.

Приложение F содержит обзор метода, использующего для выбора требуемого УПБ анализ слоев защиты (АСЗ).

Приложение G содержит анализ слоев защиты, использующий матрицу риска.

Приложение Н содержит обзор качественного подхода для оценки риска и назначения УПБ.

Приложение I содержит обзор основных этапов проектирования и калибровки графа рисков.

Приложение J содержит обзор влияния многоконтурных систем безопасности на определение требуемого УПБ.

Приложение К содержит обзор основных положений метода приемлемого риска и метода ALARP.

На рисунке 1 представлена общая структура комплекса стандартов МЭК 61511 и показана роль, которую комплекс стандартов МЭК 61511 играет в достижении функциональной безопасности для ПСБ.

V

ГОСТ Р МЭК 61511-3-2018

VI

ЧАСТЬ 1

Разработка общих требований к безопасности (концепция, определение области применения, анализ опасностей и рисков)

Раздел 8

I

- ЧАСТЬ    1    -

Распределение требований безопасности по функциям безопасности и разработка спецификации требований к безопасности Разделы 9 и 10

Разработка приборных функций безопасности Раздел 11

''

ЧАСТЬ 1

V

д

t

ЧАСТЬ 1

Разработка ПО приборных функций безопасности Раздел 12

Верификация Раздел 7

ЧАСТЬ 1

Заводские приемочные испытания, монтаж, приемка и подтверждение соответствия безопасности приборных систем безопасности Разделы 13,14 и 15

Требования к информации Раздел 19

ЧАСТЬ 1

ЧАСТЬ 1

Эксплуатация и обслуживание, модификация и модернизация, снятие с эксплуатации или демонтаж приборных систем безопасности Разделы 16,17 и 18

Руководство по применению части 1

-1 ЧАСТЬ 21-

Руководство по определению требующихся уровней полноты безопасности

-ЧАСТЬ    3|-

Рисунок 1 — Общая структура комплекса стандартов МЭК 61511

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

БЕЗОПАСНОСТЬ ФУНКЦИОНАЛЬНАЯ Системы безопасности приборные для промышленных процессов

Часть 3

Руководство по определению требуемых уровней полноты безопасности

Functional safety. Safety instrumented systems for the process industry sector.

Part 3. Guidelines for the determination of the required safety integrity levels

Дата введения — 2019—07—01

1 Область применения

Настоящий стандарт содержит:

-    основные положения концепции риска и описание отношения между риском и полнотой безопасности (см. А.4, приложение А);

-    определение допустимого риска (см. приложение К);

-    описание различных методов, позволяющих определить уровень полноты безопасности (УПБ) для функций безопасности ПСБ (см. приложения В—К);

-    влияние многоконтурных систем безопасности на вычисления, определяющие способность достигнуть желаемого снижения риска (см. приложение J).

В частности, настоящий стандарт:

a)    применяют в случаях, когда функциональная безопасность достигается путем использования одной или более функций безопасности ПСБ для защиты персонала, населения или окружающей среды;

b)    может быть применен на объектах, не требующих обеспечения безопасности, например для защиты имущества;

c)    иллюстрирует типичные методы оценки опасностей и рисков, которые могут быть выполнены для определения требований к функциональной безопасности, а также УПБ каждой из функций безопасности ПСБ;

d)    иллюстрирует методы и/или средства, позволяющие определить требуемые УПБ;

e)    содержит структуру работ по установлению УПБ, но не определяет УПБ для конкретных случаев применения;

f)    не содержит примеров определения требований к иным методам снижения рисков.

Приложения В—К упрощенно иллюстрируют количественные и качественные подходы. Эти приложения были включены лишь для иллюстрации общих принципов, положенных в основу ряда используемых методов, и не могут служить руководством к их практическому применению.

Примечания

1    Тем, кто намеревается практически использовать методы, описанные в упомянутых приложениях, следует обратиться к ссылкам, имеющимся в каждом приложении.

2    Методы определения УПБ, включенные в настоящий стандарт, могут не подойти для всех применений. В частности, для режима с высокой частотой запросов или непрерывного режима работы могут потребоваться конкретные методы или дополнительные факторы, которые в настоящем стандарте не описаны.

Издание официальное

3 Представленные в настоящем стандарте методы могут привести к неконсервативным результатам, если они используются за пределами их областей применения и если должным образом не рассматривают такие факторы, как общая причина, отказоустойчивость, общесистемные свойства приложения, отсутствие опыта использования методов, независимость слоев защиты и т. д. См. приложение J.

На рисунке 2 показана совокупность типовых слоев защиты и методов снижения риска.

РЕАГИРОВАНИЕ НАСЕЛЕНИЯ НА АВАРИЮ. Аварийное радиооповещение

РЕАГИРОВАНИЕ ПРЕДПРИЯТИЯ НА АВАРИЮ. Процедуры эвакуации

ОСЛАБЛЕНИЕ.

Механические системы ослабления последствий. Приборные системы безопасности.

Надзор оператора

f    ПРЕДОТВРАЩЕНИЕ.

Механическая система защиты. Аварийная сигнализация процесса и корректирующие действия оператора. Приборные системы безопасности

Г УПРАВЛЕНИЕ И МОНИТОРИНГ. Л Основные системы управления процессом. Системы мониторинга (аварийная сигнализация процесса).

Надзор оператора

Рисунок 2 — Типовые слои защиты и средства снижения риска

2    Нормативные ссылки

В настоящем стандарте использована нормативная ссылка на следующий международный стандарт (для датированной ссылки применяют только указанное издание ссылочного стандарта):

IEC 61511-1:2016, Functional safety — Safety instrumented systems for the process industry sector — Part 1: Framework, definitions, system, hardware and application programming requirements («Безопасность функциональная. Приборные системы безопасности, для технологических процессов в промышленности. Часть 1. Термины, определения и технические требования»)

3    Термины, определения и сокращения

В настоящем стандарте применены термины, определения и сокращения, приведенные по МЭК 61511-1 (раздел 3).

Приложения настоящего стандарта являются справочными и не обязательными. Кроме того, применение любого конкретного метода, описанного в приложениях настоящего стандарта, не гарантирует соответствия требованиям МЭК 61511-1:2016.

2

ГОСТ Р МЭК 61511-3-2018

Приложение А (справочное)

Риск и полнота безопасности. Общие требования

А.1 Общие сведения

В данном разделе приведена информация об основополагающих концепциях риска и связи рисков с полнотой безопасности. Эта информация является общей для всех рассматриваемых ниже методов оценки различных опасностей и рисков.

А.2 Необходимая степень снижения риска

Необходимая степень снижения риска, которая может быть установлена либо качественно (см. примечание 1), либо количественно (см. примечание 2), — это такое снижение риска, которое должно быть обеспечено для достижения уровня риска (например, целевого уровня безопасности процесса), приемлемого в конкретной ситуации. Концепция необходимого снижения риска является фундаментально важной для формулирования спецификации требований безопасности для функций безопасности ПСБ (в частности, требований к полноте безопасности). Цель определения приемлемого риска (например, целевого уровня безопасности процесса) в случае конкретного опасного события состоит в установлении величины «разумного» риска, учитывающего как частоту возникновения опасных событий, так и их специфические последствия. Слои защиты (см. рисунок А.2) разрабатываются так, чтобы уменьшить частоту возникновения опасных ситуаций и/или их последствия.

Важными факторами для оценки величины приемлемого риска являются восприятие и точки зрения тех лиц, которые подвергаются опасности. При определении приемлемого риска для конкретного применения необходимо учитывать:

-    указания соответствующих регулирующих органов;

-    обсуждения и соглашения между различными сторонами, принимающими участие в данном применении;

-    промышленные стандарты и руководства;

-    промышленные, экспертные и научные советы;

-    законодательные и регулирующие требования, как общие, так и относящиеся к конкретному применению.

Примечания

1    При определении необходимой степени снижения риска следует предварительно установить приемлемый риск. В МЭК 61508-5:2010, приложения D и Е, рассмотрены качественные и полуколичественные методы, хотя в рассмотренных там примерах необходимое снижение риска представлено, скорее, в неявном виде и не установлено точно.

2    Например, опасное событие, приводящее к определенным последствиям, как правило, характеризуется максимальной частотой повторений в год.

А.З Роль приборных систем безопасности

ПСБ реализует функции безопасности, необходимые для достижения или для поддержания безопасного состояния процесса, и, следовательно, вносит вклад в решение задачи необходимого снижения риска для достижения приемлемого риска. Например, в спецификации требований к функциям безопасности может быть указано, что если температура достигает значение х, то клапан у открывается, обеспечивая поступление воды в емкость.

Необходимое снижение риска может достигаться с помощью одной или комбинации нескольких ПСБ либо с помощью других слоев защиты.

В выполнении функции безопасности может участвовать человек. Например, оператор может получать информацию о состоянии процесса и выполнять основанные на этой информации некоторые действия в системе безопасности. Если человек является частью функции безопасности, то должны быть учтены все человеческие факторы.

ПСБ может действовать по запросу или в непрерывном режиме.

Считается, что полнота безопасности состоит из двух частей:

a)    полнота безопасности аппаратных средств — это часть полноты безопасности, связанная со случайными отказами аппаратных средств, причем относящимися к опасным отказам. Факт достижения установленного уровня полноты безопасности аппаратных средств можно оценить с разумным уровнем точности. Поэтому требования могут быть распределены между подсистемами, используя известные правила комбинации вероятностей с учетом отказов по общей причине. Для достижения требуемой полноты безопасности аппаратных средств может оказаться необходимым применение структур с резервированием;

b)    систематическая полнота безопасности — эта часть полноты безопасности связана с систематическими отказами, относящимися к опасным отказам. Хотя влияние отдельных систематических отказов на полноту безопасности можно оценить, данные по отказам, вызванным ошибками при проектировании, и отказам по общей причине указывают на то, что влияние этих отказов бывает сложно предсказать. При этом увеличивается неопределенность в расчетах вероятности отказов в конкретной ситуации (например, вероятности отказов ПСБ). Следовательно, необходимо обосновать, какие способы минимизации этой неопределенности окажутся наиболее эффективными. Нужно

3

отметить, что меры, принятые для уменьшения вероятности случайных отказов аппаратных средств, не должны обязательно приводить к снижению вероятности систематических отказов. Такие технические решения, как резервирование в виде организации параллельных каналов с идентичным оборудованием, которые являются весьма эффективными для случайных отказов аппаратных средств, мало полезны для уменьшения систематических отказов.

Общее снижение риска, достигаемое функциями безопасности ПСБ вместе со средствами других слоев защиты, должно быть таким, чтобы обеспечить:

-    частоту отказов функций безопасности, достаточно низкую для того, чтобы частота опасных событий не превышала бы значения, соответствующего приемлемому риску, и/или

-    возможность того, что функции безопасности так изменяют последствия отказов, чтобы риск не превышал значение приемлемого риска.

Рисунок А. 1 иллюстрирует общую концепцию снижения риска. Общая модель предполагает следующее:

-    имеется процесс и связанная с ним основная система управления процессом (ОСУП);

-    существует связанный с процессом человеческий фактор;

-    слои защиты безопасности включают в свой состав:

-    механическую систему защиты,

-    приборные системы безопасности,

-    неприборные системы,

-    механическую систему ослабления последствий.

Примечание — На рисунке А.1 представлена обобщенная модель риска, иллюстрирующая общие принципы. Модель риска для конкретного случая должна составляться с учетом конкретных приемов, с помощью которых на базе ПСБ и других слоев защиты фактически достигается необходимое снижение риска. Результирующая модель риска в конкретном случае может отличаться от представленной на рисунке А.1.

На рисунках А.1 и А.2 показаны следующие риски:

-    риск процесса. Это риск наличия конкретных опасных событий для процесса. При этом учитывается наличие основной системы управления процессом и человеческого фактора. При определении этого риска не рассматриваются какие бы то ни было специальные средства защиты безопасности;

-    приемлемый риск (заданный уровень безопасности процесса). Риск, который считается приемлемым в данном контексте на основе принятой в обществе системы ценностей;

-    остаточный риск. В контексте настоящего стандарта это риск возникновения опасных событий при условии применения всей совокупности слоев защиты.

Риск процесса является функцией от риска, связанного с самим процессом, но учитывающего также снижение риска, достигнутое благодаря применению системы управления процессом. Для того чтобы избежать неразумных требований к полноте безопасности ОСУП, настоящий стандарт устанавливает ограничения на возможные требования.

Необходимое снижение риска — это уменьшение уровня риска до такого минимального значения, который необходим для обеспечения приемлемого риска. Оно может достигаться с помощью как одного способа, так и комбинацией способов снижения риска. Процесс необходимого снижения риска, обеспечивающий достижение конкретного приемлемого риска от начального значения риска процесса, показан на рисунке А.1.

Примечание — В некоторых применениях для достижения целевого риска параметры риска (например, частота и вероятность отказа по запросу) не могут быть просто объединены, как представлено в рисунке А.1, без учета факторов, отмеченных в приложении J. Это может произойти из-за влияния отказов по общей причине и общих зависимостей между различными слоями защиты.

А.4 Риск и полнота безопасности

Очень важно полностью осознать разницу между риском и полнотой безопасности. Риск — это мера частоты появления и последствий конкретного опасного события. Его можно оценить для различных ситуаций (риск процесса, приемлемый риск, остаточный риск и т. д., см. рисунок А.1). При определении приемлемого риска учитывают социальные и политические факторы. Полнота безопасности — это мера вероятности того, что функция безопасности ПСБ и другие слои защиты обеспечат установленную безопасность. Только после того как приемлемый риск установлен и получена оценка величины необходимого снижения риска, можно определить требования к полноте безопасности ПСБ.

Примечание — Такая процедура может носить итеративный характер, что позволит осуществить оптимизацию разработки в целях выполнения различных требований. Роль, которую играют функции безопасности при достижении необходимого снижения риска, показаны на рисунках А.1 и А.2.

А.5 Распределение требований к безопасности

На рисунке А.4 показано распределение требований к безопасности (требований как к функциям безопасности, так и к полноте безопасности) по различным ПСБ и другим слоям защиты. Требования к процессу распределения даны в МЭК61511-1, раздел 9.