Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2018 г. N 467-ст)
- Приложение D (справочное). Полукачественный метод. Калиброванный граф риска
Приложение D (справочное). Полукачественный метод. Калиброванный граф риска
Приложение D
(справочное)
Полукачественный метод. Калиброванный граф риска
D.1 Введение
Данное приложение базируется на общей схеме формирования графа риска, описанной в МЭК 61508-5, Е.1. Настоящее приложение адаптировано таким образом, чтобы лучше соответствовать потребностям технологических процессов в промышленности.
В данном приложении описан метод калиброванного графа риска, применяемый для определения УПБ функций безопасности ПСБ. Этот полукачественный метод позволяет при известных факторах риска, связанных с процессом и базовой системой управления, определить УПБ функций безопасности ПСБ.
В принятом подходе используется ряд параметров, которые в совокупности описывают природу опасной ситуации, возникающей в случае отказа ПСБ или при ее отсутствии. В каждом из четырех наборов параметров выбирается по одному. Выбранные параметры затем объединяются, чтобы решить, какому уровню полноты безопасности должны соответствовать функции безопасности ПСБ. Эти параметры:
- позволяют получить ранжированную оценку рисков и
- представляют собой ключевые факторы оценки риска.
Подход, связанный с применением графа риска, может быть также использован для определения необходимости снижения риска в случае, когда последствия связаны с существенным ущербом для окружающей среды или с материальными потерями. Цель настоящего приложения - предложить руководство по применению метода.
Сначала в настоящем приложении рассматриваются вопросы защиты персонала от опасности. Представлена одна из возможностей применения к технологическому процессу общего графа риска, приведенного в МЭК 61508-5 (рисунок Е.1). В заключение рассматривается применение метода графа риска для защиты окружающей среды и имущества.
D.2 Синтез графа риска
Риск определяется как комбинация вероятности возникновения вреда и серьезности этого вреда (см. МЭК 61511-1, раздел 3). Обычно применительно к технологическому процессу риск является функцией следующих четырех параметров:
- последствия опасной ситуации (С);
- нахождение в опасной зоне (вероятность того, что в подверженной опасности области находятся люди) (F);
- вероятность того, что опасности можно избежать (Р);
- интенсивность запросов (число случаев за год, когда опасная ситуация возникает в отсутствие рассматриваемой функции безопасности ПСБ) (W).
Если граф риска применяется для определения УПБ функции безопасности, выполняемой в непрерывном режиме, то следует рассмотреть необходимость изменения параметров, используемых в графе риска. Такие параметры (см. таблицу D.1) должны представлять собой факторы риска, которые наилучшим образом соотносятся с характеристиками рассматриваемого объекта. Необходимо также будет рассмотреть соответствие уровней полноты безопасности результатам решений по выбору параметров, поскольку для снижения риска до допустимого уровня может понадобиться некоторая настройка. Например, параметр W может быть переопределен как общее время работы системы, выраженное в процентах от общего времени ее существования. При таком выборе W1 опасность не является непрерывно действующим фактором и период времени, в котором отказ будет приводить к появлению опасности, будет составлять малую долю года. В этом примере следует пересмотреть и другие параметры, чтобы соответствующие критерии принятия решения и пересмотренные результаты определения УПБ гарантировали допустимый риск.
Таблица D.1 - Описание параметров графа риска для промышленных процессов
|
Параметр |
Описание |
|
|
Последствия |
С |
Число жертв и/или серьезных травм, которые, вероятно, появятся в результате опасного события. Определяется путем подсчета числа людей в подверженной опасности области с учетом их уязвимости по отношению к опасному событию |
|
Нахождение в опасной зоне |
F |
Вероятность того, что в подверженной опасности области во время опасного события находятся люди. Определяется путем расчета доли времени, в течение которого в области находились люди, по отношению ко времени действия опасного события. При этом следует исходить из большей вероятности нахождения людей в опасной области, что позволит изучить нештатные ситуации, которые могут возникнуть при развитии опасного события (следует также оценить, не приведет ли это к необходимости пересмотра параметра С) |
|
Вероятность того, что опасности можно избежать |
Р |
Вероятность того, что люди могут избежать опасной ситуации, которая существует при отказе функции безопасности ПСБ, выполняемой по запросу. Она зависит от того, существуют ли независимые способы предупреждения людей об опасности, прежде чем она возникнет, и о путях эвакуации |
|
Интенсивность запросов |
W |
Количество случаев в год, когда опасное событие происходит при отсутствии рассматриваемой функции безопасности ПСБ. Его можно определить, рассмотрев все отказы, приводящие к опасному событию, и оценив общую частоту происшествий. Другие СЗ также должны учитываться |
D.3 Калибровка
Процесс калибровки преследует следующие цели:
a) описать все параметры таким образом, чтобы дать возможность команде, занимающейся оценкой УПБ, сделать объективное заключение, основанное на характеристиках объекта;
b) обеспечить соответствие выбранного для данного объекта УПБ корпоративному критерию риска и обеспечить при определении УПБ учет возможного риска со стороны других источников;
c) обеспечить проверку процесса выбора параметров.
Калибровка графа риска - это процесс присвоения численных значений параметрам графа риска. При этом формируется базис для оценки существующего риска процесса и оказывается возможным определить требуемую полноту безопасности рассматриваемой функции безопасности ПСБ. Каждому параметру присваивается диапазон значений, таких, что, будучи примененными в комбинации, они позволяют получить количественную оценку риска, существующего в отсутствие данной функции безопасности. Так, устанавливается мера степени доверия функции безопасности ПСБ. Граф риска связывает определенные комбинации параметров риска с УПБ. Связь между комбинациями параметров риска и УПБ устанавливается путем рассмотрения величины допустимого риска, связанного с конкретной опасностью. В приложении I см. описание процесса калибровки (I.2 и I.4.7).
Рассматривая калибровку графа риска, важно принять во внимание требования к риску, возникающие как со стороны собственников, так и со стороны регламентирующих органов. Риск для жизни может быть рассмотрен с двух позиций:
- индивидуальный риск - определяется как риск в течение года для лиц, наиболее подверженных риску. Обычно задается максимально допустимое его значение, которое обычно учитывает совокупность воздействий от всех источников опасности;
- общественный риск - определяется как общий риск в течение года, испытываемый группой лиц. Обычное требование в этом случае состоит в том, чтобы снизить общественный риск по меньшей мере до такого значения, которое может быть воспринято обществом как допустимое и дальнейшее снижение которого связано с непропорциональными по отношению к результату затратами.
Если необходимо снизить индивидуальный риск до определенного максимально допустимого уровня, то нельзя полагать, что такое снижение риска может быть достигнуто применением какой-либо одной ПСБ. Лицо, подвергаемое риску, может находиться под воздействием многих его источников (например, риски падения, пожара, взрыва).
При рассмотрении требуемой степени снижения риска организация может исходить из критериев, связанных с приращением стоимости устранения фатального исхода. Эту величину можно подсчитать, разделив суммированные за год расходы на дополнительное оборудование и технику, обеспечивающие увеличение полноты безопасности, на приращение сокращения риска. Дополнительный уровень полноты безопасности считается оправданным, если приращение затрат на устранение фатального исхода оказывается меньше предусмотренного ранее значения.
Широко применяемый критерий для общественного риска базируется на вероятности F появления N фатальных исходов. Критерий допустимого общественного риска имеет вид кривой или семейства кривых в логарифмической шкале, связывающих число фатальных исходов с частотой несчастных случаев. Проверка соблюдения требований к общественному риску выполняется путем построения кривой, отражающей зависимость накопленной частоты возникновения несчастных случаев от их последствий [кривая F(N)]. Далее следует убедиться, что эта кривая не пересекает кривую допустимого риска. Руководство по разработке критериев для общественных рисков включено в британскую публикацию HSE "Reducing Risks, Protecting People", ISBN 0 7176 2151 0.
Четыре параметра риска, перечисленные в D.2, включены в дерево решений, представленное на рисунке D.1. Все вышеупомянутые проблемы следует принять во внимание перед тем, как установить значения каждого из параметров. Большинству параметров присваивается определенный диапазон (например, если ожидаемая частота запросов конкретного процесса оказывается в пределах определенного уровня значений запросов в год, то можно использовать параметр W3). Аналогично в случае запросов, имеющих частоту на порядок ниже, применяется параметр W2, а на следующем, еще более низком уровне - параметр W1. Присвоение каждому параметру определенного уровня помогает команде специалистов принять решение о том, какое значение параметра выбрать для конкретного объекта. Для калибровки графа риска каждому параметру присваивается или численное значение, или определенный диапазон. Риск, связанный с каждой из комбинаций параметров, далее оценивается с позиций индивидуального и социального риска. Затем можно определить величину снижения риска, удовлетворяющую требованиям (риск должен быть равен или меньше допустимого). С помощью этого метода для каждой комбинации параметров может быть определен уровень полноты безопасности. Нет необходимости проводить эту работу по калибровке каждый раз, когда требуется определить УПБ для конкретного случая. Как правило, бывает достаточно провести эту работу однократно для каждой опасности. Если исходные предположения, принятые при калибровке, оказываются неверными для конкретного проекта, то могут потребоваться уточнения.
Если оценки параметров выполнены, то необходимо располагать информацией о том, как эти оценки были получены.
Важно, чтобы этот процесс калибровки был согласован в организации на верхнем уровне, отвечающем за безопасность. Принятые решения определяют общий достигнутый уровень безопасности.
В общем случае с помощью графа риска сложно определить возможность зависимого отказа между источниками запроса и ПСБ. При этом может потребоваться провести переоценку эффективности ПСБ.
D.4 Организация и состав команды специалистов для определения УПБ
Маловероятно, чтобы отдельный специалист обладал необходимым умением и опытом для принятия самостоятельного решения относительно всех соответствующих параметров. Для этого обычно используют командный подход, причем задача команды - определить уровни полноты безопасности. В состав такой команды, как правило, входят:
- специалист по технологическому процессу;
- инженер - специалист по управлению процессом;
- инженер по эксплуатации;
- специалист по безопасности;
- специалист, имеющий практический опыт эксплуатации рассматриваемого процесса.
Команда обычно рассматривает поочередно каждую функцию безопасности ПСБ. При этом команде требуется иметь подробную информацию о процессе и вероятном числе лиц, подвергающихся риску.
D.5 Оформление документов по результатам определения УПБ
Очень важно, чтобы все решения, принимаемые в процессе определения УПБ, были зафиксированы в документах, связанных с управлением конфигурацией. Из документации должно быть ясно, почему командой были выбраны данные конкретные параметры, связанные с функцией безопасности. Заполненные формы принятых предположений и основанных на них результатах определения УПБ каждой функции безопасности должны быть скомплектованы в досье. Если установлено, что в области, обслуживаемой одной командой, имеется целый ряд систем, выполняющих функции безопасности, то может оказаться необходимым пересмотреть правомерность допущений, принятых при калибровке. В досье следует также включать следующую дополнительную информацию:
- граф риска с описанием всех диапазонов параметров;
- номера всех используемых проектных и измененных документов;
- ссылки на известные допущения и результаты любых исследований, которые были использованы при оценке параметров;
- ссылки на отказы, которые приводили к запросам, и на ошибочные модели развития события, в которых эти отказы были использованы для определения частоты запросов;
- ссылки на источники данных, использованных при определении интенсивности запросов.
D.6 Пример калибровки, основанной на типовых критериях
Таблица D.2, в которой даны описания параметров и диапазоны каждого из них, была составлена в соответствии с конкретными критериями, типичными для химических процессов, по процедуре, рассмотренной выше. Прежде чем использовать эту таблицу в контексте любого проекта, важно подтвердить, что она отвечает требованиям тех лиц, которые несут ответственность за безопасность.
Для модификации параметра, характеризующего последствия, введена концепция степени защищенности, поскольку во многих случаях отказ не приводит к немедленному фатальному исходу. Уязвимость лица, подвергающегося опасности, - это важный аспект анализа риска, поскольку, например, доза опасного воздействия, полученная человеком, может оказаться недостаточной для того, чтобы вызвать фатальный исход. Уязвимость по отношению к последствиям опасного события есть функция концентрации опасности, которой подвергся человек, и длительности воздействия этой опасности. Пусть, например, отказ приводит к повышению давления в сосуде, но не выше давления, при котором он был испытан. Обычно подобный отказ может привести к утечке через фланец. В этом случае события, скорее всего, будут развиваться достаточно медленно, и у обслуживающего персонала будет возможность избежать последствий. Даже в случае большой утечки жидких компонентов развитие опасности будет достаточно медленным, и обслуживающему персоналу с большой вероятностью удастся избежать опасности. Конечно, встречаются случаи, в которых отказ может приводить к разрыву трубопровода или стенки сосуда; в таких случаях уязвимость персонала может быть высокой.
Анализ признаков развития опасного события может привести к увеличению количества людей, находящихся в опасности. Всегда следует рассмотреть наихудший сценарий развития событий.
Важно осознать разницу между "уязвимостью" (V) и "вероятностью того, что опасности можно избежать" (Р), что позволит не учитывать дважды один и тот же фактор. Уязвимость - это мера, которая связана со скоростью развития событий после возникновения опасности, в то время как параметр Р - это мера, связанная с предотвращением опасности. Параметр РА следует применять только в тех случаях, когда опасность может быть предотвращена в результате действий оператора, после того как он придет к выводу, что ПСБ отказала.
Существуют некоторые ограничения на выбор параметров нахождения в опасной зоне. Параметр нахождения в опасной зоне требуется выбирать по наименее защищенному лицу, а не по среднему для всех лиц. Обоснованием этому является стремление обеспечить, чтобы ни такое лицо, ни тем более остальные люди не подвергались высокому риску.
Если какой-либо из параметров не попадает в определенный диапазон, то требования к снижению риска следует установить каким-либо иным методом или провести повторную калибровку графа риска, используя описанные выше методы.
Рисунок D.1 должен всегда использоваться с повторной калибровкой, чтобы настроить критерии риска для производственного помещения. Данный метод нельзя пытаться использовать для любого производственного помещения без подходящих критериев риска. Путь, которым выполняется калибровка, будет зависеть от того, как выражены критерии допустимого риска. Описания параметров должны быть подобраны так, чтобы они соответствовали диапазону предназначенного применения и допустимости риска. Значения С, F, Р или W могут быть изменены. В качестве примера в таблице D.2 показана калибровка, где значение W подбирается с помощью параметра калибровки D так, чтобы настроить его на указанные критерии риска.
Рисунок D.1 - Граф риска. Общая схема
Таблица D.2 - Пример калибровки графа риска общего назначения
|
Параметр риска |
Классификация |
Комментарии |
|
|
Последствия (С). Число фатальных исходов. Подсчитывается умножением числа людей, находящихся в опасной области, на уязвимость к определенной опасности. Уязвимость определяется природой опасности, от которой осуществляется защита. Могут использоваться следующие факторы: V = 0,01 Небольшой выброс воспламеняющихся или токсичных материалов. V = 0,1 Большой выброс воспламеняющихся или токсичных материалов. V = 0,5 То же, что и выше, но велика вероятность возгорания либо высокотоксичный материал. V = 1 Разрушение или взрыв |
СА |
Минимальный ущерб |
a) Система классификации относится к случаям фатального исхода или травм для людей. b) При интерпретации параметров СА, СВ, СС и CD следует принимать во внимание последствия несчастного случая и нормальное их устранение |
|
СВ |
Диапазон 0,01-0,1 |
||
|
СС |
Диапазон > 0,1-1,0 |
||
|
СD |
Диапазон > 1,0 |
||
|
Нахождение в опасной зоне (F). Определяется как доля времени пребывания людей в области, подвергающейся опасности, по отношению к величине периода работы.
Примечания 1 Если время пребывания в опасной зоне различно для различных смен, то следует выбирать наибольшее время. 2 Величину FA следует применять только в тех случаях, когда частота запроса случайна и не зависит от того, превышает ли нахождение в опасной зоне обычное значение. Последнее характерно для случаев, когда запросы возникают при пуске оборудования или во время изучения ненормальных ситуаций |
FA |
От редкого до более частого нахождения в опасной зоне. Нахождения в опасной зоне меньше чем 0,1. |
с) См. выше комментарий а) |
|
FB |
От частого до постоянного пребывания в опасной зоне |
||
|
Вероятность избежать опасного события (Р), если отказывает система защиты |
РА |
Принимается, если выполняются условия графы 4. |
d) РА следует выбирать, только если справедливы следующие условия: - предусмотрены средства оповещения оператора об отказе ПСБ; - предусмотрены независимые средства останова процесса так, чтобы избежать опасности или позволить персоналу эвакуироваться в безопасную зону; - время между оповещением оператора и опасным событием превышает 1 час или явно достаточное для выполнения необходимых действий |
|
РВ |
Принимается, если условия не выполняются |
||
|
Интенсивность (частота) запросов (W). Количество случаев в год возникновения опасного события при отсутствии ПСБ. Для того чтобы определить частоту запроса, необходимо рассмотреть все причины отказа, которые могут привести к возникновению одного и того же опасного события. При определении интенсивности запросов роль системы управления и ее вмешательство в ход процесса следует учитывать в минимальной степени. Если система спроектирована и эксплуатируется не в соответствии с МЭК 61511, то ее функционирование ограничено уровнем безопасности ниже, чем УПБ 1. Частота запросов (W) равна частоте запросов к рассматриваемой функции безопасности ПСБ |
W1 |
Частота запросов меньше чем 0,1 D в год. |
е) Цель введения фактора W - оценить частоту появления опасности без ПСБ. Если частота запроса очень велика, то УПБ следует определять либо другим методом, либо путем повторной калибровки графа риска. Следует отметить, что методы графа риска могут оказаться не лучшим решением задачи, если объект работает в непрерывном режиме (см. МЭК 61511-1, пункт 3.2.39.2). f) D является параметром калибровки, значение которого следует определять, исходя из корпоративного критерия допустимого риска с учетом других источников риска для людей, ему подвергающихся. Числовые значения, которые будут использоваться для каждого значения W в таблице, должны быть получены с помощью процедуры калибровки графа риска, описанной в D.3 или приложении I |
|
W2 |
Частота запросов лежит в диапазоне 0,1 D и В в год. |
||
|
W3 |
Частота запросов лежит в диапазоне между D и 10 D. При частотах запросов больших, чем 10 D, потребуется более высокий уровень полноты безопасности |
||
|
Примечание - Данный пример предназначен для иллюстрации принципов построения графов риска. Граф риска для конкретного приложения и конкретных опасных ситуаций должен быть согласован с условиями, учитываемыми при определении допустимого риска (см. D.1-D.6). | |||
D.7 Применение графа риска, когда последствия - это причинение вреда окружающей среде
Подход, использующий граф риска, может быть также применен для определения требований уровня полноты безопасности, когда последствия отказа включают причинение серьезного вреда окружающей среде. Необходимый УПБ зависит от характеристик субстанции, попадающей в окружающую среду, и от чувствительности последней. Ниже приведена общая таблица, в которой последствия опасного события сформулированы в терминах окружающей среды. На каждом отдельно размещенном предприятии может быть использовано некое вещество, о наличии которого следует уведомить местные власти. Уже на стадии проектирования следует установить, что может быть приемлемым для конкретного местоположения.
Описанные выше последствия опасного события могут быть использованы для анализа совместно со специальной формой графа риска, которая приведена ниже (см. рисунок D.2). Следует отметить, что в этой версии графа риска не используется параметр F, поскольку в этом случае понятие нахождения в опасной зоне не применяют. Остальные параметры Р и W используют, и их определения могут быть идентичны тем, которые были применены выше.
D.8 Применение графа риска для случая имущественных потерь
Метод графа риска можно применить для определения требований к полноте безопасности и в том случае, когда последствия отказа включают потери имущества. Потери имущества - это общие экономические потери, связанные с отказом функционирования по запросу. Они включают потери на восстановление, если был причинен вред оборудованию, а также потерю испорченной или утраченной продукции. Уровень полноты безопасности, соответствующий последствиям, связанным с такими потерями, может быть определен с помощью обыкновенного анализа стоимости. Если метод графа риска применяют для определения уровней полноты безопасности, связанных с последствиями опасного события для окружающей среды, то его целесообразно использовать и для случая имущественного ущерба. При этом требуется определить параметры СА-CD, которые могут изменяться в широких пределах для разных компаний.
Граф риска, аналогичный использованному для случая защиты окружающей среды, может быть сформирован и в случае имущественных потерь. Следует отметить, что в этой версии графа риска не используют параметр F, поскольку в этом случае понятие нахождения в опасной зоне не применяют. Остальные параметры Р и W используют, и их определения могут быть идентичны тем, которые приведены выше.
Таблица D.3 - Общие последствия для окружающей среды
|
Параметр риска |
Классификация |
Комментарии |
|
|
Последствия (С) |
СА |
Выброс, причинивший не очень серьезный вред, но такой, что об этом необходимо доложить местной администрации. |
Умеренный выброс из фланца или клапана. Незначительный разлив жидкости. Небольшое загрязнение земли, не влияющее на подземные воды. |
|
СВ |
Выброс в пределах ограждения (предприятия, объекта) с причинением значительного вреда. |
Облако вредных газов над установкой как следствие выброса из фланца или отказа уплотнения в компрессоре. |
|
|
СС |
Выброс за ограждение с причинением существенного вреда, однако последствия могут быть быстро ликвидированы без значительных длительных последствий. |
Выброс пара или аэрозоля с одновременным выбросом жидкости (или без него), причинивший временный ущерб флоре или фауне. |
|
|
СD |
Выброс за ограждение с причинением существенного вреда, когда последствия не могут быть быстро ликвидированы или имеются значительные длительные последствия |
Сброс жидкости в реку или море. Выброс пара или аэрозоля с одновременным выбросом жидкости (или без него), причинивший длительный ущерб растениям и фауне. Выброс твердых веществ (пыли, катализатора, золы). Выброс жидкости с попаданием в подземные воды |
|
Рисунок D.2 - Граф риска. Случай ущерба для окружающей среды
D.9 Определение УПБ для функции безопасности ПСБ, когда последствия опасного события включают более одного вида потерь
Часто последствия отказа при выполнении действий по запросу связаны с несколькими категориями потерь. В таких случаях требования к УПБ, связанные с каждой из категорий потерь, следует определять отдельно. При этом для анализа каждого вида выявленного риска можно использовать различные методы. Если происходит отказ функции, выполняемой по запросу, УПБ, установленный для такой конкретной функции, должен учитывать кумулятивное воздействие всех выявленных рисков.