Приложение G (справочное). Анализ слоев защиты, используя матрицу риска. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение G
(справочное)

Анализ
слоев защиты, используя матрицу риска

G.1 Общие положения

Приложение G описывает метод оценки опасностей и рисков, который использует анализ слоев защиты (АСЗ), чтобы определить функции безопасности, которые уменьшают частоту событий, связанных с нарушением целостности первичной защитной оболочки (LOPC), до допустимого уровня. Данный метод способствует применению предварительных мер защиты, которые предотвращают LOPC, но он позволяет по мере необходимости рассматривать системы смягчения последствий. Если системы смягчения последствий реализованы, то данный метод требует более точной оценки результата, полученного от развертывания системы смягчения. Так как данный метод не определяет частоту ущерба, связанного с LOPC, то он не рассматривает условия событий после выброса, такие как вероятность воспламенения или нахождения в опасной зоне. Это упрощает метод и нацеливает команду оценки на сокращение событий LOPC посредством учета безопасности в проектных решениях, а также предварительных слоев защиты.

Данный метод использует матрицу риска, чтобы сформировать критерии риска для команды оценки. Матрица риска калибруется, чтобы учесть серьезность последствия, возможного в результате события LOPC. Критерии связаны с безопасностью, экологией и потерей экономического потенциала.

Данный метод исследует опасные события, определенные с помощью любого метода идентификации опасности, подходящего для определенной стадии жизненного цикла процесса. Как минимум, в результате идентификации опасности должны быть описаны опасные события, для которых была выполнена их оценка, и должна быть определена исходная причина (причины) и мера (меры) защиты, которая(ые) предотвращает(ют) или смягчает(ют) это событие (события).

Оценка риска выполняется, используя АСЗ, где определяется риск процесса и выполняется его сравнение с допустимым риском, как определено полуколичественной матрицей риска. Если риск процесса выше допустимого, то определяются функции безопасности и распределяются по независимым слоям защиты (НСЗ), как показано на рисунке G.1 (адаптирован из CCPS, 2007). Некоторые НСЗ являются предотвращающими и направлены на предотвращение опасного события. Другие НСЗ являются ослабляющими и направлены на снижение ущерба, вызванного опасным событием.

Рисунок G.1 - Графическое представление слоев защиты, показывающее предотвращающие и ослабляющие НСЗ

Данный метод поддерживает выбор предотвращающих НСЗ, которые снижают частоту опасного события (например, нарушение целостности первичной защитной оболочки или повреждение оборудования). Использование любого слоя защиты требует дополнительного рассмотрения вторичного последствия, которое следует в результате его успешной работы. Это особенно важно для смягчающих НСЗ (см. шаг 7 ниже).

После завершения исследования сформированным функциям безопасности распределяются значения снижения риска в соответствии с рекомендациями, которые установлены для каждого типа НСЗ и связанной с ним функции. Если снижение риска определено для ПСБ, то это снижение риска приводит к значению УПБ в соответствии с МЭК 61511-1, таблица 4.

Данный метод не рассматривает продолжительность режимов работы при выполнении анализа риска (последовательный, пакетный, пусконаладочный режимы или режим обслуживания). В данном методе риск каждого рабочего режима должен быть снижен до допустимой частоты независимо от количества времени выполнения процесса в конкретном рабочем режиме.

Допустимая частота опасного события определяется оценкой последствия наихудшего вероятного сценария с точки зрения влияния на здоровье и безопасность персонала объекта и гражданского населения, воздействия на окружающую среду и влияния на экономику (собственность и снижение деловой активности). Предполагается, что команда качественно оценит наихудшее возможное последствие независимо от его вероятности и определит НСЗ, чтобы снизить риск события. Необходимо еще раз подчеркнуть, что данный метод стремится уменьшить частоту опасного события (например, нарушения целостности первичной защитной оболочки или повреждения оборудования), поэтому данный метод не рассматривает использование условных модификаторов для нахождения в опасной зоне, воспламенения или смертельного случая, которые, как правило, используются, чтобы оценить частоту конкретных видов ущерба, нанесенного событием.

Примечания

1 Данный метод эффективно использует наличие команды и информации для оценки воздействия на экономику событий нарушения целостности первичной защитной оболочки. Реализация любых рекомендаций для связанных с экономикой событий определена процессами, одобренными бизнесом.

2 Используемые значения частот, вероятностей и снижения риска представлены только в качестве иллюстрации и не могут быть взяты в качестве универсальных значений для конкретных оценок.

Приложение G не является полным изложением метода, но оно иллюстрирует его общие принципы и основано на более подробном описании данного метода в следующих ссылках:

Layer of Protection Analysis-Simplified - Process risk assessment, American Institute of Chemical Engineers, CCPS, 3 Park Avenue, New York, NY 10016-5991, 2001, ISBN 0-8169-0811-7

Guidance on the Application of Code Case 2211 - Overpressure Protection by System Design, Welding Research Council, PO Box 1942, New York, NY 10156, 2005, ISBN 1-58145-505-4

Guide for Pressure-relieving and Depressuring Systems: Petroleum petrochemical and natural gas industries - Pressure relieving and depressuring system, American Petroleum Institute, 1220 L Street, NW, Washington, D.C. 20005, 2007

Guidelines for Safe and Reliable Instrumented Protective Systems, American Institute of Chemical Engineers, CCPS, 3 Park Avenue, New York, NY 10016-5991, 2007, ISBN 0-4719-7940-6

Guidelines for Initiating Events and Independent Protection Layers in LOPA, American Institute of Chemical Engineers, CCPS, 3 Park Avenue, New York, NY 10016-5991, 2015, ISBN: 978-0-470-34385-2.

G.2 Процедура

G.2.1 Общие положения

К идентификации НСЗ приводит такая процедура АСЗ, которая может снизить риск процесса в соответствии с критериями риска. Ниже представлено пошаговое описание процесса работы, который продемонстрирован на рисунке G.2.

G.2.2 Шаг 1. Общая информация и определение узла

Члены команды, дата начала работы, дата исследования и номер регистрации документа записаны в рабочей таблице. Координатор анализирует границу узла, чтобы гарантировать, что каждый член команды знаком с технологическим процессом и его схемой (см. рисунок G.3). Рассматриваемые технологические схемы и схемы Т и КИП (P&ID) должны быть представлены наряду с любой другой документацией, которая рассматривается командой во время исследования.

G.2.3 Шаг 2. Описание опасного события

Отклонение, или "что если", или FMEA. Команда должна описать каждое опасное событие, выбранное при анализе, включающем отклонение, вопрос "что если" или вид отказа, который использовался в процессе идентификации опасности, и рассмотреть, как оно развивается до нарушения целостности первичной защитной оболочки или повреждения оборудования.

В таблице G.1 представлен фрагмент результата анализа методом HAZOP, выполненного для узла, представленного на рисунке G.3. Это один из многих возможных сценариев, которые приводят к избыточному давлению в этом технологическом блоке. Этот сценарий был выбран в целях иллюстрации.

Описание опасного события. Распространение событий должно быть описано ясно, и все же кратко, начиная от возникновения опасности процесса и до наихудшего вероятного последствия, предполагая, что меры защиты отсутствуют. Важно полностью описать опасное событие так, чтобы каждый член команды понял то, что анализируется. Необходимо также учесть, что эта документация поможет в управлении процессом изменений и в дальнейших повторных подтверждениях соответствия. Таким образом, важно, чтобы описание было четким и понятным.

В качестве примера в таблице G.2 представлено отклонение давления в сторону повышения, которое вызвано отказом контура управления производством, и давление в результате превысило максимально допустимое рабочее давление (MAWP) в емкости. Устанавливается последствие: "Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин". (Необходимо отметить, что эти разрешены только определенными нормами проектирования емкости.) Это описание обеспечивает более поздним командам понимание степени превышения давления и скорости, с которой давление повышается до недопустимого уровня.

Рисунок G.2 - Рабочий процесс, используемый в приложении G

Рисунок G.3 - Пример границы узла процесса для отобранного сценария

Таблица G.1 - Выбранный сценарий из рабочей таблицы HAZOP

Имя системы. 1. Емкость 101 с исходным продуктом.

Чертеж. Чертеж ABC 123.

Цель проекта и метод (методы) управления процессом. Смесь X поступает в емкость 101 для разделения газа и жидкости.

Отклонение	Причина	Последствие	Уровень последствия		Мера защиты	Ранг риска		Рекомендация анализа опасности процесса (АОП)
			Категория	S		L	RR
1 Высокое давление	1 Сбои контура управления производством	Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин	S	4	1 Аварийный сигнал высокого давления	В	2
			Е	4		В	2
			А	3	2 Закрытие входного блокирующего клапана высокого давления
						В	1
					3 Регулятор давления
					4 Реакция оператора на аварийный сигнал высокого давления

Примечание - Для ранжирования категорий и уровня тяжести (S) последствия см. таблицу G.4.

G.2.4 Шаг 3. Оценка частоты исходного события

Как только опасное событие описано, документально оформляется исходная причина (причины), которая приводит(ят) к опасному событию. Событие может быть инициировано единственной исходной причиной или несколькими причинами. Команда должна рассмотреть различные типы причин, такие как ошибка человека, отказы оборудования, ошибки процедур и т.д.

Могут быть случаи, когда команде кажется, что нет никакой вероятной причины или комбинации причин. Это может произойти при проектировании процесса с учетом безопасности или потому, что, по мнению команды, возникновение подобного сценария противоречило бы законам химии или физики. В этих случаях в рабочей таблице в графе "Исходная причина" записывается "Нет никакой вероятной исходной причины" вместе с изложением этого рассуждения, и команда должна перейти к рассмотрению следующего сценария.

Частота. Частота исходного события оценивается без учета какого-либо НСЗ (мер защиты). Указания, представленные в таблице G.3, основаны на опубликованных данных промышленности и эффективной инженерной практике. Команда должна определить, основаны ли данные на динамике эксплуатационных показателей предприятия или на опыте работы с исходными причинами, выявленными на предприятии при подобных условиях. Если команда решает, что необходимо использовать более высокую частоту отказов (например, 1/год, а не 1/10 лет), то обоснование этого решения оформляется документально, и в рабочую таблицу вносится новое значение частоты. В данном примере частота отказов контура управления производством равна 1/10 лет.

Обеспечивающие условия. Некоторые отклонения процесса могут привести к опасным событиям только в присутствии совпадающего условия, названного обеспечивающим условием. Данная процедура позволяет рассмотрение обеспечивающего условия, когда это условие не зависит от исходной причины и необходимо для распространения опасного события. Комбинация обеспечивающего условия и исходной причины приводит к распространению опасного события.

Частота исходного события может быть оценена на основе средней вероятности рассматриваемого обеспечивающего условия и частоты исходной причины. Например, если оператор по ошибке оставляет клапан открытым и происходит нарушение на последующих стадиях технологического процесса, то может возникнуть обратный поток через открытый клапан. Нарушение процесса, как предполагается, происходит с частотой 1/год. Оператор открывает и закрывает клапан 3 раза в день. Предполагается, что возможность его отказа равна 1/100. Положение клапана проверяется каждые 8 ч (следующей сменой операторов). Таким образом, средняя вероятность того, что клапан открыт равна:

.

Частота исходного события равна лет.

Общая частота. Общая частота события - это самая высокая частота перечисленных исходных причин. Если у опасного события есть более трех исходных причин близкой частоты, то при определении наибольшего значения общей частоты события должно быть уделено внимание анализу аспектов возможной общей причины для всех исходных причин. В примере (таблица G.2) рассматривается только одна причина, таким образом, частота исходного события - 1/10 лет.

Таблица G.2 - Выбранный сценарий из рабочей таблицы АСЗ

Имя системы. 1. Емкость 101 с исходным продуктом.

Чертеж. Чертеж АВС 123.

Цель проекта и метод (методы) управления процессом. Смесь X поступает в емкость 101 для разделения газа и жидкости.

Отклонение

Оценка уровня тяжести последствия S и величины снижения риска RRF

Оценка частоты исходного события

Определение НСЗ и RRF

Последствие

Категория

S

Требуемая RRF

Исходная причина

Тип

Частота

Общая частота

Мера защиты (не НСЗ)

НСЗ

Тип

RRF

1 Высокое давление

Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин

S

4

1000

1 Сбои контура управления производством

ОСУП

10

10

1 Недостаточно времени для реакции оператора на аварийный сигнал высокого давления

1 Закрытие входного блокирующего клапана высокого давления

ПСБ

10

Е

4

1000

А

3

100

Примечание - Для ранжирования категорий и уровня тяжести (S) последствия см. таблицу G.4.

Таблица G.2 - Продолжение на шаге 6

Определение системы ослабления последствия CMS и RRF

Определение расхождения риска CMS

Определение расхождения риска сценария

Рекомендация (АСЗ)

CMS

Последствие CMS

RRF

Категория

S

Требуемая RRF для CMS

Общая RRF НСЗ

Расхождение RRF для CMS

Требуемая RRF

Общая RRF (НСЗ + CMS)

Расхождение RRF сценария

Рекомендация

Целевое значение RRF

Клапан сброса давления

1 На факел не отводится

100

S

1

ПР

10

ПР

1000

1000

ПР

Е

1

ПР

ПР

1000

ПР

А

1

ПР

ПР

100

ПР

Таблица G.3 - Пример исходных причин и соответствующей частоты

Исходная причина	Следствие	MTBFа) (г)
БСУП	Полный контур управления, включая датчик, контроллер и исполнительный элемент	10
Действие оператора (типовая инструкция)	Действие выполняется в соответствии с процедурой ежедневно или еженедельно. Оператор обучен необходимым действиям. [Это значение на основе опыта может быть уменьшено в 10 раз (одно событие за 10 лет). Команда должна документально оформить инструкции по выполнению действия, процедуры и/или применяемое обучение, обеспечивающее достижение одного события за 10 лет]	1
	Действие выполняется в соответствии с процедурой ежемесячно или ежеквартально. Оператор обучен необходимым действиям	10
	Действие выполняется в соответствии с процедурой ежегодно после цикла работы или временного отключения. Оператор обучен необходимым действиям	100
Приборные устройства безопасности (ДРУГИЕ)	Инструментованное устройство безопасности срабатывает самопроизвольно, например закрывает блокирующий клапан, отключает насос и открывает выпускной клапан	10
а) Можно предположить, что перечисленные исходные причины происходят более часто (например, не 1/100 лет, а 1/10 лет) на основании опыта реализации процесса. Но эти значения не могут быть приняты менее частыми без дополнительного обоснования и одобрения безопасности процесса. В качестве обоснования должен быть проведен дополнительный анализ. Он должен включать анализ человеческого фактора, анализ видов и последствий отказов (FMEA), анализ дерева событий или анализ дерева отказов.

G.2.5 Шаг 4. Определение уровня тяжести последствия опасного события и величины снижения риска

Опасное событие оценивается, чтобы определить наихудшее возможное последствие с точки зрения влияния на здоровье и безопасность персонала объекта и гражданского населения, воздействия на окружающую среду и влияния на экономику (собственность и снижение деловой активности).

Уровень тяжести. Уровень тяжести последствия оценивается согласно стандартизированным определениям в таблице G.4. Для данного примера (см. таблицу G.2) команда решила, что существовала возможность значительного выброса воспламеняющегося углеводорода. Так как оператор часто находился около установки, то был возможен смертельный случай. Уровень тяжести последствия для обеспечения безопасности был оценен значением "4". В результате ранжирования уровень тяжести последствия для экологии также был определен равный "4", в то время как ранжирование уровня тяжести последствия для имущества дало значение "3".

Оценка риска. Риск процесса определяется общей частотой исходного события (шаг 3) и уровнем тяжести последствия (шаг 4). Их ранжированные значения используются в качестве входных данных для таблицы G.5. Данная матрица показывает величину снижения риска (RRF), требуемую для снижения риска процесса до уровня приемлемого риска (ПР). Если RRF приводит в результате к значению приемлемого риска, то риск процесса удовлетворяет критериям риска без дополнительных НСЗ. Те опасные события, которые не указаны для приемлемого риска, далее должны быть оценены.

В данном примере (см. таблицу G.2) уровень тяжести последствия, равный 4, и частота опасного события, равная 1/10 лет, дает в результате требуемое снижение риска, равное 1000 (см. таблицу G.5).

В некоторых случаях НСЗ могут не потребоваться с точки зрения риска, но они могут быть определены стандартом, практикой или регламентом. Требования стандартов, практики или регламентов превалируют над этой процедурой.

Таблица G.4 - Таблица решений для уровня тяжести последствия

Значение	Безопасность S	Окружающая среда Е	Имущество А
5	Множественные смертельные случаи по всей установке и/или травмы или смертельные случаи среди гражданского населения	Катастрофический вред окружающей среде на обширной территории с длительными сдерживанием распространения и очисткой	Ожидаемая потеря больше чем 10 000 000 долларов и/или существенный ущерб зданиям, расположенным на обширной территории
4	Госпитализация трех или больше работников (например, серьезные ожоги, переломы) и/или один или несколько смертельных случаев в пределах установки или ее окрестностей и/или травмы среди гражданского населения	Значительный вред окружающей среде на обширной территории (например, существенный вред дикой природе) с длительными сдерживанием распространения и очисткой	Ожидаемая потеря между 1 000 000 и 10 000 000 долларов и/или длительное время простоя с серьезным влиянием на работоспособность установки и/или незначительное повреждение (например, разбитые окна) в зданиях, расположенных на обширной территории
3	Травмы с необходимостью госпитализации (например, серьезные ожоги, переломы) и/или многократные случаи травм с потерей работоспособности и/или травм среди гражданского населения	Локальный выброс, требующий сдерживания распространения и очистки и/или выброс на обширной территории, наносящий ущерб окружающей среде с быстрой очисткой	Ожидаемая потеря между 100 000 и 1 000 000 долларов и/или время простоя нескольких дней, серьезно влияющее на работоспособность установки
2	Потеря работоспособности и/или регистрируемые травмы (например, кожная сыпь, воспаления, ожоги) и/или незначительное влияние на гражданское население	Локальный выброс, требующий сдерживания распространения и очистки и/или выброс на обширной территории (например, аромат), но не наносящий вред окружающей среде	Ожидаемая потеря между 10 000 и 100 000 долларов и/или время простоя более суток, вызывающее воздействие на работу объекта и/или отчетное количество событий
1	Регистрируемая травма (телесные повреждения, ушиб, рана) и/или отсутствие влияния на гражданское население	Локальный выброс, требующий сдерживания распространения и очистки местным персоналом	Ожидаемый убыток в размере меньше чем 10 000 долларов и/или время простоя меньше одного дня с незначительным воздействием на работоспособность установки

Таблица G.5 - Матрица величины снижения риска

Требуемая величина снижения риска
Уровень тяжести последствия	5	100 000	10 000	1000	100	10
	4	10 000	1000	100	10	ПР
	3	1000	100	10	ПР	ПР
	2	100	10	ПР	ПР	ПР
	1	10	ПР	ПР	ПР	ПР
		1	10	100	1000	10 000
		Частота (1 за х лет)

G.2.6 Шаг 5. Определение независимых слоев защиты и величины снижения риска

Во время оценки опасности и риска (АОР) определяются меры защиты, которые формируют некоторые средства защиты от рассматриваемого опасного события. Каждая определенная мера защиты оценивается по критериям НСЗ.

Не все меры защиты, удовлетворяющие критериям проектирования и управления, необходимым, чтобы классифицировать эти меры, как НСЗ. Также важно гарантировать соответствующую независимость выбранных мер защиты так, чтобы возможность появления проблем, связанных с отказами по общей причине, общего вида и систематическими отказами, была незначительной по сравнению с требованием к общему снижению риска.

Таблица G.6 представляет руководство по определению RRF, например для функций безопасности, которые могут быть классифицированы как НСЗ. Значение величины снижения риска основано на конкретных критериях проектирования и управления НСЗ, которые кратко описаны в таблице G.6. НСЗ, которому будет назначено одно из перечисленных в таблице G.6 значений снижения риска, должен удовлетворять всем соответствующим ограничениям, представленным в этой таблице.

Мера защиты, которая не удовлетворяет критериям, может быть при необходимости представлена в рабочей таблице с RRF = 1. Если из информации о безопасности процесса следует, что мера защиты соответствует критериям, то ей может быть определено только значение RRF > 1.

В данном примере (см. таблицу G.2), команда решила, что у оператора нет достаточного количества времени, чтобы отреагировать на сигнал тревоги. Предыдущий анализ ПСБ показал, что для нее определен УПБ 1, таким образом, команда определила для нее значение RRF, равное 10 (см. таблицу G.2).

G.2.7 Шаг 6. Определение систем смягчения последствия и величины снижения риска

Успешное действие любого НСЗ приводит к новому рабочему состоянию или к состоянию отключения. Это новое состояние называется вторичным последствием НСЗ. Риск, связанный с вторичным последствием, должен быть приемлемым, либо должен быть применен дополнительный/альтернативный НСЗ. Так как успешное действие большинства смягчающих предотвращающих НСЗ и ослабляющих НСЗ приводит к сокращению уровня тяжести последствия, то все эти НСЗ называют системами смягчения последствия (CMS).

CMS, реализованную на НСЗ (CMS НСЗ) и снижающую вред опасного события, можно считать таковой, если анализ подтвердит (см. примечание 1), что CMS НСЗ разработана и справляется с обработкой конкретного опасного события, а также он определит (см. примечание 2), что CMS НСЗ приемлемо управляет риском вторичного последствия.

Примечания

1 Если отсутствуют какие-либо документы, подтверждающие заявление о том, что CMS НСЗ должным образом разработана, смонтирована и обслуживается с целью уменьшения последствия конкретного сценария выброса, то для RRF не может быть использовано никакое значение.

2 Успешное действие CMS НСЗ снижает последствие рассматриваемого опасного события. Снижение последствия в результате надлежащего функционирования CMS НСЗ может все еще оказаться недостаточным. Риск, связанный с действием НСЗ, определяется с помощью оценки уровня тяжести этого вторичного последствия и частоты выброса. Эта величина сравнивается с критериями риска, чтобы определить, требуется ли дополнительное снижение риска.

В таблице G.7 перечислены CMS, рассмотренные во время исследования, а также значения RRF для конкретных функций безопасности, которые могут быть классифицированы как НСЗ. Для команды важно рассмотреть CMS, чтобы проверить, что CMS разрабатываются и ориентируются на определенный сценарий опасности. В данном методе рассматриваются только CMS, которые предварительно снижают частоту основного последствия события (LOPC).

В данном примере (см. таблицу G.2) команда решила, что регулятор давления был разработан для избыточного давления, вызванного отказом контура управления производством. Команда определила для него значение RRF, равное 100.

Таблица G.6 - Примеры независимых слоев защиты (НСЗ) с соответствующими величинами снижения риска RRF и вероятностями отказа по запросу (ВОНЗ)

НСЗ	Условие	RRF	ВОНЗ
Основная система управления процессом (ОСУП)	НСЗ ОСУП должен быть разработан и ориентирован на обеспечение достижения RRF. Это, как правило, контур управления, нормальное действие которого предотвратить опасный сценарий. НСЗ ОСУП должен работать в автоматическом режиме на всех стадиях эксплуатации, где может произойти опасный сценарий	10	0,1
Реакция оператора на аварийную сигнализацию со временем отклика