Приложение G (справочное). Анализ слоев защиты, используя матрицу риска. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение G
(справочное)

Анализ
слоев защиты, используя матрицу риска

G.1 Общие положения

Приложение G описывает метод оценки опасностей и рисков, который использует анализ слоев защиты (АСЗ), чтобы определить функции безопасности, которые уменьшают частоту событий, связанных с нарушением целостности первичной защитной оболочки (LOPC), до допустимого уровня. Данный метод способствует применению предварительных мер защиты, которые предотвращают LOPC, но он позволяет по мере необходимости рассматривать системы смягчения последствий. Если системы смягчения последствий реализованы, то данный метод требует более точной оценки результата, полученного от развертывания системы смягчения. Так как данный метод не определяет частоту ущерба, связанного с LOPC, то он не рассматривает условия событий после выброса, такие как вероятность воспламенения или нахождения в опасной зоне. Это упрощает метод и нацеливает команду оценки на сокращение событий LOPC посредством учета безопасности в проектных решениях, а также предварительных слоев защиты.

Данный метод использует матрицу риска, чтобы сформировать критерии риска для команды оценки. Матрица риска калибруется, чтобы учесть серьезность последствия, возможного в результате события LOPC. Критерии связаны с безопасностью, экологией и потерей экономического потенциала.

Данный метод исследует опасные события, определенные с помощью любого метода идентификации опасности, подходящего для определенной стадии жизненного цикла процесса. Как минимум, в результате идентификации опасности должны быть описаны опасные события, для которых была выполнена их оценка, и должна быть определена исходная причина (причины) и мера (меры) защиты, которая(ые) предотвращает(ют) или смягчает(ют) это событие (события).

Оценка риска выполняется, используя АСЗ, где определяется риск процесса и выполняется его сравнение с допустимым риском, как определено полуколичественной матрицей риска. Если риск процесса выше допустимого, то определяются функции безопасности и распределяются по независимым слоям защиты (НСЗ), как показано на рисунке G.1 (адаптирован из CCPS, 2007). Некоторые НСЗ являются предотвращающими и направлены на предотвращение опасного события. Другие НСЗ являются ослабляющими и направлены на снижение ущерба, вызванного опасным событием.

Рисунок G.1 - Графическое представление слоев защиты, показывающее предотвращающие и ослабляющие НСЗ

Данный метод поддерживает выбор предотвращающих НСЗ, которые снижают частоту опасного события (например, нарушение целостности первичной защитной оболочки или повреждение оборудования). Использование любого слоя защиты требует дополнительного рассмотрения вторичного последствия, которое следует в результате его успешной работы. Это особенно важно для смягчающих НСЗ (см. шаг 7 ниже).

После завершения исследования сформированным функциям безопасности распределяются значения снижения риска в соответствии с рекомендациями, которые установлены для каждого типа НСЗ и связанной с ним функции. Если снижение риска определено для ПСБ, то это снижение риска приводит к значению УПБ в соответствии с МЭК 61511-1, таблица 4.

Данный метод не рассматривает продолжительность режимов работы при выполнении анализа риска (последовательный, пакетный, пусконаладочный режимы или режим обслуживания). В данном методе риск каждого рабочего режима должен быть снижен до допустимой частоты независимо от количества времени выполнения процесса в конкретном рабочем режиме.

Допустимая частота опасного события определяется оценкой последствия наихудшего вероятного сценария с точки зрения влияния на здоровье и безопасность персонала объекта и гражданского населения, воздействия на окружающую среду и влияния на экономику (собственность и снижение деловой активности). Предполагается, что команда качественно оценит наихудшее возможное последствие независимо от его вероятности и определит НСЗ, чтобы снизить риск события. Необходимо еще раз подчеркнуть, что данный метод стремится уменьшить частоту опасного события (например, нарушения целостности первичной защитной оболочки или повреждения оборудования), поэтому данный метод не рассматривает использование условных модификаторов для нахождения в опасной зоне, воспламенения или смертельного случая, которые, как правило, используются, чтобы оценить частоту конкретных видов ущерба, нанесенного событием.

Примечания

1 Данный метод эффективно использует наличие команды и информации для оценки воздействия на экономику событий нарушения целостности первичной защитной оболочки. Реализация любых рекомендаций для связанных с экономикой событий определена процессами, одобренными бизнесом.

2 Используемые значения частот, вероятностей и снижения риска представлены только в качестве иллюстрации и не могут быть взяты в качестве универсальных значений для конкретных оценок.

Приложение G не является полным изложением метода, но оно иллюстрирует его общие принципы и основано на более подробном описании данного метода в следующих ссылках:

Layer of Protection Analysis-Simplified - Process risk assessment, American Institute of Chemical Engineers, CCPS, 3 Park Avenue, New York, NY 10016-5991, 2001, ISBN 0-8169-0811-7

Guidance on the Application of Code Case 2211 - Overpressure Protection by System Design, Welding Research Council, PO Box 1942, New York, NY 10156, 2005, ISBN 1-58145-505-4

Guide for Pressure-relieving and Depressuring Systems: Petroleum petrochemical and natural gas industries - Pressure relieving and depressuring system, American Petroleum Institute, 1220 L Street, NW, Washington, D.C. 20005, 2007

Guidelines for Safe and Reliable Instrumented Protective Systems, American Institute of Chemical Engineers, CCPS, 3 Park Avenue, New York, NY 10016-5991, 2007, ISBN 0-4719-7940-6

Guidelines for Initiating Events and Independent Protection Layers in LOPA, American Institute of Chemical Engineers, CCPS, 3 Park Avenue, New York, NY 10016-5991, 2015, ISBN: 978-0-470-34385-2.

G.2 Процедура

G.2.1 Общие положения

К идентификации НСЗ приводит такая процедура АСЗ, которая может снизить риск процесса в соответствии с критериями риска. Ниже представлено пошаговое описание процесса работы, который продемонстрирован на рисунке G.2.

G.2.2 Шаг 1. Общая информация и определение узла

Члены команды, дата начала работы, дата исследования и номер регистрации документа записаны в рабочей таблице. Координатор анализирует границу узла, чтобы гарантировать, что каждый член команды знаком с технологическим процессом и его схемой (см. рисунок G.3). Рассматриваемые технологические схемы и схемы Т и КИП (P&ID) должны быть представлены наряду с любой другой документацией, которая рассматривается командой во время исследования.

G.2.3 Шаг 2. Описание опасного события

Отклонение, или "что если", или FMEA. Команда должна описать каждое опасное событие, выбранное при анализе, включающем отклонение, вопрос "что если" или вид отказа, который использовался в процессе идентификации опасности, и рассмотреть, как оно развивается до нарушения целостности первичной защитной оболочки или повреждения оборудования.

В таблице G.1 представлен фрагмент результата анализа методом HAZOP, выполненного для узла, представленного на рисунке G.3. Это один из многих возможных сценариев, которые приводят к избыточному давлению в этом технологическом блоке. Этот сценарий был выбран в целях иллюстрации.

Описание опасного события. Распространение событий должно быть описано ясно, и все же кратко, начиная от возникновения опасности процесса и до наихудшего вероятного последствия, предполагая, что меры защиты отсутствуют. Важно полностью описать опасное событие так, чтобы каждый член команды понял то, что анализируется. Необходимо также учесть, что эта документация поможет в управлении процессом изменений и в дальнейших повторных подтверждениях соответствия. Таким образом, важно, чтобы описание было четким и понятным.

В качестве примера в таблице G.2 представлено отклонение давления в сторону повышения, которое вызвано отказом контура управления производством, и давление в результате превысило максимально допустимое рабочее давление (MAWP) в емкости. Устанавливается последствие: "Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин". (Необходимо отметить, что эти разрешены только определенными нормами проектирования емкости.) Это описание обеспечивает более поздним командам понимание степени превышения давления и скорости, с которой давление повышается до недопустимого уровня.

Рисунок G.2 - Рабочий процесс, используемый в приложении G

Рисунок G.3 - Пример границы узла процесса для отобранного сценария

Таблица G.1 - Выбранный сценарий из рабочей таблицы HAZOP

Имя системы. 1. Емкость 101 с исходным продуктом.

Чертеж. Чертеж ABC 123.

Цель проекта и метод (методы) управления процессом. Смесь X поступает в емкость 101 для разделения газа и жидкости.

Отклонение	Причина	Последствие	Уровень последствия		Мера защиты	Ранг риска		Рекомендация анализа опасности процесса (АОП)
			Категория	S		L	RR
1 Высокое давление	1 Сбои контура управления производством	Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин	S	4	1 Аварийный сигнал высокого давления	В	2
			Е	4		В	2
			А	3	2 Закрытие входного блокирующего клапана высокого давления
						В	1
					3 Регулятор давления
					4 Реакция оператора на аварийный сигнал высокого давления

Примечание - Для ранжирования категорий и уровня тяжести (S) последствия см. таблицу G.4.

G.2.4 Шаг 3. Оценка частоты исходного события

Как только опасное событие описано, документально оформляется исходная причина (причины), которая приводит(ят) к опасному событию. Событие может быть инициировано единственной исходной причиной или несколькими причинами. Команда должна рассмотреть различные типы причин, такие как ошибка человека, отказы оборудования, ошибки процедур и т.д.

Могут быть случаи, когда команде кажется, что нет никакой вероятной причины или комбинации причин. Это может произойти при проектировании процесса с учетом безопасности или потому, что, по мнению команды, возникновение подобного сценария противоречило бы законам химии или физики. В этих случаях в рабочей таблице в графе "Исходная причина" записывается "Нет никакой вероятной исходной причины" вместе с изложением этого рассуждения, и команда должна перейти к рассмотрению следующего сценария.

Частота. Частота исходного события оценивается без учета какого-либо НСЗ (мер защиты). Указания, представленные в таблице G.3, основаны на опубликованных данных промышленности и эффективной инженерной практике. Команда должна определить, основаны ли данные на динамике эксплуатационных показателей предприятия или на опыте работы с исходными причинами, выявленными на предприятии при подобных условиях. Если команда решает, что необходимо использовать более высокую частоту отказов (например, 1/год, а не 1/10 лет), то обоснование этого решения оформляется документально, и в рабочую таблицу вносится новое значение частоты. В данном примере частота отказов контура управления производством равна 1/10 лет.

Обеспечивающие условия. Некоторые отклонения процесса могут привести к опасным событиям только в присутствии совпадающего условия, названного обеспечивающим условием. Данная процедура позволяет рассмотрение обеспечивающего условия, когда это условие не зависит от исходной причины и необходимо для распространения опасного события. Комбинация обеспечивающего условия и исходной причины приводит к распространению опасного события.

Частота исходного события может быть оценена на основе средней вероятности рассматриваемого обеспечивающего условия и частоты исходной причины. Например, если оператор по ошибке оставляет клапан открытым и происходит нарушение на последующих стадиях технологического процесса, то может возникнуть обратный поток через открытый клапан. Нарушение процесса, как предполагается, происходит с частотой 1/год. Оператор открывает и закрывает клапан 3 раза в день. Предполагается, что возможность его отказа равна 1/100. Положение клапана проверяется каждые 8 ч (следующей сменой операторов). Таким образом, средняя вероятность того, что клапан открыт равна:

.

Частота исходного события равна лет.

Общая частота. Общая частота события - это самая высокая частота перечисленных исходных причин. Если у опасного события есть более трех исходных причин близкой частоты, то при определении наибольшего значения общей частоты события должно быть уделено внимание анализу аспектов возможной общей причины для всех исходных причин. В примере (таблица G.2) рассматривается только одна причина, таким образом, частота исходного события - 1/10 лет.

Таблица G.2 - Выбранный сценарий из рабочей таблицы АСЗ

Имя системы. 1. Емкость 101 с исходным продуктом.

Чертеж. Чертеж АВС 123.

Цель проекта и метод (методы) управления процессом. Смесь X поступает в емкость 101 для разделения газа и жидкости.

Отклонение

Оценка уровня тяжести последствия S и величины снижения риска RRF

Оценка частоты исходного события

Определение НСЗ и RRF

Последствие

Категория

S

Требуемая RRF

Исходная причина

Тип

Частота

Общая частота

Мера защиты (не НСЗ)

НСЗ

Тип

RRF

1 Высокое давление

Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин

S

4

1000

1 Сбои контура управления производством

ОСУП

10

10

1 Недостаточно времени для реакции оператора на аварийный сигнал высокого давления

1 Закрытие входного блокирующего клапана высокого давления

ПСБ

10

Е

4

1000

А

3

100

Примечание - Для ранжирования категорий и уровня тяжести (S) последствия см. таблицу G.4.

Таблица G.2 - Продолжение на шаге 6

Определение системы ослабления последствия CMS и RRF

Определение расхождения риска CMS

Определение расхождения риска сценария

Рекомендация (АСЗ)

CMS

Последствие CMS

RRF

Категория

S

Требуемая RRF для CMS

Общая RRF НСЗ

Расхождение RRF для CMS

Требуемая RRF

Общая RRF (НСЗ + CMS)

Расхождение RRF сценария

Рекомендация

Целевое значение RRF

Клапан сброса давления

1 На факел не отводится

100

S

1

ПР

10

ПР

1000

1000

ПР

Е

1

ПР

ПР

1000

ПР

А

1

ПР

ПР

100

ПР

Таблица G.3 - Пример исходных причин и соответствующей частоты

Исходная причина	Следствие	MTBFа) (г)
БСУП	Полный контур управления, включая датчик, контроллер и исполнительный элемент	10
Действие оператора (типовая инструкция)	Действие выполняется в соответствии с процедурой ежедневно или еженедельно. Оператор обучен необходимым действиям. [Это значение на основе опыта может быть уменьшено в 10 раз (одно событие за 10 лет). Команда должна документально оформить инструкции по выполнению действия, процедуры и/или применяемое обучение, обеспечивающее достижение одного события за 10 лет]	1
	Действие выполняется в соответствии с процедурой ежемесячно или ежеквартально. Оператор обучен необходимым действиям	10
	Действие выполняется в соответствии с процедурой ежегодно после цикла работы или временного отключения. Оператор обучен необходимым действиям	100
Приборные устройства безопасности (ДРУГИЕ)	Инструментованное устройство безопасности срабатывает самопроизвольно, например закрывает блокирующий клапан, отключает насос и открывает выпускной клапан	10
а) Можно предположить, что перечисленные исходные причины происходят более часто (например, не 1/100 лет, а 1/10 лет) на основании опыта реализации процесса. Но эти значения не могут быть приняты менее частыми без дополнительного обоснования и одобрения безопасности процесса. В качестве обоснования должен быть проведен дополнительный анализ. Он должен включать анализ человеческого фактора, анализ видов и последствий отказов (FMEA), анализ дерева событий или анализ дерева отказов.

G.2.5 Шаг 4. Определение уровня тяжести последствия опасного события и величины снижения риска

Опасное событие оценивается, чтобы определить наихудшее возможное последствие с точки зрения влияния на здоровье и безопасность персонала объекта и гражданского населения, воздействия на окружающую среду и влияния на экономику (собственность и снижение деловой активности).

Уровень тяжести. Уровень тяжести последствия оценивается согласно стандартизированным определениям в таблице G.4. Для данного примера (см. таблицу G.2) команда решила, что существовала возможность значительного выброса воспламеняющегося углеводорода. Так как оператор часто находился около установки, то был возможен смертельный случай. Уровень тяжести последствия для обеспечения безопасности был оценен значением "4". В результате ранжирования уровень тяжести последствия для экологии также был определен равный "4", в то время как ранжирование уровня тяжести последствия для имущества дало значение "3".

Оценка риска. Риск процесса определяется общей частотой исходного события (шаг 3) и уровнем тяжести последствия (шаг 4). Их ранжированные значения используются в качестве входных данных для таблицы G.5. Данная матрица показывает величину снижения риска (RRF), требуемую для снижения риска процесса до уровня приемлемого риска (ПР). Если RRF приводит в результате к значению приемлемого риска, то риск процесса удовлетворяет критериям риска без дополнительных НСЗ. Те опасные события, которые не указаны для приемлемого риска, далее должны быть оценены.

В данном примере (см. таблицу G.2) уровень тяжести последствия, равный 4, и частота опасного события, равная 1/10 лет, дает в результате требуемое снижение риска, равное 1000 (см. таблицу G.5).

В некоторых случаях НСЗ могут не потребоваться с точки зрения риска, но они могут быть определены стандартом, практикой или регламентом. Требования стандартов, практики или регламентов превалируют над этой процедурой.

Таблица G.4 - Таблица решений для уровня тяжести последствия

Значение	Безопасность S	Окружающая среда Е	Имущество А
5	Множественные смертельные случаи по всей установке и/или травмы или смертельные случаи среди гражданского населения	Катастрофический вред окружающей среде на обширной территории с длительными сдерживанием распространения и очисткой	Ожидаемая потеря больше чем 10 000 000 долларов и/или существенный ущерб зданиям, расположенным на обширной территории
4	Госпитализация трех или больше работников (например, серьезные ожоги, переломы) и/или один или несколько смертельных случаев в пределах установки или ее окрестностей и/или травмы среди гражданского населения	Значительный вред окружающей среде на обширной территории (например, существенный вред дикой природе) с длительными сдерживанием распространения и очисткой	Ожидаемая потеря между 1 000 000 и 10 000 000 долларов и/или длительное время простоя с серьезным влиянием на работоспособность установки и/или незначительное повреждение (например, разбитые окна) в зданиях, расположенных на обширной территории
3	Травмы с необходимостью госпитализации (например, серьезные ожоги, переломы) и/или многократные случаи травм с потерей работоспособности и/или травм среди гражданского населения	Локальный выброс, требующий сдерживания распространения и очистки и/или выброс на обширной территории, наносящий ущерб окружающей среде с быстрой очисткой	Ожидаемая потеря между 100 000 и 1 000 000 долларов и/или время простоя нескольких дней, серьезно влияющее на работоспособность установки
2	Потеря работоспособности и/или регистрируемые травмы (например, кожная сыпь, воспаления, ожоги) и/или незначительное влияние на гражданское население	Локальный выброс, требующий сдерживания распространения и очистки и/или выброс на обширной территории (например, аромат), но не наносящий вред окружающей среде	Ожидаемая потеря между 10 000 и 100 000 долларов и/или время простоя более суток, вызывающее воздействие на работу объекта и/или отчетное количество событий
1	Регистрируемая травма (телесные повреждения, ушиб, рана) и/или отсутствие влияния на гражданское население	Локальный выброс, требующий сдерживания распространения и очистки местным персоналом	Ожидаемый убыток в размере меньше чем 10 000 долларов и/или время простоя меньше одного дня с незначительным воздействием на работоспособность установки

Таблица G.5 - Матрица величины снижения риска

Требуемая величина снижения риска
Уровень тяжести последствия	5	100 000	10 000	1000	100	10
	4	10 000	1000	100	10	ПР
	3	1000	100	10	ПР	ПР
	2	100	10	ПР	ПР	ПР
	1	10	ПР	ПР	ПР	ПР
		1	10	100	1000	10 000
		Частота (1 за х лет)

G.2.6 Шаг 5. Определение независимых слоев защиты и величины снижения риска

Во время оценки опасности и риска (АОР) определяются меры защиты, которые формируют некоторые средства защиты от рассматриваемого опасного события. Каждая определенная мера защиты оценивается по критериям НСЗ.

Не все меры защиты, удовлетворяющие критериям проектирования и управления, необходимым, чтобы классифицировать эти меры, как НСЗ. Также важно гарантировать соответствующую независимость выбранных мер защиты так, чтобы возможность появления проблем, связанных с отказами по общей причине, общего вида и систематическими отказами, была незначительной по сравнению с требованием к общему снижению риска.

Таблица G.6 представляет руководство по определению RRF, например для функций безопасности, которые могут быть классифицированы как НСЗ. Значение величины снижения риска основано на конкретных критериях проектирования и управления НСЗ, которые кратко описаны в таблице G.6. НСЗ, которому будет назначено одно из перечисленных в таблице G.6 значений снижения риска, должен удовлетворять всем соответствующим ограничениям, представленным в этой таблице.

Мера защиты, которая не удовлетворяет критериям, может быть при необходимости представлена в рабочей таблице с RRF = 1. Если из информации о безопасности процесса следует, что мера защиты соответствует критериям, то ей может быть определено только значение RRF > 1.

В данном примере (см. таблицу G.2), команда решила, что у оператора нет достаточного количества времени, чтобы отреагировать на сигнал тревоги. Предыдущий анализ ПСБ показал, что для нее определен УПБ 1, таким образом, команда определила для нее значение RRF, равное 10 (см. таблицу G.2).

G.2.7 Шаг 6. Определение систем смягчения последствия и величины снижения риска

Успешное действие любого НСЗ приводит к новому рабочему состоянию или к состоянию отключения. Это новое состояние называется вторичным последствием НСЗ. Риск, связанный с вторичным последствием, должен быть приемлемым, либо должен быть применен дополнительный/альтернативный НСЗ. Так как успешное действие большинства смягчающих предотвращающих НСЗ и ослабляющих НСЗ приводит к сокращению уровня тяжести последствия, то все эти НСЗ называют системами смягчения последствия (CMS).

CMS, реализованную на НСЗ (CMS НСЗ) и снижающую вред опасного события, можно считать таковой, если анализ подтвердит (см. примечание 1), что CMS НСЗ разработана и справляется с обработкой конкретного опасного события, а также он определит (см. примечание 2), что CMS НСЗ приемлемо управляет риском вторичного последствия.

Примечания

1 Если отсутствуют какие-либо документы, подтверждающие заявление о том, что CMS НСЗ должным образом разработана, смонтирована и обслуживается с целью уменьшения последствия конкретного сценария выброса, то для RRF не может быть использовано никакое значение.

2 Успешное действие CMS НСЗ снижает последствие рассматриваемого опасного события. Снижение последствия в результате надлежащего функционирования CMS НСЗ может все еще оказаться недостаточным. Риск, связанный с действием НСЗ, определяется с помощью оценки уровня тяжести этого вторичного последствия и частоты выброса. Эта величина сравнивается с критериями риска, чтобы определить, требуется ли дополнительное снижение риска.

В таблице G.7 перечислены CMS, рассмотренные во время исследования, а также значения RRF для конкретных функций безопасности, которые могут быть классифицированы как НСЗ. Для команды важно рассмотреть CMS, чтобы проверить, что CMS разрабатываются и ориентируются на определенный сценарий опасности. В данном методе рассматриваются только CMS, которые предварительно снижают частоту основного последствия события (LOPC).

В данном примере (см. таблицу G.2) команда решила, что регулятор давления был разработан для избыточного давления, вызванного отказом контура управления производством. Команда определила для него значение RRF, равное 100.

Таблица G.6 - Примеры независимых слоев защиты (НСЗ) с соответствующими величинами снижения риска RRF и вероятностями отказа по запросу (ВОНЗ)

НСЗ	Условие	RRF	ВОНЗ
Основная система управления процессом (ОСУП)	НСЗ ОСУП должен быть разработан и ориентирован на обеспечение достижения RRF. Это, как правило, контур управления, нормальное действие которого предотвратить опасный сценарий. НСЗ ОСУП должен работать в автоматическом режиме на всех стадиях эксплуатации, где может произойти опасный сценарий	10	0,1
Реакция оператора на аварийную сигнализацию со временем отклика  10 мин (АВАРИЯ)	Оператор не должен выполнять поиск неисправностей или диагностику для принятия конкретных действий. Аварийная сигнализация может быть реализована в ОСУП или независимо от ОСУП	10	0,1
Реакция оператора на аварийную сигнализацию со временем отклика  40 мин (АВАРИЯ)	От оператора требуются незначительные усилия по поиску неисправностей или диагностике до принятия мер. Аварийная сигнализация может быть реализована в ОСУП или независимо от ОСУП	10	0,1
УПБ 1 (ПСБ)	Уровень полноты безопасности 1	10	0,1
УПБ 2 (ПСБ)	Уровень полноты безопасности 2	100	0,01
УПБ 3 (ПСБ)	Уровень полноты безопасности 3	1000	0,001

Таблица G.7 - Примеры системы ослабления последствий (CMS) с соответствующими величинами снижения риска RRF и вероятностями отказа по запросу (ВОНЗ)

CMS	Условие	RRF	ВОНЗ
Регулятор давления	Обслуживается чисткой. Разработан для опасного события	100	0,01
Мембранное предохранительное устройство сосуда	Разработан для опасного события	100	0,01
Клапан для регулировки вакуума	Разработан для опасного события	100	0,01
Линия перелива	Линия перелива разработана для сброса в зону локализации, которая выполнена по размерам, учитывающим возможность этого опасного события. Любыми клапанами в линии необходимо управлять административно, чтобы при необходимости гарантировать доступность CMS	100	0,01

G.2.8 Шаг 7. Определение расхождения риска CMS

Для любого НСЗ существуют два возможных состояния, когда к нему выполняется запрос процесса: 1) случай успеха, когда CMS работает должным образом в соответствии с проектом, и 2) случай отказа, когда CMS не работает в соответствии с проектом. На шаге 7 определение риска CMS выполняется с помощью оценки последствия, когда CMS работает в соответствии с проектом. На шаге 8 оценка риска выполняется для CMS, которая не работает в соответствии с проектом.

Чтобы определить риск CMS (т.е. когда она работает должным образом), необходимо сначала оценить уровень тяжести вторичного последствия. Уровень тяжести последствия оценивается согласно стандартизированным определениям в таблице G.4. Риск CMS определяется уровнем тяжести последствия CMS и частотой использования CMS. Эта частота определяется умножением общей частоты исходного события (шаг 3) на значение RRF каждого НСЗ, который предотвращает исходное событие от места запроса к CMS. Эти НСЗ были определены на шаге 5.

Риск CMS оценивается с помощью таблицы G.5. Если расхождение риска CMS снижено до значения приемлемого риска (ПР), то никакое дальнейшее снижение риска не требуется. Команда при желании может определить функции, которые улучшают снижение риска. Если расхождение риска CMS будет равняться 10, 100, 1000 или 10 000, то команда должна соответственно определить больше НСЗ. Если этих средств защиты в проекте не существует, то делаются рекомендации.

В данном примере (см. таблица G.2 и рисунок G.4) команда решила, что регулятор давления для сброса газа находился в подходящем месте и выброс материала не приводит к недопустимому последствию. Когда клапан сброса давления работает в соответствии с проектом, сценарий реализует выброс материала в систему сброса газа, и для него был определен приемлемый уровень риска.

Рисунок G.4 - Приемлемый риск вторичного последствия

После того как исследование было завершено, анализ сброса газа определил, что выброс из регулятора давления мог вызвать перегрузку в системе сброса газа, а также чрезмерное противодавление в системе сброса. На рисунке G.5 обновлено дерево событий, чтобы показать уточненное вторичное последствие - событие сверхдавления с серьезным последствием, которое происходит 1/100 лет.

Рисунок G.5 - Неприемлемый риск вторичного последствия

Таблица G.8 представляет собой обновленную таблицу G.2 с пересмотренной оценкой выброса из регулятора давления в систему сброса, показывая последствие, созданное ростом давления в регуляторе давления. Команда решила, что для противодавления, вызванного таким сценарием выброса, было бы возможно вызвать сверхдавление в других устройствах одновременно с событием выброса. Последствие открытия предохранительного клапана рассматривается таким же серьезным, как и в случае его отказа (см. путь распространения отказа предохранительного клапана). В то время как риск, связанный с основным сценарием (разрыв емкости), снижен до уровня приемлемого риска (ПР), риск, связанный со вторичным последствием (перегрузка системы сброса), выше, чем приемлемый риск. Расхождение риска CMS составляет RRF = 100 для ранжирования безопасности и экологического последствия, в то время как для имущества расхождение риска CMS составляет RRF = 10.

Расхождение риска CMS определяется первоначальной оценкой последствия успешной работы CMS, используя таблицу G.4. Затем определяется частота запроса для CMS с помощью частоты исходного события сценария (включая обеспечивающие условия), которая уменьшается предотвращающими НСЗ, работающими до запроса к CMS (см. деревья событий на рисунках G.4 и G.5). Тогда расхождение риска CMS определяется из таблицы G.5.

Применяя это новое требование к снижению риска, было определено, что ПСБ должна быть обновлена до УПБ 3 в соответствии с рекомендациями из API 521 "Guide for Pressure-relieving and Depressuring Systems: Petroleum petrochemical and natural gas industries - Pressure relieving and depressuring system" и ASME "Guidance on the Application of Code Case 2211 - Overpressure Protection by System Design". ПСБ с УПБ 3 снижает частоту запросов к предохранительному клапану и обеспечивает допустимый уровень риска, как показано на рисунках G.5 и G.6.

G.2.9 Шаг 8. Определение расхождения риска сценария

Расхождение риска сценария определяется из его уровня тяжести последствия (шаг 4) и его частоты, учитывая наличие определенных НСЗ (шаг 5) и CMS (шаг 6). Каждая частота определяется умножением общей частоты исходного события (шаг 3) на значение RRF каждого НСЗ, предотвращающего сценарий, и каждого CMS, смягчающего сценарий. НСЗ были определены на шаге 5, а CMS были определены на шаге 6.

Рисунок G.6 - Управляемый риск вторичного последствия

Риск сценария сравнивается с критериями риска, как показано в таблице G.9, используя таблицу G.5. Если расхождение риска сценария уменьшается до ПР, то дальнейшее снижение риска не требуется. Команда при желании может определить функции, которые увеличивают снижение риска. Если расхождение риска сценария будет равно 10, 100, 1000 или 10 000, то команда должна определить больше НСЗ или CMS соответственно. Если в текущем проекте они отсутствуют, то формируются рекомендации.

В данном примере (таблица G.9) для достижения допустимого риска в рассматриваемом сценарии необходимо общее снижение риска, равное 1000. При использовании ПСБ с УПБ 3, обеспечивающей значение RRF, равное 1000, и регулятора давления, обеспечивающего значение RRF, равное 100, для сценария превышения давления в емкости общее снижение риска, обеспеченное проектом НСЗ, будет равно 100 000. Из таблицы G.9 видно, что расхождение риска сценария удовлетворяет допустимому риску.

G.2.10 Шаг 9. Выполнение рекомендаций в случае необходимости

Если CMS или расхождение риска сценария не снижают значение риска до ПР, то должны быть сделаны рекомендации. Любая из рекомендаций должна описывать функцию безопасности, классифицируя ее как конкретный тип НСЗ, и обеспечивать требуемое снижение риска. При необходимости командой должны быть представлены другие рекомендации.

Таблица G.8 - Рабочая таблица АСЗ для шага 7(1 из 2)

Имя системы. 1. Емкость 101 с исходным продуктом.

Чертеж. Чертеж АВС 123.

Цель проекта и метод (методы) управления процессом. Смесь X поступает в емкость 101 для разделения газа и жидкости.

Отклонение

Оценка уровня тяжести S последствия и величины снижения риска RRF

Оценка частоты исходного события

Определение НСЗ и RRF

Последствие

Категория

S

Требуемая RRF

Исходная причина

Тип

Частота

Общая частота

Мера защиты (не НСЗ)

НСЗ

Тип

RRF

1 Высокое давление

1 Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин. Что, если последствие 1.1.1.1

S

4

1000

1 Сбои контура управления производством

ОСУП

10

10

1 Недостаточно времени для реакции оператора на аварийный сигнал высокого давления

1 Закрытие входного блокирующего клапана высокого давления

ПСБ

10

Е

4

1000

А

3

100

Таблица G.8 - Продолжение (2 из 2)

Определение системы ослабления последствия CMS и RRF

Определение расхождения риска для CMS

Определение расхождения риска сценария

Рекомендации (АСЗ)

CMS

Последствие CMS

RRF

Категория

S

Требуемая RRF для CMS

Общая RRF НСЗ

Расхождение RRF для CMS

Требуемая RRF

Общая RRF (HCЗ + CMS)

Расхождение RRF сценария

Рекомендация

Целевое значение RRF

Клапан сброса давления

1 Система предохранения от перегрузок, вызывающая чрезмерное противодавление

100

S

4

1000

10

100

1000

1000

ПР

Е

4

1000

100

1000

ПР

А

3

100

100

100

ПР

Таблица G.9 - Рабочая таблица АСЗ для шага 8 (1 из 2)

Имя системы. 1. Емкость 101 с исходным продуктом.

Чертеж. Чертеж ABC 123.

Цель проекта и метод (методы) управления процессом. Смесь X поступает в емкость 101 для разделения газа и жидкости.

Отклонение

Оценка уровня тяжести последствия S и величины снижения риска RRF

Оценка частоты исходного события

Определение НСЗ и RRF

Последствие

Категория

S

Требуемая RRF

Исходная причина

Тип

Частота

Общая частота

Мера защиты (не НСЗ)

НСЗ

Тип

RRF

1 Высокое давление

1 Интенсивный поток приводит к давлению выше . Возможны повреждение емкости и выброс в окружающую среду в течение 5 мин. Что, если последствие 1.1.1.1

S

4

1000

1 Сбои контура управления производством

ОСУП

10

10

1 Недостаточно времени для реакции оператора на аварийный сигнал высокого давления

1 Закрытие входного блокирующего клапана высокого давления

ПСБ

1000

Е

4

1000

А

3

100

Таблица G.9 - Продолжение (2 из 2)

Определение системы ослабления последствия CMS и RRF

Определение расхождения риска для CMS

Определение расхождения риска сценария

Рекомендация (АСЗ)

CMS

Последствие CMS

RRF

Категория

S

Требуемая RRF для CMS

Общая RRF НСЗ

Расхождение RRF для CMS

Требуемая RRF

Общая RRF (НСЗ + CMS)

Расхождение RRF сценария

Рекомендация

Целевое значение RRF

Клапан сброса давления

1 Система предохранения от перегрузок, вызывающая чрезмерное противодавление

100

S

4

1000

1000

ПР

1000

100 000

ПР

Е

4

1000

ПР

1000

ПР

А

3

100

ПР

1000

ПР