Приложение С (справочное). Метод матрицы слоев безопасности. Национальный стандарт РФ ГОСТ Р МЭК 61511-3-2018 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Часть 3. Руководство по определению требуемых уровней полноты безопасности" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2018 N 467-ст)

Приложение С
(справочное)

Метод
матрицы слоев безопасности

С.1 Введение

Для каждого технологического процесса снижение риска должно начинаться уже на стадии проектирования процесса при выборе наиболее важных решений: при выборе собственно процесса и его местоположения, при принятии решения о запасах опасных реагентов и их размещении. Минимизация запасов опасных химических компонентов, применение таких трубопроводных и теплообменных систем, которые физически исключают нежелательное смешивание активных химических веществ, выбор толстостенных сосудов, способных противостоять максимально возможным давлениям в процессе, выбор теплоносителя, максимальная температура которого ниже температуры разложения реагентов, - все эти проектные решения по процессу снижают эксплуатационные риски. Такое внимание к снижению риска путем тщательного выбора конструктивных и технологических параметров процесса - это ключ к созданию безопасного процесса. Рекомендуется и в дальнейшем продолжать поиски путей снижения опасности и применения заведомо безопасных проектных решений. К сожалению, даже используя в максимальной степени эту философию проектирования, не удается полностью исключить потенциальную опасность и приходится применять дополнительные защитные меры.

В промышленных технологических процессах для их защиты применяют многочисленные слои защиты, как это показано на рисунке С.1. Каждый слой защиты, показанный на этом рисунке, состоит из специального оборудования и/или элементов административного управления, которые, действуя совместно с другими слоями защиты, уменьшают риск процесса и/или управляют им.

Рисунок С.1 - Слои защиты

Концепция слоев защиты (СЗ) базируется на трех основных принципах:

a) слой защиты представляет собой совокупность технических средств и/или организационных мер, которые функционируют в согласии с другими слоями защиты, обеспечивая снижение риска процесса или управление им;

b) слой защиты должен удовлетворять следующим критериям:

- снижать определенный риск по меньшей мере в 10 раз,

- обладать такими важными характеристиками, как:

- специфичность. СЗ проектируется для того, чтобы предотвратить или ослабить последствия одного потенциально опасного события. Причин возникновения этого опасного события может быть много, и, следовательно, действие СЗ может быть вызвано многими исходными событиями;

- независимость. СЗ считается независимым от других слоев защиты, если можно показать, что потенциально возможные совместные отказы по общей причине или общего типа отсутствуют;

- надежность. Можно рассчитывать, что СЗ будет выполнять предназначенные для него функции, если при его проектировании учитываются как случайные, так и систематические отказы;

- проверяемость. СЗ проектируется для того, чтобы облегчить регулярное подтверждение соответствия функций защиты;

с) слой защиты, обеспечиваемый функцией безопасности ПСБ, - это такой слой защиты, реализация которого удовлетворяет определению ПСБ, принятому в МЭК 61511-1:2016, 3.2.69 (термин "ПСБ" был использован при разработке матрицы слоев защиты).

Литература:

Guidelines for Safe Automation of Chemical Processes, American Institute of Chemical Engineers, CCPS, 345 East 47th Street, New York, NY 10017, 1993, ISBN 0-8169-0554-1

Layer of Protection Analysis-Simplified - Process risk assessment, American Institute of Chemical Engineers, CCPS, 3 Park avenue, New York, NY 10016-5991, 2001, ISBN 0-8169-0811-7

CCPS/AIChE, Guidelines for Safe and Reliable Instrumented Protective Systems, Wiley-lnterscience, New York (2007)

ISA 84.91.01: Identification and Mechanical Integrity of Safety Controls, Alarms, and Interlocks in the Process Industries, The Instrumentation, Society of Automation, 67 Alexander Drive, PO Box 12277, Research Triangle Park, NC 27709, USA

Safety Shutdown Systems: Design, Analysis and Justification, Gruhn and Cheddie, 1998, The Instrumentation, Systems, and Automation Society, 67 Alexander Drive, PO Box 12277, Research Triangle Park, NC 27709, USA, ISBN 1-55617-665-1

FM Global Property Loss Prevention Data Sheet 7-45, "Instrumentation and Control in Safety Applications", 1998, FM Global, Johnston, Rl, USA

C.2 Целевой уровень безопасности процесса

Фундаментальным условием успешного управления промышленным риском является четкое и ясное определение задаваемого уровня безопасности процесса (приемлемого риска). Он может быть установлен на базе национальных и международных стандартов и правил, корпоративной политики, а также под влиянием заинтересованных сторон, таких как сообщества и/или местные органы и страховые компании с хорошей технической подготовкой. Заданный уровень безопасности процесса специфичен для конкретного процесса, корпорации или отрасли. Таким образом, обобщения невозможны, за исключением ситуаций, когда существующие правила и стандарты обеспечивают поддержку таким обобщениям.

С.3 Анализ опасности

Для того чтобы выявить опасности, возможные отклонения процесса и их причины, исходные события и потенциально опасные события (инциденты) в используемых технических системах, следует провести анализ опасностей процесса. Для этого могут быть использованы следующие методы качественного анализа:

- анализ безопасности;

- контрольные листы;

- анализ гипотез ("что произойдет, если");

- метод HAZOP;

- анализ видов и последствий отказов;

- анализ причин и последствий.

Одним из таких методов, получивших широкое применение, является метод анализа опасности и работоспособности (Hazadr and Operability, HAZOP). Анализ (или изучение) опасности и работоспособности выявляет и оценивает опасности для технологической установки, а также другие неопасные проблемы, связанные с работоспособностью, которые ставят под сомнение возможность достижения проектной производительности установки.

Метод HAZOP подробно рассмотрен в МЭК 61882:2001. Применение этого метода требует детальных знаний и понимания вопросов проектирования объекта, его функционирования и обслуживания. Обычно опытный руководитель осуществляющей анализ группы специалистов, выполняя процесс разработки, постоянно "ведет" свою команду, используя при этом соответствующий набор подсказок. Такие подсказки применяются в особые или ключевые моменты исследования объекта с учетом соответствующих параметров процесса. Все это позволяет обнаружить возможные отклонения от нормального функционирования процесса. Контрольные листы или опыт выполнения процесса также помогают группе исследователей составить необходимый перечень возможных отклонений, который подлежит рассмотрению в процессе анализа. В результате анализа группа составляет перечни возможных причин отклонений в процессе, последствий таких отклонений, а также необходимых организационных и технических систем. Если причины и последствия отклонений в процессе существенны, а имеющиеся меры защиты недостаточны, то группа может представить на рассмотрение руководства предложения по дополнительным мерам безопасности или по перечню последующих действий.

Часто оказывается возможным обобщить приобретенный на конкретном объекте опыт и результаты его исследования методом HAZOP и распространить все это на имеющиеся в компании аналогичные процессы. Если такое обобщение возможно, то применение метода матрицы слоев безопасности оказывается целесообразным и при ограниченных ресурсах.

С.4 Метод анализа риска

После того как анализ по методу HAZOP проведен, связанный с процессом риск можно оценить, используя как количественные, так и качественные методы. В основе этих методов лежат экспертные оценки, сделанные персоналом предприятия и другими специалистами в области анализа опасности и риска, позволяющие выявить потенциально опасные события и оценить их возможность, интенсивность и последствия.

Для оценки риска процесса может быть использован качественный подход, который позволяет проследить сценарий развития опасного события и оценить его вероятность (примерный диапазон возможности появления) и тяжесть.

Типичное руководство по оценке возможности появления опасных событий без учета действующих СЗ показано в таблице С.1. Данные, приведенные в таблице, носят общий характер и могут быть использованы в тех случаях, когда сведения о конкретном процессе или производстве отсутствуют. Однако если такие конкретные данные имеются, то именно их следует использовать для установления возможности появления опасных событий.

Аналогично в таблице С.2 показан один из способов ранжирования тяжести воздействия опасных событий при их относительном оценивании. Предложенные рейтинги также являются иллюстративными. Тяжесть воздействия опасных событий и их рейтинги строятся для конкретного предприятия (процесса) на базе экспертных оценок и имеющегося опыта.

Таблица С.1 - Частота возможности появления опасного события (без учета СЗ)

Тип события	Возможность возникновения
	Качественное ранжирование
Множественные отказы различных приборов или клапанов, множественные ошибки персонала при нормальных внешних условиях или спонтанные отказы технологического оборудования	Низкая
Отказы резервированных приборов, клапанов или большие выбросы в зонах загрузки/разгрузки	Средняя
Утечки в процессе, отказы отдельных приборов или клапанов, ошибки персонала, приводящие к небольшим выбросам опасных материалов	Высокая
Примечание - Считается, что система соответствует настоящему стандарту, если утверждается, что отказ функции управления происходит реже чем 10-1 в год.

Таблица С.2 - Критерии ранжирования тяжести воздействия опасных событий

Ранг тяжести	Результат
Значительное	Значительный ущерб оборудованию. Останов процесса на длительное время. Катастрофические последствия для персонала и окружающей среды
Серьезное	Ущерб оборудованию. Кратковременная остановка процесса. Серьезные последствия для персонала и окружающей среды
Малое	Незначительный ущерб оборудованию. Отсутствие остановки процесса. Малый ущерб для персонала и окружающей среды

С.5 Матрица слоев безопасности

Для оценки риска можно использовать матрицу риска, объединяющую вероятность появления опасных событий и рейтинг тяжести их воздействия. Аналогичный подход можно применить и для построения матрицы, которая бы определяла потенциальное снижение риска, связанное с используемой ПСБ для слоя защиты. Подобная матрица риска показана на рисунке С.2, на котором в матрицу был введен целевой уровень безопасности процесса. Иными словами, матрица базируется на конкретном опыте эксплуатации и критериях риска, принятых в данной компании, на принятых в этой компании принципах разработки, эксплуатации и защиты, а также на значении уровня безопасности, установленном компанией в качестве целевого уровня безопасности процесса.

С.6 Общая процедура:

a) установить целевой уровень безопасности процесса;

b) провести анализ возможных опасностей (например, методом HAZOP), чтобы выявить все опасные события, представляющие интерес;

c) построить сценарий развития опасного события и оценить возможность появления этого события, пользуясь при этом данными и руководящими материалами конкретной фирмы;

d) пользуясь руководящими материалами компании, установить рейтинг тяжести опасных событий;

e) определить используемые на объекте СЗ (см. рисунок С.2). Оцениваемую возможность появления опасных событий следует снижать в 10 раз для каждого СЗ;

f) определить необходимость применения дополнительного слоя защиты, реализуемого ПСБ, путем сравнения остаточного риска с величиной целевого уровня безопасности процесса;

g) определить уровень полноты безопасности системы, пользуясь рисунком С.2;

h) пользователь должен следовать С.1, перечисление b).

------------------------------

^а) Одна функция безопасности ПСБ с УБП 3 не обеспечивает при таком уровне риска достаточного его снижения. Чтобы снизить риск, требуются дополнительные изменения.

^b) Одна функция безопасности ПСБ с УБП 3 может не обеспечить при таком уровне риска достаточного его снижения. Требуется дополнительный анализ.

^c) Вероятно, нет необходимости в слое защиты на основе ПСБ.

Примечания

1 Общее число слоев защиты включает все СЗ, защищающие процесс, в том числе и классифицируемые ПСБ (при необходимости).

2 Возможность появления опасного события - это возможность того, что опасное событие произойдет при отключенных СЗ. В качестве руководящего указания см. таблицу С.1.

3 Тяжесть опасного события - воздействие, связанное с опасным событием. В качестве руководства см. таблицу С.2.

4 Такой подход не считается пригодным в случаях с УПБ 4.

Рисунок С.2 - Пример матрицы слоев безопасности